John Henry Clippinger, Research Scientist al MIT

Big Data & privacy - Video intervista

 

Big Data, privacy e smarthpone: chi controlla le informazioni e i dati sensibili raccolti nei nostri cellullari?
Ne abbiamo parlato con John Clippinger, Research Scientist presso il Media Lab Human Dynamics del MIT e fondatore dell’organizzazione no-profit IDcubed.

 

1.  Quanto contano i dati personali nel panorama dei Big Data?

In un certo senso i dati personali sono la tipologia di Big Data più importante perché sono i dati più sensibili, predittivi, privati e preziosi. I Big Data non sono solo una questione di quantità dei dati processati, ma anche di qualità, valore e privatezza di quei dati. Tutti, aziende, imprese e quant'altro, vogliono che i dati personali rientrino nelle loro analytics dei Big Data.

2.  Mobile phone e big data. I nostri device mobili raccolgono una quantità enorme di dati personali: informazioni relative ad esperienze d’acquisto, dati georeferenziati, immagini e conversazioni.  Ma di chi è la proprietà effettiva dei dati? Quali sono i vantaggi e i rischi per l’utente ?

La questione dei diritti di proprietà reale dei dati personali è estremamente complessa. In molti casi negli Stati Uniti e nell'Unione Europea le persone hanno il diritto di avere una copia dei propri dati e ci si aspetta che essi vengano utilizzati in maniera lecita, nel rispetto del diritto individuale alla privacy e alla dignità. La vera questione è quali siano i doveri di una eventuale terza parte nell'utilizzo dei dati che mi riguardano, non se questi ultimi siano necessariamente di sua proprietà o meno.  Ci sono dati su di me creati e controllati da altri, come ad esempio la mia affidabilità creditizia, che io non possiedo, ma che ho il diritto di consultare e correggere. Non ho il diritto di impedirne la raccolta né l'utilizzo, neppure se sono convinto che sia un predittore tendenzioso ed erroneo della mia solvibilità, il che è vero nel caso di molti metodi di calcolo del merito di credito.  Allo stesso modo, negli Stati Uniti, paradossalmente a causa delle norme del FERPA (Family Educational Rights and Privacy Act), i diritti dei genitori ad accedere e utilizzare i dati scolastici dei propri figli sono limitatissimi. Similmente, sempre negli Stati Uniti, i pazienti hanno limitati diritti di accesso e utilizzo delle informazioni mediche e sanitarie che li riguardano.  Sussistono rischi significativi per gli utenti perché non sanno in che modo i dati che li riguardano vengono usati, se siano completi o accurati, né quali servizi vengono loro negati. In molti casi i dati sono incompleti e imprecisi, e di conseguenza creano un quadro impreciso dell'individuo, il che risultata nella mancata fornitura  di servizi o offerte adeguate. Man mano che i dati diventano più completi e le analytics più potenti, i rischi e gli abusi diventeranno sempre più gravi e avranno conseguenze sempre più profonde.

3.  Fino a che punto per le aziende e le burocrazie è legittimo lo sfruttamento dei dati personali degli utenti/cittadini? Fino a che livello di profondità e analisi ci si può spingere?

Ritengo che lo sfruttamento dei dati personali sia legittimo solo quando avvenga con il consenso informato, senza coercizione, implicita o diretta, e a condizione che ad esso siano legati limitati danni potenziali e un equo valore economico di scambio; tutto questo non descrive Google o FaceBook.

4. Quali sono oggi gli aspetti più critici da affrontare per garantire la trasparenza da parte delle aziende nel trattamento dei dati?

Credo sia necessario ripensare completamente le nostre politiche e prassi sulla privacy. Si tratta di prodotti degli Anni '70 e '80 e non riflettono la realtà delle moderne economie sensor-based, fortemente basate sui dati.     
Trasparenza, notifica e consenso non sono adeguati. Dobbiamo usare le tecnologie per esprimere e far rispettare politiche di privacy che permettano anche, nei limiti del lecito, la diffusione e la creazione di valore dai dati stessi.  È necessaria la presenza di controlli sull'applicazione delle politiche dati e che queste possano essere rapidamente corrette.

5. La consapevolezza dell’importanza di una gestione più attenta del dato personale, dopo gli scandali legati all’NSA, ha cambiato l’atteggiamento di grandi player del web (google, microsoft, ecc..)? In che modo?

Ci sono stati alcuni cambiamenti, come ad esempio un maggiore uso del crittaggio e processi di autenticazione migliorati.  I vendor americani di cloud e di SAS sono particolarmente sensibili a tutte le "backdoor" che NSA, CIA, FBI e DEA hanno inserito in prodotti apparentemente sicuri dei vendor: router, filrewall, flash drive, ripetitori cellulari, monitor, sensori, ecc. ecc. SalesForce.com, per esempio, ha perso grossi clienti del settore bancario a causa di queste rivelazioni e l'intero settore si sta muovendo per reperire vendor di servizi cloud localizzati al di fuori degli Stati Uniti e della portata immediata dell'NSA. Il punto è semplicemente che l'architettura di Internet è datata e offre protezioni inadeguate in termini di resilienza, privacy e sicurezza. Ci aspetta una pesante ristrutturazione.

6. Vista la posizione di prestigio che occupa all’interno del World Economic Forum su questi temi, ci può citare alcuni esempi più virtuosi di gestione dei dati personali?

Ci sono nuove start up come Personal.com che si stanno posizionando nel settore della protezione dei dati personali-individuali. Il loro modello di business è basato sulla fornitura di servizi per la protezione della privacy. In modo diverso, ma questo vale anche per Reputation.com. Microsoft, dopo aver fatto la parte del cattivo in questo settore con Passport, ora è diventata una delle grandi aziende più responsabili e attente. Lo stesso non si può dire di FaceBook o Google.

7. Come cambia il concetto di privacy nel mondo? Ci sono differenze tra Europa e USA?

Ci sono differenze significative tra Europa e Stati Uniti relativamente ai dati personali, perché nell'Unione Europea la protezione dei dati personali è un diritto umano fondamentale che affonda le radici nella dignità personale, mentre negli USA viene trattata in termini economici con un controllo e un coinvolgimento da parte del Governo molto ridotti.  Inoltre nell'Unione Europea il ruolo del Governo come garante e responsabile del rispetto dei diritti alla privacy è troppo forte; dal punto di vista statunitense i governi europei  hanno un'eccessiva concentrazione di poteri perché emettono carte di identità e supervisionano le normative per la privacy. Negli Stati Uniti, invece, i governi godono di ridottissima fiducia, e solo ultimamente le aziende ne hanno guadagnata un po', il contrario di ciò che succede nell'Unione Europea. Detto questo, il progetto americano di legge sui diritti dei consumatori e la Direttiva dell'UE sulla protezione dei dati personali stanno andando nella direzione di un'armonizzazione delle politiche di privacy dei dati . Ovviamente, la Cina ha una visione ancora diversa rispetto a Stati Uniti e Unione Europea, con il governo che gode di enormi poteri di sorveglianza e il controllo attraverso il cosiddetto "Great Firewall of China".  In Turchia, una recente legge dà al governo enormi poteri di sorveglianza e censura su Internet allo scopo di chiudere i siti "oltraggiosi". Quello che bisogna notare è che non sono solo i governi ad avere enormi poteri di sorveglianza, ma che anche aziende come Google ne hanno sempre più.  I poteri di sorveglianza di stati e aziende stanno crescendo sempre più e sono effettivamente senza controllo perché regolatori e legislatori semplicemente non riescono a stare al passo.