E’ il caso della settimana e lasciamo all’avvocato Alessandra Bisi, membro del nostro comitato scientifico, il commento su Cambridge Analytica, con uno sguardo particolare: il GDPR, se attuato in modo corretto, avrebbe potuto impedire quanto successo?
Una piccola premessa per chi non avesse seguito il dibattito: Cambridge Analytica, società di analisi e data mining con sede a Londra, è entrata in possesso dei dati di circa 50 milioni di utenti di Facebook, usandoli in modo improprio. I dati non sono stati rubati dai server di Facebook ma Aleksandr Kogan, professore di psicologia di Cambridge, li ha ottenuti tramite una app da lui sviluppata, per poi cederne gran parte a Cambridge Analytics, in violazione alle linee guida di Facebook.
“Non ho niente da nascondere, che mi controllino pure!”
Da quando ho cominciato a parlare di GDPR in azienda avrò sentito questa frase migliaia di volte e, ancora oggi, ritengo che sia necessario uno scandalo per sensibilizzare maggiormente le persone in merito alla tematica della protezione dei dati personali. Ecco, forse quel momento è giunto.
Corre l’anno 2015 quando lo psicologo Aksandr Kogan crea l’App “thisisyourdigitallife” per effettuare un semplice test sulla vita digitale degli utenti, prevedendo che per il suo utilizzo sia necessario fornire alcuni dati personali o accedere attraverso il profilo Facebook. Sino al 2015 questa applicazione – e tante altre – che aveva accesso ai dati personali degli utilizzatori e dei loro “amici” era perfettamente conforme alle policy di Facebook.
A non esserlo era la cessione a terzi di questi dati che, pare, siano stati venduti ad una società terza, Cambridge Analytica, che li avrebbe utilizzati per indirizzare i voti in USA e in Gran Bretagna per la Brexit.
In un’inchiesta di Channel 4, emittente televisivo pubblico britannico (a questo link), un amministratore della società Cambridge Analytica espone in maniera estremamente chiara e distopica le modalità attraverso le quali “indirizzare” le opinioni di voto degli elettori mediante l’uso dei dati personali: “non ha senso in campagna elettorale inseguire i fatti perché non sono quelli a far smuovere le persone. A farlo sono due fatti: speranze e paure”. E’ chiaro dunque che non vi è miglior strumento di persuasione di quello che tenga conto di questi due aspetti mostrando, ad esempio, fake news elaborate ad hoc nella newsfeed del social network utilizzato dall’elettore.
Detto questo veniamo ora alla domanda di fondo: una completa attuazione del GDPR avrebbe potuto impedire al professor Kogan di cedere le informazioni acquisite tramite la app “thisisyourdigitallife” a terzi?
Probabilmente no, ma avrebbe risolto il problema ab origine non permettendo – se non in presenza di un esplicito consenso documentato – all’applicazione “thisisyourdigitallife” di raccogliere dati dagli utilizzatori in misura superiore a quella necessaria per raggiungere il risultato.
La reazione di Andrea Jelinek, Chair of the Article 29 Working Party è stata lapidaria: “Di norma i dati personali non possono essere utilizzati se non in piena trasparenza sulle modalità di utilizzo e di condivisione. Si tratta quindi di un’accusa molto seria con conseguenze importanti sulla protezione dei dati degli individui e sul processo democratico” (a questo link).
Ritengo opportuno quindi cogliere l’occasione per parlare dei due principi di privacy by default e privacy by design statuiti dalla nuova normativa. Questi principi rappresentano l’evoluzione del concetto di privacy all’interno dei processi di business e di IT support che devono includere le misure di sicurezza e di gestione dei dati necessarie per ciascun trattamento.
In poche parole, la chiave per essere “compliant” alla nuova normativa è adottare una procedura che preveda fin dall’inizio (by design), gli strumenti a tutela della protezione dei dati. A questo primo obbligo si accompagna l’art. 25 punto 2 che prevede il così detto principio di necessarietà ovvero che: “siano trattati, per impostazione predefinita (by default) solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica”.
La mera adozione di questi principi avrebbe, se non bloccato, quanto meno reso molto più complicato per “thisisyourdigitallife” raccogliere – e di conseguenza cedere a terzi – un tale numero di dati (si parla di circa 50 milioni di profili Facebook coinvolti).
Leggi tutti gli articoli della rubrica Road to GDPR
© RIPRODUZIONE RISERVATA