Il caso di Facebook venuto alla ribalta in questi giorni mostra una volta di più come la gestione dei dati non sia un tema squisitamente tecnico, ma sempre di più un tema culturale da un lato, legislativo dall’altro.
Da quanto emerge dall’inchiesta dell’Observer e del NY Times infatti, il problema non sembra di natura tecnica. La piattaforma non è stata violata, i dati sono stati raccolti in modo legale, utilizzando le policy di Facebook attive all’epoca. Il problema è invece più legato alla violazione dei termini d’uso: un ricercatore ha dichiarato di raccogliere i dati per fini di ricerca, ma li ha utilizzati invece per scopi commerciali, arrivando anche a vendere questi dati a una terza parte.
Il primo punto che personalmente ritengo balzi all’evidenza di chi legge l’inchiesta, è la disinvoltura con cui i protagonisti abbiano raccolto ed utilizzato i dati. Sono stati raccolti i dati di milioni di persone per fini, almeno inizialmente, di “curiosità scientifica”, in maniera perfettamente lecita. Tuttavia, in breve tempo, questi dati sono stati venduti e, cosa ancor più grave, fatti circolare senza alcun tipo di cifratura degli stessi. Penso che questo mostri come, in generale, ci sia ancora pochissima cultura sulla sicurezza dei dati.
Il secondo punto che emerge è che abbiamo probabilmente bisogno di più regole sulla gestione dei dati. In questo caso una semplice dichiarazione di raccolta dati per scopi di ricerca ha permesso a un singolo individuo di raccogliere informazioni su milioni di persone. Va detto anche che, dal 2014 in cui è accaduto il fatto, Facebook ha ristretto le proprie policy. Tuttavia, è probabilmente necessario responsabilizzare maggiormente i soggetti che trattano i dati personali delle persone. E’ ormai chiaro che, senza un forte reinforcement legislativo, difficilmente i singoli saranno in grado di “auto-censurarsi” nell’utilizzo dei dati personali. Per questo motivo i legislatori devono intervenire stabilendo regole chiare con punizioni chiare per chi le infrange.
L’innovazione sul tema dati sta viaggiando ad una velocità difficilmente gestibile per i legislatori che, tendenzialmente, arrivano sul tema sempre dopo che è accaduto qualcosa di negativo (es. i diversi data breach degli ultimi anni). Questo però non significa che dobbiamo rassegnarci ad episodi di questo tipo, anzi, significa che i legislatori dovrebbero probabilmente colmare il gap di competenze rispetto al mercato, così da essere più tempestivi ed efficaci nei loro interventi.
Personalmente non credo che la soluzione al problema sia “blindare” l’accesso ai dati o rallentare l’innovazione. Ritengo ogni forma di innovazione positiva, a patto che questa venga sviluppata in modo etico e sostenibile. Questo è l’ennesimo caso che ci dimostra come questo non possa avvenire se lasciamo che il mercato si autoregolamenti. E’ necessario vigilare sui possibili effetti negativi di queste innovazioni e fare il possibile per prevenirli. Accanto a ciò è però necessario cercare di cambiare la nostra cultura. Così come il Gdpr si sta muovendo nella direzione della privacy-by-design e della security-by-design, i legislatori dovrebbero cercare di muoversi verso l’istituzione della “ethic-by-design”, guardando al bene comune che le innovazioni possono portare, più che al profitto della singola compagnia (e, attenzione, le due cose non sono mutualmente esclusive).