Chiacchierando, l’altro giorno, con un giovane giurista, Federico Sartore, abbiamo rievocato la storia di Matthew Fontaine Maury, che nel 1839 veniva costretto a lasciare il servizio attivo nella Marina Militare Americana in seguito a un incidente. La ridefinizione delle mansioni gli avrebbe offerto un noioso lavoro d’ufficio, come sovrintendente del Depot of Charts and Instruments, che gli diede accesso a tutti i log di bordo del tempo, oltre ai registri e alle mappe nautiche delle passate navigazioni. Intravedendo l’immenso potenziale della trasformazione degli oceani in un insieme coerente e armonico di informazioni, Maury lanciò un’iniziativa volta a rendere ogni vascello della marina Americana una piattaforma scientifica di raccolta dati, dividendo in quadranti gli oceani e rilevando di volta in volta i venti, le correnti, la profondità, la temperatura e così via.
A questo processo di “datificazione” dei mari e alla conseguente analisi manuale di circa 1 miliardo di valori grezzi si deve la genesi de “La geografia fisica del mare” nel 1855, opera fondamentale per la nascita e lo sviluppo della moderna oceanografia.
Il passaggio da uno stato embrionale ad uno globale di questo approccio, teso a mutare la realtà in informazione – e più di recente, l’informazione in realtà – , grazie al repentino sviluppo delle capacità tecnologiche di estrarre ed elaborare i dati, rappresenta una delle principali chiavi di lettura del nostro tempo.
La tecnologia che sta alla base dei c.d. “Big Data Analytics” sta rivoluzionando e trainando interi settori della società: dalle frontiere del marketing profilato tramite cookies anche di terze parti alla trasformazione tramite una miscela di big e open data di ogni paziente Britannico in un “research patient” – secondo le parole dell’ex premier David Cameron – dal ripensamento dei punti vendita delle grandi catene di distribuzione analizzando i comportamenti dei consumatori allo sviluppo di forme di Intelligenza Artificiale che auto-apprendano la profondità del mondo grazie ai dispositivi dell’Internet of Things.
L’immenso valore economico che alimenta l’economia contemporanea, i suoi modelli di business e l’efficienza dei maggiori player del mercato – e perché no, anche delle istituzioni – tutto è legato ad un altro cambiamento di paradigma: il passaggio dalla causalità alla correlazione, con l’inevitabile rischio di dover sacrificare progressivamente pezzi delle nostre libertà e della nostra autodeterminazione, e ciò ogni qualvolta la materia prima dell’analisi dati consistesse non già in semplici dati grezzi ed anonimi, ma nella categoria principe nell’universo giuridico dell’informazione: quella dei dati personali.
È proprio in questo spazio tra ricerca del valore aggiunto, corsa alla tecnologia più efficiente e rivoluzionaria e rischio per le libertà che si inserisce l’attività del regolatore contemporaneo.
I rischi sono infatti estremamente elevati: un’eccessiva deregulation in favore delle pressioni del business porterebbe a quella che è stata definita come “tirannide dei dati”, scenario in cui il riutilizzo indeterminato dell’informazione prevarrebbe sul principio di finalità, che invece oggi presidia i flussi di dati personali e la loro corretta allocazione nel rispetto dei diritti e le libertà fondamentali. Inoltre, i relativi processi decisionali (ad es. l’assunzione di un dipendente, il calcolo del premio di un’assicurazione sulla vita, l’attribuzione di rating a determinate zone di una città e così discorrendo) verrebbero svolti sulla base di un puro utilizzo di algoritmi di calcolo. Portando lo scenario alle estreme conseguenze – rasentando il paradosso – un medico potrebbe trovarsi a dover operare un paziente senza poter giustificare causalmente l’intervento (sia con l’interessato, sia dinanzi a un eventuale tribunale), bensì sulla base di una semplice correlazione probabilistica tra determinati valori biometrici e una patologia.
Fortunatamente così, per ora, non è. Nell’anno appena terminato il regime di protezione dei dati personali dell’Unione Europea si è riaffermato come avamposto globale della regolazione dei dati, con l’emanazione del Regolamento Generale sulla Protezione dei Dati Personali (GDPR). Il GDPR, al di là dei numerosi aspetti perfettibili (primo fra tutti l’utilizzo stesso dello strumento Regolamento), ha introdotto alcuni istituti che si combinano in modo sinergico con le tecnologie di data analysis, dotando la possente architettura di protezione dei dati di alcuni elementi di flessibilità, fondamentali come background giuridico per l’innovazione. In particolare, si fa riferimento all’introduzione dei principi di accountability e analisi orientata al rischio, sulla scorta delle esperienze nordamericane e anche di quella italiana. Nella stessa ottica si è voluto dedicare un articolo ad hoc (art 25) alla c.d. Privacy-by-Design che dovrebbe rappresentare – nelle volontà dei compilatori del Regolamento – un punto di contatto tra il mondo delle norme e quello della tecnologia.
I vantaggi di un approccio orientato a diventare preventivo anziché rimediale sono sicuramente massimi per tutti i processi di data analytics. In questi settori, infatti, il dogma del “ri-utilizzo” rischia di infrangersi sulla necessaria rigidità delle prescrizioni in tema di informativa e consenso degli interessati.
Tra i principi fondativi più interessanti della “Privacy fin dalla progettazione”, se effettivamente implementato da chi “consuma” enormi moli di informazioni, si colloca quello della Privacy come parte integrante della tecnologia – ad esempio, le stringhe di codice dovranno tenere in considerazione le norme a tutela dell’individuo per poter dare esecuzione con successo ad un comando impartito.
Sempre nella stessa prospettiva di responsabilizzazione dei Titolari del trattamento e della promozione della protezione dei dati come fattore su cui competere nel mercato, si inseriscono le nuove aperture a valutare i livelli di rischio ed impostare la propria compliance Privacy a seconda di tali indicatori. Non si tratta solamente della neo-introdotta “Valutazione di Impatto sulla Protezione dei Dati”, ma anche e soprattutto il favor che il legislatore ha accordato ad istituti “aperti” e orientati al rischio ragionevole: primo fra tutti la pseudonimizzazione.
Tutti questi elementi di novità e rimodulazione sono sicuramente da accogliere con interesse da chi – pubblici e privati – sta investendo in modo massiccio sull’analisi dei dati. Rimane solo da attendere le modalità con cui la nuova rete di Autorità Garanti dell’Unione Europea deciderà di interpretare, presidiare e dare attuazione alle norme del Regolamento.
