Articoli

Big data: arrivano le Linee guida delle Autorità Italiane

Avv. Vincenzo Colarocco

Pubblicato l’esito dell’indagine conoscitiva avviata da AGCOM, AGCM e Garante Privacy il 30 maggio 2017 in tema di Big Data. In vista di questo evento, lo scorso 2 luglio, le Autorità hanno reso pubbliche le linee guida di cooperazione e raccomandazioni di policy volte a definire ed ottimizzare le conseguenze in materia di data protection, tutela del consumatore e antitrust, connesse al fenomeno dei Big Data. Un vero e proprio vademecum che fornisce una sintetica esposizione degli interventi futuri delle Autorità nel settore digitale, oltre che un invito rivolto alle istituzioni a colmare il gap normativo esistente nel settore.

La scelta di affrontare un approfondimento trasversale e di comporre un’indagine conoscitiva congiunta trae origine dalla consapevolezza acquisita circa le caratteristiche dell’economia digitale, caratteristiche che favoriscono rapporti disomogenei tra concorrenza, privacy e tutela del consumatore.

Un tale intreccio tra gli scopi propri delle Autorità in questione richiede un coordinamento che consenta un confronto costante tra le tre realtà. In proposito, si segnala che nello svolgimento dell’indagine sono state svolte circa quaranta audizioni, da parte delle diverse Autorità, che hanno tratto beneficio delle informazioni acquisite nel corso di procedimenti collegati allo sfruttamento economico dei dati e al ruolo della profilazione algoritmica nei mercati della pubblicità online e nell’attività delle piattaforme di videosharing, motori di ricerca e marketplace.

Come detto in precedenza, sono 11 le linee guida indicate nel documento pubblicato, ma è nelle conclusioni che si rinviene la strategia che le Autorità intendono adottare allo scopo di garantire una maggiore tutela in tema privacy, considerando le implicazioni derivanti dall’uso dei Big Data. Si legge, infatti, che “le sfide poste dallo sviluppo dell’economia digitale e dai Big Data richiedono uno sfruttamento pieno delle sinergie esistenti tra strumentazione ex ante ed ex post, a tutela della privacy, della concorrenza, del consumatore e del pluralismo. Agcm, Agcom e Garante per la protezione dei dati personali, ciascuno nell’ambito delle proprie competenze, possono meglio garantire i propri obiettivi istituzionali, nella misura in cui sapranno cogliere a pieno le opportunità offerte da una proficua cooperazione. A tal fine, le tre Autorità, nell’esercizio delle competenze complementari ad esse assegnate e che contribuiscono a fronteggiare le criticità dell’economia digitale, si impegnano a strette forme di collaborazione negli interventi che interessano i mercati digitali, anche attraverso la sottoscrizione di un memorandum of understanding”. In questo senso si punta a rafforzare i campi d’azione delle Authority.

Guardando alle linee guida, preminente rilievo viene attribuito al ruolo della politica, di cui parla la prima raccomandazione – “Governo e Parlamento si interroghino sulla necessità di promuovere un appropriato quadro normativo che affronti la questione della piena ed effettiva trasparenza nell’uso delle informazioni personali (nei confronti dei singoli e della collettività” -, raccomandazione legata alla seconda, inerente ad un “rafforzamento della cooperazione internazionale sul disegno di policy per il governo dei Big Data”.

Tra le altre raccomandazioni si segnalano quella inerente la promozione di una “policy unica e trasparente circa l’estrazione, l’accessibilità e l’utilizzo dei dati pubblici al fine della determinazione di politiche pubbliche a vantaggio di imprese e cittadini” realizzabile tramite “un coordinamento tra tale policy e le strategie europee già esistenti per la costituzione di un mercato unico digitale”. Si rende necessario anche “ridurre le asimmetrie informative tra utenti e operatori digitali, nella fase di raccolta dei dati, nonché tra le grandi piattaforme digitali e gli altri operatori che di tali piattaforme si avvalgono”.

Sul fronte della concorrenza si auspica “una riforma del controllo delle operazioni di concentrazioni al fine di aumentare l’efficacia dell’intervento delle autorità di concorrenza” tenendo conto che “con la diffusione dei Big Data il controllo delle concentrazioni assume una nuova centralità”. Infine, si auspica l’agevolazione della “portabilità e la mobilità di dati tra diverse piattaforme, tramite l’adozione di standard aperti e interoperabili”.

Software Claudette: I.A. contro le clausole vessatorie

Avv. Vincenzo Colarocco

Nasce “Claudette”, il software basato sull’intelligenza artificiale che viene in soccorso dei consumatori per metterli in guardia dalle clausole vessatorie dei contratti stipulati unilateralmente e sottoscritti online. A guidare il relativo progetto è stato l’Istituto Universitario Europeo di Fiesole, con i Professori Giovanni Sartor e Hans-W- Micklitz, in collaborazione con gli ingegneri dell’Università di Bologna e dell’Università di Modena e Reggio Emilia.

A fronte di un aumento del 15% nel 2018 per l’e-commerce italiano, il valore mondiale degli acquisti online sembra stagliarsi attorno ai 2 milioni di euro. Tali acquisti vengono però effettuati, nella maggior parte dei casi, ignorando le clausole contrattuali o le condizioni di servizio. Già dieci anni fa, e dunque prima ancora dell’entrata in vigore del Regolamento (UE) 2016/679 (“GDPR”), uno studio pubblicato sul Journal of Law and Policy for the Information Society rappresentava come la lettura effettiva delle sole privacy policy sarebbe costata, in termini di tempo, circa 200 ore l’anno per utente; a tanto si aggiunga lo scarso rilievo pratico di un analitico esame delle suddette clausole, stante il limitato potere contrattuale dell’utente in relazione a controparti quali Google, Facebook o Amazon.

Claudette si propone di contrastare l’inserzione delle clausole abusive attraverso l’automazione della fase di identificazione delle stesse secondo lo schema tipico dei meccanismi di machine learning: i ricercatori hanno raccolto i termini e le condizioni di servizio di alcune delle maggiori piattaforme online, quali, tra le altre, Google, Linkedin, Dropbox, World of Warcraft, Yahoo e Twitter, ed hanno ricondotto ciascuna clausola ad otto diverse categorie, tra le quali figurano: giurisdizione, legge applicabile e limitazioni di responsabilità. L’applicazione dell’I.A. al caso di specie ha portato ad un risultato senza dubbio significativo: l’8,6% delle frasi totali (segnatamente, 1032 delle 12011 inserite) è stato identificato come potenzialmente abusivo. Oltre ai consumatori, Claudette potrebbe essere d’ausilio anche agli stessi operatori del settore, come per esempio consulenti o avvocati, chiamati a pronunciarsi sulla legittimità dei regolamenti contrattuali predisposti dai propri clienti, in questo modo ottimizzando la fase di studio dei contratti e di conseguente identificazione delle clausole abusive.

Data Breach: novembre nero per i sistemi di sicurezza informatici

Avv. Vincenzo Colarocco

Il mese corrente verrà senz’altro ricordato come uno dei più drammatici per la sicurezza informatica italiana e per la riservatezza di migliaia di utenti.

Il picco della “settimana nera” annunciata dal collettivo di attivisti hacker “Anonymous” contro obiettivi italiani si è fatto registrare, in particolare, nella giornata del 5 novembre. Dopo diversi giorni di cyber azioni di sabotaggio e sottrazione di dati a diverse piattaforme di organizzazioni nazionali (solo per citarne alcune: il Dipartimento di ingegneria informatica dell’Università di Roma, l’Azienda sanitaria provinciale di Reggio Calabria, diverse sedi di Confindustria), i temuti hacker si sono concentrati su obiettivi politici divulgando nomi, cognomi, numeri di telefono, email e password di impiegati e funzionari di diversi istituti del Consiglio Nazionale della Ricerca (CNR) e del Ministero dello Sviluppo Economico. Sono stati diffusi anche dati sensibili (in quanto rivelatori di opinioni politiche) dei tesserati della Lega Nord del Trentino, di Fratelli e del Partito Democratico di Siena; il sito del partito Fratelli d’Italia, invece, risultava irraggiungibile e ad ogni tentativo si era direttamente rimandati al blog di Anonymous (redirect).

Non solo Anonymous però, anche gli hacker del collettivo “Anonplus” si sono resi protagonisti di un grave attacco informatico ai danni dei server della Società Italiana degli Autori ed Editori (SIAE), dichiarando in un successivo tweet di aver trafugato circa 3,7 GB di dati. Ha fatto seguito un’importante precisazione della stessa SIAE con cui si è dato atto dell’attacco subito ma è stata smentita – almeno a seguito di una prima analisi – la sottrazione di dati sensibili.

L’evidente deficit di sicurezza informatica mostrato in tali circostanze dai succitati titolari di dati personali – alcuni dei quali, per di più, pubbliche amministrazioni – è stato preso in esame anche dal Garante privacy italiano Antonello Soro, il quale ha evidenziato come i descritti accadimenti possano essere in parte imputati all’assenza di un piano organico e di investimenti adeguati nell’attuale processo di digitalizzazione. Lo stesso Garante ha sottolineato come appaia evidentemente distante dall’essere praticato il principio di “privacy by design” che ispira l’attuale disciplina del Regolamento Europeo 679/2016 (“GDPR”), al fine di ridurre la superficie di attacco, assumendo la resilienza informatica e la protezione dei dati quali obiettivi centrali dell’azione.

Conclusivamente vale la pena ricordare come in caso di data breach (per tale intendendosi la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali), il succitato GDPR prevede l’obbligo di notifica della violazione al Garante Privacy e al soggetto che ne è vittima, mentre per quanto attiene all’aspetto sanzionatorio possono disporsi sanzioni fino a 10 milioni di euro (o al 2% del fatturato globale annuo), oltre al risarcimento del danno in favore degli interessato. Risulta quindi di fondamentale importanza (per qualsiasi politica di sicurezza dei dati) acquisire la capacità, ove possibile, di prevenire una violazione munendosi di misure di sicurezza adeguate. Altrettanto utile risulterebbe l’elaborazione, a monte dell’attività di adeguamento al GDPR, di una chiara ed efficiente policy in materia di data breach che permetta di reagire in maniera tempestiva ed in conformità alla normativa vigente qualora se ne presentasse la necessità.