Il diritto di accesso e rettifica alle proprie informazioni individuali rimane uno dei principi fondamentali della privacy delle informazioni, ma spesso è tristemente sottoutilizzato. Pochi gli individui consapevoli dei loro diritti di accesso e ancor meno quelli che li esercitano. È utile, quindi, fare il quadro della situazione.
Indice degli argomenti
Scomodità nell’accesso ai dati
I diritti di accesso non sono né convenienti né particolarmente utili. Le organizzazioni, in genere, forniscono accesso ai dati solo in “copia cartacea”, dopo settimane o mesi di ritardo derivanti dalla corrispondenza e dalle richieste di autenticazione e pagamento delle tasse.
Le stesse organizzazioni spesso non riescono a fornire dettagli su fonti, usi e destinatari delle informazioni che raccolgono e cercano di fare affidamento su una panoplia di esenzioni legali per mascherare parte dei dati che essi rivelano. La crescente complessità dei dati dell’ecosistema rende difficile per le persone determinare a chi dovrebbe essere spedita una richiesta di accesso.
Inoltre, processori o sub-processori di dati sono spesso basati su giurisdizioni estere, senza un’interfaccia rivolta al consumatore per gestire le singole richieste. In effetti, la ricerca di un utente per ottenere le sue informazioni personali da Facebook era così nuova che comandava titoli di giornali in tutto il mondo, incluso il New York Times.
Come contropartita per una più ampia raccolta di dati e di minimizzazione, le organizzazioni dovrebbero essere preparate a condividere la ricchezza creata dai dati degli individui con quelle persone. Ciò significa fornire alle persone l’accesso ai loro dati in un formato “utilizzabile” e consentendo loro di usufruire di applicazioni di terze parti per analizzare i loro dati e trarne conclusioni utili (ad esempio, consumare meno proteine, andare a sciare, investire in obbligazioni).
Questa “featurization” dei big data scatenerà l’innovazione e creerà un mercato per applicazioni di dati personali. Le basi tecnologiche sono già state completate con molti mash-up e interfacce di programmazione delle applicazioni in tempo reale (API), rendendo molto più semplice per le organizzazioni combinare le informazioni provenienti da diverse fonti e servizi in una esperienza di utente singolo.
Molto simile al software open source o alle licenze Creative Commons, il libero accesso ai dati personali è basato su razionali di efficienza e correttezza. Indipendentemente dal fatto che la persona accetti o meno un approccio di proprietà alle informazioni personali, l’equità impone che le persone godano di un uso vantaggioso dei loro dati.
Il Green Button
Il roll out della smart grid illustra questo punto. Le utility elettriche raccolgono la maggior parte dei benefici connessi con l’aggiornamento della rete elettrica per fornire comunicazioni bidirezionali. Lodevole è l’iniziativa “Green Button” dell’amministrazione Obama: questa iniziativa stabilisce che i consumatori dovrebbero avere accesso alle proprie informazioni sull’uso dell’energia in un download, formato elettronico standard e facile da usare.
In un discorso del 15 settembre 2011, Aneesh Chopra, il Chief Technology Officer degli Stati Uniti, ha sfidato il settore a “pubblicare” informazioni online in un formato aperto (leggibile dalla macchina) senza restrizioni per impedire il riutilizzo. Nel gennaio 2012, tre importanti utility della California hanno annunciato la loro implementazione del pulsante verde, e una dozzina di altre utility seguirono l’esempio nel primo trimestre del 2012.
L’amministrazione ha previsto che renderebbero disponibili i dati dell’utente al pubblico conducendo gli imprenditori a sviluppare tecnologie come i sistemi di gestione dell’energia e applicazioni smartphone in grado di interpretare e utilizzare tali informazioni. Chopra ha sottolineato l’importanza di fornire i dati in un formato standard secondo le linee guida accettate dall’industria.
Un formato standard utilizzabile favorisce l’innovazione consentendo agli sviluppatori di software di creare una versione unica del loro prodotto che funzionerà per tutti i clienti. Uno sviluppatore ha detto al New York Times che la sua azienda aveva “creato una serie di strumenti di sviluppo del software che erano già stati attratti 150 sviluppatori di app. La sua azienda prevede anche di creare un mercato online, simile a IPhone App Store di Apple o Android Market di Google, dove potrebbero essere i proprietari di casa scaricare le applicazioni relative all’energia”.
Accesso alle informazioni sul consumo di energia per risparmi sui costi e nuovi usi non è solo il dominio delle utility. Ad esempio, Nest Learning Thermostat, sviluppato da Nest Labs, è un risparmio energetico, auto-programmato, progettato in modo intelligente di un termostato domestico. È anche connesso al Wi-Fi per consentire agli utenti di regolare la propria casa o ufficio temperatura tramite un’app per iPhone o Android ovunque si trovino.
Come il Green Button, il Nest Learning Thermostat consente agli utenti di accedere al proprio percorso dati, che include i loro movimenti sulla casa e informazioni sulla loro routine quotidiana. Anche importanti fornitori di comunicazioni come AT & T, Verizon e Comcast hanno lanciato servizi domestici innovativi incentrati sulla gestione dell’energia e sulla sicurezza domestica e controllo. Il concetto di “green button” segue un percorso tracciato da un’iniziativa simile nel campo dei dati sulla salute.
L’assistente alla salute Blu Button
Nel 2010, l’amministrazione Obama ha annunciato il “Blu Button” una funzionalità basata sul web attraverso la quale i pazienti possono facilmente scaricare le proprie informazioni sulla salute in formato utilizzabile e condividerlo con i fornitori di assistenza sanitaria. Per rendere l’informazione più utile, l’iniziativa ha sfidato gli sviluppatori a creare applicazioni che si basano sul “pulsante blu” aiutando i consumatori a utilizzare i propri dati gestire e la propria salute. A loro volta, applicazioni come l’assistente alla salute Blue Button, sviluppato da Adobe, nato per facilitare il collegamento delle informazioni sui pazienti, tra cui vaccinazioni, allergie, farmaci, anamnesi familiare, risultati dei test di laboratorio e altro ancora.
Un programma governativo aggiuntivo basato su una mentalità simile è l’iniziativa “Data.gov”. Il governo è stato a lungo il più grande generatore, collezionista e utente di dati (non necessariamente PII, Personally Identifying Information), tenendo traccia di ogni nascita, matrimonio e morte, compilando cifre su tutti gli aspetti dell’economia e il mantenimento delle statistiche su licenze, leggi e tempo metereologico. Fino a poco tempo fa, tutti i dati erano bloccati e difficili da localizzare, anche se pubblicamente accessibili.
In molti paesi, una richiesta di informazioni sulla libertà di ottenere informazioni per quanto riguarda la procedura di bilancio, ad esempio, produrrebbe, nel migliore dei casi, un voluminoso PDF bloccato per la modifica e difficile da esplorare. L’amministrazione Obama, guidata dal responsabile dell’informazione degli Stati Uniti, Vivek Kundra, ha abbracciato questa innovazione di lancio di “Data.gov”. Lo scopo dichiarato del nuovo sito web era “aumentare il pubblico accesso a set di dati di elevato valore, leggibili a macchina, generati dal ramo esecutivo del Governo federale”.
La situazione del settore privato
L’apertura delle casse di dati del governo ha scatenato un’ondata di innovazione e ha contribuito a creare nuovo valore economico. Individui e aziende hanno usato dati grezzi per migliorare i servizi esistenti e offrire nuove soluzioni.
Un maggiore utilizzo da parte dei singoli dei propri dati è evidente anche nel settore privato. Vari modelli di business esistenti cercano di arbitrare tra utenti e organizzazioni per riportare la scala a favore delle persone. Il centro di Harvard Berkman “ProjectVRM” (“VRM” sta per “gestione delle relazioni con i fornitori”). Nel suo libro del 2012, The Intention Economy, il leader di ProjectVRM, Doc Searls, propone una visione di un mondo in cui un individuo ha il completo controllo della sua persona digitale e delle sue autorizzazioni e disporre ai suoi fornitori di accedervi alle sue condizioni. In questo mondo, le persone utilizzerebbero le applicazioni software per segnalare le loro esigenze, a cui i produttori sarebbero quindi in grado di adempiere.
Personal.com, ad esempio, era una start-up che consentiva alle persone di possedere, controllare l’accesso e trarre vantaggio dalle informazioni personali. Lo faceva fornendo agli individui con un “vault di dati” online suddiviso in compartimenti chiamati “gemme”, dove potevano essere memorizzate e condivise informazioni sulle loro abitudini di acquisto, viaggi, credenziali di accesso su vari siti, informazioni sulla posizione e altro.
Dopo due anni dal lancio c’erano più di 100 gemme con oltre 3.000 campi di dati. La gemma delle preferenze alimentari, ad esempio, includeva allergie, restrizioni religiose e dietetiche e se a un utente piacesse il cibo piccante. Gli utenti potevano condividere gemme con familiari, amici, dipendenti o colleghi o altri ancora e monetizzare i propri dati vendendo l’accesso alle gemme alle entità commerciali. Personal.com riscuote una commissione del dieci percento su tali vendite. I fondatori dell’azienda sperano che Personal.com diventerà più di un semplice archivio di dati, ma piuttosto una piattaforma che consente applicazioni per connettersi a informazioni utente strutturate.
Un altro esempio è l’uso da parte di Intuit dei dati raccolti dai suoi Quickbooks e Turbotax prodotti, che vengono utilizzati da milioni di piccole imprese e individui per la contabilità e documentazione fiscale. Una nuova funzionalità aggiunta a Quickbooks nel 2012 è Easy Saver, che sembra per gli articoli acquistati di frequente dai piccoli imprenditori e quindi trova un prezzo migliore per tali articoli utilizzando sconti negoziati ad alto volume.
Se gli utenti non riescono a esercitare i loro diritti di accesso e rettifica, perché dovremmo aspettarci che loro si impegnino attivamente con i loro dati? La risposta è che lo stanno già facendo attraverso una pletora di applicazioni Apple, Android e Facebook. L’intera “app economia “è premessa per gli individui che accedono ai propri dati per usi nuovi, che vanno dai programmi GPS, le recensioni dei ristoranti, i servizi finanziari e sanitari personalizzati
I servizi
Le applicazioni sono diventate un aspetto integrante del modo in cui gli utenti fanno esperienza di reti social e dell’Internet mobile. Uno studio recente ha rilevato che l’economia delle app ha creato 466.000 posti di lavoro negli Stati Uniti dal 2007. Questo articolo suggerisce lo sviluppo di app per i grandi silos di dati di molte aziende che si sono concentrate sulla raccolta e l’analisi dei dati personali per conto proprio uso. Le recenti iniziative di mercato dimostrano la fattibilità di modelli di business basati su responsabilizzare i singoli utenti.
Ciò che il governo cerca di ottenere con le iniziative Green Button e Blue Button possono e devono essere replicate nel settore privato. La richiesta di accesso e trasparenza aggiuntiva ricorda uno dei fondamentali razionali per la legge sulla privacy delle informazioni: la prevenzione di database segreti. La legge sulla privacy delle informazioni è stata modellata per alleviare questa preoccupazione, che sorse nel periodo Watergate negli Stati Uniti e nell’era comunista nell’Europa Orientale, quando sono stati utilizzati database segreti per ridurre le libertà individuali.
I big data hanno rinvigorito lo spettro di enormi silos di dati che si accumulano e utilizzano informazioni per scopi oscuri. Gli individui e i regolatori non condannano i big data; piuttosto, si oppongono ai “grandi dati segreti”, che sollevano una visione kafkiana di una burocrazia disumana. Evitare potenziali abusi può richiedere un retrofit di obblighi di trasparenza e fornire diritti di accesso più praticabili. Qualsiasi attività eseguita nell’oscurità solleva il sospetto di essere spiato. La richiesta di trasparenza non è nuova, ovviamente. Piuttosto l’enfasi è sull’accesso a dati in un formato utilizzabile, che può funzionare per creare valore per gli individui. L’accesso da solo non è emerso come strumento potente poiché gli individui non si preoccupano, e non possono permettersi di indulgere in trasparenza e accesso per il loro stesso bene senza beneficio tangibile. Per questo motivo, i consumatori raramente scelgono o rinunciano alla licenza dell’utente finale accordi (EULA) o politiche sulla privacy.
I possibili rischi
Un accesso utile alle PII coinvolgerà le persone, inviterà all’esame accurato di pratiche di informazione delle organizzazioni, esponendo in tal modo potenziali abusi di dati. Le organizzazioni dovrebbero costruire come molti quadranti e leve, come necessario per le persone a impegnarsi con i loro dati. Gli argomenti della portata della trasparenza e dell’accesso abbracciati in questo articolo aumenteranno senza dubbio gravi complessità legali e aziendali.
Innanzitutto, le organizzazioni (in particolare i non consumatori di fronte) potrebbero sostenere che in molte circostanze l’accesso individuale a enormi database distribuiti su numerosi server e contenenti zettabyte di dati identificati non sono pratici. In secondo luogo, per evitare la creazione di una maggiore privacy, problema che cerca di risolvere, l’accessibilità online diretta ai dati richiede per forza autenticazione e canalizzazione sicura, imponendo costi e inconvenienti per entrambi organizzazioni e individui.
In terzo luogo, come l’ecosistema per le informazioni personali si espande, costruire strati su strati di applicazioni lato utente rispetto a quelli esistenti centralizzati struttura, generano rischi per la sicurezza e di perdita dei dati, aumentando di conseguenza l’uso non autorizzato. Infine, l’accesso ai dati leggibili dalla macchina in un formato utilizzabile sembra promuovere i dati portabilità, un concetto polemico che solleva ulteriori questioni riguardanti la proprietà intellettuale e antitrust.
Come contenere i problemi
Mentre sono necessari ulteriori lavori per affrontare questi problemi, essi possono essere contenuti. Innanzitutto, se i dati fossero effettivamente de-identificati, sarebbe controproducente richiedere la loro re-identificazione semplicemente al fine di fornire agli individui l’accesso. Ancora dentro proprio in tali circostanze il rischio per la privacy delle persone sarebbe notevolmente ridotto. L’accesso è più necessario laddove la de-identificazione è debole e quindi i dati potrebbero fornire benefici tangibili alle persone. Anche qui, la flessibilità e la modularità del La struttura delle FIPP si dimostra strumentale: con l’aumentare del grado di identificazione dei dati, quindi dovrebbe aumentare il livello dei diritti di accesso forniti alle persone.
In secondo luogo, la privacy e la sicurezza dei dati richiedono chiaramente la concessione ad un individuo di accedere solo ai propri dati personali. Ciò significa che le organizzazioni devono accertarsi dell’identità di un individuo che effettua una richiesta e che i dati debbano essere consegnati in canale sicuro. L’implementazione potrebbe richiedere l’uso di firme digitali e identità simili infrastrutture già esistenti oggi e la consegna di comunicazioni in canali crittografati. In terzo luogo, il miglioramento dei big data con interfacce per l’interazione dell’utente aumenta il numero di punti di accesso e, di conseguenza, eleva il rischio di violazione della sicurezza e di perdita di dati. Riconosce che la portabilità non è, in senso stretto, un concetto della legge sulla privacy, ma piuttosto derivata dall’antitrust. Riguarda le informazioni personali come patrimonio di individui, che rimangono sotto il loro controllo a meno che non vengano scambiati a un prezzo equo.
Sebbene il regolamento europeo sulla protezione dei dati cerchi di tessere la portabilità nel tessuto della legge sulla privacy, questo articolo sostiene che un simile approccio potrebbe andare troppo lontano. La metafora della proprietà non riesce a cogliere la sfumatura psicologica e sociologica del diritto alla privacy. Come scrisse Julie Cohen un decennio fa, “[…] riconoscendo i diritti di proprietà in rischi di dati identificati personalmente che consentono di fare meno, non meno, commerciare e produrre meno privacy“. Le informazioni personali non dovrebbero essere considerate né patrimonio esclusivo delle persone- trattamento che possono interferire con i segreti commerciali e diritti di proprietà intellettuale, né esclusivamente proprietà delle imprese. Piuttosto, le informazioni personali dovrebbero essere considerate preziose risorse comuni e una base per la creazione di valore e innovazione.
La normativa e i controlli
La privacy soffre non solo quando le persone non sono consapevoli delle pratiche dei dati, ma anche quando sono disinteressati o disimpegnati. Un tale ambiente, indipendentemente dai meccanismi di regolamentazione in vigore, fornisce controlli insufficienti sulla raccolta e l’uso dei dati. Dove gli individui possono accedere ai dati in un modo che è coinvolgente, utile o prezioso, essi si darà luogo a verifiche naturali su comportamenti inappropriati, servendo quindi come utile meccanismo di conformità per la legge sulla privacy il requisito che le organizzazioni rivelino i loro criteri decisionali (non necessariamente gli algoritmi, ma piuttosto i fattori che li considerano) evidenziando un’importante linea di frattura tra legge e tecnologia.
La regola proposta in questo articolo focalizza l’attenzione normativa sulla decisione che traggono conclusioni da informazioni personali piuttosto che da altre parti nell’ecosistema. In tal modo, riconosce che alcuni dei rischi dei big data influenzino l’equità, l’uguaglianza e altri valori, che possono essere non meno importanti ma teoricamente distinti interessi di privacy di base. Negli ultimi anni, il dibattito sulla privacy si è fuso con valori sociali più ampi. Ad esempio, la crescente tendenza dei datori di lavoro a utilizzare i servizi di social networking per eseguire controlli di background sui propri lavoratori e candidati, hanno portato i critici a condannare la natura “invasiva della privacy” di tali piattaforme.
Infine, occorre prestare attenzione all’accessibilità dei big data set alla ricerca comune in generale. Tradizionalmente, quando gli scienziati hanno pubblicato le loro ricerche, anche loro ha reso disponibili i dati sottostanti in modo che altri scienziati potessero verificare i risultati. Ancora con i big data, spesso sono solo i dipendenti di determinate organizzazioni a trarne vantaggio accedendo, conducendo analisi e pubblicando risultati senza rendere i dati sottostanti disponibili pubblicamente. Tali scienziati potrebbero obiettare, in primo luogo, che i dati sono un patrimonio proprietario della loro attività. In effetti, possono affermare che la divulgazione dei dati potrebbe violare la privacy dei clienti. Come notano Boyd e Crawford, le ricerche future devono essere pertinenti. Le domande fondamentali sono: chi ha il diritto di accedere a big data sets, per quali scopi, in quali contesti e con quali vincoli. Senza buone risposte, potremmo assistere a una stratificazione del mondo scientifico per ha e chi non ha grandi dati.
Conclusioni
Come ogni innovazione tecnologica, dall’automobile alla televisione, l’uso delle informazioni personali è stata indicata come una minaccia capace di distruggere la nostra società dall’interno e ridurci a una razza di dementi. Non possiamo però nascondere il fatto che i difensori della privacy e i regolatori dei dati deprimono sempre più l’era dei big data osservando la crescente ubiquità della raccolta dei dati e l’uso sempre più robusto dei dati abilitato da potenti processori e supporti di archiviazione illimitati. I big data e l’intelligenza artificiale sono una lama a doppio taglio, se si rendono disponibili a tutti gli individui non preparati queste tecnologie.
Questo articolo ha richiesto lo sviluppo di un modello legale in cui i benefici di dati per organizzazioni e ricercatori sono condivisi con gli individui. Se le organizzazioni fornissero alle persone l’accesso ai propri dati in formato utilizzabile, i poteri creativi sarebbero scatenati per fornire agli utenti applicazioni e funzionalità che si basano sui loro dati per nuovi usi innovativi. Inoltre, la trasparenza rispetto alla logica sottostante e l’elaborazione dei dati delle organizzazioni dissuaderà l’uso di dati non etici e sensibili e dissiperà le preoccupazioni su inferenze imprecise. Trasparenza tradizionale e meccanismi di accesso individuali hanno dimostrato di essere un mezzo inefficace per motivare le persone a coinvolgere i propri dati. La promessa di nuovi vantaggi e proposte di condivisione del valore incentiverà gli individui ad agire senza compromettere la capacità delle organizzazioni di sfruttare i big data.
