Dobbiamo parlare del Digital Omnibus. Sì, lo stanno facendo in tanti. Ma no, non lo si può evitare.
Parlo da informatico e dpo, certo.
Indice degli argomenti
Contesto e posta in gioco del Digital Omnibus GDPR
La legge è sicuramente troppo importante per lasciarla ad avvocati e politici, specialmente quando dietro le complessità dei temi vogliono nascondere banalissimi interessi di bottega, come in questo caso, o sogni orwelliani di tecnocontrollo, come nelle decisioni su Europol e euro digitale.
Soprattutto una legge sui nostri diritti fondamentali è troppo importante per essere lasciata nelle mani di questa Commissione di pappagallini di Big Tech.
Terzo, la sovranità appartiene al popolo, che la esercita nelle forme e nei limiti della Costituzione.
Ma un popolo che non capisce di cosa si sta parlando quale sovranità può esercitare?
Una delle cose fantastiche del GDPR è che lo leggi, e le parti fondamentali sono chiare, si capiscono. Certo, ci sono parti meno chiare, e altre su cui si discute da dieci anni, ma i principi, i diritti, le condizioni per la liceità del trattamento, il consenso, si capiscono.
Non serve essere un giurista per capire che la Commissione vuole far passare una porcata che:
- non semplifica, ma complica cose semplici
- non aiuta le piccole e medie imprese, ma predispone delle scappatoie che solo i grandi attori hanno le risorse per sfruttare
- non favorisce l’innovazione, ma dichiara i dati europei territorio libero di caccia per i giganti del tech.
Non ho nessuna intenzione di fare una cosa barbosa, anche perché a differenza dei vari commentatori di moda io non ho contratti che potrei mettere a rischio con un’opinione troppo netta. Quando lavoro come consulente, considero mio dovere dire le cose come stanno, come si fa fra adulti, non per dire al cliente che è bello, intelligente, in gran forma, e con una minchia tanta (cit.). Per quello c’è già Grok. Curiosamente, non c’è un grande mercato per gente come me.
Quindi vi beccate la mia opinione senza abbellimenti “business-friendly”.
E la mia opinione è che il Digital Omnibus va rivisto con un lanciafiamme. Poi, se vogliamo dare un impulso al turismo, possiamo riunire in piazza la Commissione che l’ha scritto, impeciarla, coprirla di piume, e portarli a cavallo di un tronco in giro per Bruxelles mentre abitanti e turisti esprimono il loro democratico dissenso.
Vabbé, mi piace sognare. Veniamo a noi.
Per restare nei tempi parliamo solo di tre delle modifiche proposte al GDPR:
- quella sulla definizione dei dati personali,
- la nuova definizione di “ricerca scientifica”
- la demolizione del concetto di limitazione del trattamento
- l’uso di dati sensibili nello sviluppo di sistemi AI e in generale il libero riuso di dati personali nello sviluppo di AI
- e la liberalizzazione delle decisioni automatizzate
Digital Omnibus e Gdpr: la nuova definizione di dati personali
Tutti ormai sappiamo che nel GDPR un dato personale è qualsiasi informazione relativa a una persona identificata o identificabile, direttamente o indirettamente.
Semplice, chiaro. Nei miei seminari dico sempre: pensate di assistere a un omicidio di mafia. Nessuno vi vede, e ve la date a gambe. Qualunque informazione che prima o poi possa portare alla vostra porta un signore noto anche come “Peppe o’animale” è un vostro dato personale.
Bene, ora sentite l’aggiunta proposta dalla Commissione:
le informazioni non sono considerate personali per un determinato soggetto qualora tale soggetto non sia in grado di identificare la persona fisica a cui si riferiscono. Tali informazioni non diventano personali per tale soggetto semplicemente perché un potenziale destinatario successivo dispone di mezzi che potrebbero ragionevolmente essere utilizzati per identificare la persona fisica a cui si riferiscono.
Così, di piatto. Questa aggiunta prende come pretesto una decisione della Corte di Giustizia Europea che diceva una cosa simile in un caso e in un contesto estremamente limitati.
Invece la commissione lo propone come principio generale.
Facciamo un esempio.
Io ho un database di dettagli medici. Siccome non voglio correre rischi, uso come identificativo non il nome del paziente, ma il suo numero di carta d’identità. Io non ho modo di risalire dal numero alla persona, quindi secondo la commissione quelli sono dati non personali, sono anonimi, e il GDPR non si applica.
Quindi quei dati posso rivenderli, pubblicarli, eccetera.
Ora, fra i miei clienti ci può essere chiunque. Assicurazioni, datori di lavoro. Gente che ha il mio documento d’identità.
Comprano il mio database e come per magia scoprono tutti i problemi di salute di tutti gli assicurati e di tutti i dipendenti. Certo, quei dati per loro ora sono personali. Per poterli trattare hanno bisogno di una base giuridica. Quindi secondo la legge non possono nemmeno guardarli senza avere il consenso, o… magari una scappatoia. Ci arriviamo.
Per il momento consolatevi con l’idea che il vostro datore di lavoro, la banca, l’assicurazione potrebbero mettere le mani sui vostri dati sensibili e dormite tranquilli sapendo che senza una base giuridica non possono nemmeno guardarli. Vi sentite tranquilli, vero? State sereni, poi peggiora.
Ricerca scientifica senza freni nel GDPR
Il GDPR si riferisce più volte a “scopi di ricerca storica o scientifica”, generalmente per consentire delle deroghe che rendano possibile il trattamento.
Bene, la Commissione si è preoccupata di sottolineare che il perseguimento di un interesse commerciale non sia escluso come finalità di ricerca. Prontamente arriva la nuova definizione di “ricerca scientifica”, sentite:
“ricerca scientifica” significa ogni ricerca che possa anche supportare l’innovazione, come lo sviluppo tecnologico … queste azioni contribuiranno alla conoscenza scientifica esistente o applicheranno le conoscenze esistenti in modi nuovi, allo scopo di contribuire alla crescita della conoscenza e del benessere della società … Ciò non esclude che la ricerca possa anche promuovere un interesse commerciale.
Detto in parole povere: ricerca scientifica è qualsiasi cosa vogliate. Ad esempio con il mio database banche, assicurazioni e datori di lavoro possono fare “ricerca scientifica”. Ma state sereni, poi peggiora.
Come il Digital Omnibus GDPR abbatte la limitazione del trattamento
Chi mi ascolta sa che il GDPR impone la limitazione del trattamento. Dati raccolti per uno scopo non possono essere trattati per uno scopo differente che non sia strettamente compatibile con lo scopo iniziale. Strettamente vuol dire che ci deve essere una analisi documentata della compatibilità, e un bilanciamento con i diritti e le libertà fondamentali dell’interessato.
Sentite l’aggiuntina della Commissione:
Ulteriori trattamenti per finalità di ricerca storica, scientifica o statistica saranno considerati compatibili con gli scopi iniziali, indipendentemente dalle condizioni poste dalla limitazione del trattamento.
Quindi banche, assicurazioni e datori di lavoro che hanno acquisito il mio database di dati che per me sono anonimi non hanno che da dire “ricerca scientifica” e proprio come Harry Potter quando dice “Expecto Patronum!” il GDPR brutto e cattivo smette di essere un ostacolo. Ma tranquilli, poi peggiora.
AI, dati sensibili e scorciatoie nel Digital Omnibus GDPR
Nella proposta di revisione del GDPR si fa un gran parlare di AI, perché ovviamente l’AI non è solo una tecnologia qualsiasi che deve attenersi alle leggi, no, ha bisogno di eccezioni ritagliate su misura.
Per esempio, se state addestrando una AI o un modello, fin qui dovevate stare attenti che non ci finissero dentro dati sensibili, altrimenti dovevate toglierli, il che significa rifare da capo tutto il training. Tranquilli, la Commissione vi vuole bene. E vi dice che:
Se la rimozione di tali dati richiede uno sforzo sproporzionato, il responsabile del trattamento deve in ogni caso proteggere efficacemente e senza indebito ritardo tali dati dall’essere utilizzati per produrre output, dall’essere divulgati o resi disponibili in altro modo a terzi.
A parte che devo ancora vedere un modo per costringere un modello linguistico a ignorare in modo inequivocabile dei dati, o tantomeno a non divulgarli, in un modello linguistico ogni dato influenza ogni altro dato. E comunque basta solo un po’ di fantasia per fare in modo che l’output dipenda da quei dati in un modo così indiretto da sembrare che non li abbia considerati.
Quindi, banche, assicurazioni e datori di lavoro possono semplicemente comprare il mio database per, diciamo, arricchire il training della loro AI, “scoprire” che le informazioni aggiunte sono in realtà dati personali sensibili, piangere amare lacrime alla fatica che gli costerebbe rifare il training, giurare mignolino che quei dati non verranno usati nell’output e gridare “ricerca scientifica” per essere a posto con il “nuovo GDPR” proposto dalla Commissione.
Di nuovo, state sereni, c’è ancora di peggio.
Decisioni automatizzate e diritti fondamentali a rischio
Il GDPR come è oggi dice che una persona ha il diritto a non essere oggetto di decisioni basate su un trattamento automatizzato, inclusa la profilazione, a meno di avere dato il consenso o a meno che la decisione sia necessaria per stabilire un contratto fra la persona e il titolare del trattamento.
La manina della Commissione aggiunge qui:
indipendentemente dal fatto che la decisione potesse essere presa in modi diversi dai soli metodi automatici.
Aha. Certo. E come mai la Commissione si sente in dovere di specificare una cosa che suona così strana? Ma perché l’effetto di questa aggiuntina è di fare carne di porco dell’obbligo che fin qui il titolare ha avuto di dover scegliere fra una decisione automatizzata, e una non automatizzata ma meno invasiva dei diritti e delle libertà fondamentali.
In parole povere, siccome un algoritmo costa sempre meno di un impiegato, non importa se l’impiegato valuterebbe solo i dati necessari e invece l’algoritmo la vostra impronta digitale dal Pleistocene ad oggi. Secondo la Commissione, sticazzi, si può tranquillamente usare l’algoritmo.
Eccoci a fine corsa. Vi sentite sereni? Vi sentite sicuri? Vi sentite tutelati da questa Commissione?
Chi ci guadagna davvero da questa riforma del GDPR
Anche ipotizzando la sua buona fede, ma a pensar male si fa peccato ma non si sbaglia mai, questa Commissione ha prodotto una proposta che definire indigeribile è un complimento. Quello che doveva essere qualche ritocco a una legge che funziona e che il mondo copia si trasforma in una ristrutturazione a colpi di machete.
E non credete nemmeno per un secondo alla storia dell’aiutare le povere PMI oberate di burocrazia.
Primo, è una scempiaggine: l’applicazione del GDPR in una PMI è di una semplicità spesso imbarazzante, specialmente se la PMI in questione non cerca di scimmiottare i giganti del Web.
Secondo, non c’è niente, in questa proposta, che sia di minimo aiuto alle PMI o di stimolo alla competitività europea. Al contrario, si consente ai giganti americani del digitale di giocare ancora di più secondo le proprie regole. Che, ricordiamolo, sono “i miei dati sono miei e i tuoi dati sono miei anche quelli“.
Terzo, le modifiche proposte sembrano, caso strano, pensate fra le altre cose per consolidare l’industria del Real Time Bidding, quel truogolo putrescente in cui i dati di milioni di europei vengono venduti esclusivamente a chiunque li voglia, con la scusa della pubblicità profilata.
Le foglie di fico proposte della Internet Advertising Board sono già state dichiarate illecite almeno due volte: il mercato dei dati associato alla pubblicità profilata tratta i dati personali in assenza di consenso e al di fuori di qualsiasi base legale consentita dal GDPR.
E invece di una azione sanzionatoria che spazzi via la combriccola, la cosca internazionale della pubblicità profilata, e la consorella dei data broker, cosa propone la Commissione? Di passare un colpo di spugna e rendere tutto legale.
Forse quando la Commissione dice di voler facilitare la concorrenza intende proprio in senso letterale, rendere la vita più semplice alla concorrenza delle aziende europee.
Verrebbe da dire che la Commissione si è fatta scrivere la proposta da chatGPT, se non fosse che la maggioranza dei ritocchi sembra suggerita, se non scritta, da qualche lobbista di Big Tech. E non è che questa Commissione non abbia già dimostrato ripetutamente di avere un debole per gli Stati Uniti in versione stato canaglia, vedi la trattativa in ginocchio sui dazi.
Rimane solo da sperare che il Parlamento tratti questa proposta come la montagna di letame che è, e la incenerisca senza mezzi termini. Quelle una o due cose appena salvabili (come il punto di contatto unico europeo per i data breach o il Garante Europeo che deve produrre un modello standard di DPIA) non valgono il tempo che occorre per discuterli, e si possono ottenere comunque senza modificare un testo di legge.
Dice, eh ma come sei negativo, ma la proposta è un lavorone, si occupa anche di AI Act.
Certo.
Ad esempio si dice che i sistemi AI classificati come “ad alto rischio” non sono soggetti ad alcun obbligo se il titolare valuta che il rischio sia in realtà accettabile.
A me escono solo maledizioni, ma Max Schrems l’ha messa così: “Pensate se ci fosse un limite di velocità che non vale se ritenete di non stare andando poi così veloci”. Non male, per la sicurezza stradale.
Cosa possiamo fare contro il Digital Omnibus GDPR
Fatevi una domanda: modifiche di questo genere, nei fatti, chi avvantaggiano? E chi proteggono?
Incazzatevi e fatevi sentire anche voi, fino a che potete ancora farlo.
Che dire. Commissione ad angolo retto.
una sola domanda: quale è il modo più efficace per darci sentire?
dove trovo le email di questi personaggi?