Internet of Behaviors: chi raccoglie la nostra polvere (digitale) e quanto ci guadagna - Agenda Digitale

privacy

Internet of Behaviors: chi raccoglie la nostra polvere (digitale) e quanto ci guadagna

L’Internet of Behaviors (IoB) cattura la “polvere digitale” lasciata dalle persone nella loro quotidianità, traendola da una varietà di fonti. Una quantità esponenziale di dati che dà luogo a nuovi scenari che richiedono una accresciuta consapevolezza e suggeriscono la necessità di ulteriore regolamentazione

01 Nov 2021
Daniela De Pasquale

avvocato, partner studio legale Ughi e Nunziante

Nella moltitudine di acronimi che affollano l’ambiente digitale troviamo anche uno dei trend tecnologici segnalati da Gartner per il 2021: IoB, Internet of Behaviors.

Citando Gartner, l’Internet of Behaviors (IoB) cattura la “polvere digitale” lasciata dalle persone nella loro quotidianità, traendola da una varietà di fonti. Queste informazioni possono essere usate da enti pubblici e privati per influenzare comportamento di tali soggetti. I dati provengono da numerose fonti, dai dati delle transazioni effettuate dai clienti, al riconoscimento facciale, ai dispositivi connessi.

Come difenderci dalle informazioni manipolate: tecniche e norme

Maggiore è la quantità di tali dati disponibili più l’IoB sarà in grado di catturare tali dati. In aggiunta la tecnologia (inclusa quella che sfrutta l’intelligenza artificiale) che assembla tali dati e ne trae conoscenza diventa sempre più sofisticata.

Internet of Behaviors: le implicazioni etiche e sociali

L’IoB presenta significative implicazioni dal punto di vista sociale ed etico.

Raccogliere dati per influenzare i comportamenti è uno strumento assai potente e la sua diffusione è oggi sostanzialmente rimessa alle scelte imprenditoriali e politiche di chi utilizza questa tecnologia.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

Il funzionamento concreto di tale insieme di processi prevede, in una prima fase, la conduzione di operazioni massive di data mining tramite molteplici punti di contatto – specialmente dispositivi Internet of Things quali orologi, assistenti vocali, frigoriferi, robot aspirapolvere– che raccolgono dati sui comportamenti e sulle interazioni dei soggetti che li utilizzano. Ai dati raccolti dagli wearables e dagli home devices interconnessi vengono poi accorpati dati raccolti da altre fonti disponibili online, quali i social media, e dati già in possesso di chi conduce questa operazione di data mining, come i dati sui clienti esistenti.

L’insieme di tutti questi dati, inconsapevolmente disseminati da tutti noi (“digital dust”), viene poi processato analiticamente tramite software e strumenti tecnologici (Intelligenza Artificiale, Business Intelligence, Customer Data Platforms, ecc.), che cercano di comprendere come avviene l’interazione dei soggetti con i vari dispositivi e dare così un senso al comportamento umano.

La raccolta massiva e l’analisi mirata di dati comportamentali dei soggetti consentono l’estrazione di preziose informazioni circa il processo di genesi ed evoluzione dell’interesse del consumatore ad un prodotto o servizio, nonché, più in generale, sulle sue attitudini ed abitudini di vita, anche con finalità predittive.

Tali informazioni possono essere poi utilizzate per elaborare strategie mirate in funzione del comportamento dell’utente, quali l’invio in tempo reale di messaggi pubblicitari personalizzati direttamente sui dispositivi smart, al fine di migliorare la customer experience di un determinato servizio o di accrescere le potenzialità di vendita di un determinato prodotto.

In sintesi, queste tecnologie pervasive consentono, partendo dalla “polvere digitale”, di influenzare il comportamento degli utenti, determinandone le scelte d’acquisto o influenzando altri aspetti della loro esistenza.

Della profilazione degli utenti parliamo ormai da oltre dieci anni ed a ben vedere, la psicologia comportamentale è utilizzata da tempo su internet: è noto che i social media e i motori di ricerca tengano traccia dei comportamenti dell’utente e raccolti – con il consenso dell’utente, ai sensi del GDPR – mediante cookies ed altre tecnologie profilanti.

Ma la quantità esponenziale di dati generati da ogni tipo di device ed oggi disponibili dà luogo a nuovi scenari che richiedono una accresciuta consapevolezza e suggeriscono la necessità di ulteriore regolamentazione.

Facciamo un esempio di come la tecnologia possa influenzare il comportamento degli utenti.

L’algoritmo di Facebook, i nostri dati e la pubblicità

Facebook ha generato un algoritmo che sceglie i post che ciascun utente visualizzerà nella sua “news feed” all’accesso alla piattaforma, al fine di mostrare contenuti di suo gradimento e stimolarlo a continuare a scorrere le pagine, interagire o condividere contenuti (si parla di engagement dell’utente).

A partire dal cosiddetto “inventario”, cioè il calderone di tutti i contenuti disponibili sulla piattaforma: i post di amici e familiari; le storie; i gruppi dei quali l’utente entra a far parte; le pagine che segue ecc. – l’algoritmo forma un data lake costituito da tutte le interazioni dell’utente con tali contenuti. Muovendo da questa base l’algoritmo pesca i comportamenti dell’utente che ritiene più rilevanti, quali i segnali passivi, come il tempo di visualizzazione dei post, la tipologia e l’argomento del contenuto, il momento in cui esso è stato postato, ed i segnali attivi, come likes, condivisioni e commenti.

Dopodiché, esso accorpa questi segnali comportamentali, ne studia la combinazione e utilizza i risultati dell’analisi per assegnare ai post un valore in base all’interesse dell’utente ed un ordine di apparizione nella news feed da mostrare allo stesso, così da tenerlo attivo sulla piattaforma, intento a leggere i post ed i messaggi pubblicitari che appaiono tra gli stessi.

Chiaramente, questo processo non concerne solamente il contenuto della news feed, ma anche – e soprattutto – gli annunci pubblicitari che vengono mostrati all’utente nella piattaforma. Il tasso di conversione di un annuncio pubblicitario profilato è infatti incredibilmente più alto di uno non profilato. È stato, tuttavia, teorizzato che i meccanismi di personalizzazione di contenuti sopra descritti possano portare un individuo a trovarsi inconsapevolmente in una c.d. “bolla filtro” o “cornice ideologica”.

Più specificamente, secondo tale teoria, se un individuo visualizza senza rendersene conto solamente contenuti “piacevoli” selezionati da un algoritmo che studia il suo comportamento, egli rischia di perdere contatto con qualsiasi informazione che non rispecchi suoi interessi o alle sue preferenze, con l’effetto di rimanere isolato nella propria bolla ideologica. Basti pensare a cosa succede oggi se si tratta il tema dei vaccini in qualsiasi consesso sociale.

A tale isolamento può conseguire non solo un impoverimento culturale, ma anche, nei casi più estremi, l’inconcepibilità, il rifiuto o la discriminazione di tutto ciò che non sia conforme ai punti di vista ed alle opinioni del soggetto che si trova nella bolla.

Lo scandalo Cambridge Analytica

Della pericolosità di questo fenomeno si è già avuto riscontro nel celebre caso Cambridge Analytica, emerso nel marzo 2018. Tale società, grazie alla massiva raccolta di dati tramite numerosissimi punti di accesso – la maggior parte dei quali online – aveva creato dei profili psicografici di quasi tutti gli elettori, che sono stati poi sfruttati nel corso della campagna per le elezioni presidenziali del 2016 e del referendum per la Brexit nel Regno Unito.

In particolare, tramite tali profili psicografici sono dapprima stati individuati gli elettori “indecisi” nei territori chiave per l’elezione; successivamente, essi sono stati bombardati di post mirati, in modo da inserirli in una bolla in cui gli unici post che potevano visualizzare veicolavano le qualità di un candidato o le ragioni di un quesito referendario, in modo da influenzare così la formazione della loro volontà di voto.

È sorto il sospetto che questi meccanismi – basati sul comportamento degli utenti, potenziato dalla disinformazione mirata – abbiano frustrato il corretto svolgimento di uno dei processi fondamentali di uno stato di diritto democratico: le elezioni. Mentre è ancora vivo nella nostra memoria il ricordo dello sguardo smarrito di Mark Zuckerberg, incalzato dalla parlamentare statunitense Ocasio-Cortez durante la sua audizione alla Camera americana nel 2019 per verificare sino a che punto egli fosse consapevole degli impieghi antidemocratici che vennero fatti della sua piattaforma.

Dopo lo scandalo di Cambridge Analytica tutte le big Tech sono corse ai ripari, impegnandosi mediante codici di condotta autodisciplinari a combattere la disinformazione e l’hate speech.

Il recente caso sollevato da Frances Haugen

Ebbene a distanza di tre anni, una denuncia, mossa da Frances Haugen, una data scientist ex dipendente di Facebook (società che controlla anche la piattaforma Instagram) sembra rivelare uno spaventoso scenario occultato dal management di Facebook. Secondo quanto riportato dalla ex dipendente, Facebook disporrebbe al proprio interno di documenti che provano che hate speech, temi politici divisivi e disinformazione non sono affatto diminuiti sulla piattaforma. Facebook sarebbe consapevole del fatto che se l’algoritmo che sceglie i contenuti da visualizzare non individua temi caldi, su cui si accendono gli animi degli utenti, la presenza di questi sulla piattaforma diminuisce, riducendo i profitti della società. Oggi Facebook ottimizza il contenuto della “newsfeed” sulla base di ciò che più genera coinvolgimento e reazione degli utenti. Un algoritmo più sicuro farebbe trascorrere meno tempo su Facebook e ciò ridurrebbe i suoi ricavi pubblicitari. Durante le elezioni presidenziali del 2020 Facebook rese più sicuro l’algoritmo ma subito dopo avrebbe ripristinato la vecchia impostazione, con ciò anteponendo i propri interessi economici alla salvaguardia degli utenti.

Ma vi è di più. Nell’ambito della famiglia di applicazioni controllate da Facebook vi è Instagram. Facebook dispone di studi che provano che questa piattaforma sia nociva per le teenagers, sollecitate da modelli estetici irraggiungibili, in grado di suscitare in loro pensieri negativi, disordini alimentari e persino intenti suicidi. L’algoritmo in questo caso sarebbe impostato in modo da rendere i giovani bersagli sempre più dipendenti dalla visualizzazione dei contenuti.

Questa settimana la Haugen ha deposto davanti ad una sub-commissione del Senato americano la sua testimonianza, invitando il legislatore a prendere adeguate misure affinché vi sia trasparenza negli algoritmi, suscitando una volontà bipartisan del Congresso americano di intervenire su questa materia.

La posizione del legislatore europeo

Si è visto come la personalizzazione sulla base del comportamento di un utente sia la chiave per l’efficacia di un servizio: più il servizio è efficace, più un individuo è portato a continuare la sua interazione con il servizio. Ebbene è evidente che i rischi connessi alla profilazione degli utenti con l’IoB, ultima evoluzione dell’utilizzo della psicologia comportamentale online, aumenteranno in maniera esponenziale: il soggetto può essere potenzialmente portato a cambiare il proprio comportamento sulla base degli stimoli che gli vengono forniti in funzione dei comportamenti precedenti.

Si pensi ad una combinazione dell’utilizzo di bilance e orologi smart che, in associazione con un’ app per smartphone, permettono di tracciare l’andamento di diete, abitudini di sonno, frequenza cardiaca o livelli di zucchero nel sangue. L’app potrebbe avere l’effetto di rilevare situazioni critiche e avvertire l’utente, suggerendo all’utente di modificare le proprie abitudini per raggiungere un risultato migliore o più desiderato. D’altro canto, potrebbe anche avere l’effetto di determinare l’utente ad adottare comportamenti che, senza un’adeguata supervisione medica, possano rischiare di alterare la salute in modo negativo, come assumere prodotti o a perdere eccessivo peso.

Si profila, pertanto, un’esigenza di sensibilizzare gli individui ai potenziali effetti sia positivi, sia negativi di questa tecnologia invasiva, nonché di assicurare la maggiore tutela possibile della privacy.

Il legislatore dell’Unione Europea lavora da tempo su questi temi.

Esistono già sotto il profilo della data protection (GDPR) norme che subordinano al consenso il trattamento e la raccolta dei dati personali.

Ma altre regole sono in attesa di diventare normativa vigente a livello europeo.

In particolare, vi sono tre proposte di Regolamento Europeo idonee a spiegare un ruolo efficace su questa materia.

La proposta di legge sui servizi digitali

La proposta di legge sui servizi digitali (Digital Services Act – proposta di regolamento COM/2020/825 sul mercato unico dei servizi digitali che modifica la direttiva 2000/31 – DSA) rappresenta una delle misure chiave nell’ambito della strategia europea per il digitale ed è stata presentata simultaneamente alla cosiddetta proposta di regolamento sui mercati digitali (Digital Market Act – COM/2020/842 – DMA) ai fini di una revisione complessiva della disciplina di matrice europea che mira ad accrescere ed armonizzare la responsabilità delle piattaforme online e dei suoi fornitori di servizi di informazione.

È significativo che contestualmente al lancio di questo processo normativo la Commissione abbia pubblicato in allegato uno European Democracy Action Plan subito dopo un report dedicato al modo in cui le piattaforme influenzano la nostra vita.

Il DSA contiene “Obblighi di comunicazione trasparente per i fornitori di piattaforme online” incluso l’obbligo di riferire di qualsiasi uso di strumenti automatizzati ai fini di moderazione dei contenuti, compresi la descrizione delle finalità precise, gli indicatori di accuratezza degli strumenti automatizzati nel perseguimento di tali scopi e le eventuali garanzie applicate. Nonché una obbligazione di “Trasparenza della pubblicità online”, che include l’obbligo di fornire informazioni rilevanti sui principali parametri utilizzati per determinare il destinatario al quale viene mostrata la pubblicità.

Per le piattaforme di dimensioni importanti come Facebook è prevista la “Valutazione del rischio”: le piattaforme online di dimensioni molto grandi individuano, analizzano e valutano eventuali rischi sistemici significativi derivanti dal funzionamento e dall’uso dei loro servizi. La valutazione del rischio deve essere specifica per i loro servizi e comprendere i seguenti rischi:

  • la diffusione di contenuti illegali tramite i loro servizi;
  • eventuali effetti negativi per l’esercizio dei diritti fondamentali al rispetto della vita privata e familiare e alla libertà di espressione e di informazione, del diritto alla non discriminazione e dei diritti del minore,
  • la manipolazione intenzionale del servizio, anche mediante un uso non autentico o uno sfruttamento automatizzato del servizio, con ripercussioni negative, effettive o prevedibili, sulla tutela della salute pubblica, dei minori, del dibattito civico, o con effetti reali o prevedibili sui processi elettorali e sulla sicurezza pubblica.

Il Digital Markets Act

Quanto al Digital Markets Act, esso prevede la creazione della figura del “gatekeeper”, destinatario di specifici obblighi. Tale soggetto: a) si astiene dal combinare dati personali ricavati da tali servizi di piattaforma di base con dati personali provenienti da qualsiasi altro servizio offerto dal gatekeeper o con dati personali provenienti da terzi e dall’accesso con registrazione degli utenti finali ad altri servizi del gatekeeper al fine di combinare dati personali, a meno che sia stata presentata all’utente finale la scelta specifica e che quest’ultimo abbia prestato il proprio consenso ai sensi del GDPR. Si prevede altresì un obbligo di “audit indipendente” delle tecniche di profilazione dei consumatori applicate dal gatekeeper ai suoi servizi di piattaforma di base, da aggiornare almeno una volta all’anno. Infine, la Commissione può, mediante semplice domanda o mediante decisione, richiedere alle imprese e alle associazioni di imprese di fornire tutte le informazioni necessarie, anche a fini di monitoraggio, attuazione e applicazione delle norme stabilite nel regolamento. La Commissione può altresì chiedere l’accesso a banche dati e algoritmi delle imprese e chiedere chiarimenti in merito mediante semplice domanda o mediante decisione.

Merita, poi, di essere richiamata la proposta di Regolamento che stabilisce regole armonizzate in materia di intelligenza artificiale (Artificial Intelligence Act – COM/2021/206), la quale introduce una distinzione tra le tecnologie basate sulla intelligenza artificiale in ragione del livello di rischio da esse introdotto. Oltre a prevedere regole stringenti per le tecnologie considerate ad alto rischio di violazione dei diritti fondamentali dell’uomo, tale proposta di regolamento vieta espressamente prodotti che danno luogo a:

  • l’immissione sul mercato o l’uso di un sistema di IA che utilizza tecniche subliminali che agiscono senza che una persona ne sia consapevole al fine di distorcerne materialmente il comportamento in un modo che provochi o possa provocare a tale persona o a un’altra persona un danno fisico o psicologico;
  • l’immissione sul mercato o l’uso di un sistema di IA che sfrutta le vulnerabilità di uno specifico gruppo di persone, dovute all’età o alla disabilità fisica o mentale, al fine di distorcere materialmente il comportamento di una persona che appartiene a tale gruppo in un modo che provochi o possa provocare a tale persona o a un’altra persona un danno fisico o psicologico;
  • l’imposizione del cosiddetto “social scoring” da parte o per conto delle autorità pubbliche che può portare a un trattamento dannoso o sfavorevole.

Ulteriori fonti normative potrebbero concorrere alla disciplina di questa complessa materia ma ciò che qui rileva è che, in sostanza, pur in presenza di un rischio di obsolescenza di norme destinate ad inseguire una evoluzione tecnologica senza sosta, l’Unione Europea allorché i regolamenti qui sopra richiamati saranno adottati sarà dotata di anticorpi per combattere l’impatto negativo dell’IoB.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4