Data Trust per un uso equo dei dati: un approccio contro lo strapotere delle Big Tech - Agenda Digitale

privacy

Data Trust per un uso equo dei dati: un approccio contro lo strapotere delle Big Tech

Un data trust si configura come una struttura in cui i dati di una comunità di utenti siano posti sotto il controllo di una organizzazione avente la responsabilità fiduciaria di prendersene cura. Così, l’utente assume maggiore peso negoziale verso i fornitori di servizi digitali. Ecco come funziona e i vantaggi

07 Lug 2021
Roberto Di Gioacchino

Comitato direttivo Assintel, Senior Partner P.R.S. (Planning Ricerche e Studi)

Franco Stolfi

Comitato Direttivo ISIPM, Senior Manager P.R.S.

Lo sviluppo di piattaforme digitali sempre più complesse se da una parte mette a disposizione degli utenti servizi gratuiti sempre più completi e innovativi, dall’altra consente ai provider di raccogliere una grande massa di dati personali che possono essere impiegati per scopi che possono essere indipendenti dalla volontà dell’utente che li ha generati.

Si crea di fatto un potere asimmetrico in cui l’utente non è in grado di opporsi allo sfruttamento dei dati pena il non utilizzo dei servizi. Come trovare un equlibrio?

Sicuramente il tema è complesso e articolato e di conseguenza non si può pensare che la soluzione sia semplice; nel presente articolo si vuole illustrare le potenzialità di un approccio basato sul Data Trust.

Il Data trust potrebbe infatti essere un approccio che consente all’utente di bilanciare lo strapotere delle piattaforme digitali, cercando di negoziare un più consapevole ed equilibrato uso dei dati personali.

Big tech senza limiti, così estendono i propri domini: le sfide antitrust

Il valore dei dati

Facendo una istantanea della situazione di internet si ottiene un quadro impressionante dei volumi in gioco nel mondo: circa 5 miliardi di utenti internet, circa 3 miliardi di utenti attivi facebook, oltre un miliardo di utenti Instagram di cui 500 milioni che quotidianamente caricano contenuti nelle stories, etc.. attività che generano volumi impressionanti di dati; per esempio in un secondo nel mondo: sono inviate 3 milioni di email, sono effettuate 90 mila ricerche google, sono visti 90 mila video youtube, etc. (v. alcuni dati riepilogati in tabella).

WEBINAR
28 Ottobre 2021 - 14:30
Sanità: Big data e analytics trasformeranno il Sistema Sanitario Nazionale
Big Data
Data warehousing
Utenti internet nel mondo4.949.687.657
Utenti attivi facebook2.835.536.200
Utenti attivi google+972.429.020
Utenti attivi twitter375.064.680
Utenti attivi Pinterest368.071.750
Email inviate in un secondo3.036.009
Ricerche google in un secondo92.816
Video youtube visti in un secondo90.099
Tweet inviati in un secondo9.517
Skype call effettuate in un secondo5.737
Foto caricate su Instagram in un secondo1.079

Dati internet; fonte internet stats (https://www.internetlivestats.com/)

A quanto sopra si potrebbe aggiungere tutta la messaggistica effettuata tramite le chat (ad esempio WhatsApp), i documenti caricati su storage in cloud, le attività e servizi connessi alla gestione della mobilità (ad esempio maps).

Tutti questi servizi sono messi a disposizione da piattaforme digitali molto complesse e in genere forniti in modalità gratuita. In cambio dell’uso gratuito di questi servizi ognuno di noi genera e mette a disposizione dati che le piattaforme raccolgono, classificano, registrano ed elaborano, e che poi rivendono attraverso una miriade di forme e modalità.

Estrarre valore dai dati è diventata una fonte di potere (v. ad esempio l’azione di oscuramento condotta da Facebook e Twitter verso Trump) e di reddito come si può rilevare dal posizionamento delle Big Tech GAFAM (Google, Amazon, Facebook, Apple e Microsoft) nel panorama economico mondiale (v. figura[1]).

E che dietro ci siano importanti interessi che sfociano nella geopolitica è testimoniato dal poderoso ingresso nel mercato dei social della cinese TikTok, capace di consolidare 800 milioni di utenti in meno di 5 anni, e dalle pesanti misure restrittive al suo utilizzo imposte dall’allora presidente USA Trump.

Il crescente utilizzo dei servizi digitali, nonchè l’esiguo numero di aziende che li forniscono, indica che l’enorme quantità di dati generata si stia pericolosamente concentrando sempre più nelle mani di poche realtà private. Tecnologie ormai sempre più mature quali l’intelligenza artificiale, il machine learning, le reti neuronali, etc. che si basano proprio sull’utilizzo di grandi masse di dati, minacciano di amplificare lo squilibrio di potere tra le Big Tech, gli individui che generano i dati e gli enti regolatori; difatti ciò che caratterizza queste realtà non è solo il loro smisurato valore economico, ma soprattutto il potere che può derivare loro dall’utilizzo delle tecniche di intelligenza artificiale nello sfruttamento della grande mole di dati che quotidianamente mettiamo a disposizione.

Il potere asimmetrico

I dati personali relativi a preferenze, abitudini e consumi sono da tempo diventati un asset immateriale in grado di generare valore ancor più di copyright, brevetti, capitale intellettuale, etc..

E’ tuttavia evidente che:

  • gli individui che li generano hanno poco controllo sui propri dati: chi li raccoglie, come sono raccolti, dove sono memorizzati e per quali fini siano utilizzati.
  • non sia previsto alcun beneficio economico di ritorno in favore dell’utente conseguentemente all’utilizzo e monetizzazione dei propri dati da parte del provider ai quali ne sia stato concesso l’utilizzo e la raccolta.

In genere, nell’utilizzo delle piattaforme digitali, delle app mobili e di altri servizi digitali l’atteggiamento è di accettare le richieste in relazione ai nostri dati, considerando che nella maggioranza dei casi l’accettazione delle condizioni è necessaria per l’utilizzo del servizio. E specie in corrispondenza del mondo dei social o dell’instant messaging, non aderire al servizio corrisponda all’esser escluso da una comunità planetaria di relazioni e di esperienze.

A tale proposito vanno effettuate alcune considerazioni. In genere le policy relative alla privacy sono molto dettagliate e non di semplicissima comprensione. Studi al riguardo hanno rilevato che per comprendere circa il 30 per cento delle policy delle aziende Fortune 500 sia necessaria una formazione post universitaria e che solo l’uno per cento di esse sia comprensibile a un pubblico con un’istruzione media[2]. Alcuni studi hanno peraltro stimato che una persona di cultura media impiegherebbe oltre 200 ore per leggere tutte le policy sulla privacy dei siti web visitati in un anno.

Un altro elemento da considerare riguarda il potere negoziale dell’utente che lo vede in posizione subordinata dinanzi a un potere asimmetrico fortemente sbilanciato in favore delle piattaforme digitali. Tra gli utenti e il soggetto erogatore dei servizi digitali è stipulato un vero e proprio contratto di adesione attraverso dei semplici flag predeterminati, nel quale tuttavia l’utente ha una ridottissima, se non nulla, possibilità di negoziare i termini e le condizioni in merito alla raccolta e utilizzo dei propri dati. Come già anticipato laddove l’utente non sia d’accordo con le policy, non può far altro che rifiutare il servizio e selezionare un altro provider, se lo trova: spesso non ci sono alternative.

In pratica la nostra capacità di indicare liberamente come, quando e con chi condividere i nostri dati cessa nel momento in cui ci si trova al bivio tra la cessione dei nostri dati (tout court) e l’“esclusione sociale” o il non utilizzo di un servizio che potrebbe essere essenziale per le nostre attività. In pratica in assenza di una effettiva libertà di scelta, il consenso perde di significato. E in questo scenario la pandemia Covid-19 ha ulteriormente amplificato il numero di applicazioni “acchiappadati” vincolando ciascuno di noi ad accreditarsi a una molteplicità di applicazioni per la videoconferenza o a piattaforme per la consegna a domicilio.

Risulta assolutamente evidente che l’applicazione delle policy sulla privacy, a parte salvaguardare gli aspetti legali dal punto di vista formale, non risolvano il problema, in quanto, anche per carenza di personale, operano a posteriori sulla base delle denunce/segnalazioni degli utenti. Nel mentre è innegabile che la normativa sulla protezione dei dati nonostante rappresenti la condizione necessaria per concedere e revocare l’accesso e l’utilizzo dei dati, purtroppo non permette di riequilibrare il potere asimmetrico in favore di quei player di applicazioni e soluzioni in corrispondenza delle quali i dati siano generati o acquisiti.

Il Data Trust

Come affrontare il problema della protezione dei dati e di un riequilibrio del potere a favore dell’utente?

L’obiettivo di un approccio basato sul Data Trust è di migliorare la protezione della privacy e dell’autonomia individuale, riequilibrare le asimmetrie di potere tra piattaforme e utenti e consentire a questi ultimi di poter decidere cosa, quando e con chi condividere il valore dei propri dati anche in relazione agli sviluppi connessi all’uso delle tecniche di intelligenza artificiale.

Che cos’è un Data Trust? Per definirlo facciamo riferimento alla definizione dell’Open Data Institute: “Una struttura giuridica che fornisce una gestione (amministrazione) indipendente dei dati.”[3]

Nello specifico “I data trust costituiscono un approccio orientato a prendersi cura e assumere decisioni sui dati in modo simile a come i trust sono stati utilizzati in passato per prendersi cura e assumere decisioni su altre forme di risorse, come i trust fondiari che amministrano la terra per conto delle comunità locali. Implica che una parte autorizzi un’altra a prendere decisioni sui dati per suo conto, a beneficio di un gruppo più ampio di parti interessate.

Con i data trust, la persona, il gruppo o l’entità indipendente che gestisce i dati assume un dovere fiduciario. Nel diritto, un dovere fiduciario è considerato il più alto livello di obbligo che una parte può assumere nei confronti di un’altra – un dovere fiduciario in questo contesto implica la custodia dei dati con imparzialità, prudenza, trasparenza e lealtà indivisa.”[4]

Nello specifico un data trust si configura come una struttura in cui i dati di una comunità di utenti accomunati da similari caratteristiche siano posti sotto il controllo di una organizzazione avente la responsabilità fiduciaria di prendersene cura a favore degli interessi dei beneficiari stessi, curandone anche la relativa valorizzazione. In questo modo l’utente assume, per il tramite del Data Trust, maggiore peso negoziale nei confronti degli erogatori di servizi digitali su come, da chi e quando i dati sono raccolti, consultati e per quali scopi utilizzati e finanche definire delle formule economiche sottostanti il relativo utilizzo.

Le caratteristiche e la strattura del Data Trust

Quali caratteristiche dovrebbe avere un Data Trust? uno scopo chiaro; una struttura legale e un carattere fiduciario; chiara definizione dei diritti e doveri sui dati custoditi, ivi inclusi quelli progressivamente consolidati; trasparenza sui processi decisionali; chiara definizione di come potrebbero essere ripartiti gli eventuali benefici derivanti attraverso la messa a disposizione dei dati. Il rapporto con il Trust deve essere normato da un contratto, avere una durata temporale definita per il conferimento dell’incarico di tutela e valorizzazione dei dati e avere regole chiare per l’eventuale interruzione anticipata.

Ma come andrebbe strutturato un Data Trust? Una ipotesi è quella proposta da Delacroix e Lawrence che nel loro articolo[5] suggeriscono un approccio di tipo bottom-up in cui i soggetti detentori dei dati (gli utenti) conferiscono i propri dati in una struttura legale (il “Trust”) gestito da un operatore specializzato (“Trustee”) allo scopo di poter ottenere beneficio sociale o economico. Ciò permetterebbe di riequilibrare il potere asimmetrico esistente tra i fruitori dei servizi digitali e le aziende che dispongono dei loro dati per lo sviluppo dei modelli di business.

Sempre secondo Delacroix e Lawrence, la fattibilità di un Data Trust è garantita da quattro condizioni essenziali:

  • semplicità nella creazione del Data Trust;
  • affidabilità nel garantire sicurezza e protezione dei dati;
  • capacità di poter imporre la cancellazione dei dati in caso di abusi;
  • portabilità dei dati da un Data Trust all’altro se richiesto dall’utente.

Ambiti di applicazione dei Data Trusts

Vi sono molti ambiti nei quali si potrebbe ipotizzare la strutturazione di Data Trusts tra i quali, solo a titolo di esempio, quelli in cui in gioco vi siano dati sanitari, dati sui social media, dati genetici, dati finanziari, dati relativi all’utilizzo di carte fedeltà, dati relativi alla mobilità urbana. Di seguito alcuni brevi esempi.

I cittadini potrebbero avere interesse a partecipare a un Data Trust con focus sulla mobilità urbana il cui scopo sia costruire un ambiente urbano migliore, con minor inquinamento, servizio di trasporto pubblico più efficienti, minor traffico, etc.

L’adesione a Data Trusts sanitari potrebbe essere finalizzata a condividere i dati medici e addirittura quelli genetici per contribuire allo sviluppo di programmi di ricerca sulla qualità della vita, sui segnali premonitori l’insorgenza di specifiche patologie o sulla messa a punto di terapie di maggiore efficacia.

Anche l’utilizzo dei dati delle carte fedeltà, come pure i dati dei social media o relativi all’accesso e navigazione ai siti web potrebbero essere conferiti ad un Data Trust con l’obiettivo, da una parte di proteggere gli utenti da un uso improprio, indesiderato e sconsiderato dei propri dati e, dall’altro, di poter abilitare il Trustee a negoziare in nome dei suoi clienti dei ritorni economici conseguenti all’utilizzo dei loro dati da parte di organizzazioni di marketing, logistica, media ecc.

Ovviamente ogni utente potrebbe avere un livello di sensibilità diverso in relazione ai dati da condividere, ma in ogni caso il Data Trust potrebbe negoziare delle policy utili ad agevolare i cittadini nell’adesione ai termini e alle condizioni e se previsto, negoziare con organizzazioni differenti il livello e la tipologia di dati da condividere.

In questo modo è delegato al Trustee la decisione di chi possa avere accesso ai dati sotto il controllo del Trust e chi e come possa utilizzarli. E, cosa importante, laddove il beneficiario dei dati (provider o erogatore di servizi digitali) non rispetti i termini e le condizioni, il fiduciario potrebbe revocarne l’accesso in corrispondenza di una porzione e/o di tutti i dati relativi ai suoi assistiti. Ed è evidente che ciò costituisca una libertà di azione e un potere negoziale il cui peso è enormemente maggiore rispetto alle attuali capacità di un singolo utente.

A parte la potenziale monetizzazione dei propri dati, parte della quale comunque assorbita dai servizi resi dal detentore del Data Trust, un indubbio beneficio per l’utente sarebbe di vedersi esentato dalla periodica lettura delle condizioni sottostanti la concessione dei propri dati. Una volta entrato in un Data Trust a cui sia affidata la gestione del proprio patrimonio di dati, per aderire a un nuovo servizio o accreditarsi a una nuova applicazione l’utente dovrebbe potersi limitare alla sola indicazione del suo Trustee.

Conclusioni

Come è evidente il tema della protezione e valorizzazione dei dati personale è ampio, complesso e di sicuro interesse per ognuno di noi. I Data Trust potrebbero rappresentare una ipotesi di soluzione ma ancora sono molti gli interrogativi ai quali occorre trovare una risposta: Qual è il percorso per arrivare a gestire i dati personali attraverso un Data Trust? In che modo i Trustee assumeranno decisioni in ordine alla raccolta e l’accesso ai dati? Come possiamo essere sicuri di poterci fidare dei Data Trust? Quali modifiche sarà necessario apportare alla nostra normativa per consentire l’istituzione dei Data Trust?

Dinanzi a questi ed ulteriori quesiti appare indubbio che l’esito di prime sperimentazioni al riguardo potrebbe fornire fin d’ora degli elementi di calibrazione dello strumento e metter in luce le esigenze di integrazione rispetto alla normativa esistente. Ma gli enormi valori economici giornalmente in gioco suggeriscono che potrebbe valerne la pena.

Il quadro esposto in premessa evidenzia, peraltro, la presenza circoscritta di operatori UE tra i principali player nell’acquisizione massiva dei dati e nella loro monetizzazione. Motivo in più per auspicare che l’Unione Europea voglia avocare a sé un ruolo di primo piano nell’implementazione dei Data Trust quali strumenti per migliorare l’acquisizione e gestione dei dati e promuovere una distribuzione più equa del loro valore economico; a tal riguardo sembrano apparire i primi presupposti (The EU is Launching a Market for Personal Data. Here’s What That Means for Privacy – MIT Technology Review[6]).

Di pari passo dovrebbe esplorare modalità efficaci per rendere significativo il diritto alla privacy nel contesto digitale, sollecitando adeguamenti ai quadri legislativi in modo da rendere esecutivo il conferimento ai fiduciari del diritto di esercitare la revocabilità, la portabilità e la cancellazione per conto dei beneficiari di un trust.

_________________________________________________________________

  1. Fonte: https://public.tableau.com/app/profile/cnbc5283/viz/AMAZONMARKETCAP/Dashboard1
  2. McDonald, A. M. & Lorrie, F. C. (2008). The Cost of Reading Privacy Policies. Journal of Law and Policy for the Information Society, volume 4,3.
  3. https://theodi.org/article/defining-a-data-trust/
  4. https://theodi.org/article/what-is-a-data-trust/
  5. Bottom-up data Trusts: disturbing the ‘one size fits all’ approach to data governance, Sylvie Delacroix and Neil D. Lawrence
  6. https://www.technologyreview.com/2020/08/11/1006555/eu-data-trust-trusts-project-privacy-policy-opinion/
WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4