I dati confidenziali non sono solo quelli relativi ai dati sensibili personali (cioè quelli della cosiddetta privacy) ma si riferiscono a molti altri contesti della vita quotidiana e della società nel suo complesso: dati economici, finanziari, sanitari, di sicurezza personale e nazionale, delle infrastrutture, delle professioni, ecc.
Come può essere tutelata la confidenzialità di tutti questi dati? Dal punto di vista giuridico esistono normative, come il GDPR per la privacy, che indicano le regole per la loro tutela. Ma sono sufficienti?
Dati personali, l’Europa punta alla “condivisione con tutele”
Confidenzialità dei dati, l’inadeguatezza delle regole
Prendiamo ad esempio il GDPR. Anche le sue norme molto avanzate non sono sufficienti a garantire la protezione dei dati personali:
- Occorre affidarsi ai fornitori di servizi per il rispetto della normativa ed è esperienza quotidiana che molti di loro non vi ottemperano.
- I servizi attualmente offerti non sempre sono conformi ai requisiti di privacy “by initial design and by default” come richiesto dalle dichiarazioni della Unione Europea.
- Il riconoscimento facciale, il tracciamento della posizione, la profilazione automatica, ed altre tecnologie presenti e future come l’intelligenza artificiale e la realtà virtuale possono eludere per loro intrinseca natura le norme del GDPR
- ….e si possono fare molti altri esempi
L’inadeguatezza delle regole normative è generalizzata e può essere estesa al trattamento di tutti i dati confidenziali.
Un approccio tecnologico al problema della tutela dei dati confidenziali
Se le norme non sono sufficienti, occorre un diverso approccio al problema della tutela dei dati confidenziali. Questo nuovo approccio non può essere che tecnologico.
Ricordiamo quello che è stato stabilito in sede UE. L’Unione Europea già nel 2012 ha dichiarato che, fin dalla fase di ideazione e progettazione, i nuovi sistemi e servizi di Internet devono soddisfare l’obiettivo che “gli individui devono mantenere il controllo dei propri dati personali generati o elaborati“. Questa affermazione di principio è stata la base per l’emanazione successiva del GDPR, normativa avanzatissima e presa a modello anche da altre istituzioni politiche, ma come abbiamo visto insufficiente.
Più recentemente (dal discorso sullo Stato dell’Unione 2020 di Ursula Von Der Leyen: “La sovranità dei dati come autodeterminazione di individui e organizzazioni (e Stati) su come controllare i propri dati” fa parte della sovranità digitale europea, riferendosi poi a “una tecnologia in cui possiamo controllare noi stessi quali dati e come i dati vengono utilizzati”.
Questo si può ottenere con un nuovo paradigma per la protezione dei dati confidenziali, “controllo a priori dell’utilizzo dei dati confidenziali”, definito come: “salvo casi di forza maggiore o di emergenza, qualsiasi utilizzo in qualsiasi forma e per qualsiasi scopo dei dati deve essere preventivamente ed esplicitamente autorizzato per il loro corretto utilizzo da parte del proprietario”.
Perché la blockchain non è la soluzione giusta
Esiste la tecnologia delle blockchain. È adeguata a realizzare questo obiettivo? Le blockchain sono un registro digitale distribuito, permanente, non alterabile e consultabile di tutte le transazioni effettuate sui dati soggetti al loro controllo. Se applicate ai dati confidenziali, possono tracciare precisamente e indelebilmente tutte le operazioni su di essi: è evidente che possono certificare eventuali utilizzi illegittimi o dolosi, ma non sono adeguate ad impedirli a priori.
Una nuova architettura tecnologica
Occorre, pertanto, una nuova architettura tecnologica avanzata e innovativa. sia per dati che per i computer:
- Per i dati: i dati non devono più essere un insieme passivo di bit, ma devono incorporare una forma di intelligenza (metadati) che definisca la loro “politica di utilizzo” in modo da realizzare un’azione di autorizzazione, controllo e autodifesa in qualsiasi contesto applicativo
- Per i computer: una nuova architettura HW&SW tale che i microprocessori e i sistemi operativi, accedendo ai dati, debbano consultare la loro “politica di utilizzo” e procedere al trattamento solo in conformità con essa.
Questa nuova architettura non è una soluzione utopica e nemmeno di lungo termine. Esistono da tempo nella letteratura scientifica autorevole proposte e soluzioni in tal senso.[1] Esistono già anche parziali realizzazioni sperimentali sulla base di ricerche disponibili in letteratura, in particolare dal Fraunhofer Institute in Germania e dal CNR in Italia, ad esempio nel contesto del cosiddetto International Data Spaces (IDS).[2]
Queste realizzazioni sono parziali nel senso che utilizzano solo una soluzione tecnologica SW su microprocessori attuali. Manca la nuova architettura HW&SW dei microprocessori, che completerebbe e renderebbe definitiva la protezione dei dati confidenziali.
La sfida europea
L’Unione Europea è stata l’istituzione politica all’avanguardia per la protezione dei dati, sia dal punto di vista delle affermazioni di principio sia nel predisporre normative avanzate e cogenti, come il GDPR. Occorre che oggi prenda altre essenziali, necessarie e inderogabili iniziative:
- Un consistente e costante finanziamento della ricerca scientifica e tecnologica per completare la nuova architettura dati-computer in modo da realizzare strumenti efficienti ed efficaci per i futuri scenari di Internet e sufficientemente semplici per l’uso comune (basati sulle proposte già disponibili in letteratura), tenendo anche continuamente e responsabilmente presente che Il tempo non è una variabile indipendente: i risultati devono essere ottenuti in tempi ragionevoli prima che la protezione dei dati confidenziali sia definitivamente compromessa.
- Una volta ottenuti questi strumenti, promuovere una standardizzazione delle nuove architetture di dati e computer.
- Predisporre una legislazione, almeno nell’UE come ha fatto con il GDPR, per certificare che tutti i futuri sistemi che elaborano dati confidenziali siano conformi a questo standard (ovvero, come proposto nel recente Cyber Resilience Act (15 settembre 2022), richiedere una marcatura CE per tutti i prodotti e servizi digitali commercializzati nell’UE).
Queste azioni della UE sono coerenti con l’attuale iniziativa Chips Act e potrebbero e dovrebbero realizzarsi nel suo ambito, tenendo conto che:
- Le soluzioni SW sono già disponibili sugli attuali microprocessori, ma la soluzione definitiva deve girare su microprocessori con una nuova architettura HW&SW.
- Nell’ambito del Chips Act la UE e i produttori europei di semiconduttori (insieme ai centri di ricerca) dovrebbero investire su queste nuove architetture HW&SW.
- La Ue e i produttori di semiconduttori hanno la grande e unica opportunità di diventare i leader di un nuovo approccio tecnologico dei semiconduttori per i sistemi di elaborazione, ottenendo un vantaggio competitivo fondamentale con un numero straordinariamente elevato di potenziali applicazioni e di essere i creatori tecnologici e normativi del nuovo paradigma per la protezione dei dati confidenziali.
Note
- Per una rassegna: E. Del Re, “Which future strategy and policies for privacy in 5G and beyond?,” 2020 IEEE 3rd 5G World Forum (5GWF), 2020, pp. 235-238 ↑
- https://internationaldataspaces.org/data-sovereignty-updated-position-paper-on-data-usage-control-in-the-ids/ ↑
