In un documento del World Economic Forum, la risposta alla domanda attorno alla possibilità - per gli utenti online - di trasferire a terzi il proprio processo decisionale relativo al consenso al trattamento dei dati personali sul Web.
TAKEAWAY
- Il lavoro del WEF “Advancing digital agency: the power of data intermediaries” si focalizza sulla figura dell’intermediario dei dati, tesa a gestire le dinamiche tra i titolari dei diritti sui dati e chi ne chiede il consenso alla raccolta e al trattamento per fini di marketing.
- In particolare, il processo di intermediazione automatizzato basato su tecniche AI non è privo di note negative, legate al fatto che, a dare il consenso, è un algoritmo. La prevenzione di eventuali rischi che ne deriverebbero deve poter poggiare su misure ben definite, tra cui lasciare l’utente libero di scegliere tra una serie di opzioni circa l’utilizzo che verrà fatto dei suoi dati personali.
- L’approccio nel gestire questo tipo di cambiamento nel consenso al trattamento dei dati personali sul Web, specie nei casi in cui l’intermediario è un sistema AI, oltre che multistakeholder, deve poter essere antropocentrico e rispettare la centralità della persona e i suoi diritti di proprietà.
Siamo immersi quotidianamente – sia in ambito privato che lavorativo – in un ecosistema digitale di dati divenuto, negli anni, sempre più complesso, dominato da richieste continue di informazioni di carattere personale. All’interno di questa dinamica, spesso perdiamo di vista il consenso consapevole alla raccolta e al trattamento dei nostri dati personali sul Web, al punto da renderla una pratica distratta, con informative sulla privacy lette frettolosamente, lette ma non comprese o, addirittura, non lette affatto, ignorando, così, i termini e le condizioni che prevedono.
A tale proposito, i ricercatori della Carnegie Mellon University, in Pennsylvania, in seguito a uno studio sulla difficoltà (definita quasi “un peso”) – da parte degli utenti online – nel leggere le informative sulla privacy e, dunque, nell’acconsentirvi in modo consapevole ed esplicito, parlano di “fatica decisionale”, dovuta sostanzialmente alla mancanza di tempo da dedicare alla lettura di documenti corposi, composti spesso da più pagine.
Ma, quand’anche gli utenti leggessero con attenzione ogni avviso di consenso sui siti Web, saprebbero davvero comprendere appieno come verranno utilizzati i loro dati? Pensiamo, poi, alla raccolta di dati ambientali, ad esempio attraverso le telecamere di videosorveglianza e ai dispositivi connessi. In questi casi, dov’è la richiesta di consenso al trattamento delle immagini riprese, anche se per fini di sicurezza?
Oltre alla distrazione, alla fretta, lo studio rileva anche una certa diffidenza da parte degli utenti online nei confronti di «un ecosistema digitale dei dati sempre più caotico, tempestato di avvisi e advertisement». E dal punto di vista normativo, mancano principi da applicare a scenari e a situazioni specifiche, in cui l’unico strumento è sempre e soltanto quello della richiesta di autorizzazione alla raccolta.
La domanda, in questo scenario, è se esiste la possibilità – per gli utenti – di avvalersi di strumenti diversi per acconsentire alla raccolta dei propri dati personali in rete, tra cui – ad esempio – il fatto di poter trasferire a terzi il proprio processo decisionale, a una figura umana o a un agente digitale automatizzatobasato su tecniche di intelligenza artificiale, in grado di prendere decisioni in autonomia. Domanda – questa – alla quale ha tentato una risposta il recente Rapporto del World Economic Forum “Advancing digital agency: the power of data intermediaries” che, fotografando il quadro attuale della catena del valore dei dati, ha ipotizzato come questo potrebbe essere in futuro.
Consenso al trattamento dei dati personali: immaginando un agente (umano o digitale) che funge da intermediario
Il lavoro del WEF in tema di consenso al trattamento dei dati personali poggia, in particolare, sul concetto che ruota attorno alla figura dell’ “intermediario dei dati”, il cui scopo, «in un ecosistema digitale in cui la raccolta dei dati è così onnipresente da far sentire le persone a rischio di essere vulnerabili», è quello di «facilitare e gestire, sul Web, le dinamiche tra i titolari dei diritti sui dati – persone o aziende – e chi ne chiede la raccolta e il trattamento per fini commerciali e di marketing».
Tra le sue funzioni, quella di consentire, a privati e ad aziende, di avere un maggiore controllo sui propri dati personali, determinando quali informazioni condividere e con chi (e con quali scopi), arrivando a verificare, sulla base di una serie di criteri ufficiali, se chi le raccoglierà è un’organizzazione fidata.
Per quanto riguarda, nello specifico, imprese e organizzazioni del settore privato, l’intermediazione dei dati potrebbe arrivare a costituire essa stessa un “metodo” di verifica di parte terza, deputato alla sicurezza delle informazioni e al monitoraggio di attività illegali online. La sua adozione, inoltre, fungerebbe da supporto alle aziende nel destreggiarsi tra normative, leggi e regolamenti sulla privacy.
Relativamente al settore pubblico, invece, l’intermediazione in materia di consenso al trattamento dei dati avrebbe il ruolo di contribuire a una maggiore condivisione dei dati pubblici (garantendone comunque la sicurezza), notoriamente una pratica poco diffusa a livello globale. Eppure tali dati – se trattati in modo da porre al centro l’essere umano e il suo benessere – rappresentano una preziosa fonte di informazioni, da sfruttare per la messa a punto di servizi sempre più mirati e volti a migliorare la vita dei cittadini.
Alcune delle competenze specifiche degli intermediari dei dati includerebbero la conservazione dei dati personali all’interno di uno spazio digitale ben definito, «in modo che il trattamento dei dati possa avvenire all’interno di tale spazio, senza la trasmissione a parti esterne», l’attività di consulenza circa l’utilizzo di tali dati e la possibilità di sfruttarli per contribuire, ad esempio, alla ricerca accademica o scientifica, oltre a servizi quali l’anonimizzazione, l’aggregazione, la sicurezza e la prevenzione delle frodi.
Oltre lo schema “richiesta-consenso”
La figura dell’intermediario dei dati ipotizzata dagli analisti del World Economic Forum potrebbe modificare il classico processo richiesta-consenso, in base al quale – sul Web – alla comparsa di avviso, l’utente acconsente alla raccolta e al trattamento dei propri dati personali. Queste prime azioni corrispondono all’avvio della catena del valore dei dati, che l’intermediario potrebbe spezzare, ad esempio per mezzo di:
- autorizzazioni trasferite, in cui i dati dell’utente – sulla base di autorizzazioni precedenti -vengono portati in una nuova catena di valore, scavalcando così l’avviso di richiesta specifico
- pre-autorizzazioni, in cui – ricorrendo a preferenze memorizzate in precedenza attraverso l’Identità Digitale – vengono anticipati consensi a richieste del tutto inedite. Il rischio è quello dell’autorizzazione “dedotta”, senza interpellare nuovamente l’utente e con conseguente esito non intenzionale
- processo decisionale automatizzato, in cui a giocare il ruolo di intermediario dei dati non è una persona bensì un agente digitale basato su tecniche di intelligenza artificiale, il quale decide autonomamente quale tipo di autorizzazione dei dati potrebbe essere in linea con i gusti e gli interessi dell’utente
- rifornimento e automazione su più catene del valore dei dati, in cui, «una volta che inizia a verificarsi il processo decisionale automatizzato, emerge un modello di utilizzo dei dati che deduce ulteriori casi d’uso. Il passaggio è verso un sistema completamente automatizzato di raccolta ed elaborazione dei dati personali, per superare gli attuali limiti di avviso e consenso»
Consenso al trattamento dei dati personali: le figure e i modelli di intermediazione esistenti in azienda
In materia di consenso al trattamento dei dati personali, in realtà esistono già figure di intermediari e modelli di intermediazione – soprattutto nel mondo B2B – che si avvicinano a quelle descritte nel documento del World Economic Forum. Ricordiamo, in particolare, all’interno delle aziende sia pubbliche che private, il Chief Data Officer, il cui ruolo attiene alla gestione responsabile dei dati all’interno della propria organizzazione, individuando quelle opportunità che portano a partnership e a collaborazioni proficue tra settori diversi e valutando tutte le richieste esterne di accesso ai dati aziendali. Mentre, la figura del “fiduciario digitale” – o digital fiduciary – è responsabile dell’assistenza ai singoli clienti nella gestione della loro identità digitale.
Il modello “data trust” fa, invece, riferimento a «un contratto tra uno o più titolari del trattamento dei dati e una terza parte (privato o azienda), in base al quale quest’ultima autorizza i primi a prendere determinate decisioni sull’utilizzo dei dati per suo conto». E il modello “data collaborative” rimanda a una relazione di condivisione dei dati che può assumere più forme, dalle interfacce pubbliche alle intermediazioni di fiducia, fino alle partnership di ricerca e analisi. Nell’ambito di una relazione tra organizzazioni di diversi settori – ad esempio – questo modello si traduce nella condivisione di dati, di approfondimenti e di competenze. E, infine, la data cooperative è «una rete di accordi tra pari con interessi reciproci, i cui i membri stessi condividono i propri dati e sono responsabili della loro gestione».
L’Identità Digitale a supporto del processo di intermediazione dei dati
In materia di consenso al trattamento dei dati personali, il documento del Word Economic Forum si focalizza anche sul ruolo dell’Identità Digitale quale strumento di aiuto al “pre-consenso” da parte degli utenti, supportandoli, in particolare, nella selezione delle preferenze e nell’effettuazione di determinate scelte, esattamente come accade quando si configura un nuovo telefono cellulare e si procede col predeterminare le impostazioni sulla privacy prima di utilizzare qualsiasi app.
In questo quadro, l’Identità Digitale di ognuno diventa la chiave – ad esempio – che consente all’intermediario dei dati sotto forma di sistema AI (l’agente digitale) di sbloccare uno scenario ritenuto non rischioso per l’utente dal punto di vista della sicurezza. Più nel dettaglio, l’identità digitale permette all’agente digitale basato su tecniche di intelligenza artificiale di riconoscere che determinati dati appartengono a quello specifico utente, nonché di consultare le richieste di consenso che quest’ultimo ha autorizzato (ossia i pre-consensi) e di agire di conseguenza, in linea con le scelte dell’utente stesso.
In realtà – sul Web – il consenso anticipato (il pre-consenso) al trattamento dei dati personali può essere fornito in molteplici casi e situazioni e può essere comodamente allegato all’Identità Digitale di ognuno.
Consenso al trattamento dei dati personali: quando a decidere è l’agente digitale
In materia di consenso al trattamento dei dati personali, il processo di intermediazione automatizzato – come fanno notare gli analisti del WEF – presenta alcuni punti critici, primo tra tutti la mancanza di fiducia da parte dell’utente nei riguardi di una macchina che decide per lui. Vi è sottesa la percezione del rischio per la propria privacy, correlata al processo decisionale affidato, in sostanza, a un algoritmo. A tale riguardo, all’interno del Report si legge di una soluzione relativa al processo di intermediazione automatizzato in ambito bancario, dove:
«… l’esecuzione di comportamenti standardizzati e coerenti durante tutte le operazioni online agisce, di fatto, come solido sostegno alle intermediazioni dei dati da parte di agenti digitali, poiché i dati stessi vengono gestiti attraverso un processo specifico e passaggi rigorosi»
E questo è valido in tutti quei comparti in cui si verificano pagamenti e in cui gli utenti convolti «si affidano con fiducia a tecnologie di terze parti affidabili, per gestire denaro e dati che rappresentano il valore di quel denaro». Ne sono un esempio la blockchain e la criptovaluta, dove il valore degli asset è intangibile e intrinsecamente dipendente da dati affidabili.
Gli autori del paper ricordano che l’intermediario dei dati sotto forma di sistema di intelligenza artificiale è in grado di «negoziare l’accesso ai dati al di sopra e al di là di una semplice funzione binaria gated. E l’utilizzo di algoritmi sofisticati può consentire decisioni che emulano l’autonomia nel modo più vicino possibile al processo decisionale umano».
Nell’ipotesi peggiore, l’agente digitale potrebbe essere responsabile di un uso non trasparente dei dati dell’utente, giungendo, in alcuni casi, a danneggiarlo.
La prevenzione di tali rischi – si legge nel documento del WEF – si fonda su alcune misure, tra cui un’azione di controllo che metta l’utente nella condizione di comprendere le conseguenze della propria decisione in merito al fornire volontariamente i propri dati o a negarne il consenso. Un’altra misura è data dall’offrire all’utente una serie di opzioni circa l’utilizzo che colui che richiede il consenso farà dei suoi dati, in modo che un amante dei gatti – ad esempio – scelga di cedere volontariamente i propri dati personali per ricevere solo ed esclusivamente annunci e offerte che riguardano prodotti per gatti e niente altro. Un’altra misura ancora vede l’utente scegliere in autonomia il tipo di intermediazione dei dati che preferisce, in linea con i propri valori personali.
Adottare un approccio antropocentrico e porre le persone al centro del cambiamento nelle policy dei dati
Quella dell’intermediazione dei dati – per mezzo di una figura umana o di un agente digitale – rappresenta una possibile soluzione alla questione (talora spinosa) del consenso al trattamento dei dati personali. Soluzione tanto più valida – sottolineano gli analisti del World Economic Forum – quanto più verrà adottata in modo responsabile, rispettando la centralità dell’essere umano e i suoi diritti di proprietà, specie nei casi in cui l’intermediario in questione è una macchina dotata di intelligenza artificiale.
In quest’ultimo caso, nel definire i criteri e le regole per gli intermediari che danno origine a un processo automatizzato di condivisione dei dati personali, l’approccio suggerito è di tipo antropocentrico, ponendo le persone al centro del cambiamento del sistema, oltre che multidisciplinare e multipartecipativo, che tenga conto della voce di tutti, compresi consumatori, aziende, esperti di economia, decisori politici, esperti di privacy, tecnici, e sviluppatori. L’apporto di differenti punti di vista è utile a cogliere con consapevolezza vantaggi e aspetti critici, pro e contro della nuova soluzione, soprattutto le implicazioni legate all’utilizzo degli agenti digitali nei diversi scenari, non solo – come si è visto – in quelli economico-finanziari.