Sanzioni fino a 20 milioni di euro o al 4% del fatturato annuo mondiale dell’impresa: il Regolamento Generale sulla Protezione dei Dati che sarà applicato dal 25 maggio 2018, ha fatto atterrare in modo molto concreto i principi di “Privacy by design” e “Privacy by default”.

La protezione dei dati personali sia come requisito da introdurre nella progettazione di prodotti e servizi sia come procedure da attivare in automatico, “per impostazione predefinita”.

Nati alla fine degli anni ’90 dalla riflessione di Ann Cavoukian, Garante nella regione canadese dell’Ontario, i concetti di “Privacy by design” e “Privacy by default” sono stati perfezionati dal docente di Computer Science Jaap Henk Hoepman, che nel 2012 ha stilato una serie di regole di buon senso utili agli obiettivi di protezione: ridurre al minimo la quantità di dati processati, utilizzando prima della raccolta anonimizzazione e pseudonimi; utilizzare la criptazione nei procedimenti; separare più possibile i dati relativi ad una persona e nel frattempo aggregarne le singole parti in gruppi abbastanza larghi da non favorirne l’identificazione; informare i possessori dei dati al momento del processamento; rinforzare le policy della privacy all’interno del quadro legislativo.

«La progettazione include una possibilità che deve diventare prima regola e poi consuetudine» spiega a Nòva Stefano Leucci, fellow del Nexa Center for Internet & Society. Qualche esempio? Per avvisare dell’inizio della registrazione con i Google Glass, non basta che il led sia sincronizzato con la telecamera: deve anche accendersi al momento giusto. Così come non è sufficiente che un browser sia stato progettato con il blocco dei cookies, i file che memorizzano i dati di navigazione Internet dell’utente, per attivarne la funzione. «Di default, anche solo per pigrizia, la procedura informatizzata tende ad essere seguita» sottolinea Leucci, membro dell’Internet Protection Engineering Network, l’organismo multidisciplinare istituito nel 2014 dallo European Data Protection Supervisor, il Garante Europeo della privacy, per incrociare esperienze tecnologiche e cornici giuridiche e costruire toolkit, “cassette degli attrezzi” utili agli operatori. Infatti, il regolamento approvato nell’aprile 2016 dopo cinquanta mesi, l’iter più lungo nella storia dell’Unione, che all’articolo 25 si pronuncia esplicitamente sia sulla privacy “by design” che “by default”, prevede “per impostazione predefinita” una minimizzazione dei dati da trattare, non accessibili ad un numero indefinito di persone senza l’intervento di una persona fisica; impone quindi di valutare stato dell’arte, costi di attuazione, natura, contesto e finalità del trattamento dati, nonché i rischi diversi per i diritti e le libertà delle persone prima di attuare le misure organizzative adeguate. Ovvero: il “come”, la sequenza di passi ed accorgimenti tecnico-pratici, “l’algoritmo della privacy”, a meno di un anno dall’applicazione del Regolamento, sanzioni a parte, è ancora molto da costruire.

«I toolkit sono agli inizi perché, ad esempio, non riusciamo a ricostruire e rendere trasparente la decisione di un’intelligenza artificiale, che memorizza i movimenti e li riproduce» spiega Leucci. Che succederà quando l’automobile si rifiuterà di accendersi perché sono stati percorsi i chilometri coperti dall’assicurazione o abbiamo accelerato troppo? «Già adesso si possono installare le black box, le scatole nere che registrano più di 200 parametri» sottolinea Leucci. Dati che possono essere trasmessi alla casa madre o, appunto, alle agenzie assicurative: «In Finlandia al supermercato si vendono già le polizze “Pay as you drive”, che a seconda dello stile di guida calcolano l’importo dovuto» spiega ancora Leucci. In Italia, è in discussione al Senato il ddl concorrenza che prevede l’obbligo di installazione delle black box per prevenire le truffe. Così come anche il sistema bancario è sempre più sensibile al “pay as you live”, le polizze sulla vita a seconda delle abitudini del contraente, tracciate anche online. Magari ricavate dai motori di ricerca sempre più diffusi e dedicati alla profilazione degli utenti. «Alcuni servizi migliorano la qualità della vita ma non sono gratis: anziché in moneta spesso si paga in dati» conclude Leucci. «L’importante è esserne sempre più consapevoli ed agire di conseguenza».