L’EDPB sul rapporto tra PSD2 e data protection

Lo European Data Protection Board (EDPB), nel rispondere ad una lettera della parlamentare europea Sophie in ‘t Veld, si è soffermato su alcuni aspetti del rapporto tra GDPR e Direttiva PSD2.

Di particolare interesse sono le considerazioni circa la possibilità di utilizzare l’interesse legittimo come base giuridica del trattamento di dati personali del destinatario di un pagamento operato attraverso un payment initiation service provider (PISP) in assenza di consenso esplicito (trattamento dei cd. “silent party data“).

L’EDPB si sofferma anche sul rapporto tra il significato del termine “consenso” nel GDPR e nell’articolo 94(2) della PSD2, confermando che il “consenso” ai sensi della PSD2 é di tipo contrattuale e non fa venire meno la necessità di trattamento legittimo dei dati personali dell’utilizzatore del servizio di pagamento, sia esso basato sulla necessità di dare esecuzione al contratto o sul consenso esplicito.

Puoi consultare la lettera dell’EDPB qui.


Marco Galli – Gattai, Minoli, Agostinelli, Partner

Annunci

Fintech tra rischi e opportunità per il settore bancario: il report dell’EBA

Sull’onda della roadmap sul Fintech adottata il 15 marzo scorso, l’EBA ha pubblicato un report sui rischi e sulle opportunità per gli operatori del settore bancario derivanti dall’applicazione di soluzione tecnologiche alle attività bancarie tradizionali.

Il report si concentra sulle implicazioni di una serie di use case emersi nell’esperienza recente: autenticazione biometrica, utilizzo di robo-advisor nella consulenza finanziaria, impatto di big data e machine learning sul credit scoring, DLT, blockchain e smart contract nel trading e nelle attività di customer due diligence, tecnologie NFC e mobile wallet e outsourcing di sistemi core su cloud pubblici.

Se la tecnologia crea opportunità per il settore bancario impensabili fino a poco tempo fa, dall’altro lato fa emergere rischi (anche derivanti dall’esternalizzazione di determinati processi e risorse e dall’intersezione di normative diverse – PSD2, GDPR, MIFID-II, ecc.) che ne hanno finora frenato l’adozione, limitando il tanto invocato approccio collaborativo tra operatori del fintech e mondo bancario.

Potete consultare il report qui.

Pirateria online e siti alias: un nuovo strumento di difesa?

La recente decisione ottenuta da Arnoldo Mondadori contro alcuni tra i principali service providers (quali Fastweb, Telecom e Vodafone) ha segnato un importante cambio di passo nella lotta contro la diffusione di contenuti illeciti online.

Quella alla pirateria online è una lotta che ha spesso assunto le sembianze di una battaglia (disperata) contro i mulini a vento, essenzialmente per due ragioni. Da una parte il principio in virtù del quale un service provider (ISP) non può essere destinatario di un provvedimento giudiziario che lo obblighi ad attivarsi autonomamente per la disattivazione di contenuti illeciti, noto anche come ‘divieto di obbligo generale di sorveglianza’. Dall’altra, la problematica legata alla sfuggevolezza della contraffazione online, e la capacità dei soggetti che la perpetrano di trasferirla, o addirittura moltiplicarla, di sito web in sito web e nel tempo di pochi click.

Sono proprio queste le tematiche che il Tribunale di Milano ha affrontato nella decisione Mondadori vs ISPs dello scorso 12 aprile.

Più in dettaglio, in un precedente provvedimento del luglio 2017, rilevata la presenza di contenuti editoriali di proprietà del Gruppo Mondadori sul sito web o portale ‘dasolo.org’, il Tribunale di Milano aveva ordinato agli ISP di disabilitare l’accesso al portale e “a tutti i siti con nome di dominio di secondo livello ‘dasolo’ indipendentemente dal top level domain adottato”.

Nell’arco di pochi click dall’ordinanza cautelare, i gestori del portale ‘dasolo’ avevano però trasferito i medesimi contenuti illeciti su un portale caratterizzato da un nome a dominio diverso, ovvero ‘italiashare.info’, così aggirando l’ostacolo generato dalla disattivazione del portale ‘dasolo’ e di fatto vanificando gli effetti del provvedimento emesso dal Tribunale di Milano.

La vanificazione degli effetti del provvedimento è stato il leitmotiv della successiva iniziativa cautelare assunta da Mondadori rispetto ai medesimi ISP, stavolta con riferimento al portale ‘italiashare.info’. Il gruppo editoriale ha infatti chiesto al Tribunale d Milano di dichiarare la compatibilità, con il ‘divieto di obbligo generale di sorveglianza’, di un provvedimento di inibitoria che ordinasse agli ISP di disattivare l’accesso al portale che mettesse a disposizione i medesimi contenuti sia attraverso il nome di dominio ‘italiashare’ o attraverso qualsiasi altro nome a dominio.

Nella successiva ordinanza in data 12 aprile, il Tribunale di Milano ha rilevato che circoscrivere l’ordinanza a un preciso nome a dominio sarebbe stato inutile. Dall’altro lato, ha osservato che, fatto salvo il divieto di un obbligo generale di sorveglianza, il diritto comunitario (inter alia la sentenza C-314/12, UPC v. Telekabel Wien) esige anche che i provvedimenti inibitori si rivelino sufficientemente efficaci [ovvero] debbano avere l’effetto di “impedire o, almeno, di rendere difficilmente realizzabili le consultazioni non autorizzate dei materiali protetti”.

Il Tribunale ha quindi accolto le richieste cautelari di Mondadori, istituendo un meccanismo pro futuro per effetto del quale, ricevuta la segnalazione di una violazione da parte del titolare dei diritti (Mondadori), gli ISP dovranno procedere alla disattivazione dei contenuti illeciti, sia se perpetrati attraverso il portale ‘italiashare’, sia se operati attraverso siti c.d. ‘alias’ caricati su qualsiasi altro nome a dominio, senza che vi sia bisogno, in quest’ultimo caso, di ricorrere nuovamente all’autorità giudiziaria.

L’ordinanza mette quindi a disposizione uno strumento molto potente per la lotta alla pirateria online, quantomeno per i titolari di diritti su contenuti digitali, anche se non è da escludere che il medesimo modello possa essere replicato per la lotta ad altri tipi di pirateria online, quali per esempio l’offerts in vendita di beni contraffatti.


Luca Pellicciari – Senior Associate @ Trevisan&Cuonzo

Daniele Roncarà – Associate @ Trevisan&Cuonzo

Blockchain e Privacy, problematiche e opportunità

Il mio intervento ha ad oggetto il rapporto tra blockchain e privacy, sia sotto il profilo della riservatezza delle comunicazioni e delle transazioni basate sul protocollo blockchain, sia sotto il profilo della blockchain come strumento per la gestione dei dati personali – ambito nel quale si stanno muovendo numerose start-up, quali ad esempio Decode, finanziata dall’Unione Europea nell’ambito del programma Horizon 2020.

Tema attuale, posto che l’hype creatosi intorno al mondo blockchain è pari solamente alla fibrillazione che accompagna lo scandire dei giorni che precedono l’entrata in vigore del nuovo Regolamento, meglio noto come GDPR, e che stanno impegnando le imprese in complesse e costose operazioni di adeguamento.

Il tema del rapporto tra blockchain e privacy risale in realtà agli inizi degli anni ‘90 e affonda le sue radici nell’ambito del movimento cypherpunk, dal quale trae origine il paper del fantomatico Satoshi Nakamoto che ha dato origine al fenomeno blockchain.

Il manifesto cypherpunk esprimeva due finalità cardine: non solo la creazione di una valuta elettronica indipendente, non tracciabile, anonima e segreta, ma anche la ricerca di una privacy assoluta, attraverso forme di crittografia sempre più evolute.

In prima battuta, si potrebbe pensare che l’utilizzo di sistemi blockchain-based non implichi particolari problematiche di privacy, posto che le transazioni sulla blockchain avvengono in regime di cosiddetta pseudonimità: pur essendo le azioni di un singolo address perfettamente trasparenti nel registro condiviso, non esiste (quantomeno in linea teorica) una connessione diretta con una persona fisica o un’organizzazione.

In realtà, le tematiche privacy legate all’utilizzo della tecnologia blockchain sono molto più pervasive rispetto alla narrazione che di questa tecnologia viene comunemente fatta e derivano dalla struttura

 

Fiducia e trasparenza nei sistemi centralizzati e distribuiti

Senza voler ripercorrere quanto già illustrato in relazione alla struttura e al funzionamento della blockchain e dei sistemi distribuiti in generale, per capire l’origine del conflitto tra blockchain e privacy è importante soffermarsi brevemente sul ruolo che giocano i concetti di fiducia e trasparenza nei sistemi centralizzati e nei sistemi distribuiti.

Gran parte delle piattaforme online, per come oggi le conosciamo, sono costituite da sistemi centralizzati. Semplificando, in tali sistemi è presente un intermediario che coordina le attività dei partecipanti al sistema e determina le modalità di trattamento dei dati personali degli utenti.

Il funzionamento di un sistema centralizzato è basato sulla fiducia: tanto più l’ente centrale sarà (o sembrerà) degno di fiducia, tanto più gli utenti saranno disponibili a comunicare i propri dati personali.

Si tratta ovviamente di una semplificazione, posto che gli incentivi degli individui alla comunicazione dei propri dati personali vanno ben oltre il paradigma della fiducia. Nondimeno, la fiducia rappresenta il “motore” centrale che spinge gli utenti alla condivisione dei propri dati: basti vedere come il crollo di fiducia nei confronti di Facebook a seguito dello scandalo Cambridge Analytica abbia fatto perdere alla piattaforma molti utenti.

Il meccanismo fiduciario espone ovviamente alle possibilità di azzardo morale da parte dell’ente centrale ed è, in linea generale, caratterizzato da una certa opacità: al di là di affermazioni di stile nelle informative, le modalità effettive con le quali i dati personali vengono aggregati, profilati e processati rimangono per lo più oscure, contribuendo alla formazione di quella che alcuni studiosi hanno definito come la black box society.

Viceversa, i sistemi distribuiti, come blockchain, sono trustless, non si basano sul meccanismo della fiducia quanto, in linea generale, su quello della trasparenza: per poter fare a meno di una autorità centrale che garantisca ai partecipanti la fiducia nel sistema, le informazioni riguardanti le transazioni che avvengono in una rete peer-to-peer devono essere trasparenti.

La trasparenza è, nella quasi totalità dei casi, una trasparenza di protocollo e non di contenuto: la privacy delle comunicazioni in un sistema blockchain viene garantita dalla pseudonimità dei soggetti partecipanti alla rete e da meccanismi di crittografia che, in linea generale, proteggono la confidenzialità dei contenuti e delle comunicazioni che vengono condivise con i nodi.

Ciò contribuisce certamente ad una maggiore trasparenza, sottraendo la gestione delle comunicazioni e delle transazioni al vaglio di un’autorità centrale, ma porta con sé alcuni interrogativi circa la piena compatibilità del modello di database distribuito con alcuni principi cardine in materia di data protection.

Vediamo quali.

 

Blockchain e privacy: profili critici

  • Metadati e blockchain analysis

Il primo profilo di collisione tra privacy e blockchain riguarda la potenziale compromissione della riservatezza dell’identità dei partecipanti alla rete.

Come accennato, i sistemi DLT in generale si basano sul principio di trasparenza delle operazioni: ciò significa che il database pubblico contiene traccia di tutte le transazioni avvenute tra gli indirizzi dei partecipanti alla rete e di tutti i metadati ad esse associati.

È stato dimostrato come forme evolute di analisi dei metadati associati a ciascuna transazione e di blockchain analytics possono consentire in alcuni casi di risalire all’identità dei partecipanti, compromettendo di fatto la riservatezza delle comunicazioni.

A ciò si aggiunga che le normative in materia di antiriciclaggio e di know your customer impongono agli operatori importanti obblighi in materia di identificazione della propria cliente, il che ha creato terreno fertile per quelle start-up (come Coinanalytics e Coinmetrics) che operano a supporto della business intelligence e della compliance in relazione a piattaforme distribuite.

  • Crittografia e dati personali

In secondo luogo, la presenza di dati personali all’interno di un database distribuito pubblico, ancorché crittografati, aumenta sensibilmente il rischio di data breach.

Sotto questo punto di vista, occorre sgombrare il campo dall’equivoco secondo cui dati personali crittografati non debbano essere considerati come dati personali e, pertanto, soggetti agli obblighi di cui al codice privacy (adesso) e del GDPR (tra poco). Già nel 2012, il Working Party 29, organismo che raggruppa i Garanti UE, ha avuto modo di chiarire che il fatto che i dati personali siano crittografati non fa perdere loro la qualifica di dati personali.

Pur trattandosi di un sistema caldeggiato sia dal GDPR che dalla recente dichiarazione del WP29 dello scorso 11 aprile, quello crittografico non è tuttavia infallibile: strumenti come le master keys o backdoor dei sistemi possono consentire di de-crittografare i dati personali degli utenti ed utilizzarli illecitamente per gli scopi più disparati.

Chiaramente, la natura distribuita della blockchain aumenta inevitabilmente questa tipologia di rischio.

  • Individuazione del titolare del trattamento

Chiunque si trovi ad approfondire il tema del rapporto tra privacy e blockchain si scontra poi con una domanda fondamentale: chi è il titolare del trattamento in un sistema blockchain-based?

La totale decentralizzazione che contraddistingue le forme più “pure” di blockchain (cd. unpermissioned), rende impossibile individuare un titolare del trattamento dei dati personali, compromettendo i diritti dell’interessato previsti dalla normativa applicabile e rendendo impraticabile individuare responsabilità in caso di data breach.

In misura minore, il tema è rilevante anche con riferimento alle blockchain permissioned: in questo caso, è ragionevole supporre che l’intermediario rivesta la qualifica di titolare del trattamento, e che tutti i nodi siano inquadrabili come responsabili.

Ciò ovviamente pone in capo all’intermediario una serie di adempimenti (primo fra tutti quello di informativa) e, a seguito dell’entrata in vigore del GDPR, uno specifico onere di contrattualizzazione dei rapporti relativi alla nomina a responsabile del trattamento con gli esercenti dei nodi.

  • Immutabilità della blockchain e diritti dell’interessato

Altro tema fondamentale riguarda la compatibilità tra la struttura stessa della blockchain e i diritti che la normativa applicabile attribuisce all’interessato.

Come già sottolineato dagli speaker che mi hanno preceduto, il principio fondamentale che caratterizza la blockchain riguarda il fatto che i dati che compongono il registro distribuito non possono essere modificati o eliminati senza che sia compromessa la validità e l’integrità del registro stesso.

Ovviamente ciò pone temi importanti in tema di diritto alla cancellazione (il cosiddetto diritto all’oblio), di diritto alla limitazione al trattamento e anche di diritto alla portabilità dei dati personali, posto che ciò si accompagnerebbe ragionevolmente ad una richiesta di cancellazione.

Il carattere immutabile e immodificabile della blockchain si scontra anche con il principio di minimizzazione dei dati personali, caposaldo della GDPR, che impone peraltro di definire tempistiche certe di data retention e di conservazione dei dati personali.

  • Trasferimento di dati all’estero

Infine, la natura distribuita e “liberamente scaricabile” del database contenente dati personali pone – soprattutto per le blockchain unpermissioned – importanti tematiche sia in relazione alla disciplina del trasferimento di dati al di fuori della UE, specie per quei paesi (come Brasile e Cina, per citare i più importanti) considerati non “sicuri” dai Garanti europei, sia sotto l’aspetto dell’enforcement di eventuali decisioni emesse di autorità nazionali in relazione alla cancellazione di dati personali contenuti nella blockchain.

 

Conclusioni: conflitto o opportunità?

In conclusione, il rapporto tra privacy e blockchain presenta dei profili critici che contrastano con la narrazione ottimistica che spesso ha accompagnato l’espandersi del blockchain-effect.

Le problematiche esistenti non devono tuttavia scoraggiare l’adozione di una tecnologia che si annuncia rivoluzionaria.

Le soluzioni ad alcuni dei temi brevemente analizzati si sono già affacciate sul mercato, ad esempio sistemi ibridi che conservano i dati personali off-blockchain, o forme di blockchain editabili (oggetto di uno specifico progetto di Accenture). Mentre parliamo, gli operatori studiano forme di crittografia sempre più evolute e sicure, come le blind signature.

La prospettiva e l’ambizione degli operatori deve essere quella di governare i rischi e le problematiche derivanti dal rapporto tra privacy e blockchain, trasformandole in punti di forza e in elementi di competitività con la collaborazione di figure esperte.

Diritto all’oblio: una tutela (non solo) europea

Il Garante della Privacy, in un recentissimo provvedimento [doc. web 7465315] in materia di diritto all’oblio ha imposto a Google di procedere alla de-indicizzazione degli URL di tutti i risultati di ricerca associati al nome di un cittadino italiano. Al fine di assicurare una tutela effettiva al ricorrente (cittadino italiano residente negli Stati Uniti), il Garante ha ordinato di procedere alla de-indicizzazione sia delle versioni europee del motore di ricerca, sia di quelle quelle extra-europee.

Nel caso esaminato dal Garante, l’interessato, esercitando il proprio diritto all’oblio, aveva richiesto la de-indicizzazione di svariati URL (anche extra-europei) che rimandavano a messaggi o brevi articoli anonimi postati su forum e ritenuti denigratori e riferiti anche al proprio stato di salute e a gravi reati connessi alla professione di professore universitario.

Il Garante, nell’operare il bilanciamento tra il diritto all’oblio e l’interesse pubblico all’informazione previsto dalla sentenza Google Spain e approfondito nelle Linee Guida del WP29, ha ritenuto che la “perdurante reperibilità” sul web dei contenuti sopra indicati determinasse un impatto “sproporzionatamente negativo” sulla sfera privata dell’interessato.

Le Linee Guida, in particolare, individuano proprio nel trattamento dei dati sulla salute uno dei criteri da considerare per un corretto bilanciamento tra diritto all’oblio e diritto all’informazione. Inoltre, sempre ai fini del bilanciamento, il WP29 sottolinea l’importanza di considerare la natura dei contenuti dei quali si chiede la rimozione: qualora si tratti di “informazioni che sono parte di campagne personali contro un determinato soggetto, sotto forma di rant (esternazioni negative a ruota) o commenti personali spiacevoli”, la de-indicizzazione deve essere giudicata con maggiore favore, soprattutto in presenza di “risultati contenenti dati che sembrano avere natura oggettiva ma che sono, in realtà, inesatti, in termini reali (…) se ciò genera un’impressione inesatta, inadeguata o fuorviante rispetto alla persona interessata.” 


Questo post ti è piaciuto? Condividilo!

Welcome to the no-wallet era: WeChat Pay sbarca in Italia

La piattaforma di pagamento più popolare in Cina sarà attiva nelle prossime ore anche in Italia – principalmente, quantomeno all’inizio, per i turisti cinesi che visitano il nostro paese, visto che sarà pur sempre necessario collegare l’applicazione ad un conto bancario cinese.

WeChat, o meglio Weixin in lingua cinese, da qualche anno non offre più esclusivamente i “tradizionali” servizi di messaggistica, ma un’ampia gamma di servizi ulteriori tra cui appunto WeChat Pay, che consente il pagamento immediato attraverso la scannerizzazione di un QR code dallo smartphone del cliente.

La notizia è particolarmente rilevante sotto il profilo della protezione dei dati personali degli utenti del servizio, soprattutto alla luce del recentissimo recepimento della Direttiva sui pagamenti (meglio nota come PSD2) e, soprattutto, dell’acclarata condivisione di dati tra WeChat e il governo cinese.

Mentre negli ultimi tempi in Italia si parla di “rivoluzione informatica del fisco” e di soppressione della “vecchia” scheda carburante cartacea, con deducibilità delle spese carburante solo qualora il pagamento avvenga con carta di credito o debito, in Cina ormai da tempo con WeChat o Alipay si pagano con lo smartphone conti al ristorante, bollette di utenze, affitti, multe e perché no, anche il dottore.

A tale riguardo, il Trentanovesimo Report del China Internet Network Information Center (CNNIC) del 2017 mostra anche quest’anno un incremento su tutti i dati presi in considerazione ogni anno dall’Autorità:

  • 469 milioni di persone in Cina acquistano abitualmente beni e servizi su Internet direttamente dal proprio smartphone;
  • 695 milioni di persone accedono ogni giorno ad Internet dal proprio cellulare;
  • 731 milioni di persone usano Internet ogni giorno in Cina: cifra sostanzialmente corrispondente a tutti i cittadini europei.

Dati, ancora una volta, davvero impressionanti.


Alice Fratti, Ph.D., Associate @ Trevisan & Cuonzo

Ecco perché non dovreste trascurare il diritto alla portabilità dei dati personali

Una delle novità più interessanti introdotte dal GDPR riguarda il diritto alla portabilità dei dati personali che, nel quadro di attuazione del digital single market, intende promuoverne e potenziarne la circolazione tra diversi provider di servizi online.

Il diritto alla portabilità rappresenta uno strumento straordinario sia per gli interessati, che vedono potenziate le loro facoltà di controllo sui propri dati, sia per i provider, che possono beneficiare del nuovo sistema introdotto dal GDPR per competere più liberamente sul mercato.

Ma quali sono i nodi cruciali che i Titolari devono considerare nell’ambito dell’adeguamento al GDPR?

In cosa consiste il diritto alla portabilità?

L’articolo 20 GDPR dispone che:

l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti […]

Il diritto alla portabilità si sostanzia dunque in due distinte facoltà per l’interessato: quella di ricevere i propri dati personali per conservarli su sistemi privati e quella di trasmettere i dati ricevuti ad un altro Titolare del trattamento “senza impedimenti“, cioè a dire senza che il Titolare dal quale i dati provengono possa creare ostacoli alla trasmissione (quali sistemi di lock-in).

La trasmissione dei dati personali direttamente tra Titolari del trattamento è obbligatoria se “tecnicamente fattibile”, non comportando cioé l’obbligo di adottare o mantenere sistemi di trattamento tecnicamente compatibili.

Quali sono i dati personali portabili?

L’art. 20(1) GDPR dispone che il diritto alla portabilità riguarda solamente i dati che riguardano l’interessato o che siano stati forniti da quest’ultimo e trattati sulla base (i) del consenso dell’interessato o (ii) di un contratto del quale l’interessato è parte.

Il diritto alla portabilità, inoltre, presuppone che il trattamento venga “effettuato con mezzi automatizzati”, non trovando applicazione con riferimento ad archivi o registri cartacei.

L’art. 20(4) GDPR prevede infine una regola generale a chiusura del sistema del diritto alla portabilità, sancendo che esso “non deve ledere i diritti e le libertà altrui”.

Quali sono, a livello generale, gli adempimenti per conformarsi alla normativa?

Per adeguarsi alle disposizioni in materia di portabilità, ciascun Titolare del trattamento dovrebbe:

– implementare procedure specifiche volte a consentire e facilitare agli interessati l’esercizio il diritto alla portabilità. È molto importante, in questa fase, disciplinare in maniera puntuale i doveri e le responsabilità degli eventuali Responsabili del trattamento che, ai sensi dell’articolo 28 GDPR, devono essere contrattualmente obbligati ad assistere “il titolare del trattamento con misure tecniche e organizzative adeguate (…) nel dare seguito alle richieste di esercizio dei diritti dell’interessato”;

– definire contrattualmente, in caso di contitolarità del trattamento, le responsabilità attribuite a ciascun contitolare in relazione a ciascuna richiesta di portabilità;

– adattare le proprie informative indicando espressamente, tra i diritti dei quali l’interessato deve essere informato, anche quello alla portabilità dei dati.

Quali sono le tempistiche che il Titolare del trattamento deve rispettare per dare seguito alle richieste di portabilità degli interessati?

Come previsto dall’articolo 12(3) GDPR, anche in caso di esercizio del diritto alla portabilità il Titolare deve fornire le “informazioni relative all’azione intrapresa […] senza ingiustificato ritardo […] entro un mese dal ricevimento della richiesta”, oppure entro tre mesi in casi di particolare complessità.

Quale formato deve essere utilizzato per il trasferimento dei dati?

L’articolo 20(1) GDPR dispone che i dati devono essere forniti “in un formato strutturato, di uso comune e leggibile da un dispositivo automatico.

Il GDPR non fornisce alcuna previsione espressa circa il formato da utilizzare per la portabilità dei dati personali. Tuttavia, le guidelines del WP29 suggeriscono l’adozione di formati aperti di impiego comune (ad es. XML, JSON, CVS, etc.), unitamente a metadati utili, al miglior livello di granularità e con un elevato livello di astrazione.

Quali misure di sicurezza deve adottare il Titolare del trattamento per la trasmissione dei dati?

È specifico onere del Titolare adottare tutte le misure di sicurezza necessarie a garantire la trasmissione corretta e sicura dei dati personali (ad esempio, utilizzando modalità di autenticazione “forte” e implementando un sistema di crittografia end-to-end).

Il Titolare deve, inoltre, implementare tutte le misure di mitigazione del rischio che si dovessero rendere necessarie in relazione al caso concreto (quali ad esempio, il congelamento della trasmissione in caso di sospetta compromissione dell’account, o meccanismi di autenticazione tramite token in caso di trasferimento da un Titolare all’altro).

Quali sono le sanzioni in caso di inosservanza?

Fermo restando il risarcimento del danno e le misure di divieto di trattamento di dati personali fino a che non si sia posto rimedio alla situazione di non conformità, il mancato rispetto delle previsioni in materia di diritto alla portabilità può comportare l’irrogazione di una sanzione amministrativa fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.


Questo post ti è piaciuto? Condividilo!

No man (or AI) is an island: l’intelligenza artificiale tra psicologia, informatica e diritto

Molti giuristi e commentatori hanno versato negli ultimi mesi fiumi di inchiostro (virtuale) per analizzare i profili e le problematiche legali connesse allo sviluppo e alla diffusione di forme di intelligenza artificiale sempre più sofisticate. Il tema è stato oggetto anche di una proposta di risoluzione del Parlamento Europeo, recante una serie di raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica.

Su barelylegal.tech vogliamo fare un passo indietro e definire i contorni, i limiti e le prospettive dello strumento dell’intelligenza artificiale, da una prospettiva filosofica e psicologica, prima che giuridica.

Ne parliamo con Stefano Triberti, Ph.D., docente di Ergonomia e User Experience e Psicologia della Comunicazione all’Università Cattolica del Sacro Cuore di Milano e ricercatore nell’area della psicologia applicata alle nuove tecnologie.

Stefano, cominciamo dalle basi: in cosa consistono i concetti di intelligenza artificiale e di machine learning?

L’Intelligenza Artificiale è una disciplina scientifica che ha le sue radici nell’Informatica, nelle Scienze Cognitive e nella Filosofia contemporanea… oltre che, ovviamente, nella fantascienza. In ambito scientifico, il concetto vede la luce nel 1956, quando John McCarthy invitò importanti ricercatori a un workshop presso il Dartmouth College per discutere sulla possibilità di ricreare artificialmente le facoltà intellettive umane. Storicamente il dibattito fece nascere due posizioni opposte, per molti versi valide ancora oggi: alcuni studiosi ritenevano che i processi computazionali realizzabili all’interno delle macchine fossero effettivamente equiparabili ai processi cognitivi (Strong AI), mentre altri ritenevano che le operazioni dei processori potessero arrivare al massimo a simulazioni più o meno efficaci delle facoltà umane (Weak AI). Oggi le tecnologie hanno fatto passi da gigante e molti traguardi sono stati raggiunti, e tuttavia si può parlare ancora di intelligenza artificiale “debole” più che di una reale identità tra facoltà umane e tecnologiche.

Con “machine learning”, invece, si fa riferimento a un concetto più ristretto, di certo fondamentale per l’Intelligenza Artificiale: è la capacità delle macchine di imparare, ovvero di mettere in atto azioni ed elaborazioni che vanno al di là della loro programmazione originale. Di solito, attualmente, ci si riferisce a computer i cui software sono basati su algoritmi e funzioni statistiche con capacità predittiva: il computer è quindi capace di modificare i propri output sulla base di informazioni nuove, in modo parzialmente imprevedibile rispetto alle sue capacità di partenza.

Quali sono le più promettenti applicazioni pratiche, attuali e future?

Le applicazioni sono innumerevoli.

Macchine “intelligenti” e “capaci di imparare” sono, in parole povere, macchine sempre più automatiche o meglio autonome; possono risolvere e gestire problemi per i quali prima era necessario l’impiego di una o più persone e un maggior tempo di elaborazione e presa di decisione. A mio avviso le applicazioni che vedremo “prima” nel futuro non saranno tanto influenzate da una qualche adeguatezza di questi costrutti ad ambiti specifici, quanto dalla direzione dei finanziamenti. Per cui, a mio personale parere, le principali applicazioni di tecnologie avanzate saranno negli ambiti della salute, dell’ingegneria bellica, dell’intrattenimento e del marketing, non necessariamente in quest’ordine.

Detto questo, bisogna precisare che questi concetti non fanno riferimento solo a tecnologie avanzate e futuribili, al contrario fanno già parte della nostra vita. Per fare un paio di esempi appartenenti al nostro quotidiano, anche i personaggi non giocanti dei videogiochi hanno una forma di intelligenza artificiale, così come le caselle email che smistano la nostra posta possono contenere algoritmi di machine learning.

Quanto siamo vicini al momento in cui l’intelligenza artificiale sarà paragonabile o addirittura superiore all’intelletto umano?

A questa domanda e a quelle seguenti risponderò in maniera un po’… “sofistica”!

Dipende tutto da come definiamo i concetti, in questo caso quelli di “paragonabile” e “superiore”, e anche quello di “intelligenza”. In realtà, nella Psicologia si dibatte da più di un secolo sull’intelligenza. Se la consideriamo in maniera tradizionale, ovvero come l’insieme di capacità di ragionamento di matrice soprattutto logico-linguistica e logico-matematica, potremmo dire che (perlomeno) alcuni computer sono già più intelligenti di alcuni esseri umani. Di certo fanno di conto meglio di noi, e anche i sistemi di comprensione del linguaggio naturale sono oggi molto avanzati (si veda Watson, il recente software di IBM). Se però inseriamo nell’intelligenza anche capacità creative, intuitive, e soprattutto la capacità di risolvere problemi che emergono nella vita quotidiana e nel mondo reale, il discorso si fa più complesso.

Anche considerando soltanto il linguaggio, non può non tornare in mente il famoso esempio della “stanza cinese” del filosofo John R. Searle: c’è un uomo dentro una stanza, il quale non sa il cinese, ma a cui viene dato un dizionario di sintassi cinese; significa che quest’uomo, guardando il dizionario, sa con quale ideogramma si può rispondere a quale ideogramma, pur non conoscendo il loro significato. Se un secondo uomo fuori dalla stanza passasse al primo degli ideogrammi cinesi sotto la porta, egli potrebbe rispondergli in modo sempre sensato; così, l’uomo fuori dalla stanza potrebbe convincersi che quello all’interno capisce effettivamente il cinese… eppure, non è così. Il computer funziona esattamente come l’uomo dentro la stanza cinese; sa che si può rispondere “buondì” a “buongiorno” e “bene” a “come stai”, ma non conosce il significato esperienziale del salutare o tanto meno quelli del benessere e della buona educazione.

Nello specifico, è possibile prevedere se l’intelligenza artificiale potrà acquisire una piena consapevolezza di sé, una sorta di “libero arbitrio”?

La risposta a questa domanda è simile alla precedente.

Con vari gradi di complessità, i computer sono già in grado di fare azioni senza che gli sia stato ordinato; per esempio, il sistema di sicurezza di un veicolo può fermare la macchina se percepisce un ostacolo, anche se il guidatore sta ancora accelerando. Se riduciamo il libero arbitrio alla facoltà di agire quando si vuole, e la consapevolezza di sé a definizioni e locazioni spazio-temporali, sì, i computer possono avere accesso a queste capacità. Se però, in modo probabilmente più ragionevole, includiamo in questi fenomeni elementi esistenziali e spirituali, in tutta la complessità con cui un essere umano è portato a viverli all’interno della propria coscienza, questo è ancora al di fuori della portata dei computer.

Può l’intelligenza artificiale sviluppare una sorta di “creatività”?

Anche qui, dipende da come definiamo il concetto. Una definizione curiosa e in un certo modo brillante di creatività è quella dello psicologo Jerome Bruner:

creativo è un prodotto che genera sorpresa

In generale, non trovo per niente improbabile che una intelligenza artificiale possa “creare” qualcosa che qualcuno potrebbe trovare sorprendente.

Tuttavia, se andiamo a studiare la creatività come processo, vediamo che il fenomeno è complesso: secondo le principali teorie, la creatività nasce dalla capacità di produrre molte idee, senza farsi limitare da fissità concettuali e vincoli logici; oppure, dalla capacità di associare concetti molto diversi producendo soluzioni innovative; o ancora, dall’abilità a guardare i contesti e i problemi da punti di vista alternativi, intuendo opportunità e corsi d’azione prima inesplorati. Tutte queste visioni del processo creativo lo associano a facoltà strettamente semantiche e radicate nei contesti, perlopiù inaccessibili alle intelligenze artificiali.

Credi che l’intelligenza artificiale possa diventare una concreta minaccia per l’umanità, sia in termini di minaccia “fisica”, sia a livello di diminuzione dei posti di lavoro?

L’umanità è un concetto abbastanza astratto; se ci si riferisce a scenari più o meno fantascientifici in cui le macchine si coalizzano contro la razza umana, non credo che al momento esistano i presupposti perché qualcosa del genere accada.

Quanto a specifiche situazioni, qualsiasi tecnologia può rappresentare per il suo utente o fruitore risorse quanto pericoli. Ciò è in gran parte legato a problemi d’uso; per questa ragione, una recente tendenza di interesse è quella che vede la progettazione delle tecnologie come basata su dati di ricerca. La User Experience e lo User Centered Design vengono sempre più impiegati perché le nuove tecnologie non vengano sviluppate solo sulla base delle prescrizioni ingegneristiche; al contrario, gli utenti e i contesti reali vengono studiati e compresi proprio per garantire fin dall’inizio che ogni tipo di tecnologia sia sicura, facile da usare e (ove questo è possibile e auspicabile) capace di sostenere la salute e il benessere delle persone.

Quanto al discorso sui posti di lavoro, le Rivoluzioni Industriali ci hanno insegnato che sicuramente le macchine possono prendere il posto delle persone in alcune mansioni. Tuttavia secondo me bisogna fare almeno due considerazioni. Nel caso dell’intelligenza artificiale ci riferiamo evidentemente a lavori non semplici e automatizzabili (quelli le macchine li fanno già), bensì a mestieri che richiedono ragionamento e risoluzione di problemi in ambiente reale, oltre che responsabilità più o meno importanti. Anche se le intelligenze artificiali arrivassero a essere dieci volte più sofisticate di quanto siano oggi, di certo incontreremmo notevoli resistenze da parte delle persone alle possibilità che queste ci curino dalle malattie, ci difendano in tribunale piuttosto che educhino i nostri figli; non è neanche detto che l’aggiornamento e la manutenzione di sistemi tanto complessi costerebbero meno del salario dei lavoratori umani. È possibile dunque che, semplicemente, “il gioco non valga la candela”.

In secondo luogo, se anche questo accadesse, si accompagnerebbe probabilmente a un profondo mutamento sociale in cui emergerebbero opportunità del tutto nuove per il lavoro degli esseri umani. In modo un po’ ironico, ma a mio avviso appropriato, mi torna in mente il personaggio di Susan Calvin, la psicologa esperta di androidi che compare in quasi una ventina di racconti del grande Isaac Asimov. Tecnologie sempre più complesse possono sfuggire al controllo e alla comprensione anche degli umani che le hanno create; e tuttavia, a quel punto è necessaria ancora un’intelligenza umana (oltre a una competenza specifica e del tutto nuova) per comprendere la radice dei problemi e individuare delle soluzioni.


Stefano Triberti, Ph.D., insegna Ergonomia e User Experience e Psicologia della Comunicazione all’Università Cattolica del Sacro Cuore di Milano. Svolge attività di ricerca nell’area della psicologia applicata alle nuove tecnologie, specialmente nell’utilizzo della tecnologia per promuovere la salute e il benessere (Positive Technology). E’ autore di più di 50 contributi scientifici su riviste e curatele nazionali e internazionali. In Italia ha pubblicato Psicologia dei Videogiochi: come i mondi virtuali influenzano mente e comportamento (con L. Argenton) e User Experience: psicologia degli oggetti, degli utenti e dei contesti d’uso (con E. Brivio), entrambi editi da Maggioli.

La tutela del personaggio di fantasia nei videogame: perché (purtroppo) non vedremo presto un nuovo Monkey Island

Lo scorso fine settimana ho (finalmente) messo le mani su Thimbleweed Park, l’ultimo capolavoro di quel geniaccio che risponde al nome di Ron Gilbert.

Per tutti i videogiocatori un po’ geek che, come il sottoscritto, avevano in camera un 386 e non sono esattamente dei millennial, Ron Gilbert è una sorta di guru: padre spirituale delle avventure grafiche point&click, ha messo la firma su pietre miliari della storia dei videogame, come Maniac MansionZak McKracken e, soprattutto, i primi due capitoli della saga video-ludica più amata di sempre: Monkey Island.

In Thimbleweed Park c’è tutta l’anima di Gilbert: la grafica pixelosa anni ’90, gli enigmi assurdi (ça va sans dire, non è esattamente un gioco per tutti…), lo humor raffinato e mai banale, la sensazione di trovarsi di fronte all’ennesimo coniglio uscito dal cilindro di @grumpygamer. Eppure… ammettiamolo, sogniamo tutti un nuovo capitolo delle avventure di Guybrush Threepwoodpirate-wannabe protagonista di Monkey Island, firmato da Gilbert.

Possibile? Al momento, purtroppo, la risposta è… no.

Il motivo è semplice: Gilbert non è titolare dei diritti di proprietà intellettuale su Monkey Island. Originariamente di titolarità di LucasArts, casa di produzione di videogame fondata da George Lucas nel 1982, i diritti sono ora in capo a Disney, che ha prima acquisito e poi chiuso definitivamente LucasArts nel 2013. Nonostante le richieste di Gilbert, Disney non si è mostrata intenzionata a cedere o a concedere in licenza i diritti su Monkey Island, e l’esistenza una “propria” saga sul mondo dei pirati, Pirates of Carribean (che da Monkey Island trae evidente l’ispirazione), non ha certo aiutato.

 

Tra tutti i diritti di proprietà intellettuale che tutelano un videogame, in questo post mi vorrei soffermare sui profili relativi alla tutela del personaggio di fantasia – il nostro Guybrush – con lo strumento del diritto d’autore.

La dottrina e la giurisprudenza (italiana e straniera) ritengono ormai pacifico che il personaggio di fantasia sia, in linea generale, proteggibile con il diritto d’autore quale opera dell’ingegno autonoma. In particolare, si ritiene che la tutela del personaggio di fantasia costituisca fattispecie diversa e distinta rispetto alla protezione dell’opera nella quale il personaggio agisce e che lo ha consacrato al pubblico (nel nostro caso, il videogioco).

Quanto ai requisiti per la tutela, oltre (ovviamente) al carattere creativo che costituisce il minimum per l’accesso alla tutela autorale da parte di qualsiasi tipologia di opera, le opinioni non sono univoche.

Un primo orientamento ritiene che sia proteggibile solo il personaggio che presenti caratteristiche fisiche e psicologiche dettagliate ed originali, sufficienti a distinguerlo rispetto al genere (umano o fantastico) cui appartiene.

Altri interpreti, invece, ritengono che a tutela debba essere accordata solamente a quei personaggi di fantasia le cui caratteristiche siano tali da rendere uniche e prevedibili le reazioni del personaggio stesso nell’ambito di diverse situazioni.

Un’opinione più rigorosa, infine, sostiene che la protezione autorale debba essere concessa solamente quando la sequenza di segni che viene utilizzata per descrivere il carattere, le fattezze e la personalità del personaggio di fantasia sia oggettivamente originale (cioè sconosciute allo stato dell’arte) e sufficientemente discrezionale.

Insomma, a meno di un ripensamento di Disney, non aspettiamoci di vedere presto Guybrush Threepwood sullo schermo del nostro iPad.

Ti è piaciuto questo post? Condividilo!

 

 

Blockchain e privacy: un rapporto complicato, tra GDPR e manifesto cypherpunk

L’hype creatosi intorno alla blockchain nel mondo della tecnologia (e, soprattutto, delle valute virtuali e del fintech in generale) non accenna a diminuire, tanto che alcuni analisti stimano che, entro il 2022, il giro d’affari ad essa connesso toccherá i dieci miliardi di dollari. Ciò sta imponendo agli interpreti alcune riflessioni circa le problematiche legali connesse alla creazione e gestione di sistemi basati sulla distributed ledger technology.

Il fermento creatosi intorno al fenomeno blockchain è pari (forse) solo a quello che circonda l’imminente entrata in vigore del nuovo Regolamento UE 2016/679 sulla protezione dei dati personali, meglio noto come GDPR: fermento del tutto giustificato, posto che la mancata compliance alle disposizioni della GDPR entro il 25 maggio 2018 espone le imprese a sanzioni pecuniarie fino a 20 milioni di Euro o fino al 4% del fatturato mondiale totale annuo, se superiore.

Ma quali sono le problematiche dei sistemi basati sulla tecnologia blockchain da una prospettiva privacy?

Il tema ha radici molto più antiche di quanto che si possa immaginare. La blockchain, come algoritmo di funzionamento del sistema di valuta virtuale bitcoin, ideato dal fantomatico Satoshi Nakamoto nel celeberrimo paper “Bitcoin: A Peer-to-Peer Electronic Cash System“, nasce nell’ambito del movimento cypherpunk, attivo sin dagli inizi degli anni ’90 e che, nel proprio manifesto, esprimeva due finalità cardine: la ricerca di una privacy assoluta, attraverso forme di crittografia sempre più evolute, e la creazione di una valuta elettronica indipendente, non tracciabile, anonima e segreta.

Privacy in an open society requires anonymous transaction systems” – The Cypherpunk Manifesto

In prima battuta, si potrebbe quindi pensare che l’utilizzo di sistemi di blockchain non implichi particolari problematiche di privacy, posto che le transazioni in moneta virtuale (quali Bitcoin o Ethereum) avvengono in regime di “pseudonimità“: pur essendo le azioni di un singolo address perfettamente trasparenti nel registro condiviso, non esiste una connessione diretta con una persona fisica o un’organizzazione.

In realtà, le tematiche di compliance alla normativa in materia di data protection hanno un peso specifico molto maggiore rispetto a quello che appare a prima vista: la struttura stessa della blockchain, difatti, pone una serie di interrogativi che lasciano più di un dubbio circa la sua compatibilità con le norme del nuovo Regolamento privacy

Come ormai noto, la blockchain è, in estrema sintesi, un database distribuito su una rete peer-to-peer: qualunque partecipante alla rete può prelevare il database, nel quale sono registrate ed elencate tutte le transazioni effettuate, al fine di permettere ai nodi della rete peer-to-peer di verificare la validità delle future operazioni. La conseguenza è che la blockchain non è alterabile o modificabile senza il consenso del 50%+1 dei nodi che partecipano alla rete. La blockchain viene, infatti, spesso definita come un “append-only data store“: una volta che un dato vi è stato immesso, non può essere eliminato senza minare l’affidabilità e la validità del sistema stesso.

La definizione di dato personale contenuta nella GDPR (art. 4, n. 1) include “qualsiasi informazione concernente una persona fisica identificata o identificabile” e considera “identificabile” la persona che “può essere identificata, direttamente o indirettamente, con particolare riferimento a (…) un identificativo online“. A tale proposito, occorre quindi considerare, in prima battuta, che lo sviluppo di forme sempre più evolute di blockchain analysis possono permettere di risalire all’identità delle persone cui gli address si riferiscono, rappresentando una seria minaccia per la tutela della privacy.

Inoltre, la stessa “pseudononimizzazione” dei dati personali, cioè la procedura volta a far sì che “i dati non possano più essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive” (art. 4, n. 5 GDPR) è specificamente disciplinata dalla GDPR ed è sottoposta alla condizione che le informazioni aggiuntive siano “siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire la non attribuzione a una persona identificata o identificabile“. Con specifico riferimento alle misure di sicurezza cui le informazioni aggiuntive devono essere sottoposte, l’applicazione delle norme in materia dettate dalla GDPR è quindi del tutto ineludibile.

Da ultimo, si consideri poi che la blockchain è una tecnologia con numerosissime possibilità di applicazione e non è detto che, in ambiti diversi da quello del fintech, essa non possa contenere dati personali in forma non pseudonomizzata.

Quanto sopra mette in evidenza come, da un punto di vista generale, le tecnologie basate sulla blockchain pongano importanti questioni di compatibilità con il nuovo Regolamento privacy:

(1) in primo luogo, come si è visto, i dati che compongono il registro distribuito non possono essere modificati o eliminati senza che sia compromessa la validità stessa della blockchain: ció crea evidenti conflitti con la disciplina dettata dalla GDPR, ad esempio, in materia di diritto all’obliolimitazione al trattamento e diritto alla portabilità dei dati personali;

(2) la necessità di conservazione dei dati a tempo indeterminato per assicurare la genuinità della blockchain fa sorgere problematiche sotto il profilo della minimizzazione dei dati, caposaldo della GDPR, che impone inter alia di definire tempistiche certe per la conservazione dei dati personali;

(3) lo sviluppo di soluzioni basate sulla blockchain deve poi tenere conto della necessitá di assicurare, sin dalla fase di ideazione e sviluppo, il rispetto dei principi e delle disposizioni della GDPR in materia di trattamento dei dati personali, sintetizzate dall’art. 25 GDPR nei concetti di privacy by design e privacy by default;

(4) il trattamento di dati personali effettuato attraverso l’uso di nuove tecnologie, qualora presenti elevati rischi per le libertà e i diritti degli interessati, deve essere obbligatoriamente preceduto da una valutazione d’impatto ai sensi dell’art. 35 GDPR;

(5) da ultimo, la natura distribuita del database a livello internazionale pone importanti quesiti sia sotto il profilo del trasferimento internazionale dei dati, sia sotto l’aspetto dell’enforcement di eventuali decisioni emesse di autorità nazionali in relazione alla cancellazione di dati personali in essa contenuti.

In conclusione, l’imminente entrata in vigore della GDPR pone numerose tematiche per le imprese che intendono offrire servizi basati su sistemi di blockchain: per la relativa gestione – e per evitare sanzioni anche molto gravose – è necessario un coinvolgimento ed un dialogo costante con la funzione legale (e, in particolare, con la nuova figura introdotta dalla GDPR del Data Protection Officer) sin dalla fase di sviluppo della soluzione e durante le successive fasi di implementazione ed utilizzo.