Nel suo rapporto Draghi dice che non possiamo avere una forte tutela dei diritti fondamentali e allo stesso tempo aspettarci di promuovere l’innovazione. La critica è rivolta in particolare al GDPR, che protegge i nostri dati personali. Ma è una critica senza fondamento.
Tra le cause della scarsa competitività delle imprese europee nei settori avanzati dell’informatica, oggi chiamata “intelligenza artificiale”, il rapporto Draghi individua la regolamentazione dell’Unione Europea sull’uso dei dati1. Considerata troppo complessa e onerosa rispetto ai sistemi in vigore nei principali paesi leader, come USA e Cina, tale regolamentazione penalizzerebbe i ricercatori e gli innovatori europei impegnati nella competizione globale.
[...]
Il senso è chiaro: non possiamo avere una forte tutela dei diritti fondamentali e allo stesso tempo aspettarci di promuovere l’innovazione. Il trade-off è inevitabile, e prepariamoci ad affrontarlo.
Ma quali sarebbero gli ostacoli che questa “strong ex ante regulatory safeguard” pone all’innovazione e alla competitività delle imprese europee? Il rapporto Draghi ne individua tre: i) il GDPR impone oneri alle imprese europee impegnate nei settori di punta dell’intelligenza artificiale che le penalizzano rispetto ai concorrenti USA e cinesi; ii) l’applicazione frammentaria e incoerente del GDPR crea incertezza sull’uso legittimo dei dati e iii) questa incertezza impedisce, in modo particolare, l’uso efficiente dei dati sanitari per lo sviluppo di strumenti di intelligenza artificiale nel settore medico e farmaceutico.
Verifichiamo se gli argomenti a sostegno di queste tesi possono reggere a un’analisi un po’ approfondita.
L'Alta Corte dell'Unione Europea ha emesso una sentenza che limita l'uso dei dati personali degli utenti da parte di Meta e altre piattaforme social per scopi pubblicitari. La decisione, in linea con un parere precedente di un consulente della corte, impone restrizioni sulla durata della conservazione delle informazioni personali per il targeting degli annunci.
La sentenza fa riferimento al Regolamento Generale sulla Protezione dei Dati (GDPR) dell'UE, istituito nel 2018. In particolare, si basa sul Recital 65 del GDPR, che stabilisce il "diritto all'oblio" e il diritto alla rettifica e cancellazione dei dati personali. La mancata conformità al GDPR potrebbe comportare sanzioni fino al 4% del fatturato annuo globale, cifra che per colossi come Meta potrebbe ammontare a miliardi di euro.
La Data Protection Commission (DPC), l’autorità irlandese che si occupa di privacy e che agisce in materia per conto dell’Unione Europea, ha multato Meta per 91 milioni di euro per non aver tutelato in maniera adeguata le password dei suoi utenti.
Meta è la società statunitense che controlla Facebook, Instagram e WhatsApp e la sanzione è stata stabilita in seguito a indagini cominciate nell’aprile del 2019, quando Meta aveva avvisato l’ente irlandese di aver inavvertitamente conservato le password nei suoi sistemi interni senza che fossero criptate: è una violazione del Regolamento generale dell’Unione Europea sulla protezione dei dati (GDPR), la legge europea in vigore dal maggio del 2018 e pensata per rafforzare la protezione dei dati personali dei cittadini e dei residenti dell’Unione Europea.
Vinted, la nota piattaforma online di abbigliamento di seconda mano con oltre 100 milioni di utenti in tutto il mondo avrebbe violato il Gdpr, e per questo è stata condannata a pagare una multa di € 2.385.276.
Le autorità avevano denunciato delle “difficoltà incontrate da parte degli interessati nell’esercizio del loro diritto alla cancellazione dei dati", a cui Vinted avrebbe omesso di dare seguito senza fornire specifiche motivazioni, e senza chiarire perché in certi ambiti il trattamento dei dati degli utenti sarebbe proseguito anche dopo la loro richiesta di cancellazione.
In Italia Vinted era stata già sanzionata nel 2022 dall’Antitrust con una multa di 1,5 milioni di euro per aver dato informazioni “ingannevoli e scorrette” agli utenti.
Sintetizzando, sono ormai parecchi anni che le piattaforme digitali sono moderate, con buona pace delle utopie libertarie della rete: la gran parte di quello che vediamo oggi su internet é gestita, direttamente dalla piattaforme di riferimento oppure da aziende terze, perché si tratta di ambienti di tipo commerciale, istituzionale, in definitiva spazi non liberi.
Link all'articolo completo qui.
Approfondimento Dal Digital services act all'AI act
"La moderazione mediata dalle macchine è la regola, con i deludenti risultati che conosciamo: opere d'arte censurate perché considerate nudi imbarazzanti, post eliminati e ricorsi che si perdono nei meandri delle big tech."
"Per effetto del Dsa Bruxelles ha bloccato il lancio di TikTok Lite in Europa, giudicano pericoloso il suo sistema di ricompense per stare sul social perché genererebbe dipendenza. Anche per Temu e Shein sono scattate le prime richieste di informazioni su come gestiscono la sorveglianza di prodotti illegali, che se insoddisfacenti potrebbe costare un'indagine a carico."
La localizzazione del dato sta diventando sempre di più un "false friend". il 24 giugno Microsoft ha ammesso agli organi di polizia scozzesi che non può garantire che i dati sensibili delle forze dell'ordine rimangano nel Regno Unito.
Può sembrare che processare i dati nei confini territoriali dello Stato sia una garanzia assoluta di sovranità. Purtroppo non è così, intanto perchè banalmente non sempre accade. Ed il caso inglese è emblematico. Ma comunque c’è sempre un dato fattuale che non possiamo più far finta di non vedere. L’operatore cloud extraeuropeo spesso si processa i dati in casa: la sua.
Nella migliore delle ipotesi, tiene fermi i dati degli utenti inattivi, ma gli altri li porta fuori e sono proprio quelli in elaborazione.
[...]
Di quale sovranità stiamo parlando quando reclamiamo la localizzazione dei dati nei confini UE? Lo capiamo facilmente seguendo il filo conduttore che ha portato al rinnovo dell’accordo di data flow UE/US.
L'articolo dei ricercatori del Politecnico di Zurigo, disponibile presso Usenix.org, spiega il metodo usato per documentare con i dati quello che molti utenti sospettano da tempo: i ricercatori hanno adoperato il machine learning, una particolare branca dell'intelligenza artificiale, per automatizzare il processo di interazione con queste richieste di cookie dei siti. Questo ha permesso di estendere la ricerca a ben 97.000 siti fra i più popolari, scelti fra quelli che si rivolgono principalmente a utenti dell'Unione Europea, includendo siti scritti in ben undici lingue dell'Unione.
[...]
I risultati, però, sono sconsolanti: oltre il 90% dei siti visitati con il software scritto dai ricercatori contiene almeno una violazione della privacy. Ci sono violazioni particolarmente vistose, come la mancanza totale di un avviso per i cookie nei siti che usano i cookie per la profilazione dei visitatori, che secondo i ricercatori si verifica in quasi un sito su tre, ossia il 32%.
Sulla scia della pandemia, le scuole dell'Unione Europea hanno iniziato a implementare sempre più servizi digitali per l'apprendimento online. Se da un lato questi sforzi di modernizzazione sono uno sviluppo apprezzabile, dall'altro un piccolo numero di grandi aziende tecnologiche ha immediatamente cercato di dominare lo spazio, spesso con l'intenzione di abituare i bambini ai loro sistemi e creare una nuova generazione di futuri clienti "fedeli". Una di queste è Microsoft, i cui servizi 365 Education violano i diritti di protezione dei dati dei bambini. Quando gli studenti vogliono esercitare i loro diritti GDPR, Microsoft afferma che le scuole sono il "responsabile del trattamento" dei loro dati. Tuttavia, le scuole non hanno alcun controllo sui sistemi.
Spostamento di responsabilità tra Big Tech e scuole locali. I fornitori di software come Microsoft hanno un enorme potere di mercato, che consente loro di dettare i termini e le condizioni dei contratti con chiunque voglia utilizzare i loro prodotti. Allo stesso tempo, questi fornitori di software cercano di eludere le responsabilità insistendo sul fatto che quasi tutto ricade sulle autorità locali o sulle scuole. In realtà, nessuno dei due ha il potere di influenzare il modo in cui Microsoft tratta i dati degli utenti. Al contrario, si trovano di fronte a una situazione di "prendere o lasciare" in cui tutto il potere decisionale e i profitti spettano a Microsoft, mentre le scuole devono sopportare la maggior parte dei rischi. Le scuole non hanno alcuna possibilità realistica di negoziare o modificare i termini.
Il paese viola tutti gli standard stabiliti dal Gdpr. Le associazioni per i diritti digitali chiedono all’Europa di rivedere la sua decisione
Israele potrà trasferire nel suo paese i dati dei cittadini europei. Come se niente fosse, come non ci fosse un genocidio, come se fosse un paese sicuro dal punto di vista della privacy. Come se sulla sorveglianza di massa non avesse costruito gli strumenti per le stragi a Gaza. La notizia è di qualche tempo fa, ma si è saputa solo ora: la Commissione di Bruxelles ha dato via libera alla possibilità del trasferimento dei dati da e verso Israele. Dati dei cittadini del vecchio continente. Che ora potrebbero essere profilati, controllati, spiati da Tel Aviv.
In Europa, come sanno tutti, la materia è regolata da una serie di leggi, racchiuse nel Gdpr.
La Commissione europea ha violato le norme sulla protezione dei dati personali per le istituzioni, il Gdpr, usando Microsoft 365. Lo ha fatto sapere il Garante europeo per la protezione dei dati, a seguito di un’indagine aperta sull’esecutivo europeo, che ha evidenziato come la Commissione non sia stata in grado assicurare un livello adeguato di protezione ai dati trasferiti fuori dall’Unione europea o dallo Spazio economico europeo.
Secondo il Garante, Wojciech Wiewiórowski, la Commissione ha infranto diverse disposizioni del regolamento 1725 del 2018, relativo alla protezione dei dati raccolti e trattati all’interno delle istituzioni, degli organi, degli uffici e delle agenzie dell’Unione. Una violazione che ha origine dallo stesso contratto stipulato tra Microsoft e l’esecutivo, nel quale l’istituzione ha mancato di specificare quali dati siano raccolti e a quale scopo quando si utilizza Microsoft 365, che comprende World, Excel, PowerPoint, Outlook e altri applicativi.