Lo scorso 11 dicembre, l’Amministratore Delegato di Google, Sundar Pichai, è stato audito dalla Commissione Giustizia statunitense su una serie di problematiche che vanno dal modo in cui Google tratta i dati fino alle voci di manipolazione dei risultati di ricerca sulla base di un criterio di discriminazione politica, fino alla relazione su Google e il governo cinese in relazione al motore di ricerca che censura chiamato “Dragonfly”.
Qui puoi trovare un estratto dell’audizione pubblicata da CNET channel
Da europea, ho avuto la sensazione che l’AD di Google stesse rispondendo alla Commissione statunitense mentre in realtà parlava con la Commissione Europea, preoccupato dalla sanzione che è stata appena comminata a Google per violazioni della normativa Antitrust.
Negli scorsi mesi, infatti, Google ha dovuto affrontare la multa di 4,3 milioni di Euro per abuso di posizione dominante, in quanto obbligava i produttori ad installare sui propri device il motore di ricerca Google o Google Chrome come condizione per l’accesso al mercato delle App Google Play Store.
Successivamente, è saltata fuori la questione Google+: si è scoperto che gli sviluppatori delle app e dei plugin di Google+ (il social network di Google mai diventato sufficientemente popolare) potevano avere accesso ai dati personali degli utenti che installavano le app/plugin/estensioni. In altre parole, si è scoperto che il tuo plugin meteo di Google+ poteva avere accesso alla lista dei contatti, alle email, i numeri di telefono, i gruppi, ecc.
Tale scoperta è stata talmente vasta da portare Google a preferire di rinunciare a Google+ per evitare le sanzioni per violazioni privacy da parte della Commissione Europea.
Secondo il nuovo regolamento Europeo, infatti, tali violazioni avrebbero determinato una sanzione di “20 milioni di Euro o il 4% del fatturato mondiale, se superiore”.
Ma che cosa richiede il GDPR?
Il Legislatore Europeo ha preso atto che è impossibile seguire lo sviluppo tecnologico ed è altrettanto impossibile ed economicamente controproducente cercare di fermarlo.
I pilastri del nuovo regolamento europeo sulla privacy sono:
– L’informativa e il consenso dell’utente;
– la Privacy by design e by default;
– La valutazione di impatto privacy;
– Le notifiche in caso di data breach.
Seguendo questo percorso, siamo in grado di tradurre in un riferimento alla Commissione UE alcune frasi del CEO Pichai, come se fossero il tentativo di rassicurare l’Europa sulla compliance di Google.
– L’informativa e il consenso dell’utente. Significa che l’utente deve essere informato di quali dati il device, l’app, il software, la società, ecc., tratterà, per quanto tempo e dove i suoi dati saranno conservati e se saranno comunicati a terzi.
Tale informativa deve essere chiara e comprensibile per tutti gli utenti. Per tale motivo l’AD Google continua a sottolineare che viene consentita “la scelta, il controllo e la trasparenza”. Come dire alla Commissione UE: “Siamo compliant! I nostri utenti sono informati e possono scegliere quali dati condividere con noi!”
– Privacy by design e privacy by default. Vuol dire che un device deve essere progettato fin dall’inizio del processo creativo con un occhio particolare agli aspetti della privacy e che la privacy deve essere settata di default.
Di fatti, l’AD Google sottolinea che se si installa un’app di fitness, probabilmente è l’utente che vuole che vengano calcolati i passi compiuti in un giorno. E’ l’utente che sceglie di essere tracciato.
Naturalmente, è vero che un telefono iPhone o Android possono tracciare la località, le condizioni climatiche dell’ambiente circostante, l’altezza e la latitudine e ciò può essere utile in molteplici occasioni: mentre si visita un posto nuovo, si guida l’auto, si monitora il workout in palestra, e così via. E’ l’utente a decidere se il tracciamento da parte del device gli è necessario.
D’altro lato, il device deve essere inizialmente settato affinché il tracciamento sia disattivato, è l’utente ad attivarlo: questo significa veramente privacy by default ed è ciò che l’AD di Google ha cercato di spiegare ad un Commissario Repubblicano troppo preoccupato di essere visto in compagnia dei colleghi Democratici (e viceversa!).
– Verifica di impatto privacy significa che il Titolare del trattamento (colui che raccoglie, conserva, gestisce i dati) deve verificare l’impatto sulla privacy di tutti i processi societari. Per tale motivo l’AD Google continua a dire che “in Google si presta un sacco di attenzione alla privacy degli utenti e i dipendenti lo sanno”.
– La notifica dei data breach è un punto chiave per la costruzione di una relazione migliore tra i fornitori di servizi e gli utenti. Il legislatore europeo sa che non esiste il rischio zero nella data security.
Ogni sistema può essere attaccato, qualsiasi tecnologia può essere hackerata e la reticenza del titolare del trattamento può determinare un pericolo per le libertà e i diritti delle persone, per tale motivo le società che subiscono una violazione di dati devono notificarla all’Autorità di Controllo come la Commissione o le Autorità Garanti dei paesi membri, le quali possono suggerire le azioni da intraprendere per ripristinare la sicurezza del dato (eventualmente suggerendo anche delle modifiche ai processi aziendali per evitare che si ripetano).
Ovviamente l’Autorità di Controllo può sanzionare il Titolare se accerta che la violazione è conseguente alla mancata adesione alle previsioni del GDPR.
Per questo motivo l’AD Google ha continuato a ripetere che avevano controllato su eventuali manipolazioni dell’algoritmo del motore di ricerca e che non avevano trovato alcuna evidenza.
Alcuni giornali Europei hanno notato che l’AD Google ha detto che la sanzione inflitta dall’Antitrust era solo la prima, suggerendo che in futuro altre potrebbero arrivare.
La vicenda di Google+ si è verificata un paio di mesi prima dell’avvio dell’efficacia del GDPR e nessuno di noi è veramente a conoscenza di quanto Google sia compliant alla legislazione sulla privacy. Il futuro ce lo dirà.
Ad ogni modo, ciò che è emerso dall’audizione è l’importanza della consapevolezza su come funziona la tecnologia, le sue potenzialità e i suoi rischi. Come è stato detto nell’apertura dell’audizione: “Da grandi poteri derivano grandi responsabilità”, avere strumenti potenti (basti pensare alle smart-home o all’AI) comporta delle grandi responsabilità anche per gli utenti, che devono essere consapevoli del tipo di dati che condividono con i loro strumenti, se li vogliono condividere, bilanciando costi e benefici.
D’altro lato, i produttori e gli sviluppatori devono minimizzare i dati trattati in modo da mantenere la sicurezza dei dati degli utenti sia contro l’utilizzo scorretto e sia contro attacchi da parte di terzi. Il bilanciamento tra cosa un device può fare e cosa l’utente necessita che il device faccia e tracci diventerà sempre e sempre più importante con lo sviluppo dell’AI.
Qui puoi trovare l’intera audizione.