Caro Claudio,

Lascio che siano i veri esperti in lista a commentare con rigore, ma tieni presente che la definizione di "dati personali" nel nuovo Regolamento UE (che non mi risulta sia cambiato rispetto alla Direttive del 1995) è: 

1. any information relating to an identified or identifiable natural person 'data subject'; an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person; 

La questione è dunque se sia potenzialmente possibile, stante la tecnologia e le conoscenze ad un dato momento, identificare una persona a partire da dati anche non direttamente legati alla sua identità.

Ciao,

Andrea

On Monday, February 29, 2016, Claudio Agosti <claudio.agosti@logioshermes.org> wrote:

Ciao a tutti,

Nell'ultimo anno sembra che gli OTT stiano facendo qualcosa (almeno dal punto di vista policy, annunci e marketing) per riottenere un po' la fiducia dei consumatori non protetti dal quarto emmendamendo.

Ma stiamo guardando il dito o la luna ? 

Tutta l'infrastruttura legale di riferimento si basa su un principio che non è mai stato messo in discussione: un dato personale è attribuito ad una persona vivente, una ed una soltanto.

Ed ok, è importantissimo. Ma è sufficente ? 

Immaginiamo di essere una corporation il quale unico modello di business è la collezione di dati: il target di queste leggi, le aziende che devono essere limitate per non ledere i diritti dei soggetti profilati.

Come farei io se fossi in loro ? 

Ignorerei l'importanza dei singoli soggetti. Alla fine, andare da Tizio o Caio è utile a fare una discriminazione "forte" del tipo "so che sei in questa condizione, la sfrutto a mio vantaggio, alzandoti un prezzo, o dandoti solo un certo tipo di informazioni, o indicandoti solo alcuni posti sulle tue mappe" etc.

immaginiamo una discriminazione più debole, del tipo:

"non so di preciso se sei tizio o caio, ma so che al 90% la tua situazione è A, B, C e quindi [medesime azioni descritte sopra ]"

L'infrastruttura legale tutela singoli individui, ma immaginiamo che un Google dica:

"non mi interessa di preciso sapere la storia di Claudio Agosti, facciamo che Claudio Agosti rappresenta un certo numero di vite".

Perchè un modo per vederci, con gli occhi del big data, non è che Claudio è un programmatore + un migrante, ma è vedere un programmatore, un migrante, un iscritto a giallozafferano, un utilizzatore di google map. 4 profili parziali, anche se discendono dalla stessa persona.

E queste parzialità sarebbero protette ? credo di sì, perchè ancora associate alla persona fisica, quindi tutelato.

Cos'è l'utilizzo dei dati anonimi per fini statistici ? un utilizzo non regolamentato, stando all'handbook on european data protection law e stando al working party Article 29. 

Ma storicamente la statistica la si è fatta prendendo una base di dati (es, la tabella dell'anagrafe) ed estraendo riduzioni tipo "il 55% sono femmine e il 45% maschi".

Ma chi fa questa tabella ? chi sceglie i soggetti che rientrano in questa statistica ? 

Torniamo quindi ai quattro parziali profili di cui sopra.

Ora abbiamo la tabella dei programmatori (madrelingua italina) il quale GPS nell'ultimo mese è stato visto in germania. Saremo in 20 ? saremo in 300 ? io faccio parte di quel gruppo, e questo dato non è tutelato, ma ha lo stesso valore per chi deve offrirmi una polizza, della pubblicità.

Appliciamo la stessa riflessione su ogni sfaccettatura della nostra vita, interpolata da pattern (sei un migrante, o "hai cercato più di 5 volte nell'ultimo mese un centro sulle STD"), ed immaginiamo che avere il profilo della persona fisica sia superato.

Se vuoi fare discriminazione sul soggetto, sapere la sua appartenenza ad uno dei gruppi di cui sopra è sufficente, indipendentemente dall'avere dati personali miei.

Se vuoi fare discriminazione, previsione, intelligence su dei fenomeni di massa... beh non ti servono di certo i dati delle persone coinvolte, ti interessano solo gli indicatori. "Vattelapesca in provinca di Campobasso è il miglior posto in cui fare la clinica privata con la macchina per la radioterapia 2.0", ho dedotto quest'informazione da dati personali sensibili, ma li ho neutralizzati, ho estratto un valore con le mie analisi big data ed il vantaggio sulla popolazione l'ho sfruttato comunque.

Scusate l'email lunga, sto facendo ancora brainstorming tra me e me, in sintesi:

"per sfruttare la collezione massiccia di dati, i singoli soggetti diventano via via meno rilevanti e nel momento in cui smetti di usare i soggetti come pivot dei tuoi dati, le policy correnti non tutelano più. L'influenza ed il potere del collettore di dati rimane la medesima"

Che ne pensate ? 

Anche nell'ottica di: "google suggerisce siti anti radicalizzazione se fai ricerche estremiste", ma se son google, so chiaramente cos'hai letto, con chi lo leggi, quanto frequentamente lo fai, e qual'è il livello di radicalizzazione che probabilmente hai. E non mi importa se sei Claudio o Akmed, mi importa che sei parte di quel grumo ideologico che voglio influenzare (o farti arrivare un drone), perchè quando fai un gioco di influenza globale, i gruppi contano molto di più dei singoli.

On Sat, Feb 27, 2016 at 8:25 PM, J.C. DE MARTIN <demartin@polito.it> wrote:

A quanto pare verrà reso pubblico lunedì.

juan carlos

------

Sat Feb 27, 2016 7:04am EST

United States sets out limits on its spying as part of new data pact with EU
BRUSSELS | By Julia Fioretti

The United States has set out limits to its use of data collected in bulk about European citizens after a new information-sharing pact was agreed this month, according to documents seen by Reuters.

A clear explanation of what information could be used for -- preventing its "indiscriminate" and "arbitrary" use -- was a key condition of the new Privacy Shield framework that enables firms to easily transfer personal data to the United States.

Under the deal, Washington agreed to create a specific new role within the State Department to deal with complaints and enquiries forwarded by EU data protection agencies. There will also be an alternative dispute resolution mechanism to resolve grievances and a joint annual review of the accord.

[…]

Continua qui: http://www.reuters.com/article/us-eu-dataprotection-usa-idUSKCN0W00G5

_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

-- 

Claudio Agosti,

http://www.journalismfestival.com/news/guilty-by-proximity-ijf16-hackers-corner/

--

--
I speak only for myself. Sometimes I do not even agree with myself. Keep it in mind.
Twitter: @andreaglorioso
Facebook: https://www.facebook.com/andrea.glorioso
LinkedIn: http://www.linkedin.com/profile/view?id=1749288&trk=tab_pro