Laura Liguori

“I dati sono il nuovo petrolio”. La metafora sta a indicare che i dati sono diventati una sorta di nuova linfa vitale del capitalismo, una delle risorse più importanti al mondo. Del resto siamo immersi in un mondo di dati e noi stessi ne produciamo in continuazione. Ogni volta che usiamo un dispositivo digitale. Anzi, basta avere in tasca uno smartphone per lasciarsi dietro una scia di dati. Inevitabilmente, dunque, chi controlla i dati ha un grosso potere: è azzardato forse dire che chi controlla i dati controlla le nostre vite, ma di certo ne conosce molti aspetti (stile di vita, condizione di salute, amicizie…) e ne può trarre vantaggi competitivi. Pensate per esempio il valore che ha per il business di un’azienda la possibilità di profilarvi.

A questo punto è probabile che vi stiate chiedendo: “Che fine fa la mia privacy?”. Ebbene, sappiate che nell’era dei dati, non solo il data scientist – cioè chi sa analizzare e interpretare dati – è considerata una figura professionale strategica e sempre più richiesta sul mercato. Lo è anche il consulente privacy.

Abbiamo incontrato Laura Liguori, avvocata esperta di privacy e protezione dei dati personali: se ne occupa da oltre 20 anni. Dai tempi della tesi di laurea. “Era il 1996, e da allora non ho mai smesso di occuparmi di questa materia che, se un tempo era considerata roba da nerd, una nicchia di poco conto”, oggi invece è diventata strategica per le società e la società.

“La musica è cambiata – ci dice Laura Liguori dal suo studio di Roma – con i casi Snowden e Cambridge Analytica, con il diffondersi dei social network e la consapevolezza che i dati personali sono il “petrolio” della nostra epoca. Tanto che c’è una lotta geopolitica in corso su chi controlla i dati, sui cloud nazionali, che vede contrapposti Cina e Stati Uniti. Con l’Europa che stenta a inseguire questi giganti”.

Perché questa disparità sul controllo e trattamento dei dati personali?

«Perché in Europa quando si parla di dati personali si parla di diritti fondamentali, di libertà, di dignità umana, ecc. Non è solo una questione economica o di ordine sociale, ma anche morale ed etica. Ed è così fin dalla metà degli anni Novanta, quando le prime normative europea e italiana hanno visto la luce, e io – con una tesi di laurea proprio sull’allora disegno di legge sulla privacy – ho iniziato ad occuparmi di questa materia».

Lei si occupa di protezione dei dati personali: di fatto cosa significa?

«Proteggere i dati personali significa consentire alle persone di mantenere il controllo delle informazioni che le riguardano. E significa che come avvocata (appartengo alla categoria dei legali d’affari) assisto i miei clienti, che sono aziende, italiane e straniere, nelle attività relative al trattamento dei dati personali – dalle attività di marketing, all’intelligenza artificiale e al life sciences, al trattamento dei dati biometrici per l’attivazione di sistemi di riconoscimento facciale in aeroporto, per esempio – in modo che sia tutto conforme alla normativa sulla privacy».

A proposito di dati personali che ci riguardano: oggi usiamo quotidianamente dispositivi digitali e produciamo e condividiamo, consapevoli o meno, continuamente dati, postando foto o recensioni di ristoranti, indicando la posizione in cui ci troviamo, facendo acquisti online… tanto che è davvero difficile avere tutto sotto controllo!

«Sì, oggi avere il controllo dei propri dati è diventato più complicato, perché le tecnologie sono diventate più complesse, perché sono sempre di più i soggetti che ne fanno uso, perché siamo sempre più interconnessi e tutto avviene all’insegna della velocità. Mi spiego: da un lato abbiamo una normativa che chiede trasparenza, chiarezza, e la possibilità di controllare cosa succede quando condividiamo informazioni, dall’altro noi stessi come utenti esigiamo velocità e prestiamo poca attenzione. Andiamo di fretta e diamo il consenso al trattamento dei dati in modo avventato».

Si riferisce ai banner che ogni volta che ci spostiamo da un sito all’altro rallentano la nostra navigazione?

«Quello dei cookies è l’esempio più classico. Pensate appunto a quante volte vi appaiono durante la navigazione i banner relativi ai cookies e a quante volte vi capita di acconsentire senza pensarci e men che meno leggere le informative. Ebbene i cookies sono piccoli file di testo che vengono conservati nel computer e ci tracciano durante la navigazione consentendo alle aziende di profilarci. Motivo per cui riceviamo pubblicità mirata».

Oggi pensando alla rete e alla sua pervasività, c’è anche il problema che è difficile sapere chi, o che cosa, ci sia dall’altra parte dello schermo. Perché, come si legge per esempio nel libro Fake People (Codice Edizioni), ad essere false non sono solo le notizie ma anche le persone. La rete cioè è piena di profili fasulli e dietro un account può esserci un bot, un algoritmo, insomma una macchina addestrata a comportarsi come un umano per i motivi più disparati.

«La questione dei bot è molto importante. È vero, possono esserci dei bot dietro profili falsi, ma sono bot o possono esserlo anche le chat messe a disposizione dai grandi player nell’erogazione di un servizio per supportare gli utenti. In altre parole, si crede che ci sia un operatore reale dall’altra parte dello schermo, ma in realtà si sta interagendo con una macchina che, grazie all’utilizzo dell’intelligenza artificiale, riesce a conversare con l’utente. Questo non è problematico di per sé, ma ha che fare con la trasparenza, anche se non esiste uno specifico dovere di informare che l’utente stia conversando con un bot».

Un fenomeno recente e preoccupante è il deepfake e l’utilizzo del software deepnude: ci sono cioè app che possono “spogliare” le foto. In altre parole algoritmi di intelligenza artificiale, addestrati su milioni e milioni di immagini di donne nude, riescono a ricostruire le fattezze del corpo della donna immortalata nella fotografia, e riprodurlo senza i vestiti. Come difendersi da questo?

«La questione è all’attenzione del Garante privacy che è intervenuto e ha aperto un’istruttoria nei confronti di Telegram per il software che “spoglia” le donne, e sta valutando come poter contrastare gli usi illeciti di questo tipo di software e come riuscire a contenere il fenomeno del deep fake. Come proteggersi? Su questo fronte è difficile dare consigli. Sicuramente è importante essere molto avveduti, e durante la navigazione è meglio farsi una domanda in più che in meno. Quando siamo online dobbiamo riflettere sui materiali che carichiamo e prestare molta attenzione con chi li condividiamo».

La parola chiave dunque per la sicurezza dei nostri dati è prudenza?

«Prudenza da parte nostra, come utenti, e massima trasparenza da parte delle aziende, nel rispetto dei diritti delle persone. Perché, lo ripeto, quando parliamo di dati personali stiamo parlando di diritti fondamentali. L’attenzione da parte del Garante della privacy c’è, ma non possiamo aspettarci che l’autorità persegua tutti i soggetti che commettono illeciti».

Che tipo di strumenti abbiamo dunque per tutelare i nostri dati e la nostra privacy?

«Innanzitutto rinnovo l’appello alla prudenza e raccomando il ricorso al buon senso. E poi ovviamente ci sono strumenti normativi. Nel 2018 è entrata in vigore una normativa che ha avuto una gestazione molto lunga: mi riferisco al Regolamento per la protezione dei dati personali, uno strumento che ha contribuito a far crescere la consapevolezza delle aziende introducendo il concetto di responsabilizzazione. L’azienda, infatti, deve dimostrare di aver adottato misure idonee per proteggere le persone da eventuali rischi connessi alla circolazione dei loro dati personali. E ha contribuito a far crescere anche la consapevolezza da parte degli utenti e la possibilità di tutelarsi, regolando alcuni diritti come, per esempio, il diritto di accesso, che prevede che chiunque possa chiedere informazioni riguardanti i propri dati, le fonti da cui sono stati attinti, le finalità e le modalità di trattamento. Inoltre ha introdotto anche principi fondamentali, come il divieto di adottare decisioni automatizzate che abbiano effetti giuridici sulle persone. Un principio molto rilevante: si pensi per esempio a chi voglia accedere a un mutuo e, senza esserne al corrente, la propria richiesta viene valutata automaticamente sulla base della vita social».

Questo vuol dire che senza il consenso dell’interessato, non può essere presa una decisione basata unicamente sul trattamento automatizzato, in altre parole non si può demandare a un algoritmo la procedura di richiesta di mutuo o di selezione del personale?

«Esattamente: il Regolamento europeo prevede il diritto di non essere sottoposti a decisioni basate unicamente sul trattamento automatizzato, compresa la profilazione, che possono produrre effetti discriminatori. Questo tipo di decisioni può essere adottata solo ad alcune condizioni e sempre garantendo il diritto a ottenere un intervento umano. Si pensi che in alcuni Paesi, come la Cina per esempio, ci sono invece sistemi di “social scoring” per cui alle persone viene attribuito un punteggio in base al quale possono accedere o meno a determinati servizi».

Scenari distopici alla Black Mirror, su cui George Soros ha puntato i riflettori, lo scorso anno, al World Economic Forum di Davos, sottolineando i rischi insiti nell’affidare scelte e valutazioni ad algoritmi e intelligenza artificiale che, nelle mani di regimi repressivi possono diventare pericolosi strumenti di controllo e condizionare la vita delle persone, limitandone opportunità e in definitiva la libertà. Al di là del social credit system cinese però, il problema dell’uso dell’intelligenza artificiale rimane anche in Occidente: basti pensare a quanto denunciato dal documentario Coded Bias di Shalini Kantayya presentato in anteprima al Sundance Film Festival e in Italia al Trieste Science+Fiction Festival.

Perché se è vero che le macchine non prendono decisioni etiche ma solo matematiche, è altrettanto vero che se i dati su cui elaborano i calcoli sono infarciti di pregiudizi, etnici o di genere, come potrà essere imparziale il risultato elaborato dall’algoritmo?

«La qualità dei dati usati per “educare” l’intelligenza artificiale è di cruciale importanza: se c’è un pregiudizio sul dato con cui viene istruita l’intelligenza artificiale, ovviamente ci sarà lo stesso pregiudizio nel risultato del calcolo algoritmico. Quindi a mio avviso c’è tanto lavoro da fare. In primis è necessario non considerare la formazione a compartimenti stagni, ma combinare competenze di business, legali, tecnologiche ed etiche nella formazione di data scientist e consulenti privacy. A mio avviso, cioè, ci dovrebbe essere una maggiore commistione tra le discipline, per cui se formo una persona che dovrà produrre algoritmi è necessario che non sia digiuna dei principi etici e legali della sua professione e, viceversa, chi studia per una futura carriera nel campo del Privacy Professional (consulente privacy, legale o non legale, responsabile compliance privacy in azienda, ecc.) non può ignorare la parte scientifica e tecnologica.

E poi non è da sottovalutare la questione della parità di genere. L’accesso delle donne alle carriere scientifiche è ancora basso e se coloro che sviluppano algoritmi sono per lo più uomini bianchi (per esempio) gli algoritmi che sviluppano non potranno che rispecchiare i loro pregiudizi. Quindi, ripeto, l’accesso delle donne alle carriere scientifiche è un tema rilevante anche per liberare gli algoritmi dai bias».

A proposito di donne e carriere, ci sono ambiti in cui le donne non sono più mosche bianche ma continuano a essere una minoranza, soprattutto nei ruoli apicali: si pensi al mondo accademico ma anche aziendale e all’esiguo numero di donne che tengono le redini di atenei o imprese. Qual è la situazione nel campo legale?

«Sul fronte della professione legale, io sono socia di uno studio legale e come tale devo dire che non appartengo a una maggioranza: non sono cioè tantissime le donne socie di studi legali. Come consulente nel settore privacy, invece, sono in ottima compagnia: un buon numero di donne cioè, anche e soprattutto a livello internazionale, si occupa di privacy e protezione dei dati personali».

A differenza della cybersicurezza che invece rimane un terreno d’azione prettamente maschile?

«Sì. Il discorso cambia infatti quando si parla di sicurezza informatica, cioè di chi in azienda si occupa della protezione del dato sotto il profilo più tecnico, un’attività che ancora oggi è dominata dalla presenza maschile. Se invece parliamo di responsabili privacy, cioè di chi in azienda si occupa della compliance con le norme in materia di protezione dei dati personali, le donne sono maggiormente rappresentate.

Alcuni studi, come per esempio quello realizzato dall’International Association of Privacy Professionals (IAPP) che è un’associazione internazionale di settore, evidenziano che nella privacy e nella governance dei dati, la situazione è molto equilibrata: le donne occupano posizioni di alto livello e guadagnano tanto quanto gli uomini. Non è da escludere che trattandosi di una professione relativamente nuova non ci sia un “sedimento” maschile. In altre parole, solo da poco le aziende si dotano di questa figura, pertanto non c’è da combattere una rendita di posizione maschile, né un pay gap stratificato nel tempo. Del resto, a lungo la privacy è stata considerata di nicchia, quasi di poco conto. Poi lo scandalo Snowden del 2013 e il caso Cambridge Analytica del 2018 hanno prepotentemente portato la protezione dei dati personali sotto i riflettori e fatto emergere che la privacy è (anche) un business. Ora quindi non è più un settore di nicchia».