Privacy o condivisione di informazioni? Dalla funzione di utilità al paradosso della privacy con una applicazione al caso di Facebook-Cambridge Analytica

(1)

UNIVERSITA' DEGLI STUDI DI PISA

CORSO DI LAUREA IN

“STRATEGIA MANAGEMENT E CONTROLLO”

“Privacy o condivisione di informazioni?

Dalla funzione di utilità al paradosso della privacy con

una applicazione al caso di Facebook-Cambridge

Analytica”

RELATORE

Prof.ssa Caterina Giannetti

CANDIDATO

Andrea Barone

(2)

INDICE

INTRODUZIONE...3

CAPITOLO 1...7

La Privacy...7

1.1 Evoluzione del concetto di “Privacy”...7

1.2 Il Garante per la protezione dei dati personali...9

1.3 I compiti del Garante...10

CAPITOLO 2: Dalla direttiva 95/46/CE al nuovo regolamento europeo...12

2.1. La Direttiva 95/46/CE: “Direttiva Madre”...12

2.2 La Direttiva 95/46/CE in breve...13

2.3 Interventi normativi aggiuntivi...15

2.4 Il nuovo Regolamento europeo...15

2.5 Differenze tra le due norme...16

2.6 La nuova moda dei social networks...18

2.6.1 Conseguenze positive e negative dei social network...20

2.7 Il nuovo regolamento Europeo ed i social network...21

2.7.1 Consenso tra GDPR e social network...23

2.7.2 Possibili soluzioni per il raggiungimento di un consenso conforme...23

2.8 Principi per una maggiore tutela della privacy e dei dati personali...24

CAPITOLO 3: La Privacy nei social network...26

3.1 Condividere o proteggere le informazioni?...26

3.2 L'importanza della comunicazione e della privacy per l'umanità...27

3.3 Privacy nell'era dei big data digitali...28

3.4 Significato e cause del “Privacy paradox”...29

3.5 Funzione di utilità tra la condivisione di informazioni e la privacy...32

3.6 Approcci nella condivisione delle informazioni...35

3.7 La privacy e l'incoerenza delle persone...36

3.8 I social network visti con gli occhi degli adolescenti...38

3.8.1 L'importanza della privacy per gli adolescenti...39

CAPITOLO 4: Il caso...40

4.1 Il caso: Cambridge Analityca / Facebook...40

4.2 Lo scandalo di Cambridge Analityca...41

4.3 Conseguenze ...43

4.4 L'influenza dei social network nella vittoria di Trump...44

4.5 Preferenze sulla Privacy negli Stati Uniti, prima, durante e dopo lo scandalo 46 CAPITOLO 5: Questionario...48

5.1 Contesto e motivazione...48

5.2 Oggetto e popolazione di riferimento ...49

5.3 Metodologia di ricerca ...50

(3)

5.5 Scopo del questionario...53

5.5.1 Presenza degli individui nel mondo digitale con un profilo in almeno uno dei più famosi Social Networks...53

5.5.2 L'utilizzo in termini di tempo che ne viene fatto...57

5.5.3 Gli effetti legati al caso Facebook-Cambridge Analytica...59

5.5.4 Gestione del controllo sulle informazioni condivise in rete...60

5.5.5 La presenza del fenomeno “privacy paradox” nelle risposte ottenute...63

5.5.6 Considerazioni finali sul questionario...66

CONCLUSIONI...68

RINGRAZIAMENTI...71

(4)

“Il concetto chiave non è più la ‘presenza’ in rete,

ma la ‘connessione’: se si è presenti ma non connessi,

si è soli.”

(5)

INTRODUZIONE

Questa tesi si concentra sul concetto di “Privacy” inizialmente intesa in senso ampio e poi successivamente analizzata nell'ambito specifico dei social networks. Al mondo di oggi è difficile trovare una persona che non abbia uno smartphone con il quale utilizza le applicazioni che permettono di mettersi in contatto con il mondo virtuale (Wathsapp, Facebook, instagram ecc...), rivoluzionando il modo di essere ed il modo di vivere delle persone. Da un lato, è bello ed è anche giusto che ci sia questo orientamento al cambiamento ed alla tecnologia ma, dall'altro, tutto questo può portare sempre di più a comportamenti che possono arrecare danno alla persona, soprattutto da un punto di vista giuridico. Molto spesso non ce ne rendiamo conto, ma tuttavia dobbiamo essere consapevoli, sebbene vi siano norme sulla privacy, che qualsiasi cosa che pubblichiamo per esempio su Facebook, sia in termini di frasi che in termini di foto, può essere vista da chiunque. Le opinioni che condividiamo su questi social networks, specialmente quelle a sfondo politico o di offese verso qualsiasi altra persona possono essere denunciate dalle persone colpite e possono ritorcersi contro la persona accusatrice. Il lavoro si articola in cinque capitoli. Nel primo capitolo analizziamo il concetto di “Privacy” come protezione dei dati personali, in quanto diritto fondamentale della libertà, andando anche introdurre il ruolo del Garante della privacy, specificando alcuni compiti assegnatoli. Il secondo capitolo introduce i principi generali del D.Lgs n° 196/2003, fino ad arrivare al Nuovo Regolamento Europeo (GDPR: General Data Protection Regulation), facendone inoltre un breve confronto in modo tale da far emergere i cambiamenti più rilevanti. Con il GDPR si è voluto omogeneizzare e rafforzare la protezione dei dati personali in Europa, sostituendo la Direttiva 95/46/CE ed abrogando in Italia le norme del decreto legislativo 196/2003 che erano incompatibili con quest'ultimo. Sempre nel secondo capitolo si discuterà di social networks e del rapporto che si è creato tra questi ed il Nuovo Regolamento Europeo. Le finalità principali di un social

(6)

network sono l'autopresentazione e la gestione delle relazioni. Perchè ciò sia realizzabile ciascun utente deve rendere visibile il maggior numero di informazioni personali, rendendo la protezione dei dati personali una questione centrale e su cui soffermarsi (Ranieri, Manca, 2013). Proprio per questo il GDPR ha cercato di introdurre un regolamento che sia più in linea con la protezione della privacy dei nuovi social networks, anche se in realtà su alcune questioni ci sono ancora problemi di allineamento tra chi detta le norme e chi le dovrebbe rispettare, come la problematica del consenso che esprimono gli utenti per poter accedere ai sempre più indispensabili mezzi di comunicazione e di informazione. Affrontiamo questo problema nel suddetto capitolo e diamo alcune alternative possibili da seguire per la sua risoluzione.

Nel terzo capitolo cerchiamo di dare un senso economico al concetto di privacy, concentrandosi sul rapporto tra la condivisione delle informazioni e la privacy e sulla funzione di utilità che le lega. La condivisione delle informazioni non è altro che un desiderio di comunicazione insito negli esseri umani che sta prendendo sempre più piede con lo sviluppo delle nuove tecnologie. La privacy è un valore umano fondamentale ed ogni singola persona ha la facoltà di scegliere quali informazioni condividere e quali invece, tenere segrete. Proteggere la privacy delle persone è una virtù codificata in tutto il mondo per sostenere la dignità dell'individuo. Nel quarto capitolo analizzeremo un caso reale che è successo recentemente, ovvero il caso di Cambridge Analytica. “Il sospetto è che Cambridge Analytica abbia influenzato le intenzioni di voto di milioni di persone grazie all'uso sapiente di dati personali acquisiti illecitamente, all'insaputa degli elettori stessi” (Mantovani, 2018). Tutto questo ha portato nel tempo ad una chiusura di Cambridge Analytica e ad una conseguente perdità di credibilità di Facebook, subendo in borsa un crollo finanziario dei propri titoli ed una diminuzione degli utenti iscritti sia negli Stati Uniti che in Europa. Mark Zuckerberg per cercare di risalire da questa crisi, oltre ad essere chiamato a rispondere davanti alle più alte autorità comunitarie, ha avviato delle campagne di sensibilizzazione e di pubblicazione dei risultati positivi che piano piano stavano riottenendo, fino ad arrivare ad oggi, che conta quasi 2,1 miliardi di iscritti ed un

(7)

tasso di crescita del 15% dominando lo scenario social mondiale (Lombardini, 2018). Cerco di spiegare il caso e di capire se e come gli utenti hanno cambiato le loro opinioni sul concetto della privacy dopo questo scandalo. Infine, ho creato un questionario di undici domande a risposta multipla, sottoponendolo prevalentemente a studenti universitari, per cercare di capire in questa fascia d'eta, dai 20 ai 30 anni quali sono le abitubini più diffuse nell'utilizzo dei social network, rapportandole anche all'importanza che viene data alla privacy ed alla protezione dei propri dati.

(8)

CAPITOLO 1

La Privacy

1.1 Evoluzione del concetto di “Privacy”

La nozione di privacy ha antiche e nobili origini, come esposto da Sergio Niger, dove nella sua opera ripercorre l’evoluzione storica vissuta dal diritto alla privacy, dai tempi dell’Antica Grecia sino ad oggi evidenziando come la nozione di privacy non è una nozione unificante, ovvero che non è e non è stato coerente nel tempo e nella collettività (Niger, 2006). Gli antichi greci ritenevano fondamentale per i cittadini maschi, la partecipazione alla vita pubblica. La sfera privata veniva riconosciuta, ma solamente nell'espletamento dei propri bisogni e delle proprie necessità. La polis riteneva e tutelava come sacri i confini della proprietà ma a fondamento di ciò non vi era il rispetto della proprietà privata, come saremmo portati a credere, bensì il fatto che «senza una casa un uomo non poteva partecipare agli affari della città, perchè in essa non aveva un luogo che fosse propriamente suo» (Niger, 2006). La privacy, vista come vita spesa fuori dal mondo comune, acquisiva una connotazione quasi antisociale, tanto che “lo stesso Platone riteneva che in una società ideale non vi fosse alcun bisogno di una sfera privata in cui l’individuo potesse rifugiarsi, perchè veniva visto come un pretesto per sottrarsi agli obblighi etici e sociali”(Niger, 2006). In età medievale, il termine “privato” divenne sinonimo di familiare, dove la vita privata era basata sulla fiducia reciproca che univa i membri del gruppo e non vi era spazio per l’individualità. Successivamente la società feudale era caratterizzata da tutta una serie di relazioni che collegavano gli individui che ne facevano parte, sviluppando in questo modo, un senso di intimità, intesa come la possibilità di appartarsi a volontà dalla vita e dalle occupazioni in comune con i propri associati, come ad esempio intimità durante il sonno, intimità durante i pasti, intimità nel rituale

(9)

religioso e sociale ed intimità nel pensiero (Mumford, 1967). Con il disgregarsi della società feudale, nei secoli XVIII e XIX si affermò la privacy nella connotazione a noi più vicina, e la sua evoluzione fu dovuta, secondo Ariès, alla progressiva costruzione dello stato moderno e lo sviluppo dell’alfabetizzazione (Aries, 1993). Una delle più antiche definizioni di “Privacy” nel 1890 era quella di Warren e Brandeis, due giovani avvocati di Boston che partecipavano alla vita sociale dell’intelighenzia bostoniana ed erano i tempi in cui si sviluppano le macchine kodak e si evolve la stampa gossip. Si diffuse in questo periodo il concetto di privacy in quanto spesso nelle feste private venivano diffuse delle foto sulla stampa gossip locale, e Warren e Brandeis scrissero un paper famosissimo che si chiamava “privacy the right to be alone”, cioè “il diritto di essere lasciati stare”. Quindi definirono per la prima volta la privacy come “il diritto di essere lasciati da soli” con argomenti come la “Common law, distinguendo il diritto alla riservatezza dal diritto di proprietà privata, la tutela della sensibilità, frutto del processo di civilizzazione, e la protezione dei sentimenti, delle emozioni e dei pensieri privati, come estensione del diritto alla proprietà privata” (Valensise, 2010). “Siamo insomma arrivati a riconoscere il valore giuridico della sensibilità umana” e “ormai si è capito che solo una parte del piacere, del dolore della soddisfazione della vita deriva, per gli uomini, dai beni materiali. Pensieri, emozioni, e sensazioni richiedono dunque, un riconoscimento giuridico, e solo la grande capacità di sviluppo della Common law consente ai giudici di concedere la protezione richiesta, senza l’intervento del corpo legislativo” scrissero i due. La definizione ha incontrato successo, ma in poco più di un secolo di studi la sua portata è stata ripetutamente estesa e ristretta. Questo concetto nel tempo ha portato ad altre definizioni di altri studiosi come Prosser, Bloustein e Noan (Guzzo, 2017). Si giunge, pertanto, a parlare di informational privacy (Westin, 1970) e di decisional privacy. Entrambe hanno «come fulcro il riconoscimento e la garanzia del potere di autocontrollo in capo al singolo, che nel primo caso si manifesta in una sorta di signoria sulle informazioni inerenti la propria persona, traducendosi in un limite non solo alla diffusione di indiscrezioni sulla vita privata, ma anche, più in generale, alla raccolta ed all’impiego arbitrario dei dati

(10)

personali; mentre nella seconda declinazione la privacy diviene la libertà di autodeterminarsi rispetto alle scelte personali, siano esse pertinenti al procreazione, la libertà sessuale o la libertà di organizzazione» (Mantelero, 2007). Il concetto di right to privacy finisce per diventare un “contenitore concettuale”, come lo chiama Mantelero, dove confluiscono tutte le modalità di tutela della libertà personale garantite al singolo dallo Stato (Fabris, 2009).

1.2 Il Garante per la protezione dei dati personali

Il Garante per la protezione dei dati personali è un’Autorità indipendente istituita in Italia dalla legge n. 675 del 1996. La figura del Garante, nei casi di protezione dei dati personali, si occupa di molti settori della vita del paese, come quello sociale ed economico, in particolare della sanità, comunicazione, marketing, lavoro e più di recente anche delle nuove tecnologie. L'istituzione di questa Autorità ha portato negli anni ad un susseguirsi di convenzioni, accordi e direttive sia a livello comunitario che a livello internazionale. La prima di queste è la Convenzione di Strasburgo n. 108/1981 in materia di “ratifica ed esecuzione della convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981”. Lo scopo della presente Convenzione è quello di garantire, sul territorio di ogni Parte, ad ogni persona fisica, qualunque siano la sua cittadinanza o residenza, il rispetto dei diritti e delle libertà fondamentali, ed in particolare del diritto alla vita privata, nei confronti dell’elaborazione automatizzata dei dati di carattere personale che la riguardano ("protezione dei dati") (Convenzione di Strasburgo, art.1). Oltre a questa, fu determinante anche l'accordo di Shengen, ovvero un insieme di norme e disposizioni, integrate nel diritto dell'Unione europea, volte a favorire la libera circolazione dei cittadini all'interno del cosiddetto spazio

(11)

Shengen (Istituto dell'Enciclopedia Italiana, 15 marzo 2011). Decisivo però fu l'applicazione della Direttiva europea n. 95/46/CE che ha avuto un ruolo strumentale rispetto all'esigenza di abbattere le frontiere all'interno dell'Unione europea, consentendo di rimuovere i limiti ai trasferimenti immateriali. La direttiva, però, essendo stata adottata come direttiva per il mercato interno, aveva come riferimento la regolazione degli scambi commerciali, e sia essa che le leggi nazionali di recepimento, concepivano la protezione dei dati all'interno di una relazione statica tra il titolare e l'interessato, in una visione proprietaria del dato stesso. In tal senso si favoriva un'applicazione formalistica. Il dato era dell'interessato e quindi non poteva essere usato senza consenso, che era lo snodo fondamentale per l'utilizzo ampio del dato stesso (Saetta, 2018). Funzioni di controllo ed assistenza da parte del Garante in materia di trattamento dei dati personali, sono state attribuite successivamente dal comma 2, art. 154 del D.Lgs. n. 196/2003 e dal Trattato di Lisbona, precisando che l'Autorità Garante per la protezione dei dati è l'unica Autorità indipendente. L’indipendenza dell’Autorità è stata ripresa anche dalla normativa italiana nell’art. 153 del D.lgs. n. 196/2003, infatti, “il Garante opera in piena autonomia e con indipendenza di giudizio e di valutazione”. “Il Garante è composto dal Collegio, costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato e dall'Ufficio. Al suo interno viene eletto un presidente, il cui voto vale doppio in caso di parità, ed un vicepresidente che assume le veci del primo in caso di assenza, entrambi con incarico settennale e non rinnovabile. I membri del Collegio devono mantenere il segreto, sia durante sia successivamente alla cessazione dell'incarico, in merito alle informazioni riservate cui hanno avuto accesso nell'esecuzione dei propri compiti o nell'esercizio dei propri poteri” (Art. 153 del D.Lgs. n. 196/2003).

(12)

1.3 I compiti del Garante

I compiti del Garante vengano evidenziati nell'art. 154 del D.Lgs. N 196/2003 in materia di protezione dei dati personali e dal regolamento (UE) 2016/679. Si tratta di un elenco molto preciso e dettagliato dal quale si capisce il ruolo centrale che assume l'Autorità del Garante, impegnandosi nel fare in modo che venga assicurata la tutela dei dati personali attraverso strumenti inibitori, strumenti coercitivi e sanzioni che possono essere sia penali che amministrative.

Citando alcuni compiti, vediamo che il Garante deve (Pizzetti, 2010):

• controllare che i trattamenti di dati personali siano conformi al Regolamento ed alle leggi, ed in caso contrario prescrivere ai titolari o ai responsabili dei trattamenti, le misure da adottare per fare in modo che la disciplina venga svolta correttamente;

• esaminare i reclami e le segnalazioni e valuta i ricorsi;

• collaborare con le altre autorità di controllo e prestare assistenza reciproca al fine di garantire l'applicazione e l'attuazione coerente del Regolamento; • svolgere funzioni interdittive, tra le quali rientrano due tipologie di

provvedimenti restrittivi: imporre una limitazione provvisoria o definitiva del trattamento, incluso il divieto di trattamento; ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento;

• segnalare al Parlamento e altri organismi e istituzioni l’esigenza di adottare atti normativi e amministrativi relativi alle questioni riguardanti la protezione dei dati personali;

• curare l'informazione e la sensibilizzazione del pubblico e dei titolari del trattamento in materia di protezione dei dati personali;

• tenere registri dei trattamenti delle violazioni più rilevanti e imporre sanzioni pecuniarie previste dal Regolamento;

Secondo l'art. 155 alle dipendenze del Garante è posto un Ufficio formato da un Segretario Generale scelto tra magistrati ordinari e amministrativi.

(13)

CAPITOLO 2

Dalla direttiva 95/46/CE al nuovo regolamento

europeo

2.1. La Direttiva 95/46/CE: “Direttiva Madre”

La direttiva 95/46/CE, in vigore per più di venti anni, è stata definita la “Direttiva Madre” (Pizzetti, 2016), in quanto durante tutti questi anni ha regolato attraverso le proprie norme ed i propri principi l'intero ordinamento europeo. Si è dimostrata molto utile per i Paesi che nel corso degli anni sono entrati a far parte dell'Unione Europea, riguardo all'obbligo di dotarsi di una legislazione di protezione dei dati che fosse coerente con la direttiva. Oltre agli Stati membri, ha prodotto i suoi effetti anche al di fuori, in quanto è stata applicata anche alla Norvegia, all'Islanda e al Lichtentein, grazie allo Spazio economico europeo (SEE) nel 1994. Vedremo però che nel corso degli anni questa direttiva troverà sempre più difficoltà di applicazione dovuto ad un forte sviluppo tecnologico che ha portato sempre di più a nuove modalità di trattamento di dati nel mondo digitale. Vediamo di seguito più nel dettaglio la direttiva cercando di spiegare i suoi punti più importanti.

2.2 La Direttiva 95/46/CE in breve

Questa Direttiva è composta da ben 34 articoli, suddivisi in 6 capi, e si occupa di garantire, attraverso le Autorità degli Stati membri, la tutela della vita privata e del trattamento dei dati personali delle persone fisiche, divenuta diritto fondamentale solamente con la Carta dei diritti dell'Unione Europea (Pizzetti, 2016). Il “Dato personale” viene definito come “qualsiasi informazione concernente una persona fisica identificata o identificabile ("persona interessata"); si considera

(14)

identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale” (Direttiva 95/46/CE). L'intento di questa definizione così ampia è quello di impedire alle leggi nazionali di adottare una definizione di dato personale ancora più vasta per non compromettere l'efficacia della direttiva (Pizzetti, 2016).

Per quanto riguarda tutte quelle condizioni che devono possedere i trattamenti per essere conformi alla Direttiva, devano essere rispettati i principi di lealtà e di liceità. Molto importante è la persona interessata, in quanto il trattamento dei propri dati dipende dal suo consenso, a meno che non si tratti di motivi di pubblico interesse. Il consenso però, nel caso in cui i dati vengano raccolti presso l'interessato, deve essere “informato”, mentre l'informativa è connessa al consenso in caso contrario. Per quanto riguarda i “dati sensibili”, come ad esempio l'origine raziale e le opinioni politiche, le garanzie sono maggiori, in quanto viene vietato il trattamento ad eccezione del verificarsi di determinate condizioni e casi come prevenzione medica e condanne penali. Sempre all'interessato viene riconosciuto il diritto di accedere ai propri dati, per capire chi detiene e per quale motivo vengano trattati i suoi dati e se sono aggiornati. Allo stesso tempo, chi detiene questi dati è tenuto, nel caso di dati errati e trattati inadeguatamente, alla rettifica, congelamento o cancellazione degli stessi. Nei casi in cui l'utilizzo dei propri dati avviene per fini commerciali, oppure, salvo disposizione contraria prevista dalla normativa nazionale, per ragioni di interesse pubblico, l'interessato gode del diritto di opposizione. Se un soggetto viene a conoscenza di dati altrui, non può utilizzarli senza il consenso del titolare del trattamento, che deve proteggere questi dati dalla perdita, dall'uso illecito e dalla distruzione, tranne il caso di obblighi legali. Per qualsiasi trattamento di dati, infine, deve esserne fatta pubblicità. In caso di violazione dei diritti riconosciuti dalle disposizioni nazionali applicabili al trattamento dei dati, l'interessato può disporre un ricorso giurisdizionale, per far valere i suoi diritti e nell'intento di ottenere un risarcimento di danni. Per quanto riguarda le sanzioni, quindi il tipo, la natura e l'ammontare, differentemente dal

(15)

nuovo regolamento, vengano decise dai singoli stati.

Il trasferimento di dati personali verso paesi terzi può avere luogo solo se il paese che riceve questi dati garantisce un livello di protezione adeguato. L'adeguatezza o meno della protezione viene valutata tenendo in considerazione alcuni parametri, tra cui la natura dei dati, la finalità dei trattamenti, il paese di origine e di destinazione, le norme, regole e misure di sicurezza presenti nel paese di destinazione. Nel caso in cui uno o più paesi terzi non garantiscono un' adeguata protezione, grazie alla comunicazione tra la commissione ed i paesi membri, si cerca di evitarne il trasferimento, salvo casi particolari. L'unico modo per riaprire questi trasferimenti è che la commissione avvii delle trattative con i paesi terzi per rimediare a questa inadeguatezza del livello di protezione.

Fino ad ora abbiamo parlato di cosa prevede la direttiva in materia di protezione di dati personali, ma è fondamentale capire il ruolo che svolge la struttura organizzativa per la sua attuazione. In particolare deve operare in conformità con la Direttiva, sviluppando una costante implementazione della cultura della protezione dei dati personali e può sviluppare accordi con le Autorità degli altri Stati, formando il “Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali”, comunemente detto “Gruppo articolo 29” (Working party 29), il cui compito principale è quello di dare attraverso le varie opinioni, un'unica interpretazione alle disposizioni della Direttiva per assicurare la massima omogeneità dei vari Stati.

2.3 Interventi normativi aggiuntivi

Abbiamo parlato nel precedente paragrafo della cosiddetta “Direttiva madre”, ovvero la Direttiva 95/46/CE. Il limite principale di questa Direttiva è dato dal fatto che quando ha avuto origine, il livello di telecomunicazione e delle comunicazione elettroniche era sostanzialmente basso. Con il tempo però la tecnologia è avanzata in maniera spropositata, e questo ha portato a dover in qualche modo non sostituire la Direttiva, che rimane comunque la “madre”, ma

(16)

aggiungere nuove norme in materia di comunicazioni elettroniche. Gli interventi normativi di maggior rilievo sono stati la Direttiva 2002/58 del Parlamento europeo e del Consiglio in materia di trattamento dei dati personali e alla tutela della vita privata nel settore delle telecomunicazioni elettroniche, e la Direttiva 2006/24 in materia di conservazione dei dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, successivamente invalidata l'8 aprile del 2014 dalla Corte di giustizia per violazione di proporzionalità tra diritto alla protezione dei dati personali ed esigenze di pubblica sicurezza.

2.4 Il nuovo Regolamento europeo

Il nuovo Regolamento europeo, meglio conosciuto con l'acronimo GDPR (General Data Protection Regulation) è composto da IX capitoli, all'interno dei quali sono presenti vari articoli. E' entrato in vigore nel maggio del 2016, ma la sua applicazione si è verificata dopo due anni. I motivi che hanno portato alla nascita di questo nuovo Regolemento sono molteplici. Uno di questi, e forse il più importante è legato alla volontà della Comunità Europea di difendersi dagli attacchi Americani sottoforma di strumenti tecnologicamente avanzati, quali Google, Facebook ecc... in cui il fulcro di questa battaglia normativa è il dato. Questo è un primo aspetto principale e che si differenzia dalla normativa precedente al GDPR, in quanto precedentemente l'approccio che veniva utilizzato andava sostanzialmente a salvaguardare la persona, cercando di mantenere inalterata la sua dignità. La logica che invece si segue attualmente con la nuova normativa è finalizzata al singolo dato, questo perchè manipolando il singolo dato, riesco ad ottenere una grande quantità di informazioni.

(17)

2.5 Differenze tra le due norme

Analizzando la nuova normativa, possiamo subito notare una differenza concettuale, in quanto si passa da una “direttiva” ad un “regolamento”. Per sua natura, il regolamento ha caratteristiche differenti rispetto alla direttiva, come la chiarezza e la completezza, e non c'è bisogno di alcuna intermediazione legislativa nazionale, in quanto le sue disposizioni vengano applicate immediatamente (Pizzetti, 2016). Un'altra caratteristica che differenzia le due normative e che viene messa in risalto attraverso una semplice consultazione di entrambe, è la particolare cura dimostrata dal Regolamento nel dettagliare le definizioni delle espressioni utilizzate e dei principi contenuti. A proposito di questo, possiamo vedere i ventisei paragrafi di definizioni contenuti nell'art. 4 del Regolamento, e la Direttiva che invece nel secondo articolo si è limitata solo ad otto espressioni. Si capisce bene da questa cosa, che l'intento del legislatore, attraverso questo atteggiamento di precisione quasi maniacale, è quello di evitare il ripresentarsi dei problemi riscontrati nel tempo con la Direttiva. Tuttavia però, il rischio a cui questo nuovo atteggiamento può portare in futuro, è quello di una mancanza di elasticità, cosa che invece la Direttiva ha dimostrato di possedere (Pizzetti, 2016). Oltre a questo si percepisce da una lettura approssimativa che il Regolamento si concentra maggiormente sul titolare del trattamento e sul responsabile del trattamento in materia di diritti e obblighi, piuttosto che sull'interessato, rovesciando in qualche modo la prospettiva della Direttiva, incentrata particolarmente sui diritti di lealtà e di legalità di trattamento dell'interessato (Pizzetti, 2016). Un'altra sostanziale differenza riguarda la maggiore attenzione che viene data al concetto di sicurezza, in cui vengano definiti gli obblighi del titolare e del responsabile del trattamento, in confronto ai due articoli dedicati in merito nella Direttiva. Entrambi sono tenuti a mettere in atto tutte le misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. Questo ha portato ad un aggravio dei loro poteri in termini di aumento del livello di protezione dei trattamenti, con conseguente aumento della loro

(18)

credibilità da parte degli utenti (Pizzetti, 2016). Oltre a questo, viene per la prima volta in Europa, disciplinata la figura del Responsabile della protezione dei dati (DPO), il quale: 1) è obbligatoria per enti pubblici, uffici, autorità, ed a determinate condizioni anche per i privati; 2) è designato riguardo alla sua professionalità, conoscenza e competenza di carattere tecnico e giuridico, indicando anche i compiti da svolgere ed i mezzi a disposizione per compierli; 3) è indipendente dal titolare del trattamento e dalla struttura che ad esso fa capo; 4) è l'unico referente e primo responsabile, anche nei confronti del titolare, delle Autorità di controllo in tutti i casi di illegittimità del trattamento o conservazione dei dati. Un' ulteriore differenza riguarda il rafforzamento della protezione dei trattamenti, in materia di sanzioni, specialmente nei casi in cui il rischio che ne deriva colpisce non solo i singoli interessati, ma anche la collettività. Una novità di grande impatto è stata la maggiore flessibilità riconosciuta all'interessato, concedendogli la possibilità di scegliere a quale Autorità fare reclamo, estendendo la categoria di organi di difesa anche ad associazioni od enti non-profit, portando, ad una maggiore scelta e facilità per l'interessato nell'intraprendere una causa contro chi ha utilizzato illegittimamente i suoi dati, ma con il rischio che per tutelare la collettività, si sottovaluti le ragioni dell'interessato a far valere o meno i propri diritti (Pizzetti, 2016). Infine, cosa molto importante e sul quale il nuovo regolamento contiene una norma molto più ampia, riguarda l'escludibilità dalla norma per multinazionali come Google e Facebook, che hanno lo stabilimento al di fuori dell'Unione Europea e che quindi possono sostenere di non aver compiuto trattamenti dei dati nel territorio europeo. Questo nel tempo ha portato alla cosiddetta “linea Maginot”, dove appunto dietro a questa linea, i grandi colossi si difendavano dicendo di non avere stabilimenti, ma solo agenzie di vendita in Europa. Dal 2010 in poi questa linea inizio a cedere fino a cadere con la sentenza del 13 maggio del 2014 (Google Spain) che affermava che anche la solo vendita commerciale all'interno dell'Unione veniva considerato come un trattamento di dati (Pizzetti, 2016).

(19)

2.6 La nuova moda dei social networks

Al mondo d'oggi esistono varie piattaforme in grado, attraverso una semplice connessione internet, di creare tutta una serie di collegamenti digitali. Questo consente a chi fa uso di queste piattaforme, ovvero gli utenti, di avere la possibilità di creare, attraverso un proprio profilo personale, contatti, conversazioni, condividere idee, video e foto con altri utenti che appartengano alla cerchia di amicizie scelte.

I social networks vengano considerati come piattaforme o diari dove poter raccontare e documentare tutto quello che ci capita e che facciamo durante la giornata. In questo modo vediamo come qualsiasi cosa che svolgiamo quotidianamente, come ad esempio andare a lavoro, fare la spesa o andare in palestra si faccia diventare una notizia consultabile dagli altri utenti. Questo perchè ormai siamo entrati nella visione che per essere presenti e vivi nel mondo reale è necessario ed importante prima di tutto essere presenti nel mondo virtuale dei social network. Questa nuova moda di utilizzare le piattaforme si è sviluppata ed ha preso piede non solo perchè c'è chi documenta la propria vita attraverso continue pubblicazioni, che può essere definito come un “attore sociale”, ma anche perchè ci sono coloro che seguono e che si interessano di queste pubblicazioni, che possiamo definire come gli “spettatori sociali” scegliendo volontariamente di sacrificare il proprio tempo per questo a discapito di altro. Questi ultimi possono interagire in vario modo, attraverso la semplice visualizzazione dei contenuti, ma anche attraverso i mi piace o lasciando un commento. Stiamo andando incontro al fatto che queste attività, sia da parte degli attori che degli spettatori, dove molto spesso una stessa persona ricopre entrambi i ruoli, “stanno colmando una mancanza ben più concreta di passioni, interessi, occupazioni personali, hobby, tutte quelle attività che prima si contendevano il tempo libero a disposizione delle persone, la cui carenza proietta il singolo verso un surrogato di azioni, da attore o da spettatore, concepite ad hoc per riempire detto vuoto” (Cuomo et al., 2011). Fa riflettere come nel tempo sia cambiata la

(20)

concezione ed il modo di utilizzo del diario. In passato era una cosa personale, intima, utilizzata per raccogliere pensieri ed avventure dello scrittore e le terze persone, soprattutto familiari ed amici venivano tenuti al di fuori di questo diario attraverso la sua chiusura da parte di un lucchetto con la chiave, e questo rendeva lo scrittore stesso responsabile della propria privacy.

Per fare un breve cenno alla storia ed all'evoluzione dei social network negli ultimi anni, possiamo partire dal primo social network nato nel 1997 dal nome “SixDegrees.com” creato dallo statunitense Ellison e con l'obiettivo di creare delle relazioni tra le persone. Successivamente, nel 2003, sempre in America nasce “Friendster” che introdusse per le prima volta la possibilità di creare profili con il nome, cognome e foto, aiutando così la ricerca e la connessione fra gli utenti. Questo nuovo social network riscosse molto successo, ma fu proprio questo grande successo a spezzarli le gambe, nel senso che ricevette così tante richieste di iscrizione che arrivò al punto di non supportare l'elevato numero di utenti. Per questo ci fu una vera e propria migrazione di utenti da questo social network ad un altro, “MySpace” creato da Tom Anderson e Chris De Wolfe nel 2003 con uno scopo preciso: “dare ai giovani uno spazio dove poter fare ciò che volevano” (Novelli, 2019). Anche questa piattaforma, grazie ai blog, giochi e molto altro che permetteva di fare ebbe molto successo fino a quando fu venduto nel 2005 per 600 milioni ed iniziò il suo declino. Sempre nel 2003 naque “LinkedIN”, con lo scopo di creare profili personali basati sulle proprie esperienze e capacità professionali. “LinkedIn non è un “curriculum online”. Compilare il profilo e aspettare la chiamata delle aziende è quasi del tutto inutile. Sulla piattaforma dovete avere un approccio proattivo” (Scandellari, 2016). Di recente si sono aggiunti Twitter, Pinterest e Google+, ma quello che domina il panorama mondiale dei social network è Facebook, creato nel 2004, ma ad oggi nessuno è riuscito ancora a scalzarlo, in quanto rappresenta la più grande holding di social networking al mondo, controllando anche piattaforme social come Instagram e di messaggistica come Messenger e WhatsApp.

(21)

2.6.1 Conseguenze positive e negative dei social

network

L'utilizzo dei social network può portare a varie reazioni da parte di coloro che ne usufruiscono. Può portare semplicemente l'utilizzatore ad apprezzare questi strumenti, facendone un uso moderato e per scopi costruttivi, ma anche ad avere un pensiero negativo su di essi, cessando il loro utilizzo. Succede però, specialmente nei ragazzi giovani che queste piattaforme creino una vera e propria dipendenza da connessione e da amicizia, definita “social network addiction” o “friendship addiction”(Cuomo et al., 2011). Per valutare il rischio di dipendenza, questo fenomeno è stato misurato per stabilire il rapporto tra l'individuo ed il social network, andando ad evidenziare tre sintomi (Cuomo et al., 2011):

• Tolleranza: necessità di collegamento e di aggiornamento dei contenuti personali;

• Astinenza: sperimentazione di un disagio psico-fisico per astenzione da collegamento;

• Craving: insorgenza di un pensiero ossessivo legato alla possibilità di connessione;

Questa dipendenza può sfociare in comportamenti inspiegabili che avvengano in rete, come la pubblicazione di foto, video e commenti razzisti, che vanno in qualche modo anche ad intaccare la sfera strettamente personale di altre persone, non rendendosi conto del rischio verso il quale vanno incontro. “Secondo alcuni studi, l’utilizzo prolungato dei media sociali accrescerebbe il tasso di adrenalina e creerebbe dipendenza e distacco dalla realtà, riducendo la curva di attenzione dell’utente, con ripercussioni sul funzionamento della corteccia pre-frontale del cervello; quest’ultima, se non correttamente stimolata, potrebbe spingere il soggetto interessato a comportamenti eccessivamente impulsivi ed imprudenti” (Greenfield, 2011). D'altro canto però questi strumenti se utilizzati nel modo giusto possono assumere grande valore, in quanto sono ottimi mezzi di comunicazione e di condivisione di emozioni e di idee.

(22)

2.7 Il nuovo regolamento Europeo ed i social

network

Negli ultimi anni abbiamo assistito ad un crescendo di social networks disponibili, e di conseguenza è cresciuto anche il loro utilizzo da parte delle persone, indipendemente dall'essere più o meno giovani. Tutto questo ha portato ad un nuovo modo di comunicare, relazionarsi ed informarsi che può essere più o meno condivisibile. Di seguito vediamo un grafico risultante da una ricerca effettuata dall'azienda “Blogmeter”, intervistando un campione di 1500 persone residenti in Italia.

Figura 1: Un'analisi di Blogmeter traccia l'identikit degli italiani che usano i social media e le applicazioni di messaggistica. Chi sono, cosa fanno, quali sono le abitudini d'uso. (Blogmeter, 29 marzo 2017)

Dai numeri che emergono da questa ricerca vediamo quanto i social network sono diventati parte integrante della nostra società, al punto da ritenerli quasi indispensabili. Purtroppo però, tutto questo, a portato le persone a sottovalutare un concetto molto importante, ovvero quello della “privacy”. Quando i social

(23)

networks non esistevano, nonostante ci fosse comunque una normativa che se ne occupava, era più semplice proteggere i nostri dati personali. Ora basta un semplice clik per pubblicare e rendere noto a tutti una quantità enorme di dati. E' proprio anche per questo motivo che la normativa è cambiata attraverso la nascita del nuovo regolamento Europeo. Questo però non ha risolto completamente questa complessa questione. Quando un utente decide di registrarsi ed accedere ad un determinato social network, gli dovrebbe essere richiesto il consenso a fornire ai soggetti interessati i propri dati personali. Quello che in realtà ad oggi succede è che la maggior parte di questi social network possiedono meccanismi di consenso non conformi al nuovo regolamento, o addirittura non li possiedono proprio. Questo porta nel primo caso ad un falso senso di controllo dei dati da parte delle persone che le può spingere a fare valutazioni sbagliate a vantaggio di chi può abusare delle sue informazioni come i responsabili o terze parti, mentre nel secondo caso gli utenti vengano privati della possibilità di scelta provocando una perdita di controllo sulle modalità di gestione dei loro dati personali (Sourya Joyee De, Abdessamad Imine, 2018). Secondo il nuovo regolamento, chi utilizza le modalità di consenso appena elencate è soggetto ad una multa, con successivo rischio di perdità di reputazione da parte degli utenti. In questi casi, la scelta di cancellarsi da questi social network, non porta a risolvere il problema di protezione della privacy, perchè i controllori di dati che stanno dietro a questi social network riescono a possedere i dati personali ugualmente. L'unico modo per garantire la privacy di ogni utente è quello di andare verso un trattamento dei dati personali che sia conforme al nuovo regolamento (Sourya Joyee De, Abdessamad Imine, 2018).

2.7.1 Consenso tra GDPR e social network

Secondo il nuovo regolamento Europeo, per essere considerato conforme, il consenso deve essere liberamente dato, specifico, informato e ottenuto da una chiara azione affermativa dell'interessato (art. 4 del GDPR). Al giorno d'oggi, nei

(24)

social network, tutto questo non si verifica e quando gli utenti si registrano e danno il consenso al trattamento dei dati personali, fanno nascere automaticamente delle interazioni non solo con i fornitori dei social network, ma anche con soggetti terzi e con altri soggetti che come loro si sono registrati e hanno dato il consenso (Sourya Joyee De, Abdessamad Imine, 2018). Nelle interazioni tra utente e fornitore, quest'ultimo, attraverso i dati, le attività e le abitudini di navigazione rese disponibili dagli utenti nei loro profili, possono praticare la cosiddetta “pubblicità mirata”, ovvero quella pubblicità personalizzata per ogni singolo utente, sulla base dei loro gusti. Nel secondo caso, le interazioni tra l'utente e soggetti terzi, si verificano nei casi in cui un utente, all'interno di un social network, utilizza le applicazioni di terze parti. Un esempio di questo può essere il caso di un utente che possiede un profilo di Facebook e che per poter utilizzare una applicazione, per scopi di puro passa tempo e divertimento, deve autorizzare alla stessa l'accesso ai propri dati personali. L'ultima interazione è quella che avviene tra utenti diversi, dove se specialmente fanno parte della stessa rete di amici, molte informazioni di un utente, anche quelle che preferisce non condividere, possono essere visibili sul profilo dell'altro semplicemente pubblicando foto, like e commenti (Sourya Joyee De, Abdessamad Imine, 2018).

2.7.2 Possibili soluzioni per il raggiungimento di un

consenso conforme

A causa dei problemi legati alla conformità dei trattamenti dei dati al nuovo regolamento Europeo, un gruppo di esperti ha effettuato delle ricerche per capire in che maniera muoversi per ottenere sistemi di protezione dei dati conformi con il GDPR (Sourya Joyee De, Abdessamad Imine, 2018). Molto spesso succede che gli utenti, quando si trovano di fronte al regolamento della privacy, trovano difficoltà a capire i rischi a cui vanno incontro, accettandolo. Sarebbe più opportuno che queste note fossero in primo luogo più sintetiche, ma anche più semplici da capire. Per questo un primo tentativo a cui gli esperti hanno pensato, è

(25)

quello di uno strumento che permetta per conto dell'utente di individuare e spiegare in maniera comprensibile tutti i rischi, sia di breve che di lungo periodo, a cui andrebbe incontro per ogni consenso che esprime. La registrazione ad un social network non porta però solamente a possibili rischi dovuti da un illecito trattamento dei dati personali, ma comporta anche dei benefici, quali relazionarsi con altre persone, allargare la cerchia di amici conoscendo nuove persone, tenersi aggiornati ed informati. Nella decisione da parte degli utenti nel dare il loro consenso, viene compreso anche il peso dei benefici che porta il social network, rendendo comunque non semplice la decisione. Per questo, un'altra soluzione pensata dagli studiosi è quella di automatizzare questo processo decisionale, in modo tale che bilanci i rischi con i benefici che porta l'utilizzo dei social network (De, Sourya Joyee, and Abdessamad Imine, 2018). Infine, nell'analizzare il fatto che il fornitore di social network per poter detenere i dati degli utenti necessita del consenso da parte di quest'ultimo, mentre gli altri utenti non hanno bisogno di alcun consenso per poter condividere dati personali altrui, una soluzione a questo potrebbe essere la progettazione di meccanismi collaborativi di consenso (Sourya Joyee De, Abdessamad Imine, 2018). In questo modo è a scelta di un utente e dei suoi amici quali dati condividere e quali no(Sourya Joyee De, Abdessamad Imine, 2018).

2.8 Principi per una maggiore tutela della privacy e

dei dati personali

Nell'intento di provare a rendere più sicura la nostra navigazione in rete o comunque qualsiasi scelta che ci porta a dover accettare che i nostri dati circolino in mano di altre persone, occorrerebbe che qualsiasi normativa che regola la tutela dei dati personali, contenga al suo interno alcuni principi, tra cui (Isaak, Jim, and Mina J. Hanna, 2018):

• Trasparenza pubblica: tutti i dati che vengano raccolti dai siti web o altre applicazioni, devano essere messi a conoscenza degli utenti per capire

(26)

quali dati possiedono, come vengano utilizzati e se e quali di questi vengano condivisi con terze parti, in modo tale da consentire agli utenti di identificare e controllare la divulgazione dei propri dati. Inoltre sono gli stessi siti web o applicazioni a dover informare gli utenti sull'uso che viene fatto dei dati;

• Divulgazione per gli utenti: divulgazione completa sulla conservazione delle proprie informazioni da parte dei siti web, applicazioni e terze parti; • Controllo: se c'è la richiesta di “non tracciare” l'utente, questa deve essere

rispettata, bloccando la divulgazione e la conservazione dei dati. Gli utenti devono essere sia in grado di eliminare i propri dati contenuti in qualsiasi sito o applicazione e sia di poter identificare e disinstallare qualsiasi contenuto o applicazione sui propri dispositivi. Il consenso degli utenti a un sito Web per raccogliere dati su se stessi non deve essere interpretato per estendere le informazioni sui loro "amici" o "contatti". I minori devono essere protetti da un'età di consenso legalmente obbligatoria per rilasciare le loro informazioni private.

• Notifica: deve essere data tempestiva informazione sull'eventuale perdita o abuso delle proprie informazioni da perte di chi le detiene e gli utenti hanno il diritto di sapere da dove proviene questa violazione e chi ne è responsabile.

(27)

CAPITOLO 3

La Privacy nei social network

3.1 Condividere o proteggere le informazioni?

La scelta fra condividere o proteggere le informazioni in nostro possesso è un aspetto da non sottovalutare. Come più volte detto, con l'avanzamento della tecnologia e lo sviluppo dei social network, la condivisione di informazioni è aumentata in maniera esponenziale, ponendo sempre più a rischio l'individuo da trattamenti illegittimi delle proprie informazioni. Tuttavia, il desiderio di comunicazione è insito negli esseri umani come una caratteristica distinta dell'umanità, e molte volte la condivisione di informazioni è figlia di una incoscienza sulle conseguenze future che può portare. La privacy, d'altro canto, è un valore umano fondamentale in quanto ogni individuo sceglie quali informazioni condividere e quali invece proteggere. Proteggere la privacy delle persone è una virtù codificata in tutto il mondo per sostenere la dignità dell'individuo.

3.2 L'importanza della comunicazione e della

privacy per l'umanità

La comunicazione è una caratteristica fondamentale e nucleo centrale di ogni società funzionante e viene definita come l'atto di trasmettere segni e regole semiotiche reciprocamente comprensibili (Puaschunder, 2017). Conseguenza diretta della comunicazione è appunto la condivisione delle informazioni che implica quindi la rinuncia alla privacy. La comunicazione può avvenire in maniera verbale e in maniera non verbale e può riguardare settori diversi che vanno dal business, alla politica ed ai mass media. Nella società, il linguaggio è usato per

(28)

scambiare idee e incarnare teorie della realtà. Secondo i linguisti la condivisione delle informazioni è un processo che si differenzia per stile tra le diverse istituzioni e che porta ad un progresso socio-economico della società, ponendo la lingua come motore dell'evoluzione (Fowler et al., 1979). D'altro canto, la privacy è una virtù umana in tutto il mondo e rappresenta la capacità di un individuo o di un gruppo di isolarsi, condividendo informazioni su se stessi in modo selettivo. Il diritto alla privacy garantisce la possibilità di scegliere quali informazioni proprie possono essere consultate da altri e di controllare l'estensione, le modalità e i tempi dell'utilizzo di quelle parti che scegliamo di rivelare. La privacy comprende il diritto di essere lasciati soli, l'opzione per limitare l'accesso agli altri alle proprie informazioni personali e alla segretezza come opzione per nascondere qualsiasi informazione su se stessi (Solove, 2008). La privacy ha la caratteristica preziosa di essere qualcosa di intrinsecamente sensibile per una persona, che può creare valore e specialità se condivisa o solamente con una persona o con un gruppo selezionato. Nelle relazioni personali, per generare fiducia e conferire un significato alle stesse, la privacy può essere volontariamente sacrificata in cambio di reciprocità e benefici percepiti, nonostante la consapevolezza che così facendo si rischia di andare incontro a rischi di incertezza e perdite. La privacy tende ad essere sacrificata maggiormente nei casi in cui colui che raccoglie i dati mostra in maniera chiara e trasparente quali informazioni vengano raccolte ed in che modo vengano utilizzate. La privacy viene spesso protetta per evitare discriminazioni, manipolazioni, sfruttamento, imbarazzo e rischi di perdite reputazionali, come ad esempio nel caso di informazioni generali di situazioni finanziarie private, cartelle cliniche, appartenenza politica, denominazione religiosa, pensieri, sentimenti e identità. Con lo sviluppo tecnologico, l'era della messaggistica istantanea e dei big data, tuttavia, ha sfruttato l'idea della privacy in un'altra dimensione. Il concetto di privacy delle informazioni è diventato più significativo in quanto più sistemi di controllo dei big data appaiono nell'era digitale. Con i progressi dei big data, riconoscimento facciale, lettori di targhe automatizzati e altre tecnologie di tracciamento, la privacy e l'anonimato sono diventati sempre più costosi.

(29)

3.3 Privacy nell'era dei big data digitali

La quantità di grandi dati archiviati ogni secondo ha raggiunto il massimo storico nell'era digitale. La privacy su Internet è la capacità di determinare quali informazioni si rivelano o si nascondono su Internet, chi ha accesso alle informazioni personali e per quale scopo le proprie informazioni possono essere utilizzate. Le leggi sulla privacy in molti paesi hanno iniziato ad adattarsi ai cambiamenti tecnologici per far fronte alla possibilità di sorveglianza delle informazioni e di memorizzazione dei dati, come ad esempio Microsoft, riportando che il 75% dei reclutatori e professionisti delle risorse umane degli Stati Uniti utilizzano dati online sui candidati, spesso fornite dai motori di ricerca, siti di social network, strumenti di condivisione di foto e video, apparizioni web personali come siti Web e blog come Twitter (Puaschunder, 2017).

Gli strumenti dei social media sono diventati fabbriche su larga scala con manodopera non retribuita. Ad esempio, Facebook rappresenta il più grande sito di social network con circa 1.490 milioni di membri, che caricano oltre 4,75 miliardi di contenuti sulle loro vite e su quelli degli altri ogni giorno (Puaschunder, 2017). Anche l'accuratezza di queste informazioni appare discutibile, con circa 83,09 milioni di account ritenuti falsi. Oltre alle informazioni direttamente osservabili, i siti di social media possono anche tracciare facilmente log e schemi di ricerca, query di ricerca o informazioni secondarie dando inferenze sull'orientamento sessuale, opinioni politiche e religiose, razza, uso di sostanze, intelligenza e personalità generale, stato mentale, punti di vista individuali e preferenze. Oggi, l'attuale quadro globale dei diritti della privacy nell'era digitale è stato criticato per essere incoerente, inefficiente e bisognoso di revisione. Facendo riferimento al pensiero di alcuni studiosi, possiamo vedere che Posner critica la privacy per nascondere le informazioni, in quanto riduce l'efficienza del mercato (Posner, 1981), e Lessig, d'altro canto, sostiene la privacy online regolamentata (Lessing, 2006). Quello che manca è una cornice decisionale comportamentale che serva a spiegare il “paradosso della

(30)

privacy”, nella situazione in cui un individuo vorrebbe comunicare condividendo informazioni, ma dà anche un certo valore alla privacy. Non abbiamo una descrizione di economia comportamentale delle incoerenze nella decisione tra il comportamento di condivisione delle informazioni online e le preoccupazioni sulla privacy nell'era dei big data digitali.

3.4 Significato e cause del “Privacy paradox”

E' stato definito proprio “Paradosso della Privacy” in quanto è un fenomeno che possiamo definire “controintuitivo”, in quanto gli utenti, attraverso le loro dichiarazioni, sembrano molto preoccupati sulla tutela della propria privacy, ma che divulgano informazioni personali anche in cambio di piccoli benefici (Rifon, et al., 2007). E' il caso in cui gli individui sono preoccupati per la loro privacy, ma non agiscono di conseguenza, descrivibile come un trade off tra quello che pensano e quello che fanno (Lutz e Strathoff, 2014). In particolare, con lo sviluppo di questa digitalizzazione, vari studi hanno dimostrato che gli utenti non sono in grado di tutelare la pripria privacy, in quanto non riescano ad attribuire un valore, e sottovalutano tutto quello che pubblicano in rete. E' stato osservato come correre il rischio di abuso o perdità dei propri dati sia maggiormente frequente in internet, in quanto è proprio in rete che si ha una diminuzione del livello di controllo e di prudenza e dove gli utenti si dimostrano maggiormente disposti a scambiare le loro informazioni personali con benefit economici (Acquisti e Grossklags, 2005). Osservando il fenomeno, siamo arrivati ad avere due diverse interpretazioni sulle ragioni di questo comportamento. Da un lato è stata messa a fuoco una dinamica “paradossale” interna alle pratiche di controllo, dall'altro si sono concentrati sulle caratteristiche degli utenti dei siti di social network (Vittadini, 2012). Nel primo gruppo di interpretazione si riconduce il “paradosso della privacy” al “paradosso del controllo”, equiparando la tutela della privacy alla possibilità che gli utenti svolgano un controllo delle informazioni che pubblicano in rete, sia di carattere personale, sia di altro tipo. Questo “paradosso

(31)

del controllo” nasce nel momento in cui il controllo sulla pubblicazione delle informazioni satura il bisogno di tutelare i propri dati, rendendo meno importante e facoltativo il loro monitoraggio una volta pubblicati (Vittadini, 2012). L'altro gruppo di interpretazioni ha invece il compito di spiegare i comportamenti a primo impatto paradossali degli utenti, e capire quali motivazioni e bisogni stanno dietro alle scelte di agire in questo modo. Si tratta di una sorta di bilanciamento di confini, tra quello che gli utenti decidono di mantenere segreto sotto la proprietà personale e quello che decidono di pubblicare, rendendolo di proprietà collettiva (Vittadini, 2012). Per cercare di capire quali siano i fattori che influiscono sugli utenti nella decisione se condividere o meno le informazioni, vediamo la teoria MDT (Multidimensional Development Theory) proposta da Laufer e Wolfe nel 1977, essendo stata applicata anche al problema del privacy paradox, attribuendo al momento della condivisione delle informazioni tre dimensioni: 1) dimensione personale; 2) dimensione ambientale e 3) dimensione interpersonale (Lwin et al., 2003). La dimensione personale si riferisce al comportamento che ognuno assume nei confronti della rete, indipendentemente dall'ambiente esterno ed alla sua dignità personale. Incidono molto le esperienze personali, nelle quali la preoccupazione per la privacy ha raggiunto livelli di soglia diversi e dove, probabilmente, un utente maggiormente interessato alla tutela della propria privacy generale, possa trasferire questo interesse anche in quella online. La dimensione ambientale si riferisce allo spazio fisico e dimensionale con il quale l'utente si interfaccia, la pagina web. Come avviene nell'e-commerce, in cui il design ed il funzionamento del sito assume un ruolo importante nella scelta di acquisto dell'utente, allo stesso modo è importante il senso di rassicurazione che può trasmettere una pagina web, portando il visitatore ad una maggiore condivisione di informazioni personali online. La dimensione interpersonale si riferisce al rapporto che si instaura tra l'utente che vuole acquistare ed il venditore, in cui è chiaro che più il sito mette in condizione l'utente di instaurare un rapporto più intenso e “familiare” con il venditore, maggiore sarà la sua disponibilità a fornire i propri dati. Il sito deve fare in modo che l'utente si fidi di lui e di quello che c'è dietro, in modo tale che percepisca che la condivisione di informazioni, lo

(32)

porterà a subire conseguenze minime, convincendolo che i benefici ottenuti dallo scambio superano i rischi potenziali. Un'altra spiegazione che giustifica il fenomeno del “Privacy paradox” riguarda le gratificazioni immediate che possono ricevere gli utenti nel momento della condivisione delle proprie informazioni, in quanto i riconoscimenti ed attrazioni offerti dai siti online possono stimolare l'utente nella condivisione delle informazioni, mettendo quasi incosciamente in pericolo la propria privacy (Bart e Jong, 2017). Questo avviene in maniera più forte nei Social networks, in quanto si tratta di piattaforme non solo di condivisione di informazioni ma anche di comunicazione, creando relazioni umane tra gli utenti. Qui entra in gioco anche l'aspetto emotivo di ogniuno, grazie proprio alle interazioni che si creano, alla ricerca di una propria identità, portando gli utenti a sottovalutare ancora di più i possibili rischi connessi ad una condivisione affrettata.

3.5 Funzione di utilità tra la condivisione di

informazioni e la privacy

Entrati ormai a far parte dell'era dei big data digitali, ogni singola condivisione di informazioni nel tempo da parte degli utenti che fanno parte della rete, diventa linfa vitale per quelle grandi aziende di raccolta dati, che attraverso la sviluppata capacità di memorizzazione degli stessi, traggono innumerevoli benefici. Abbiamo da un lato, il condivisore di informazioni che non è altro che l'utente iscritto ai vari social network desideroso ed alla ricerca di relazioni con gli altri utenti e con il pubblico, mentre dall'altro, colui che detiene tutti questi dati condivisi e grazie alla vendita degli stessi a professionisti di marketing in grado di trarre conclusioni sul condivisore o utilizzati per scopi di governance, riesce ad ottenere plusvalenze. Cerchiamo di rappresentare e capire in questo paragrafo la teoria dell'utilità nella situazione di un utente che si trova di fronte alla scelta di preferire tra la condivisione delle informazioni e la privacy. Nonostante sia già

(33)

presente una letteratura basata sull'utilità tra comunicazione e privacy, è giusto però riconsiderarla nell'era digitale. E' opportuno gettare nuova luce, attraverso lo studio dell'economia comportamentale, sul conflitto tra il desiderio umano oggi di comunicare e l'insieme di informazioni detenute dalle grandi aziende in futuro, che porta ad una perdita esponenziale della privacy ed a rischi iperbolici (Puaschunder, 2018). Secondo la teoria classica dell'utilità, gli individui vengano costantemente posti davanti a due o più opzioni di scelta. Il peso che danno alle diverse alternative che si trovano di fronte dipende dalle loro aspettative di utilità derivata. Le curve di indifferenza collegano all'interno di un grafico, tutti i punti che rappresentano quantità diverse di due beni, ma che sono indifferenti per l'individuo. Nel caso in cui vengano messe a confronto la condivisione di informazioni e la privacy, gli individui si trovano davanti alla duplice scelta fra condividere informazioni di vario genere, indicato dalla lettera S, oppure scegliere di far rimanere quelle informazioni segrete, mantenedo la privacy, indicato con p (Puaschunder, 2017). La rispettiva curva di indifferenza rappresenta tutti quei punti in cui la quantità di informazioni da condividere e di privacy, portano l'individuo ad avere lo stesso valore di utilità dato il budget complessivo di informazioni detenute dal decisore, e quindi a non avere preferenze tra i due possibili atteggiamenti (Puaschunder, 2018). Le curve di indifferenza sono quindi viste come potenziali modelli di comportamento degli individui rispetto ai pacchetti di informazioni. Come possiamo vedere dal Grafico 2 la curva di indifferenza che mette a confronto questi due valori è una linea retta, data l'ipotesi che la condivisione di informazioni e la privacy siano valori definiti “sostituti”, chiamati anche succedanei, in cui il saggio marginale di sostituzione è costante.

(34)

Grafico 1: curva di indifferenza (linea blu) per la condivisione di informazioni S e privacy p dato il totale vincolo di informazione e comunicazione (Puaschunder, 2017)

In economia classica, come dice Jevons, la convinzione è quella che un individuo sia in grado di classificare i panieri di consumo in ordine di preferenza. In questo caso, la curva di indifferenza data dalla scelta se condividere informazioni oppure mantenere la privacy può essere caratterizzata da vincoli di comunicazione e di informazione che possono portare a problemi intertemporali ed a rischi iperbolici. Ciò significa che, l'individuo nel momento in cui prende la decisione se condividere o meno le sue informazioni è consapevole di quello che fa, ma non potrà sapere nel futuro cosa implicherà la scelta che ha effettuato. In generale, i benefici ed i costi della comunicazione sono dati da una sottrazione linare tra i benefici di comunicazione bc, meno le conseguenza negative di comunicazione cc.

Poichè la natura del problema è intertemporale, ovvero che la condivisione delle informazioni non può prevedere le implicazioni future, questa differenza lineare tra benefici e conseguenze negative deve essere divisa per la varianza σ (Puaschunder, 2017).

(35)

Formula 1:

E' importante a questo punto introdurre il concetto di “sconto iperbolico”, rappresentato dal grafico 3, in quanto nasce nell’ambito della finanza comportamentale e attiene ai problemi di scelta intertemporale. Si tratta di un fenomeno in base al quale, nella valutazione di un prospetto di scelta intertemporale, un decisore tende ad utilizzare un tasso di sconto molto elevato (iperbolico per l’appunto) per orizzonti temporali ridotti, e un tasso meno elevato per orizzonti temporali tra il futuro prossimo e gli eventi più distanti nel tempo (Battaglino, 2017). Di conseguenza, gli agenti decisionali si comporteranno in modo lungimirante quando dovranno pianificare in anticipo azioni che implicano costi o benefici che occorreranno nel futuro, ma saranno relativamente più miopi quando dovranno implementare tali azioni nel presente (Dragone, 2005). In maniera meno economica, per capire meglio, può essere vista come quanto più una ricompensa è lontana nel futuro, tanto minore è la motivazione immediata per raggiungerla.

(36)

Differente è il caso in cui, al giorno d'oggi, ci troviamo di fronte ad un utente che in un determinato istante deve decidere se condividere le informazioni o tenerle segrete. In quel momento l'individuo non ha quasi nessuna comprensione delle conseguenze legate alla rinuncia alla privacy. Si concentra solo sull'attuale momento di scelta tra condivisione delle informazioni e difesa della privacy. Condividere informazioni on-line può essere molto rischioso, in quanto i capitalisti dei social media possono di nascosto, commercializzare i dati forniti dagli utenti per trarne benefici, portando quindi le persone che si aprono a questa nuova era e che sentono il bisogno fondamentale di condividere continuamente, ad essere nel tempo molto vulnerabili. Le informazioni accumulate vengano messe in relazione anche con il resto della popolazione, portando di conseguenza ad una sottorappresentazione implicita di quei gruppi che non sono rappresentati online, rendendoli vulnerabili e violando i loro diritti (Puaschunder, 2018). Molto spesso, questa vulnerabilità delle persone è frutto della mancanza di alfabetizzazione elettronica e della trasparenza (Puaschunder, 2017). Tutte le informazioni che vengano condivise possono diventare oggetto di scambio tra aziende per creare profili ed anticipare le preferenze degli utenti, ma possono anche essere utilizzate per fini di governance, ad esempio meccanismi di conformità fiscale, meccanismi di controllo delle frontiere e per rilevare le opinioni politiche delle persone quando attraversano i confini (Puaschunder, 2018). Ciò che accade è che l'utilità additiva data da una condivisione di informazioni per tranche può sottovalutare il vantaggio dei detentori di informazioni, che, date le potenzialità senza precedenti di accumulo e archiviazione dei dati, traggono benefici grazie alla successiva elaborazione e vendita degli stessi. Dal punto di vista dei capitalisti dei big data dei social media, il guadagno di informazioni di un'altra persona che condivide informazioni è in aumento esponenziale. Pertanto, l'utilità marginale aumenta in maniera esponenziale, ma è sproporzionata rispetto ai costi che al contrario sono marginalmente in declino vista la semplicità con cui un soggetto è libero di iscriversi ai social network. Alla luce di quello che abbiamo detto, possiamo focalizzare il nostro ragionamento su due aspetti chiave:

(37)

• L'individuo si concentra solo sul trade-off del momento attuale tra condivisione delle informazioni e difesa della privacy, senza rendersi conto nel futuro, quali potranno essere i rischi legati ad una sua continua condivisione di informazioni. Proprio a causa del fattore tempo gli individui hanno perso la supervisione delle conseguenze portate dalla condivisione di informazione, aumentando invece la capacità da parte delle grandi aziende di accaparrarsi diversi dati, aiutandoli a capire gli interessi dei singoli individui, anche in relazione agli altri;

• I rischi vengano definiti “hyper-hyperbolic”, in quanto nel contesto della privacy nel mondo digitale ci troviamo di fronte ad una situazione aggravata, dovuta non solo all'inconsapevolezza degli individui che decidono di comunicare, ma anche al fatto che coloro che raccolgono i dati sono in grado di estrarne il massimo vantaggio;

3.6 Approcci nella condivisione delle informazioni

Secondo la teoria dell'utilità neoclassica, chi prende le decisioni, pondera le diverse alternative a disposizione in base alle conseguenze derivanti da ciascuna e dipendono da aspetti incerti dell'ambiente. Nell'era dei dati digitali, al contrario, gli individui non hanno una supervisione sulle conseguenze della condivisione delle informazioni, in cui le ipotesi effettuate risultano distorte, portando ad una sottostima delle stesse conseguenze. L'utilità della condivisione delle informazioni è quindi la somma ponderata delle utilità delle conseguenze. In base all'atteggiamento, modalità e frequenza di condivisone delle persone, le stesse sono state classificate in (Fishburn, 1968):

• Estrema impazienza: condivisione estrema delle informazioni, in quanto

l'individuo apprezza il piacere immediato della stessa, senza esitazione.

• Impazienza: caso in cui un individuo condivide le informazioni pur avendo

la sensazione che questo possa creare problemi in futuro, chiamato “paradosso della privacy”.