Cos'è il riciclaggio dei dati?

Il riciclaggio di dati personali è il processo attraverso il quale dati personali che sono stati raccolti, trattati o derivati (insieme "trattamento", secondo la terminologia del GDPR) contro le norme applicabili sulla protezione dei dati vengono reintrodotti nell'economia dei dati mascherando la loro fonte illegittima.

Questo concetto rispecchia quello che si trova nel settore finanziario sul riciclaggio di denaro che deriva da attività criminali. Tuttavia, se il riciclaggio di denaro richiede che l'oggetto di riciclaggio siano i proventi di reati penali, non esistono sanzioni penali a livello del GDPR per i dati trattati in maniera illecita, solo sanzioni amministrative. Ci sono comunque sanzioni che sono state implementate a livello nazionale dagli stati membri, che hanno incluso vari gradi di reati penali legati alla violazione delle norme sulla protezione dei dati. In Svizzera esiste l’articolo 143 del codice penale Svizzero (Hacking), che copre il furto di qualsiasi dato. Queste sanzioni e gli atti che ricoprono non sono però uniformi, ha perciò senso analizzare la questione a livello europeo.

Se guardiamo solo al GDPR, le violazioni del regolamento che possono dar luogo a una forma di riciclaggio di dati personali sono in particolare quelle coperte dall'art. 83 para. 5 del GDPR, che sono:

1. I principi di base del trattamento, comprese le condizioni relative al consenso (art. 5-9)

2. Diritto all'oblio (art. 17)

3. Diritto di limitazione di trattamento (art. 18)

4. Diritto di opposizione per interesse legittimo (art. 21)

L'elemento comune di questi articoli è che i dati sono sottratti alla sfera di influenza della persona interessata senza un consenso adeguato o una giustificazione legale.

L'azione di riciclaggio aggraverebbe allora una violazione del regolamento sulla protezione dei dati come descritto sopra, moltiplicando l'accesso illegittimo ai dati personali e riducendo all'impossibilità pratica la capacità dell'interessato di far valere i suoi diritti. Questo perché i nuovi soggetti che acquisiscono l'accesso a questi dati, nell'errata convinzione di averli ottenuti legittimamente, non seguiranno ad esempio i loro doveri di informazione di cui all'art. 14 GDPR.

Non appena i dati vengono riciclati, cioè presentati in modo da dare l'apparenza di essere stati ottenuti legittimamente, possono essere fatti circolare e acquistati legittimamente da terzi ai sensi dell'art. 14 GDPR.

Va notato che nell'economia dei dati, i dati personali sono raramente trattati su scala individuale, per cui un caso di riciclaggio di dati personali coinvolgerebbe i dati di molti soggetti e potenzialmente una grande quantità di informazioni personali per ciascuno di essi.

Detto questo, posso immaginare diversi scenari concreti, dove tali atti sono di particolare danno per gli interessati:

A. I dati personali vengono venduti a più organizzazioni commerciali che, ignare dell'illegittimità dei dati ricevuti, contattano l'interessato contro la sua volontà. Questo obbliga l'interessato a prendere ogni volta contatto con le organizzazioni contattanti (vi ricordate lo spam prima dei filtri resi più efficaci dall’IA?).

B. I dati personali vengono venduti per essere utilizzati come dati di training per algoritmi di machine learning, che danno un livello più granulare di comprensione o informazione sulla popolazione rappresentata dagli interessati. A causa della scala di dati illegittimi che possono essere coinvolti, la popolazione di soggetti di dati interessati avrà più esposizione o trasparenza indesiderata di informazioni personali, poiché il modello e le informazioni utili che fornisce possono essere poi utilizzate dallo sviluppatore o anche essere condivise o vendute per ricavarne ulteriori informazioni sui soggetti. In casi estremi, le informazioni personali di individui specifici potrebbero essere estratte dal modello in modo malevolo, o la granularità delle informazioni utili ottenute sarà tale che c'è una trasparenza quasi totale.

È facile capire che una comprensione più granulare di una popolazione ottenuta con mezzi illegittimi potrebbe essere indesiderata.  

C. I dati personali sono venduti a organizzazioni commerciali che elaborano ulteriormente i dati per ottenere (ed eventualmente vendere) informazioni utili sulle persone, incluso il soggetto dei dati. Analogamente all'esempio dell'algoritmo di machine learning, il danno a soggetti specifici è l’incremento delle informazioni utili che possono essere ottenute nella loro vita grazie alla deduzione statistica facilitata dalla disponibilità di ulteriori informazioni (legittime).

Anche in questo caso, le informazioni ottenute potrebbero essere tali che è possibile distillarle (cioè combinarle con le informazioni personali disponibili) in misura tale da ricavare informazioni personali altrimenti inaccessibili.

Attualmente, l'approccio legale è che quando i dati sono resi anonimi, non sono più coperti dalla GDPR e quindi le sue regole di protezione non si applicano. Tuttavia, vale la pena notare che distinguere tra dati personali e non personali è difficile e deve essere fatto prendendo in considerazione molti aspetti diversi. Il mercato dei dati personali spesso coinvolge uno o più intermediari, dentro e fuori l'UE, che potrebbero avere pochi incentivi a seguire, o comprendere, le regole che proteggono i dati degli individui e quali sono i requisiti di anonimizzazione, in modo che casi di riciclaggio di dati personali sono più facili.

Perché ora? (o non ancora?)

Perché tutto ciò è rilevante? La protezione dei dati è riconosciuta in Europa come un diritto fondamentale. Esso deriva dal diritto alla privacy, che protegge la nozione di dignità, la privacy o il diritto a una vita privata, il diritto di essere autonomi, in controllo delle informazioni su se stessi, e di essere lasciati in pace. Nonostante qualche discrepanza tecnica che rende la protezione dei dati distinta dal diritto alla privacy, si può dire che la protezione dei dati è strumentale a garantire il diritto alla privacy.

Sempre più dati vengono raccolti dalle persone interessate e dal loro contesto, e sempre più informazioni possono essere ottenute da questi dati grazie agli effetti di rete, il che permette per esempio di creare "sistemi per fornire raccomandazioni, feedback, suggerimenti e influenzare in modo personalizzato e adattivo". Anche senza alcun riciclaggio di dati personali, le informazioni che potrebbero quindi essere ottenute grazie alla raccolta e alla combinazione di dati insieme alla conoscenza accumulata sul comportamento umano sono già molto avanzate.

Questo sviluppo è facilitato dalla tecnologia costante evoluzione e in particolare dall'intelligenza artificiale, che permette di trattare questa massa di informazioni e di impiegarle in modo personalizzato. Questo sviluppo è anche ciò che permette la creazione di servizi personalizzati a prezzi accessibili o addirittura gratuiti, la gestione delle infrastrutture che permettono il nostro modo di vivere, così come la garanzia di gran parte della sicurezza di cui godiamo.

Conclusione

Lo sviluppo delle capacità di raccolta, elaborazione e modellazione dei dati mostra la crescente tensione tra il progresso e la filosofia attuale basata sull'indipendenza e la privacy degli individui. Si sta verificando una profonda trasformazione sociale e culturale. A mio parere, attualmente non c'è un bisogno critico di affrontare il riciclaggio di dati personali attraverso la legislazione, anche perché è generalmente relativamente facile raccogliere in modo conforme abbondanti dati personali. Questo argomento è comunque un aspetto importante da tenere a mente quando si sviluppano le best practices.

[1] Confronta una definizione su Wikipedia https://en.wikipedia.org/wiki/Data_laundering

[2] Per una panoramica, vedere https://www.twobirds.com/en/in-focus/general-data-protection-regulation/gdpr-tracker/penalties

[3] Bisogna ammettere che l'attuale pratica generale è quella di condividere abbastanza liberamente le informazioni personali.

[4] Vale a dire, i dati non riguardano una persona fisica identificata o identificabile come descritto nella definizione di dati personali ai sensi dell'articolo 4(1) GDPR, il quale definisce il campo di applicazione del regolamento.

[5] L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea stabiliscono che ogni persona ha diritto alla protezione dei dati personali che la riguardano.

[6] https://edps.europa.eu/data-protection/data-protection_en

[7] Vedi, tra gli altri, https://edps.europa.eu/data-protection/data-protection_en e “The distinction between privacy and data protection in the jurisprudence of the CJEU and the ECtHR” in “International Data Privacy Law, 2013, Vol. 3, No. 4.“

[8] Boratto, L., Vargiu, E. Data-driven user behavioral modeling: from real-world behavior to knowledge, algorithms, and systems. J Intell Inf Syst 54, 1–4 (2020). https://doi.org/10.1007/s10844-020-00593-x