Questo articolo descrive il nostro punto di vista sull’etica della raccolta dei dati e come questo si combini con il quadro giuridico svizzero per informare le nostre pratiche alla SCA. Se da un lato la raccolta di dati può fornire numerosi vantaggi, tra cui il miglioramento dei prodotti, una migliore pianificazione e la pubblicità, dall’altro pone potenziali problemi di privacy. Questo articolo descrive anche le pratiche di raccolta dei dati presso Swiss Connect Academy e alcune delle misure proattive che adottiamo per mitigare i rischi per la privacy: dare la priorità alla trasparenza, rispettare gli obblighi legali e allineare i nostri interessi con quelli dei nostri utenti.
Il modo in cui un organismo agisce è guidato da ciò che percepisce, l’efficacia delle sue azioni dipende dall’acutezza delle sue percezioni. Questo vale sia per un organismo sociale che per un organismo biologico. Vale anche per le piante, gli animali, le aziende o i Paesi. Per gli animali, la percezione e la cognizione associata avvengono principalmente a livello individuale, mentre per gli organismi sociali la raccolta e il trattamento delle informazioni avvengono sia a livello umano sia a livello di gruppo. Da un lato, ciò implica che gli organismi sociali possono percepire senza alcun meccanismo esplicito di acquisizione di informazioni a livello sovraindividuale, perché i suoi membri si informano da soli. D’altra parte, una volta che una società (poiché sarà l’organismo che ci interessa) inizia ad acquisire informazioni in modo sistematico, esplicito e organizzato, questo processo di acquisizione può diventare più facilmente oggetto di riflessione. Allo stesso tempo, l’aumento dell’efficienza del processo consentito dalle tecnologie informatiche, nella raccolta, conservazione e analisi dei dati, rende questo processo molto più importante nei suoi costi, potenziali benefici e potenziali danni, tanto che una riflessione su di esso diventa sempre più necessaria.
La raccolta dei dati degli utenti da parte delle grandi aziende è un argomento che è stato spesso preso in considerazione in precedenza e speriamo di presentare, in questo articolo, alcune delle idee migliori e più rilevanti. Poiché i clienti di Swiss Connect Academy sono solitamente aziende e gli utenti della nostra piattaforma di apprendimento sono i dipendenti di tali aziende, la nostra situazione presenta un aspetto insolito rispetto alla raccolta di dati da parte di Meta o Google: i nostri utenti di solito non sono direttamente i nostri clienti, ma piuttosto i loro dipendenti [nota: si potrebbe sostenere che per Meta e Google i clienti sono più gli acquirenti di pubblicità che gli utenti, ma questa differenza non influisce sul nostro argomento].
Sezione 1 – Chi trae vantaggio dalla raccolta dei dati?
Per un’azienda, decidere una politica di raccolta dei dati è una questione di equilibrio tra compromessi: minimizzare i danni e i costi ottimizzando i benefici. Un lettore sospettoso potrebbe pensare che i danni della raccolta dei dati sono spesso sostenuti da terzi, mentre i benefici monetari sono guadagnati dall’azienda. Questa è una visione corretta ma parziale dei benefici: in generale, un’azienda guadagna principalmente in cambio dei benefici che fornisce al resto della società. [Le eccezioni a questa regola sono ben pubblicizzate e conosciute perché sono inaccettabili, non perché sono la norma. Alla Swiss connect Academy (SCA), pur non essendo disinteressati, non siamo interessati a lavorare per ottenere benefici monetari non guadagnati]. Un panettiere guadagna facendo del buon pane e Google aiutando le persone a trovare ciò che desiderano sul web [Nota: Google guadagna dalla pubblicità, ma le persone vedono gli annunci perché usano Google per fare ricerche]. Continueremo quindi a scrivere candidamente che i benefici sono massimizzati come benefici per la società in generale.
Per un’azienda ci sono diverse ragioni per raccogliere dati. Le principali sono: pianificazione interna, sviluppo del prodotto, pubblicità, determinazione dei prezzi e rivendita dei dati. Una migliore pianificazione e lo sviluppo del prodotto tendono a portare benefici a tutti, poiché l’azienda diventa più capace di soddisfare le esigenze dei suoi clienti. Tuttavia, una pubblicità e un pricing più informati possono avere degli svantaggi per i clienti dell’azienda: la pubblicità manipolativa può diventare più efficace e i prezzi possono essere adattati in modo da essere più alti per i clienti che si prevede siano in grado e disposti a pagare. Naturalmente gli aspetti positivi non mancano: una migliore pubblicità può consentire ai clienti di essere informati su un prodotto utile o gradito e alcune persone potranno permettersi più servizi grazie a prezzi migliori. Nel frattempo, la rivendita dei dati è un vaso di Pandora, che rende poco chiaro l’obiettivo per il quale i dati potrebbero essere utilizzati: la propaganda politica o la repressione, la valutazione dei candidati da parte di potenziali datori di lavoro o assicuratori, il ricatto, il furto d’identità e altri usi criminali diventano possibili, anche se, come in precedenza, un migliore targeting dei prodotti, la pubblicità e la tariffazione adattiva sono conseguenze più comuni. In SCA, il miglioramento dei prodotti è l’uso principale, e utilizziamo i dati anche per la pianificazione e la pubblicità dei nostri prodotti, ma evitiamo la tariffazione personalizzata. La raccolta dei dati può essere utilizzata in due modi per migliorare i prodotti. In primo luogo, può influenzare il modo in cui i nuovi prodotti sono scelti, progettati e mirati. In secondo luogo, i prodotti che utilizzano l’apprendimento automatico beneficiano direttamente dei dati raccolti, addestrando il sistema di intelligenza artificiale su (una parte di) essi.
Nel paragrafo precedente abbiamo considerato i benefici e i danni causati intenzionalmente dalla raccolta dei dati. Tuttavia, la raccolta dei dati può avere conseguenze non intenzionali, in particolare i dati raccolti possono essere rubati e forse trapelati. Le fughe di notizie sono la minaccia più diretta alla privacy, in quanto trasformano le informazioni private in informazioni ampiamente accessibili o addirittura di dominio comune. Tuttavia, i dati rubati possono essere utilizzati anche senza essere trapelati, soprattutto per attività criminali come il furto di conti bancari, l’accesso illegale a informazioni private o riservate (utilizzando password rubate), il furto di identità o il ricatto.
Pertanto, è importante che un’azienda protegga i propri utenti proteggendo i dati che raccoglie. Anche in questo caso, ci si può chiedere come gli interessi di un’azienda possano essere allineati con quelli dei suoi utenti. La protezione dei dati raccolti è costosa per l’azienda, mentre i costi del furto di dati sono spesso, in un primo momento, a carico degli utenti. La risposta è duplice: trasparenza e obblighi legali. La trasparenza consente a un’azienda di trarre vantaggio dalla sua attenzione alla sicurezza, comunicandola e facendosi scegliere da un maggior numero di clienti per questo motivo. (Il presente documento spera, a suo modo, di svolgere esattamente questa funzione). Tuttavia, la trasparenza non risolve completamente il problema, perché fa ricadere sui clienti l’onere di assicurarsi che l’azienda sia diligente e richiede che quest’ultima sia sufficientemente onesta. Di conseguenza, sono state emanate leggi che obbligano le aziende a proteggere i dati e la privacy dei loro clienti (o utenti) e di terzi. [Note a piè di pagina: Spesso le aziende sono in grado di acquisire informazioni su molto più dei propri utenti. Ad esempio, quando una foto viene caricata su un social network, diventano accessibili i dati di tutti coloro che ne fanno parte]. Questo sarà l’argomento della prossima sezione.
Sezione 2 – Le normative sulla privacy stanno catalizzando la raccolta responsabile dei dati.
Il Regolamento generale sulla protezione dei dati (GDPR) è la normativa in vigore approvata dall’Unione Europea (UE) per tutelare la privacy e la sicurezza dei dati personali dei consumatori in tutti gli Stati membri. Le sue disposizioni, le multe e il potere sanzionatorio si applicano a tutti gli Stati membri, ma si estendono anche al di fuori del territorio dell’UE, a condizione che le aziende raccolgano dati personali relativi a persone che vivono nell’UE o che gli effetti del trattamento dei dati possano avere conseguenze nel territorio dell’UE.
Data l’importanza del GDPR nel costruire la fiducia dei consumatori nel trattamento dei dati e nel conferire maggiori diritti alle persone in merito ai loro dati, questa legge è vista a livello globale come un esempio legislativo positivo che stabilisce standard internazionali per la protezione dei dati e della privacy.
Sebbene la Svizzera non faccia parte dell’UE, il governo svizzero ha emanato una propria legge sulla protezione dei dati chiamata Legge federale sulla protezione dei dati (FADP), che si applica al trattamento dei dati personali da parte di persone fisiche, privati o aziende.
Nel 2020, la FADP è stata completamente rivista (nFADP) e sarebbe dovuta entrare in vigore nel 2022, ma il termine è stato posticipato al 1° settembre 2023.
La nFADP è ampiamente ispirata al GDPR, ma introduce alcune disposizioni distinte nel tentativo di adattarsi ai nuovi cambiamenti sociali e tecnologici che stiamo vivendo oggi. Ad esempio, la nFADP rafforza la trasparenza del trattamento dei dati nei confronti dei consumatori, aumentando gli obblighi degli incaricati del trattamento di fornire informazioni più ampie sui dati raccolti. Inoltre, la nFADP cerca di aumentare la responsabilità per le violazioni e la non conformità all’interno delle strutture aziendali, stabilendo sanzioni sotto forma di multe per le persone fisiche/dipendenti, invece di multare solo le aziende come avviene nel GDPR. Pertanto, ogni dipendente che commette una violazione della privacy sarà ritenuto responsabile, a condizione che la sua azione sia intenzionale.
Più alti sono i rischi associati a un determinato insieme di dati, più severe sono le disposizioni di legge.
L’approccio alla valutazione dei rischi è stato costruito dividendo i dati in tre categorie: dati personali, sensibili e non personali.
In generale, i dati personali sono tutto ciò che può essere utilizzato per identificare una persona, ad esempio: un indirizzo IP, un titolo o una distinzione che può identificare in modo univoco una persona, un ID cookie. Pertanto, non solo il nome, l’indirizzo, il ritratto o l’immagine e il numero di telefono sono considerati dati personali, ma anche qualsiasi altra informazione che potrebbe essere utilizzata, insieme ad altri dati, per identificare una persona.
Solo i dati personali sono soggetti alla FADP, ma che dire dell’anonimizzazione dei dati personali?
I dati non personali possono essere qualsiasi tipo di dato che non contenga informazioni di identificazione personale. I dati non personali non sono regolamentati e possono essere raccolti per qualsiasi scopo senza consenso e conservati per un tempo indefinito.
Supponiamo che i dati vengano alterati in modo che diventi impossibile recuperare il collegamento tra i dati anonimizzati e un individuo. Dal punto di vista legale, questi dati sono considerati non personali.
Un caso interessante è quello in cui gli identificatori personali di un insieme di dati vengono crittografati, mascherati o nascosti, ma una successiva riassociazione con gli interessati è ancora possibile o desiderata. In tali circostanze, i dati pseudonimizzati hanno lo status giuridico di dati personali, ma solo per coloro che possono decifrare o identificare nuovamente gli interessati in qualsiasi modo.
L’anonimizzazione o la pseudonimizzazione dei dati è un ottimo strumento per proteggere le informazioni private, ridurre i rischi di violazione dei dati e garantire la conformità. Tuttavia, può essere impegnativo, soprattutto con le serie di dati più complesse o miste. È difficile dire se individuare un individuo o collegare i soggetti all’insieme di dati non sarà più possibile a causa dei progressi tecnologici o delle grandi quantità di dati raccolti e archiviati nel tempo. Nella prossima sezione dell’articolo torneremo su questo argomento e parleremo dell’anonimizzazione in SCA in modo più dettagliato.
Sezione 3 – Come manteniamo sicuri i dati in SCA?
La conservazione dei dati personali è inevitabile: per semplici fatti, come l’iscrizione degli studenti a un corso sul nostro sito web, disponiamo di informazioni personali di base su di loro che proteggiamo. Ci assicuriamo di ricevere il consenso informato degli interessati formulando la nostra politica sulla privacy in modo chiaro e trasparente, con informazioni specifiche e aggiornate sui dati che raccogliamo. La nostra politica sulla privacy è disponibile nel footer del nostro sito web. Tuttavia, non raccogliamo dati sensibili e non vendiamo né condividiamo alcun dato personale.
In SCA, i dati personali vengono anonimizzati in linea con gli standard GDPR e nFADP, mentre manteniamo gli stessi elevati standard di sicurezza sia per i dati non personali che per quelli personali. All’interno di SCA solo pochi dipendenti hanno accesso ai dati non personali e ancora meno ai dati personali. Gestiamo le autorizzazioni dei singoli utenti per limitare al minimo l’accesso alle serie di dati. Anche all’interno dell’azienda evitiamo di condividere i dati, preferendo condividere i risultati derivanti dall’elaborazione dei dati sulla base della “necessità di sapere”.
SCA garantisce che la sicurezza dei dati degli utenti non dipenda dalle aziende con cui collabora, anonimizzando le informazioni che condivide con esse. Ciò significa che le informazioni a cui tali aziende accedono sono state sostituite da codici (e da indirizzi e-mail basati su codici) e che solo SCA è in possesso della tabella di corrispondenza tra i nomi dei discenti (e altre caratteristiche identificative come indirizzi e-mail o indirizzi fisici che costituiscono dati personali) e i codici. Inoltre, nella misura del possibile, diamo accesso ai dati (anonimizzati) dei discenti solo a società con sede e server in Svizzera.
La sostituzione dei nomi con codici chiamati identificatori avviene automaticamente. Ad esempio, quando uno studente risponde a una domanda nell’App SCA, se la domanda è ospitata da Taskbase, viene richiesta in base a un codice del discente e il server di Taskbase ci invia i dati utilizzando lo stesso codice. I dati ricevuti dai nostri server vengono poi deanonimizzati per fornire un feedback allo studente e per uso interno nell’analisi.
In SCA aumentiamo la consapevolezza dei dati e istruiamo i nostri dipendenti su come contribuire al meglio alla protezione dei dati. Oltre a utilizzare strumenti e software di sicurezza (come la crittografia, l’antivirus e la doppia autenticazione), la condivisione di qualsiasi tipo di file all’esterno/all’interno viene effettuata in modo responsabile, evitando di inviarlo tramite e-mail personali o strumenti di condivisione di file di consumo. Per noi è importante avere un’infrastruttura sicura dove conservare i nostri dati ed evitare il trasferimento temporaneo dei dati attraverso server situati all’estero. Per questo motivo abbiamo scelto un servizio di cloud storage con sede in Svizzera e pienamente conforme alle leggi sulla protezione dei dati.
L’importanza della raccolta dei dati e dei suoi potenziali benefici e danni non può essere sopravvalutata, soprattutto nella società odierna in cui la tecnologia informatica ha reso molto più semplice la raccolta, la conservazione e l’analisi dei dati. Abbiamo descritto le pratiche di raccolta dei dati presso la Swiss Connect Academy e le abbiamo contestualizzate spiegandone l’inquadramento legale e i valori a cui rispondono. Tuttavia, abbiamo cercato di ritrarre un bersaglio in movimento: Rivediamo regolarmente le nostre pratiche di sicurezza e riflettiamo su come rimanere fedeli ai nostri valori, come la protezione dei nostri utenti e della loro privacy, perché, come proclama la Regina Rossa “‘ci vuole tutta la corsa che puoi fare, per rimanere nello stesso posto”.
1.Article 3 GDPR. Territorial scope
2.Chapter 3 revFADP: Obligations of the person responsible and the processor
3.Article 60 revFADP: Violation of information, disclosure and cooperation obligations