Fino a poco tempo fa, i presunti obiettivi di un massiccio furto di dati erano considerati aziende prive di una sicurezza informatica sofisticata o che non prendevano abbastanza sul serio il problema.

Ma dalla fine del 2016 alcuni dei più grandi nomi della tecnologia all'avanguardia hanno visto i dati dei loro clienti più sensibili, incluso il contenuto delle e-mail, numeri di carta di credito, e numeri di cellulare:cadono nelle mani di hacker, o in alcuni casi ha condiviso tali dati con terze parti all'insaputa o senza il consenso dei consumatori.

La lista si sta allungando velocemente. I ladri hanno scaricato informazioni su 25 milioni di utenti Uber statunitensi. L'agenzia di segnalazione crediti Equifax ha subito 143 milioni di file di clienti rubati dagli hacker. Cambridge Analytica ha raccolto dati da almeno 87 milioni di utenti di Facebook da indirizzare con annunci politici. Quest'estate, Google ha ammesso al Congresso che gli sviluppatori di app e altri hanno accesso a Gmail degli utenti. Gli scienziati dei dati hanno riscontrato importanti falle di sicurezza in AT&T, T-Mobile, e telefoni Sprint che hanno lasciato i clienti esposti. E proprio la scorsa settimana, Facebook ha rivelato la sua più grande violazione, con 50 milioni di utenti interessati. Ha affermato che i numeri di telefono forniti a Facebook dagli utenti per la sicurezza dell'autenticazione a due fattori sono stati condivisi con gli inserzionisti.

Con così tante violazioni e così poche ripercussioni, gli alti dirigenti di Google, Mela, Amazzonia, e Twitter, tra le altre imprese, sono stati convocati davanti alla Commissione per il Commercio del Senato, Scienza, e Trasporti la scorsa settimana per spiegare perché continuano le violazioni della privacy dei dati, e per discutere alcuni rimedi. Sen. John Thune (R., S.D.), il presidente della commissione, ha affermato che non è più una questione se sia necessaria una legge federale per proteggere la privacy dei dati dei consumatori, ma "che forma dovrebbe assumere la legge". Un'altra udienza è prevista per la fine del mese.

Urs Gasser, LL.M. '03, è direttore esecutivo del Berkman Klein Center for Internet &Society presso l'Università di Harvard e professore di pratica presso la Harvard Law School. La sua ricerca e il suo insegnamento si concentrano sul diritto e la politica dell'informazione, e scrive spesso di privacy, protezione dati, e la regolamentazione della tecnologia digitale. Gasser ha discusso dello stato della privacy dei dati con la Gazzetta via e-mail e ha suggerito cosa si potrebbe fare per proteggere gli utenti dalle aziende che traggono profitto dai dati delle persone.

Domande e risposte

GAZETTE:Come qualcuno che ha studiato a lungo la privacy dei dati, sei sorpreso da questa serie di fallimenti?

GASSER:La cosa forse più sorprendente è la frequenza con cui tali incidenti rilevanti per la privacy ora diventano pubblici, così come la loro prevalenza e scala. Per quanto riguarda le cause sottostanti e l'efficacia delle risposte, è importante analizzare ogni incidente separatamente. Una violazione dei dati causata da hacker esterni non è lo stesso problema e non richiede le stesse contromisure delle minacce alla privacy derivanti da accordi di condivisione dei dati tra una piattaforma online e gli inserzionisti che sono al centro del modello di business. Detto ciò, gli effetti in termini di privacy degli utenti potrebbero essere abbastanza simili. È inoltre degno di nota il fatto che il GDPR [Regolamento generale sulla protezione dei dati dell'Unione europea] affronti un'ampia gamma di violazioni della privacy dei dati, e sarà interessante vedere se la violazione di Facebook in particolare attiverà un'azione di applicazione del GDPR.

GAZETTE:Molte delle più grandi aziende tecnologiche continuano a consentire o a non impedire che i dati dei propri clienti cadano nelle mani degli inserzionisti, sviluppatori di app, e altri terzi. Nonostante le frequenti promesse di una migliore tutela della privacy, poco è cambiato. Perché queste aziende non prendono la cosa più seriamente?

GASSER:Per essere onesti, le aziende hanno compiuto sforzi importanti per proteggere meglio i dati degli utenti attraverso un'ampia gamma di misure, inclusi dashboard sulla privacy, funzionalità avanzate di privacy e sicurezza, come la crittografia end-to-end, aggiornamenti alle loro politiche sulla privacy, e altro ancora. Ma c'è davvero un problema strutturale più profondo al centro delle battaglie sulla privacy del nostro tempo che rende gli sforzi attuali insufficienti. La maggior parte dei modelli di business tecnologico di oggi si basa su pubblicità mirata, che si basa sulla raccolta, condivisione, e analizzare grandi quantità di dati utente. In poche parole, dare davvero la priorità alla privacy degli utenti significherebbe anche compromettere un modello di business sottostante che ha avuto molto successo in termini economici e ha prodotto alcune delle aziende più ricche del mondo.

GAZETTE:I legislatori hanno invitato le aziende tecnologiche a proteggere meglio le informazioni degli utenti e hanno suggerito che potrebbero iniziare a regolamentare rigorosamente il modo in cui i dati vengono gestiti se le aziende non rafforzano la sicurezza dei dati. Il Congresso farà presto qualcosa per ritenere queste società responsabili, e, altrimenti, cosa servirebbe al governo federale per intraprendere un'azione reale?

GASSER:Nell'attuale clima politico, Dubito che qualcosa di drammatico, diciamo, come il GDPR, accadrà presto a livello federale. Ma vediamo molte attività sulla privacy dei consumatori a livello statale. Considera la recente promulgazione del California Consumer Privacy Act, che potrebbe essere molto influente dato il suo ambito di applicazione, o la legislazione sui broker di dati del Vermont. In combinazione con l'agenda rafforzata per la protezione dei consumatori di molte A.G. statali, è lì che l'azione è fino a quando il Congresso non trova qualcosa di significativo. E, Certo, c'è anche la crescente pressione proveniente dalle autorità legislative e di protezione dei dati europee, sulla base delle nuove tutele e strumenti previsti dal GDPR. Alcuni sostengono che sta emergendo un "mercato per la privacy" che fornirà incentivi, in particolare alle startup sulla privacy, per essere più rispettosi della privacy.

GAZETTE:È tempo di dichiarare un fallimento l'era della politica sulla privacy volontaria e iniziare a trattare queste attività come servizi pubblici?

GASSER:Sono d'accordo che il modello di autoregolamentazione non è riuscito a fornire livelli adeguati di protezione della privacy dei consumatori nell'ambiente tecnologico di oggi. Dove andare da qui è più difficile da dire, anche se. Molti sostenitori della privacy indicano il GDPR come un nuovo gold standard. sono più scettico, poiché tale approccio è profondamente radicato nei valori europei, cultura, ed economia politica e non possono essere trapiantati in modo "taglia e incolla". Presenta anche alcuni seri inconvenienti, in termini di costi di conformità, ad esempio. Penso che sia ora di ripensare alla privacy dei dati in modo più fondamentale. Puoi trovare alcuni dei miei pensieri qui. Introdurre doveri fiduciari per le aziende tecnologiche è un altro nuovo modo interessante di pensare ad alcuni dei problemi strutturali menzionati prima.

GAZETTE:Di chi è la colpa per dove siamo ora? Gli utenti sono in parte in colpa per non aver fatto più storie sulle violazioni della privacy? La maggior parte delle persone capisce quante delle loro informazioni sono nelle mani di altri? e come viene utilizzato?

GASSER:Concordo sul fatto che sia troppo semplice incolpare le aziende tecnologiche per lo status quo. Penso che dobbiamo considerare la crisi della privacy come un problema a livello di ecosistema, con molte forze in gioco:tecnologiche, mercato, comportamentale, e legali, e molti attori coinvolti, compresi gli utenti che spesso prendono decisioni sulla privacy basate su informazioni incomplete e con pregiudizi cognitivi in ​​gioco. Ecco perché sostengo nel mio lavoro a favore di un approccio più olistico al futuro della privacy, che combina forti tutele legali con l'alfabetizzazione digitale e gli sforzi educativi, tecnologie di miglioramento della privacy di nuova generazione, e incentivi economici per servizi più rispettosi della privacy, tra gli altri elementi della strategia, invece di scommettere solo su leggi simili al GDPR. Tale approccio includerebbe anche un'istruzione e un'empowerment più intelligenti degli utenti.

GAZETTE:Le persone non possono disattivare l'utilizzo di Google, e non deciderò di non avere un cellulare, quindi cosa possono fare le persone per proteggersi?

GASSER:Sono disponibili una serie di controlli sulla privacy online e una serie di strumenti di auto-aiuto per la privacy, inclusi browser per la privacy o VPN [reti private virtuali], per citarne solo due. Alcuni di questi sono forniti dalle stesse aziende tecnologiche, e alcuni sono offerti da organizzazioni di consumatori come EPIC o EFF. Consiglio vivamente alle persone di utilizzare queste offerte, anche se sono solo tattiche nel senso che comprensibilmente non possono affrontare la causa strutturale del problema.

Questa storia è pubblicata per gentile concessione della Harvard Gazette, Il giornale ufficiale dell'Università di Harvard. Per ulteriori notizie universitarie, visita Harvard.edu.