La privacy digitale è spesso inquadrata come un problema per i consumatori, ma Ruslan Momot sostiene che le aziende devono considerare il concetto come un elemento chiave della loro attività.

Momot, assistente professore presso la Ross School of Business dell'Università del Michigan, ha pubblicato diversi articoli su questioni di privacy. Condivide informazioni su come le aziende dovrebbero iniziare ad avvicinarsi alla privacy, incluso un cambiamento importante nel modo in cui i siti Web utilizzano i cookie e come considerare i dati come qualcosa da cui trarre origine in modo sostenibile.

Perché le aziende, così come i singoli consumatori, dovrebbero essere interessati alle questioni relative alla privacy?

Mi vengono subito in mente tre ragioni.

In primo luogo, può influenzare la linea di fondo. Noi consumatori siamo abbastanza intelligenti e se sappiamo che un'azienda non sta utilizzando i nostri dati in modo responsabile, alcuni di noi useranno meno quel prodotto o smetteranno di usarlo del tutto. Ciò significa che l'azienda guadagna meno entrate dai suoi inserzionisti.

Lo abbiamo visto accadere con Facebook e Cambridge Analytica e con WhatsApp che ha rivelato un uso non molto responsabile dei dati. In entrambi i casi, i consumatori hanno cambiato il loro comportamento e ciò ha influito sui profitti delle aziende.

In secondo luogo, le nuove leggi e normative sulla privacy dei dati richiedono alle aziende di agire su questo problema. Queste leggi diventeranno ancora più rigorose e più diffuse nel prossimo futuro.

Molti luoghi attualmente non hanno normative sulla privacy, ma le normative più rigorose, come in Europa (il regolamento generale europeo sulla protezione dei dati) e in California (il California Consumer Privacy Act), dicono cose del tipo:"Non puoi gestire questi dati in questo o in questo modo; devi chiedere il consenso esplicito al consumatore. Non puoi semplicemente afferrare i dati come hai fatto 10 anni fa". Le aziende potrebbero non voler prestare attenzione a questo, ma queste nuove leggi e normative le obbligano a farlo.

In terzo luogo, le aziende potrebbero essere in grado di utilizzare la privacy per ottenere un vantaggio competitivo sul mercato. Se Apple sta spingendo in modo estensivo la propria agenda sulla privacy e sto producendo telefoni Android, forse dovrei reagire e migliorare la privacy per gli utenti Android. Un numero consistente di consumatori è piuttosto sensibile a questi problemi, come abbiamo visto quando il 96% degli utenti Apple ha scelto di utilizzare la più recente funzionalità di privacy di Apple e ha rinunciato al monitoraggio del proprio comportamento attraverso le app, ed è probabile che le aziende ci provino per competere sempre di più nei loro sforzi in materia di privacy.

È corretto affermare che la maggior parte delle aziende oggi non comprende davvero i problemi di privacy?

È molto giusto dirlo. Nella maggior parte delle località, non esiste una regolamentazione adeguata. Nei luoghi in cui c'è almeno qualche regolamentazione, la maggior parte delle aziende cerca di conformarsi in modo da poter semplicemente selezionare una casella. Ma raramente vanno al di là dei requisiti di base.

Uno dei motivi è che la maggior parte delle aziende non ha le risorse. Solo le più grandi aziende hanno le risorse per affrontare davvero la privacy. Ad esempio, una delle tecniche informatiche più sviluppate per la conservazione della privacy è chiamata privacy differenziale.

È come una garanzia:se un algoritmo utilizzato da un'azienda è differenzialmente privato, c'è solo una piccola possibilità per un avversario/hacker di dedurre qualcosa di significativo sui suoi clienti. Per implementare la privacy differenziale in tutti gli algoritmi di un'azienda, devi assumere un gruppo di data scientist che riconsidereranno gli algoritmi che utilizzi e progetteranno quelli nuovi. Apple ha l'opportunità di farlo; Google ha l'opportunità di farlo; ma le aziende più piccole no.

Inoltre, le aziende potrebbero non avere incentivi adeguati per implementare tecniche di tutela della privacy come la privacy differenziale. Nessuna delle attuali normative esistenti richiede una privacy differenziale come standard, né i governi hanno risorse sufficienti per verificare la conformità di ogni azienda. Pertanto, dal punto di vista delle aziende, c'è una tendenza naturale a sfuggire completamente alla tutela della privacy rallentando e senza fare nulla.

Se avessi l'attenzione di tutti i CEO di tutto il mondo per cinque minuti, qual è la cosa più importante che cercheresti di trasmettere loro sulla privacy?

Devi iniziare a pensarci ora (o, in realtà, ieri). Negli ultimi 20 anni circa, abbiamo promosso questa agenda per i big data, raccogliendo più dati, utilizzando i dati, sfruttando la potenza dei dati.

Ora abbiamo un movimento nella direzione opposta, quelli che potremmo chiamare dati di provenienza sostenibile. Il ciclo assomiglia a quello delle questioni di sostenibilità. Improvvisamente i consumatori hanno iniziato a prestare attenzione e le aziende hanno iniziato a procurarsi prodotti in modo sostenibile.

Ora abbiamo tutti questi prodotti biologici e di provenienza sostenibile. Perché non abbiamo la stessa cosa con i dati? Il messaggio è che devi iniziare a pensare a come reperire i tuoi dati in modo sostenibile e come utilizzarli in modo responsabile.

Questa idea di dati sostenibili sta prendendo piede?

Stiamo iniziando a vedere un po' di questo. L'anno prossimo, penso che ciò che vedremo sarà che i cookie di terze parti scompariranno, e ciò significa che rimarranno quelli che vengono chiamati cookie zero party e cookie proprietari.

Si tratta di informazioni che i consumatori forniscono a un'azienda con il consenso esplicito. Quindi, in un certo senso, si tratta di dati provenienti da fonti sostenibili perché non abbiamo raccolto questi dati da terze parti come i broker di dati. Al contrario, i consumatori danno il permesso esplicito di utilizzare questi dati. Penso che ci muoveremo in questa direzione.

Quali passi può intraprendere un'azienda se i suoi leader vogliono essere intelligenti e responsabili e iniziare a reperire i propri dati in modo sostenibile?

In primo luogo, le aziende devono essere in anticipo con i consumatori su ciò che sta accadendo con i loro dati. Verrà venduto ai broker nel momento in cui riceveranno i dati o verrà utilizzato per scopi interni dell'azienda, ad esempio per rendere il prodotto migliore per il consumatore?

Un altro passo di partenza sarebbe quello di rispettare le più stringenti normative sulla privacy. Dai un'occhiata al Regolamento generale europeo sulla protezione dei dati e cerca di rispettarlo, anche se sei un'azienda con sede negli Stati Uniti, perché è un buon quadro.

Poi, ci sono le società di brokeraggio che raccolgono questi dati zero-party e first-party, in cui i consumatori forniscono esplicitamente i dati alle società. Puoi ottenere i tuoi dati da quei broker.

Puoi anche pensare a cosa fare con i dati. Dove vanno a finire questi dati? You need to understand the supply chain of the data, so you can make sure that the data doesn't go to the irresponsible brokers, and it's used in a responsible manner.

So you think about data as a supply chain?

It is a supply chain. Let's say you use a weather application. The app tracks your GPS location, and this GPS location is sold to a data broker. The broker uses this location, matches it with other data and infers something about you. Then this list of inferences about you is sold to some other companies and so on. So the data travels.

What else should companies be aware of when they start thinking about privacy?

Many companies operate with a disconnect when it comes to privacy. A lot of companies think about privacy from the legal perspective; the people who are responsible for privacy are law people.

At the same time, we have a computer science community which has been developing all these concepts like differential privacy for many years. There has to be this bridge between the two. Improving consumer privacy has to be done by people who are familiar with both sides—with the regulations, but at the same time with the theoretical and engineering component.

Similarly, when we think about privacy, it should not be only about IT departments. Preserving consumer privacy should be embedded into the business model of the company, in the same way that sustainability should be part of the business model.

Management should be centered on consumer privacy. It should not be a patchwork, like, "Hey, yeah, we are creating this product, let's ask our IT guys to protect privacy." It will never work. For it to work, it has to be deep inside the business model of the company.