Come funziona veramente la Differential Privacy di Apple

Apple ha recentemente presentato un approccio alla tutela della privacy nel trattamento dei dati degli utenti. Ma la Differential Privacy ha poco a che vedere con la riservatezza delle persone
di Andrea Monti – Key4Biz.it del 12 dicembre 2017

Learning with Privacy at Scale è un documento redatto dal Differential Privacy Team di Apple che spiega in termini comprensibili (?) i presupposti matematici della raccolta e del trattamento dei dati relativi a come le persone usano Ipad, Iphone e Macbook.

Benchè seduttivamente intitolato utilizzando la parola “privacy” questo metodo matematico ha poco a che vedere – in sè – con la tutela della riservatezza perché il suo obiettivo è impedire di conoscere il valore di verità di una singola informazione, pur conservando – su scala aggregata – il valore statistico dei risultati.

In pratica, immaginiamo di chiedere a un certo numero di persone (selezionato in modo da costituire un campione statisticamente valido) di esprimere l’intenzione di voto.

E’ intuitivo che, a livello aggregato non sia possibile sapere “chi” vota per “chi”, ma conservando i dati grezzi (i risultati individuali del questionario) questa associazione è sempre possibile.

Per ovviare a questo problema, il metodo matematico rispolverato da Apple prevede che già a livello di raccolta del dato, tramite l’introduzione controllata di errori, non sia possibile sapere se la risposta associata alla singola persona sia vera o falsa, pur conservandosi il valore statistico dell’analisi aggregata.

Come è facile vedere, ciò che viene chiamato “Differential Privacy” non garantisce, in sè, la tutela della riservatezza ma solo l’impossibilità di conoscere con certezza se un certo dato sia effettivamente riferibile a una specifica persona.

Per di più, se la domanda è stata posta in modo mirato – ad esempio: “nello schieramento X, voterai per A o per B?” – il meta risultato dell’orientamento politico del singolo intervistato rimane intatto. Tanto è vero questo che il documento di Apple si prende la briga di dichiarare che:

The records arrive on a restricted-access server where IP identifiers are immediately discarded, and any association between multiple records is also discarded.

Cioè che i dati, già “inoculati” con errori casuali sul terminale dell’utente, vengono anonimizzati non appena arrivano sui server dell’azienda di Cupertino.

Come volevasi dimostrare, dunque, la Differential Privacy – se non è affiancata da tecniche di anonimizzazione – non garantisce la tutela di ciò che giuridicamente qualifichiamo come riservatezza dello spazio personale.

Resta da chiedersi il perché dell’utilizzo della parola “privacy” in un contesto nel quale questo istituto giuridico ha una rilevanza relativa e, soprattutto, quando ci si rivolge a un pubblico di non matematici.

Non è “colpa” di Apple perché la nozione di “Differential Privacy” è stata elaborata già a partire dal 2006. Ma rimane il problema dei rischi di una comunicazione scientifica non rigorosa.

E’ molto, troppo elevato il rischio che il legislatore e le autorità di controllo possano essere indotte in errore, approvando leggi sbagliate e applicandole in modo errato.

Possibly Related Posts: