la privacy in sistemi basati sulla personalizzazione

Alessandro M. Martellone

[email protected]

Analyst Developer

10 Settembre - ISISLab - La privacy in sistemi basati sulla personalizzazione -Alessandro M. Martellone

La privacy in sistemi basati sulla personalizzazione

Introduzione - La privacy

• La privacy è quella sfera personale fatta di emozioni, convinzioni, trascorsi, sulla quale si vuole mantenere il controllo.

• Può assumere diversi significati, a seconda:

• del contesto

• della cultura


• della cultura

• della conoscenza

• delle persone

Introduzione – La privacy

• Sono coinvolti:

• Utenti

• Legislatori

• Imprese

• Sociologi


• Psicologi

• Economisti

• Tecnici

Le nuove opportunità

• Social networks

• Applicazioni georeferenziate

• Marketing profilato sugli utenti

• Contenuti personalizzati


Le nuove opportunità

• Recenti indagini di mercato hanno mostrato che gli utenti online apprezzano i contenuti personalizzati.

• Allo stesso tempo, i contenuti personalizzati, risultano essere una grande opportunità per i creatori di servizi sul Web.


creatori di servizi sul Web.

• In realtà però lo scenario attuale è molto più articolato.

Lo scenario

Garante della privacy•Cosa fa:

•Verifica che le norme sulla privacy siano rispettate

•Suggerisce ai legislatori gli interventi da realizzare

•E’ più a favore degli utenti

Imprese


Utenti

Cosa vorrebbero:

•Massimo controllo sui dati degli utenti

•Massimo ricavo

Cosa vorrebbero:

•Servizi altamente innovativi

•Basso costo

Opportunità:

•Servizi geolocalizzati

•Contenuti personalizzati

•Social networks

•Advertising profilato

Imprese

I problemi di privacy

• Questi modelli di interazione personalizzata portano a implicazioni sulla privacy degli utenti.

• E’ necessario collezionare informazioni sugli utenti.


La ricerca dell’equilibrio

• Di quante informazioni relative ad un utente abbiamo realmentebisogno?

• Un utente, quanto è disposto a cedere dei propri dati in cambio di un servizio?


cambio di un servizio?

• Come si può mantenere un buon livello di personalizzazione tenendo conto dei vincoli di privacy?

Un po’ di dati

• Negli USA (2007):

• il 94% ritiene di avere il diritto di conoscere quali dei propri dati personali sono memorizzati da un’azienda

• il 63% di questi indica che ha fornito informazioni false a siti web (la qualità dei servizi è strettamente


false a siti web (la qualità dei servizi è strettamente legata alla qualità dell’informazione)

• il 69% ritiene fondamentale il controllo sui dati collezionati su di esso e il 24% piuttosto importante

• Uno studio fatto negli Stati Uniti (Sweeney 2002) ha dimostrato che l’87% degli americani è identificabile univocamente solo con lo ZIP code, la data di nascita e il sesso.

La cronaca

• Il caso Phorm:

• 12 luglio 2008, interrogazione parlamentare in Inghilterra sulle attività della Phorm ( commercializza un sistema di filtraggio di tutte le richieste http con l’obiettivo di analizzare il traffico web e in base a questo proporre del contenuto ad-hoc)

• Il caso Viacom Vs.Google (Repubblica 4 luglio 2008):


• Il caso Viacom Vs.Google (Repubblica 4 luglio 2008):

• Google dovrà fornire alla Viacom (gigante della TV, es. Mtv) l’elenco di tutti gli utenti, nessuno escluso, e dei video che ciascuno di essi ho visionato, dal 2005 a oggi.

Privacy-Enhanced Personalization

• Privacy-Enhanced Personalization

• Campo di ricerca che studia

• strategie

• metodi

al fine di proteggere i dati sensibili degli utenti pur


al fine di proteggere i dati sensibili degli utenti pur garantendo l’offerta di servizi personalizzati.

Lo scenario – Il garante della Privacy in Italia

Garante della privacy

•Cosa fa:

•Verifica che le norme sulla privacy siano rispettate

•Suggerisce ai legislatori gli interventi da realizzare

•E’ più a favore degli utenti


Utenti

Opportunità

Imprese

Il Garante della privacy in Italia

• Punti salienti dell’ultima relazione:

• “I dati di traffico […] Internet sono particolarmente delicati:[…] indirizzi email contattati, data, ora e durata degli accessi alla rete consentono di ricostruire tutte le relazioni di una persona e le sue abitudini”

• “Numerosi sono stati gli interventi dell’Autorità in merito alla ricezione non richiesta di email, […], sms o mms per


alla ricezione non richiesta di email, […], sms o mms per fini pubblicitari o promozionali”

• “E’ necessario garantire agli interessati il diritto di esprimere liberamente un valido consenso informato per i trattamenti finalizzati al marketing, con modalità e in un ambito del tutto distinto da quello relativo al conferimento dei dati indispensabili per dare esecuzione al rapporto contrattuale.”

Il Garante della privacy in Italia

• Punti salienti dell’ultima relazione:

• “L’inserimento tra le condizioni generali del contratto della riserva di inviare tramite posta elettronica comunicazioni pubblicitarie, quindi, viola il principio di finalità.”

• Il Garante ha sanzionato delle aziende che “oltre ai dati anagrafici e ai recapiti degli interessati


dati anagrafici e ai recapiti degli interessati (necessari per attribuire bonus […]), ulteriori informazioni quali il titolo di studio, la professione e il numero dei componenti del nucleo familiare”.

• “[…] è inoltre vietato l’uso di sistemi informatici (proxy

server) non necessari né all’instradamento, né alla fatturazione e che , interponendosi tra l’utente e i siti, consentono la raccolta di dati relativi alle connessioni effettuate nel corso della navigazione.”

Cosa si può fare?

• Costruire la fiducia degli utenti.

• Modellare opportunamente i dati:

• Minimizzazione e separazione dei dati.

• Progettare le applicazioni e le interfacce utente con un “layered approach”.


• Utilizzo di Privacy Management Systems.

• Utilizzare strategie alternative:

• Trusted third party

• Client-side personalization

Costruire la fiducia degli utenti

• L’importanza della fiducia: il 63% (USA) non fornisce i propri dati personali ai service provider per mancanza di fiducia nei loro confronti.

• In Italia, invece, la realtà e’ diversa.


• Nella Provincia di Trento il 13.6% diffida di Internet per l’acquisto di merci, perché preoccupato di fornire dettagli personali su Internet (fonte Servizio Statistica della Prov. Trento, 2006).


• Le applicazioni devono essere sviluppate in modo da richiedere al primo utilizzo dell’utente la minor quantità di dati possibili.

• Successivamente, all’aumentare della fiducia da parte degli utenti, dar loro la possibilità di aumentare il dettaglio del proprio profilo.

• Altri fattori:


• Altri fattori:

• Assenza di errori

• Design professionale

• Usabilità dell’applicazione

• Possibilità di richiedere informazioni all’azienda

• Servizio efficiente di helpdesk


• Stringere alleanze con operatori o organizzazioni che operano verifiche sulle modalità di trattamento dei dati.

• Ad es. LinkedIn si è avvalsa di TRUSTe (www.truste.org), una organizzazione no-profit che monitora il trattamento dei dati degli utenti e che


monitora il trattamento dei dati degli utenti e che ne certifica l’utilizzo corretto. Essa verifica:

• privacy policy

• possibilità di recedere dall’iscrizione

• possibilità di modificare i propri dati


• Rendere chiari i “Termini di servizio” e le “Norme sulla privacy”.

• Quasi sempre la loro comprensione è difficile.

• Solo una piccola porzione degli utenti ne legge e comprende l’intero contenuto.


www.cuil.com

• Quando la privacy degli utenti diventa colonna portante del proprio business.


“Privacy is a hot topic these days”

Cosa si può fare?






con un “layered approach”.





Minimizzazione e separazione dei dati

• Minimizzazione dei dati

• Richiedere solo i dati strettamente necessari

• Eventualmente, in un secondo momento, dar la possibilita’ agli utenti di aggiornare o ampliare il proprio profilo autonomamente.

• Separazione dei dati


• da una parte, i dati che identificano un utente

• da un’altra, quelli relativi al proprio profilo o quelli che memorizzano dati sensibili (numero di carta di credito, informazioni mediche, etc.)

• “Personal data under personal control”

• Dar la possibilità agli utenti di monitorare gli accessi effettuati nella propria sezione dati.

Cosa si può fare?






utente con un “layered approach”.





Layered approach

• Si mostrano degli highlights sulle più importanti informazioni; si utilizza un linguaggio semplice ed immediato.

• Per ciascuna nota si mostra come vengono utilizzati i dati e quali sono i benefit


• Al termine di ogni nota un link al contenuto completo e dettagliato riguardante le policies.

Layered approach


Cosa si può fare?










Platform for Privacy Preferences Project - P3P

• Offrire agli utenti maggiore trasparenza!

• Far uso di Privacy Management Systems che assicurano una verifica automatica delle policy sulla privacy.

• Ad es. la Platform for Privacy Preferences Project (P3P), progettata da W3C.


(P3P), progettata da W3C.

• P3P permette ai siti web di presentare le proprie pratiche sul trattamento dei dati degli utenti in maniera standardizzata, così da permettere ad user agent (browser) la loro interpretazione.

Platform for Privacy Preferences Project - P3P

• L’obiettivo è quello di supportare gli utenti nella comprensione delle condizioni sulla privacy attraverso l’utilizzo di semplici form riassuntivi.

• Il browser (o un search engine), così istruito, può automaticamente avvisare o bloccare la visualizzazione di alcuni contenuti, non conformi alle specifiche dell’utente.


specifiche dell’utente.

• Es. PrivacyFinder(http://www.privacyfinder.org/)

• Privacy Finder è un privacy-enhanced search engine. Una volta impostate le proprie preferenze sulle condizioni di privacy

(low, medium, high, or custom), i risultati della

ricerca sono ordinati in base alle proprie preferenze.

Cosa si può fare?










Trusted third party

Per applicazioni Location-based services (LBS) si possono utilizzare strategie “Trusted third party”, basate su proxy servers, che fungono da intermediari tra altre due componenti, cosi che queste ultime non si scambino direttamente informazioni.

• Ad esempio immaginiamo che un dispositivo mobile voglia conoscere, data la sua


mobile voglia conoscere, data la sua posizione, l’ultimo bollettino meteo.

• Il dispositivo mobile (DM) effettua la richiesta al proxy server (PS)

• Il PS interroga il fornitore di servizio (nella fig. www.weather.org/query), con input la posizione del dispositivo mobile.

• Il fornitore del servizio meteo risponde al proxy, che la smista al DM

Client-side personalization

• I dati degli utenti risiedono lato client

• Tutti i processi di personalizzazione sono eseguiti lato client. E’ il client a richiedere le informazioni che desidera.

• Vantaggi:

• Gli utenti, sentendosi più sicuri, potrebbero essere più inclini a utilizzare dei dati più veritieri e si potrebbero


inclini a utilizzare dei dati più veritieri e si potrebbero quindi avere delle informazioni di maggior qualità.

• I server sarebbero alleggeriti dalle elaborazioni.

• Svantaggi:

• Gli attuali modelli di analisi dei dati sono progettati e implementati basandosi sulla piena disponibilità dei dati lato server

• Le interfacce di comunicazione client/server devono essere attentamente protette da possibili accessi non autorizzati (sicurezza dei client).

Riferimenti

• Privacy-Enhanced personalization, A. Kobsa, Communication of the ACM, 2007

• Contextualized communication of privacy practies and personalization benefits: impacts on users’ data sharing and purchase behavior, A. Kobsa – M. Telzrow, Privacy Enhancing Tecnologies, 2004, Springer

• “Privacy a rischio su YouTube - Tutti i dati in mano a Viacom“, Repubblica, 4 luglio 2008

• “Watching while you surf”, The Economist, 5 Giugno 2008

• Comunicazioni, Il Trentino in rete, Maggio 2007, Servizio Statistica Provincia Autonoma di Trento.


Provincia Autonoma di Trento.

• Relazione 2007 – Garanzie e sicurezza nel trattamento dei dati: l’attività dell’Autorità, 2007, www.garanteprivacy.it

• Alessandro Acquisti. The Economics of Privacy. Carnegie Mellon University, Software Engineering Institute, February 2004.

• Alessandro Acquisti. Security of Personal Information and Privacy: Technological Solutions and Economic Incentives. In J. Camp and R. Lewis (eds), The Economics of Information Security, Kluwer, 2004.

Riferimenti

• Best Practices and Guidelines for Location Based Services, CTIA Wireless Association,Aprile 2008, http://files.ctia.org/pdf/CTIA_LBS_BestPracticesandGuidelines_04_08.pdf

• Robert Gellman. Privacy, consumers, and costs - how the lack of privacy costs consumers and why business studies of privacy costs are biased and incomplete, 2002.

• Privacy-Enhancing Technologies - White Paper for Decision-Makers. Ministry of the Interior and Kingdom Relations, the Netherlands, December 2004, www.dutchdpa.nl/downloads_overig/PET_whitebook.pdf

• The Phorm “Webwise” System, Richard Clayton, University of Cambridge,


• The Phorm “Webwise” System, Richard Clayton, University of Cambridge, 2008, http://www.cl.cam.ac.uk/~rnc1/080404phorm.pdf

• Security and Privacy in User Modeling, Jorg Schreck, 2001,http://www.security-and-privacy-in-user-modeling.info/

• Platform for Privacy Preferences (P3P) Project, http://www.w3.org/P3P/

• http://www.privacyfinder.org/

• Privacy enhanced architecture for location based services int the next generation wireless network, Alberto Escudero-Pascual, IMIT, Royal Institute of Technology,2008

Domande?
