Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Consiglio d'Europa

“Dati inferiti”, regolarne l’uso per tutelare le persone: la nuova frontiera della privacy

Proteggere i dati personali non è più sufficiente: in un mondo permeato da Big Data, algoritmi, Machine learning e IA, bisogna regolare l’uso dei dati inferiti, che influenzano comportamenti, scelte, opinioni e anche le emozioni. Lo indica il Consiglio d’Europa e la sfida riguarda decisori politici e regolatori

26 Feb 2019

Franco Pizzetti


Senza ricorrere a Carte etiche o altre scorciatoie di breve respiro, una sede internazionale importante e ampiamente rappresentativa, il Consiglio di Europa, ha finalmente affermato la verità vera che è alla base delle società digitali: proteggere i soli dati personali e la loro utilizzazione non basta più e, si potrebbe dire, assume sempre di più un aspetto che rischia di essere tanto fondamentale quanto residuale.

Nella Dichiarazione adottata lo scorso 13 febbraio, il Consiglio d’Europa ha sottolineato che quello che conta in un mondo caratterizzato dai Big Data, dalla Data Analysis, dagli algoritmi, dal Machine learning e dalla Intelligenza Artificiale, è regolare l’uso dei “dati inferiti”.

Cosa sono i dati inferiti e perché sono importanti

I dati inferiti sono i dati tratti da altri dati che, se usati a ampia scala, possono influenzare non solo i comportamenti ma anche le conoscenze, le scelte, le opinioni e financo le emozioni dei cittadini.

Questa dunque è la nuova frontiera, per affrontare la quale non bastano Carte etiche, sempre relative a culture specifiche e facilmente aggirabili; né servono Linee Guida dal contenuto generico e puramente metodologico.

La sfida interpella i decisori politici e i regolatori. I soli in grado di porre in atto regole vincolanti e giuridicamente efficaci, anche interpretando e applicando in modo flessibile e anche tecnologicamente consapevole le norme di protezione dei dati personali, prime fra tutte quelle del GDPR.

Algoritmi e manipolazione, la Dichiarazione del Consiglio d’Europa

Il 13 febbraio scorso il Comitato dei Ministri del Consiglio di Europa, durante il suo 1337° meeting, ha adottato una Dichiarazione molto importante “on the manipulative capabilities of algorithmic process”.

La dichiarazione inizia con una sottolineatura estremamente importante. Ricorda, infatti, il Comitato che il fondamento del Consiglio di Europa e la sua stessa ragione di esistere è quella di costruire società fondate sul rispetto e il riconoscimento dei valori della democrazia, dei diritti umani e dello Stato di diritto.

Per questo i quarantasette Stati membri che oggi ne fanno parte devono garantire, ciascuno nell’ambito della propria competenza territoriale, il rispetto dei diritti e delle libertà fondate sulla Convenzione europea per i diritti umani (CEDU) “equally offline and online, in an environment of unprecedented political, economic and cultural globalisation and connectedness”.

Proprio lo sviluppo inarrestabile dei servizi digitali in atto nel mondo della comunicazione politica tra governanti e governati, e tra istituzioni e cittadini, insieme alla costante espansione del ricorso a questi servizi nel campo dei consumi, delle attività educative, dell’utilizzazione del tempo libero, nelle transazioni commerciali e in mille altri settori comporta una enorme e costante crescita del numero di dati creati dalle persone stesse. Dati che vengono messi in circolazione, trattati, conservati, utilizzati con sistemi di analisi sempre più veloci, relativi a quantità sempre più elevate.

Tutto questo, accompagnato dal crescente uso del Machine learning, delle molteplici forme di Intelligenza artificiale, comporta, secondo il Comitato rischi crescenti per le libertà e i diritti fondamentali delle persone.

Si tratta dei rischi a tutti noti da tempo, legati essenzialmente a forme massive di profilazione dei comportamenti singoli e, soprattutto, collettivi.

Analisi comportamentali che consentono attività predittive relative ai comportamenti delle persone, alle loro preferenze, persino alle loro emozioni.

Tutto questo comporta, dice con grande chiarezza il Comitato, rischi crescenti di manipolazione delle coscienze, di condizionamento delle persone rispetto alla loro vita sociale, alle loro credenze religiose, che richiedono un rafforzamento della tutela dei loro diritti.

Rischi di discriminazione e condizionamento

Cresce in modo allarmante la possibilità, persino non dichiaratamente voluta, di discriminazioni fra le persone e i gruppi sociali, in ragione dei loro comportamenti, delle loro scelte, persino delle loro reazioni emotive ai fenomeni analizzati.

Mettendo in essere attività di Data analysis su larga scala è facile, a seconda degli algoritmi utilizzati e dei dati scelti come base di analisi, far prevalere alcuni valori su altri, interferire nella informazione concretamente accessibile per le singole persone, condizionare i loro processi decisionali.

Cresce costantemente, inoltre, il rischio che la società digitale consenta e conduca a condizionare le persone non solo nelle loro scelte di acquisto o nelle loro attività economiche ma anche nei loro comportamenti sociali e nelle loro scelte politiche.

Tutto questo, osserva il Comitato, non solo può incidere sull’effettivo esercizio dei diritti individuali da parte delle persone ma può corrodere i fondamenti stessi che sono alla base della CEDU, perché mette in pericolo la fiducia delle persone nei principi di eguaglianza e del rispetto della dignità di ogni essere umano considerato nelle sua essenza di persona capace di libero arbitrio.

Cinque punti a tutela dei diritti fondamentali

Sulla base di queste valutazioni il Comitato dei Ministri fa un passo avanti molto importante.

Afferma, infatti, che è giunto il momento di dedicare la massima attenzione alla crescente minaccia ai diritti umani costituita da sistemi di Big Data, Data Analysis e Machine learning. Queste tecnologie, infatti, comportano l’uso sia di dati personali che non personali per classificare e profilare le persone anche nei loro comportamenti più intimi o marginali.

Lo scopo è quello di individuare le fragilità individuali e collettive; di poter fare analisi statistiche e comportamentali sempre più predittive; di incidere fortemente sui comportamenti collettivi e sui gruppi sociali, fino a tentare di riprogettarne le caratteristiche; di condizionare gli obiettivi e gli interessi perseguiti dalle persone e dalle loro comunità.

Tutto questo, dice la Dichiarazione del Comitato dei Ministri, non può non interessare e coinvolgere gli Stati membri della CEDU, proprio perché incide direttamente, e in misura sempre maggiore, sull’esercizio dei diritti fondamentali delle persone e sulla loro tutela.

A tale fine la Dichiarazione individua, al punto 9, cinque punti fondamentali.

  • Il primo richiede agli Stati di mettere al centro delle loro attenzioni i comportamenti, le decisioni e gli obiettivi definiti dai livelli decisionali più alti dell’ecosistema digitale. Occorre, sembra dire la Dichiarazione, una vigilanza rafforzata su questi profili, accompagnata dalla capacità e azione crescente delle diverse Autorità, che pur nella articolazione delle loro differenze, hanno poteri di controllo e di vigilanza sui diversi aspetti di questi fenomeni.
  • Il secondo punto è particolarmente importante, tanto che giova riprendere qui la esatta formulazione inglese. Si afferma la necessità di “considering the need for additional protective frameworks related to data that go beyond current notions of personal data protection and privacy and address the significant impacts of the targeted use of data on societies and on the exercise of human rights more broadly”.
  • Il terzo punto attiene alla necessità di promuovere, anche ai livelli istituzionali adeguati un’ampia attività di discussione e informazione, aperta alla partecipazione pubblica. Si tratta di definire linee guida e criteri adeguati capaci di distinguere “between forms of permissible persuasion and unacceptable manipulation”. È evidente l’importanza di combattere ogni forma di condizionamento subliminale ma anche quella di verificare se vi siano vulnerabilità o bias cognitivi che possono condizionare l’indipendenza e la autonomia delle decisioni individuali.
  • Il quarto punto raccomanda esplicitamente la adozione di misure che assicurino garanzie adeguate, appropriate e proporzionate, finalizzate a garantire una effettiva tutela legale contro ogni forma di illegittima interferenza sui diritti e le libertà delle persone.
  • Il quinto punto, infine, invita a promuovere studi e approfondimenti critici, anche a livello scientifico, per approfondire la conoscenza e diffondere la consapevolezza di come “many data are generated and processed by personal devices, networks, and platforms through algorithmic processes that are trained for data exploitation”.

È necessario diffondere la consapevolezza che l’uso di algoritmi applicati ai molteplici strumenti elencati è sempre più diffuso non solo per finalità di profilazione commerciale e conoscenza predittiva delle preferenze e delle necessità dei consumatori ma anche, e sempre di più, “for political reasons, as well as for ambitions of anti- or undemocratic power gain, warfare, or to inflict direct harm”.

Le Raccomandazioni agli Stati membri

Fissati questi punti il Comitato rivolge agli Stati membri importanti Raccomandazioni specifiche.

Fra queste merita richiamare l’invito a sviluppare attività di ricerca e servizi che rafforzino la possibilità di accesso per tutti alle nuove tecnologie in condizioni di eguaglianza e con la garanzia di tutele adeguate rispetto ai diritti fondamentali. A tal fine gli Stati membri devono agire affinché le industrie operanti nell’ecosistema digitale accrescano la consapevolezza del loro obbligo, morale, etico ma soprattutto giuridico, di aumentare costantemente la correttezza, la trasparenza e la credibilità (accountability) delle loro attività, assicurando e concorrendo ad assicurare il rispetto dei diritti umani e delle libertà fondamentali.

Le Istituzioni pubbliche, dal canto loro, devono assolvere a un nuovo, importante ed essenziale dovere: quello di guidare questo processo e vigilare anche sugli operatori e le industrie del settore per quanto riguarda la loro compliance alla tutela dei diritti e delle libertà fondamentali.

Stimolare il ruolo sociale dell’Università

Un altro aspetto particolarmente interessante della Dichiarazione è l’invito rivolto agli Stati membri a stimolare il ruolo sociale della Accademia al fine di approfondire la conoscenza delle tecnologie e del loro influsso sui sistemi sociali. Inoltre è necessario il costante supporto delle istituzioni scientifiche per sviluppare ricerche e lanciare gli allarmi necessari rispetto alle decisioni assunte dagli operatori rispetto all’uso di Algorithmic tools. È necessario che gli Stati e le loro istituzioni scientifiche vigilino affinché questi nuovi strumenti siano finalizzati ad accrescere la conoscenza anche con riferimento alla loro capacità di condizionamento circa il modo col quale gli individui apprendono.

L’obbiettivo deve sempre essere quello di garantire alle persone la possibilità di sviluppare la loro “cognitive sovereignty”. I ricercatori, gli studiosi, gli esperti, l’Accademia in genere, deve tener conto, nell’analisi dei sistemi utilizzati dalle tecnologie digitali, anche delle differenze esistenti tra i diversi sistemi sociali e delle diverse età degli utenti.

Soprattutto è necessario evitare che siano messi in atto sistemi in grado di agire non solo per condizionare le preferenze dei cittadini come utenti, ma anche le loro emozioni e le loro scelte nell’ambito sociale, istituzionale e politico.

Le azioni di enforcement e di regolazione

Proprio perché lo scopo della Dichiarazione è sollecitare gli Stati membri a prestare la massima attenzione ai temi indicati, la parte finale è tutta dedicata alle azioni di enforcement e di regolazione che si raccomanda loro di adottare.

In questa parte l’attenzione è rivolta principalmente, e con un evidente senso di urgenza, alla adozione di misure che tutelino e garantiscano la correttezza delle attività e degli strumenti utilizzati nella comunicazione politica e nei procedimenti elettorali.

A questo scopo il Comitato raccomanda che “it should be ensured that voters have access to comparable levels of information across the political spectrum, that voters are aware of the dangers of political redlining, which occurs when political campaigning is limited to those most likely to be influenced, and that voters are protected effectively against unfair practices and manipulation”.

Inoltre, in coerenza col rischio che le persone e i gruppi sociali possano essere condizionati attraverso la manipolazione dell’accesso all’informazione, si raccomanda una attenzione particolare ai media anche attraverso una costante attività di watchdogs finalizzata a rendere il dibattito sempre più ampio e informato.

La Dichiarazione si conclude infine con una forte raccomandazione agli Stati affinché mantengano sempre vivo un dialogo con gli stakeholders sia per evitare legami di dipendenza gli uni dagli altri, sia per sviluppare insieme ad essi ogni azione utile ad arginare questi fenomeni, anche esplorando vie ancora non studiate né messe a punto.

Il Consiglio d’Europa e i pericoli della società digitale

Come emerge anche da questo necessariamente breve riassunto, la Dichiarazione del Comitato dei Ministri sulle capacità manipolatorie degli algoritmi è davvero molto importante.

Il Consiglio di Europa sta da tempo svolgendo una attività molto rilevante sui temi della società digitale e dei suoi pericoli, nell’ambito della quale vanno collocate anche le importanti modifiche introdotte alla Convenzione n. 108 del 1981, emendata col Protocollo CETS n.223, adottato il 18 maggio 2018 e noto come Convenzione 108+.

In questo stesso quadro assumono un ruolo importante anche le Linee Guida “on artificial intelligence and data protection”, adottate il 25 Gennaio 2019 dal Comitato consultivo della Convenzione 108 (ma basate su un importante Rapporto del dicembre 2018, redatto dal prof. Alessandro Mantelero del Politecnico di Torino).

Di fatto il Consiglio di Europa, organo che affonda le sue radici nella Convenzione Europea per i Diritti Umani e che comprende ben 44 Stati, tra i quali anche San Marino, la Città del Vaticano e alcune Repubbliche asiatiche, un tempo parti dell’URSS, oltre che la stessa Federazione Russa, sta assumendo un ruolo importante proprio sui temi della tutela dei diritti fondamentali nel quadro della società digitale e della IA.

Mentre il GDPR è un sistema regolatorio “pesante” e compatto, dotato di flessibilità ma pur sempre legato alla regolazione della Unione Europea, il Consiglio di Europa si muove in modo più agile, anche se senza il potere di adottare norme vincolanti.

La sua stessa composizione, ampliata a 44 Stati a fronte dei 27 (ma ornai 26) Stati della UE, fa del Consiglio di Europa un soggetto con rilievo internazionale più duttile e più capace di seguire lo svilupparsi della realtà digitale di quanto sia invece la ben più impegnativa normativa dell’Unione.

In questo senso le sue indicazioni possono, e devono, essere considerate fondamentali e tenute nel massimo conto anche per quanto riguarda gli organi della UE.

Inoltre, è importante che nella interpretazione e applicazione del GDPR la Commissione e lo EDPB tengano sempre presente il lavoro del Consiglio di Europa e lo stesso facciano tutte le Autorità nazionali di controllo e lo EDPS per quanto riguarda le istituzioni della UE.

Oltre la protezione dei dati personali

In questo quadro la parte sicuramente di maggior interesse della Dichiarazione riguarda proprio la protezione dei dati.

La grande novità della Dichiarazione è di aver sottolineato che è ormai necessario andare oltre la protezione dei dati personali.

Per tutelare in modo efficace la privacy intesa come tutela dei diritti fondamentali e delle libertà dei cittadini occorre guardare all’impatto che il trattamento di dati, personali e non personali, può avere oggi, nelle società digitali.

Ciò che oggi occorre tutelare e difendere è il bene più prezioso che le persone hanno, secondo solo al diritto alla vita. Si tratta di garantire, nella concretezza della vita quotidiana di ciascuno e di tutti, il diritto di poter decidere in autonomia di sé stessi e di poter esercitare in modo responsabile e attento il libero arbitrio, fondamento essenziale della dignità stessa della persona umana.

Per questo il passo della Dichiarazione, contenuto nel punto nove, lettera b), dove si afferma la necessità di sviluppare un sistema di regolazione che vada oltre la attuale nozione di dati personali per proteggere e normare anche gli effetti che l’impatto dei trattamenti di dati, personali e non, può avere sui gruppi sociali e sull’effettivo godimento dei diritti fondamentali da parte delle persone costituisce il passo centrale di tutta la Dichiarazione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4