Nella celeberrima tragedia dei beni comuni, risorse comuni formano oggetto di sfruttamento egoistico e sproporzionato da parte di taluno con conseguenze gravissime per tutti in termini di sostenibilità economica e sociale.
Il sospetto è che, nell’indifferenza dei più, stia andando in scena una tragedia ancora più grave e dalle conseguenze più rovinose per l’intera società che si potrebbe definire tragedia dei beni privati o, forse, meglio dei beni personali, a cominciare proprio dai dati personali.
Pochi – e, anzi, forse, bisognerebbe dire pochissimi – ormai da qualche anno stanno pescando a strascico quantità enormi di dati personali di miliardi di persone per utilizzarli al fine di addestrare i propri algoritmi di intelligenza artificiale da porre a base di una serie di servizi da offrire poi in uso alla collettività nell’ambito dei più diversi modelli di business.
La conversione dei dati in asset commerciali: i rischi per il diritto alla privacy
Nella sostanza, dunque, quello che sta accadendo è che elementi rappresentativi di un diritto fondamentale come il diritto alla privacy, nelle grandi fabbriche globali di intelligenza artificiale, sono convertiti in asset commerciali e tecnologici che, almeno nel breve periodo, arricchiscono pochissimi in danno di moltissimi, consolidando oligopoli di mercato già divenuti difficilmente contendibili e ponendo i Paesi nei quali questi oligopoli sono stabiliti in una condizione di straordinaria potenza nella dimensione geopolitica e tutti gli altri in una posizione di egualmente straordinaria dipendenza geopolitica.
Vale la pena lasciare a economisti e studiosi di geopolitica l’analisi dell’impatto di questa nuova tragedia nelle dimensioni di loro competenza e, con particolare riferimento alle cose dell’economia, il tentativo di rispondere a una delle domande, forse, più importanti di tutte: quanto equamente saranno distribuite le innegabili opportunità e gli indiscutibili benefici che le soluzioni di intelligenza artificiale in questione offrono e offriranno alla società e, soprattutto, quanto è probabile che ciascun singolo, spogliato di un bene tanto prezioso, che gli appartiene, come i propri dati personali – e, peraltro, non pacificamente considerato un bene giuridico-economico suscettibile di stare sul mercato – abbia un ritorno pari al sacrificio sofferto?
La sostenibilità giuridica dell’attuale modello di addestramento dell’IA
Qui, invece, si può forse provare, in maniera meno ambiziosa, a limitarsi a valutare la sostenibilità giuridica di quanto sta accadendo e esplorare se e cosa si possa fare per governare il fenomeno.
Il punto di partenza credo debba essere questo: la circostanza che i dati personali di miliardi di persone siano pubblicati online e, quindi, tecnologicamente accessibili a chiunque non ne modifica la natura, non li sottrae all’ambito di applicazione della disciplina in materia di privacy e non li rende, quindi, indiscriminatamente utilizzabili da chiunque per qualunque finalità.
Il web non può essere un “alla you can eat” di dati personali
Il web, insomma – a dispetto di ciò che la dimensione esclusivamente tecnologica potrebbe suggerire – non è, e forse non dovremmo lasciare diventi, un ristorante all you can eat di dati personali nel quale pochi avventori danarosi e tecnologicamente capaci possono gratuitamente fare indigestione di dati personali per soddisfare appetiti, almeno in prima battuta, egoistici.
Pubblicazione e controllo dei dati personali
I dati personali sono sempre pubblicati online per finalità specifiche e limitate, talvolta anche nella dimensione temporale, sempre e comunque – al netto di patologie – sotto il controllo degli interessati che, sui loro dati personali possono esercitare tutti i diritti loro riconosciuti dalla legge nei confronti dei titolari del trattamento che quei dati pubblicano.
Difficile descrivere in maniera puntuale questo scenario che, tuttavia, può essere tratteggiato attraverso pochi esempi: le pubbliche amministrazioni pubblicano quantità importanti di dati personali per esigenze, ad esempio, di trasparenza o di pubblicità-notizia, spesso per intervalli limitati di tempo espressamente previsti dalla legge, i giornali fanno altrettanto esercitando il diritto di cronaca che, in presenza di un interesse pubblico, comprime il diritto alla privacy del singolo – peraltro, anche in questo caso, non senza che il tempo abbia un suo peso nella durata legittima della pubblicazione o, almeno, nella determinazione delle condizioni di accessibilità del contenuto in ossequi al diritto all’oblio – e siti di annunci e socialnetwork pubblicano dati personali su richiesta degli stessi interessati o di terzi che, tuttavia, restano sempre liberi di cambiare idea e rivedere la loro scelta di condividere questa o quell’informazione che li riguardi.
I dati personali non sono beni liberamente sfruttabili nel web
Ma, naturalmente, il contesto è molto più complesso.
E, tuttavia, mai i dati personali possono considerarsi abbandonati alla deriva nella dimensione digitale e ridotti allo stato di res nullius o di bene comune liberamente sfruttabile da chiunque per qualsiasi finalità addirittura laddove la forma di sfruttamento prescelta rischi di compromettere un controllo effettivo dell’interessato sui propri dati personali e l’esercitabilità da parte di quest’ultimo dei diritti che, a tutela propria privacy e, quindi, della propria dignità, la legge, almeno in Europa, le o gli riconosce.
Questa regola generale soffre alcune limitate eccezioni, comunque disciplinate dalla legge, laddove il legislatore definisca, di pubblico interesse, un trattamento e, come tale, al ricorrere di certe condizioni e con taluni limiti, ne consideri lo svolgimento lecito a prescindere e, talvolta, persino contro, il diritto e la volontà del singolo cui i dati personali si riferiscono.
Tanto, tuttavia, non è avvenuto in relazione al fenomeno del quale ci stiamo occupando.
Perché si è scelto di non disciplinare la raccolta di dati per il training AI
Né il legislatore europeo nell’AI act – che sarà pubblicato sulla Gazzetta Ufficiale dell’Unione europea il 12 luglio – né quello italiano, né, a quanto mi consta, quello di nessun altro Paese europeo, sin qui, ha proceduto in tal senso.
È circostanza, inutile girarci attorno, che lascia perplessi perché è difficile pensare che si possa disciplinare la progettazione, lo sviluppo e l’uso di soluzioni di intelligenza artificiale in un contesto nel quale, almeno, sussistono dubbi circa la fase di approvvigionamento delle “materie prime”.
È un po’ come se si fosse deciso di disciplinare la raffinazione e la distribuzione di petrolio, ignorando, tuttavia, la fase di perforazione e estrazione del greggio e omettendo di disciplinarla.
Eppure, non vi è dubbio alcuno – e, sul punto occorrerà tornare – che è pressoché impossibile sviluppare talune soluzioni di intelligenza artificiale in assenza di una raccolta massiccia di dati anche personali.
E, quindi, l’unica spiegazione della scelta di non disciplinare tale profilo – al netto dell’eventualità che la scelta sia dipesa dall’impossibilità di identificare una soluzione condivisa nei tempi serrati nei quali si è inteso intervenire a disciplinare la materia – è che si sia ritenuta la disciplina sulla protezione dei dati personali sufficiente a governare il fenomeno.
Personalmente ho qualche dubbio al riguardo ma su questo torno più avanti.
Le basi giuridiche teoricamente utili
In questa prospettiva, almeno osservando la fattispecie dalla prospettiva della disciplina europea, le basi giuridiche utili a consentire a chicchessia un trattamento di dati personali quale quello di cui si discute – raccolta massiva online di qualsiasi tipo di dato personale per qualsiasi finalità e da chiunque pubblicato – sembrano, almeno astrattamente, solo tre: la legge, il consenso e il legittimo interesse.
La prima deve essere subito esclusa giacché, come si è detto, non ci sono, allo stato, leggi che autorizzino questo genere di operazione di trattamento.
Fuor di teoria, la concreta possibilità di ricorrere, alla seconda, ovvero al consenso almeno laddove i dati personali oggetto di raccolta massiva a mezzo webscraping appartengono a una congerie indistinta e sconosciuta di interessati – come avviene quando si pesca a strascico nell’intero web – sembra da escludere perché, evidentemente, non si può chiedere un consenso a soggetti indeterminati e, almeno in una certa misura, indeterminabili.
Potrebbe essere diversa la questione – sulla quale, tuttavia, qui non mi soffermo – relativa all’eventualità, pure presente sul mercato, che taluno intenda trattare ai fini dell’addestramento degli algoritmi dati personali riconducibili a un numero chiuso di soggetti determinati perché, ad esempio, utenti di proprie properties digitali.
Il legittimo interesse come base giuridica per il webscraping strumentale all’addestramento degli algoritmi
L’unica base giuridica utile, almeno in astratto, a legittimare la raccolta massiva di dati personali dal web resta, dunque, il legittimo interesse.
E, qui, è, tuttavia, subito necessaria una precisazione non di poco conto.
Il legittimo interesse, infatti, come è noto non può in alcun caso rappresentare condizione legittimante il trattamento di dati personali di carattere particolare (salute, sesso, religione, politica ecc.).
Tanto più che, come è noto, l’articolo 9 del GDPR che, appunto, disciplina le basi giuridiche legittimanti il trattamento di dati particolari, identifica, al suo secondo comma, tali “basi giuridiche” quali eccezioni alla regola generale del primo comma, secondo la quale: “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.”.
L’interpretazione della norma, qui, dunque, trattandosi di eccezione alla regola, deve necessariamente essere rigorosa e, anzi, restrittiva.
Non consta, tuttavia che, allo stato della tecnica, esistano soluzioni di webscraping selettivo, capaci cioè di limitare la raccolta ai soli dati personali comuni, escludendo ogni dato particolare.
In questo contesto è difficile ritenere che si possa considerare lecito un trattamento di dati personali anche particolari basato sul legittimo interesse.
E, però, a questo punto la domanda sorge spontanea: si può considerare utile allo svolgimento di un trattamento indistinto di dati personali comuni e particolari una base giuridica che non appare comunque idonea a legittimare almeno parte del trattamento?
Il precedente della decisione Costeja Gonzalez della Corte di Giustizia Ue
Lasciando la domanda, almeno per il momento, senza risposta sembra necessario ricordare che la Corte di Giustizia dell’Unione europea, nella famosa decisione Costeja Gonzalez, nel 2014, ritenne che l’analoga attività di webscraping posta in essere da Google ai fini dell’indicizzazione dei contenuti online potesse considerarsi lecita proprio sulla base del legittimo interesse ancorché, evidentemente, anche in quel caso, il gestore del motore di ricerca non distinguesse – come continua a non distinguere – i dati personali comuni e i dati particolari.
Insomma, pur non dedicando, neppure una riga alla questione, i Giudici della Corte di Giustizia, all’epoca, ammisero – salvo non pensare che non si posero affatto il problema – che implicitamente i dati particolari possono essere trattati sulla base del legittimo interesse.
Qui non è facile resistere alla tentazione di considerare almeno “affrettata” la decisione della Corte giacché, anche laddove i Giudici avessero effettivamente inteso pervenire a una conclusione di tale portata, verosimilmente, avrebbero affrontato in maniera esplicita la questione e avrebbero espressamente motivato la loro decisione.
Sebbene, dunque, quello del trattamento dei dati particolari appaia un ostacolo invalicabile all’idea che il legittimo interesse possa rappresentare una valida base giuridica per il webscraping finalizzato all’addestramento degli algoritmi, vale la pena proseguire il ragionamento e interrogarsi sulla possibilità che, almeno, possa esserlo in relazione ai dati comuni.
Norme e considerazioni lineari
Vale la pena partire dalle norme.
A venire in rilievo sono, come è noto, la lettera f) del comma 1 dell’art. 6 e il considerando 47 del GDPR.
La lettera f), dichiara lecito un trattamento quanto “è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.”
Il considerando 47, dal canto suo, prevede che “I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento. Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento. In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali.”.
Senza voler semplificare eccessivamente valutazioni che sono inesorabilmente complesse ci sono, tuttavia, alcune considerazioni più lineari che sembrano capaci di guidare la ricerca di una prima possibile conclusione.
La prima è che non sembra lecito dubitare che raccogliere quantità anche importanti di dati anche personali – non di dati particolari per quanto si è detto – corrisponda certamente a un interesse legittimo delle fabbriche di intelligenza artificiale che, allo stato della tecnica, diversamente, non potrebbero addestrare i loro algoritmi e esercitare la loro libertà di impresa e, forse, potrebbe anche aggiungersi, in questa valutazione, che nonostante l’imperfezione con la quale i benefici e le opportunità generati dall’intelligenza artificiale sono destinati a essere condivisi con la società, sussiste anche un interesse, egualmente legittimo, della società nel suo complesso a che l’innovazione nell’ambito dell’intelligenza artificiale non sia rallentata e, dunque, a che i trattamenti in questione abbiano luogo.
La valutazione comparativa
E, tuttavia, ai fini del ricorso alla base giuridica del legittimo interesse, la sussistenza, appunto, di un legittimo interesse del titolare e/o di terzi non è sufficiente.
Questo impone di passare a una seconda considerazione.
Il considerando 47 così come il Parere del Gruppo articolo 29, poi fatto proprio dall’EDPB in materia di legittimo interesse, stressano due aspetti più di tanti altri: la circostanza che l’interessato possa attendersi o prevedere il trattamento e la circostanza, spesso strumentale proprio a contribuire alla prevedibilità del trattamento che tra interessato e titolare del trattamento esista un qualche rapporto.
Nel caso del webscraping finalizzato all’addestramento degli algoritmi, per un verso non sussiste alcuna relazione – almeno normalmente e anche qui con l’eccezione delle ipotesi nelle quali a essere trattati sono i dati degli utenti di una specifica piattaforma da parte del gestore della piattaforma – tra fabbriche degli algoritmi, titolari del trattamento e interessati e, per altro verso – e, in parte, di conseguenza – una semplicissima survey rivelerebbe, verosimilmente, che la stragrande maggioranza degli interessati non si aspetta in alcun modo che tali fabbriche trattino i propri dati personali per addestrare gli algoritmi.
La consapevolezza degli interessati
Molti di noi, d’altra parte, hanno impiegato anni per capire – ma, forse, bisognerebbe dire per scoprire – che qualcuno stava raccogliendo i nostri dati personali per addestrare gli algoritmi che oggi rappresentano il motore dei più popolari servizi basati sull’intelligenza artificiale.
E la stragande maggioranza della popolazione europea – ma altrettanto potrebbe dirsi per quella mondiale – ne è ancora oggi completamente all’oscuro.
Ma non basta.
Come è noto, prima di decidere di iniziare un trattamento basandolo sul legittimo interesse un titolare deve compiere una valutazione comparativa tra il proprio interesse e il sacrificio che, perseguendolo, produrrebbe per gli interessati e, naturalmente, in questo genere di valutazione, i casi d’uso e le finalità che caratterizzano il trattamento risultano determinanti.
E, tuttavia, molto spesso, gli algoritmi sono addestrati senza che siano stati messi a fuoco – e, forse, che possano essere messi a fuoco – casi d’uso e finalità specifici e determinati.
Uno stesso algoritmo, infatti, è verosimilmente destinato a essere usato nel corso della propria esistenza, per una pluralità di finalità e in una pluralità di contesti diversi e tali circostanze incidono irrimediabilmente sul livello di rischio e/o di compressione dei diritti e delle libertà degli interessati, rendendo difficile se non impossibile procedere alla predetta valutazione comparativa.
Sin qui, pertanto, l’applicazione delle regole vigenti alla questione che si sta affrontando sembra condurre a una conclusione quasi obbligata: il legittimo interesse, nella più parte dei casi, non dovrebbe poter costituire una base giuridica legittimante il trattamento di dati personali strumentale all’addestramento degli algoritmi.
Ma c’è di più.
Obblighi di informativa e diritto di opposizione
Il ricorso al legittimo interesse quale base giuridica per il trattamento dei dati personali, infatti, come è noto non solleva il titolare del trattamento dall’obbligo di fornire agli interessati un’idonea informativa e, soprattutto, gli impone di riconoscere agli interessati medesimi il diritto di opposizione.
Anche a voler, per un istante, dunque, considerare lecito il ricorso al legittimo interesse, occorrere poi verificare se e in che misura, nel contesto del quale stiamo parlando, il titolare del trattamento sia effettivamente in grado di adempiere a tali obblighi o, meglio ancora, vi stia adempiendo, considerato che questo genere di trattamenti è già diffuso da tempo.
In questa prospettiva di indagine è evidente che, normalmente – e ancora una volta con la sola eccezione in cui il novero degli interessati sia noto al titolare del trattamento e da questi raggiungibile con una comunicazione ad personam – il titolare del trattamento non sarà in grado di raggiungere tutti gli interessati i cui dati sono destinati a essere raccolti ai fini dell’addestramento degli algoritmi attraverso webscraping con un’informativa avente le caratteristiche degli articoli 12 e 14 del GDPR.
Misure appropriate per tutelare i diritti
Al riguardo, tuttavia, sembra, forse, potersi invocare quanto disposto dal comma 5 dell’art.14 alla lettera b) ai sensi del quale l’informativa può essere omessa quando “comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato”.
E, tuttavia, ai sensi della medesima disposizione “In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni”.
Con riserva di tornare più avanti ad approfondire quali possano essere tali “misure appropriate”, per il momento, sul punto, sembra potersi dire che gli obblighi di cui agli articoli 12 e 14 non sembrano ostare in senso assoluto al ricorso al legittimo interesse quale base giuridica del trattamento di raccolta dei dati personali ai fini dell’addestramento degli algoritmi.
Riconoscibilità agli interessati del diritto di opposizione
Più complesso, al contrario, sembra il discorso relativo alla riconoscibilità agli interessati del diritto di opposizione.
Tutte le principali fabbriche di algoritmi, allo stato, sembrano riconoscerlo almeno formalmente.
Tuttavia, tale diritto sembrerebbe esercitabile esclusivamente in forma limitata rispetto a quanto previsto nel GDPR che, vale la pena ricordarlo, al riguardo, all’art. 21, dispone che “L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1,lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.”
Limiti tecnologici
In particolare, allo stato, l’interessato può semplicemente chiedere al titolare del trattamento di sottrarre al webscraping finalizzato all’addestramento degli algoritmi – sempre che ne venga a conoscenza prima dell’avvio dell’attività – di escludere dalla raccolta taluni specifici dati personali che deve esso stesso indicare al titolare del trattamento (es: nome e cognome, copdice fiscale, indirizzo mail ecc.) fornendoglieli mentre non è posto in condizione di opporsi al trattamento di tutti i propri dati personali comunque e ovunque raccolti per la finalità di addestramento degli algoritmi come, al contrario, sembra suggerire la lettura dell’art. 21 del GDPR.
Anche qui sembra fare eccezione a questa regola la parzialmente diversa ipotesi nella quale i dati destinati a essere trattati per l’addestramento degli algoritmi siano “solo” quelli che l’interessato condivide all’interno di una specifica piattaforma digitale.
E non basta perché, benché l’articolo 21, chiarisca che il diritto è esercitabile “in qualsiasi momento”, l’interessato, allo stato, qualora non eserciti tale diritto prima dell’inizio della raccolta dei dati (il che peraltro è ormai impossibile in relazione alla più parte dei titolari che hanno posto in essere questo genere di trattamento) sembra costretto a doversi poi accontentare che il titolare del trattamento escluda i propri dati personali – sempre nei limiti di quelli specificamente indicatigli e fornitigli dall’interessato – da eventuali output del servizio, non potendo, invece, ambire a un’effettiva cessazione del trattamento di ogni proprio dato personale.
L’uno e l’altro appaiono limiti imposti dallo stato della tecnologia.
Anche sotto tale profilo, pertanto, in un contesto di applicazione delle regole sembra doversi considerare difficile se non impossibile – salva sempre una valutazione indispensabile da compiersi caso per caso – considerare il legittimo interesse come una base giuridica utilizzabile per i trattamenti strumentali all’addestramento degli algoritmi.
L’impossibilità tecnologica di addestrare gli algoritmi dicendo no al legittimo interesse
Tali prime conclusioni, tuttavia, si scontrano, inesorabilmente, con una questione che non può essere trascurata: è opinione comune e diffusa quella secondo la quale qualora si escludesse l’eventualità di ricorrere al legittimo interesse per l’addestramento degli algoritmi, si bloccherebbe, inesorabilmente, ogni possibilità di procedere a tale attività di addestramento con una serie importanti di conseguenze sia in termini di sviluppo tecnologico, sia in termini di rappresentatività dei dati e delle informazioni europee in algoritmi eventualmente addestrati attraverso il webscraping di dati – ammesso che questa operazione di geoperimetrazione risultasse tecnologicamente fattibile – provenienti da Paesi altri.
Il bivio, insomma, non è di poco conto.
La scelta tra regole e sviluppo tecnologico
Da una parte la strada che esige il puntuale rispetto delle regole europee sulla protezione dei dati personali con il rischio di produrre le conseguenze accennate e dall’altra quella che suggerisce una interpretazione prossima alla disapplicazione – che è almeno lecito dubitare rientri nella discrezionalità delle autorità di protezione dei dati personali europee – di talune disposizioni importanti della citata disciplina europea al fine di non determinare brusche frenate nel processo di addestramento degli algoritmi, frenate che, peraltro, potrebbero produrre conseguenze anche su quanto sviluppato sin qui, giacché sarebbe almeno lecito dubitare della legittimità di una prosecuzione del trattamento di dati che si dovessero accertare come illecitamente raccolti e trattati.
Che fare?
È il momento di tornare a una delle questioni lasciate aperte più sopra, quella relativa alla circostanza che il legislatore europeo prima e quello nazionale poi abbiano ritenuto di disciplinare la materia senza intervenire su questi profili, forse, confidando nell’autosufficienza della disciplina europea in materia di protezione dei dati personali.
Tale giudizio non sembra corretto.
Davanti al bivio che si è rappresentato, probabilmente, non dovrebbero essere le autorità di protezione dei dati personali europee a decidere la strada da prendere perché si tratta di una scelta che sottende una decisione che trascende i loro poteri e che ha carattere politico.
I nodi politici da sciogliere
L’applicazione – per quanto evoluta e evolutiva delle norme – appare insufficiente.
I nodi da sciogliere sono politici.
Vogliamo, dobbiamo e possiamo – anche in termini di sostenibilità umana e democratica – qualificare il trattamento di dati personali necessari all’addestramento degli algoritmi come un interesse pubblico e dunque legittimarlo a prescindere e eventualmente anche contro la volontà del singolo interessato?
E se si, a quali condizioni?
Perché sembra abbastanza evidente che non ci si possa limitare a autorizzare un numero piuttosto ristretto – nei fatti – di soggetti privati a appropriarsi di dati personali di miliardi di persone – centinaia di milioni solo in Europa – per rafforzare le proprie tecnologie e le proprie posizioni di mercato senza porre dei limiti e delle condizioni a tale eventuale autorizzazione, limiti e condizioni almeno idonei a garantire che opportunità e benefici generati da questo sfruttamento massiccio di diritti personalissimi siano poi equamente distribuiti nella società e sui mercati.
E appare egualmente politica la decisione relativa alla possibilità di considerare legittima una condotta figlia sì di limiti legati allo stato della tecnologia, ma di uno stato della tecnologia unilateralmente determinato dai soggetti che oggi lo eccepiscono come ragione per la quale non potrebbero rispettare la disciplina vigente.
In altre parole, non c’è sul tavolo nessuna prova scientifica che suggerisca che distribuendo diversamente gli investimenti non si sarebbe potuti arrivare dove si è oggi progettando e disegnando tecnologie capaci di offrire analoghe opportunità senza necessariamente travolgere tanto prepotentemente diritti e libertà anche fondamentali.
Decidere di “ratificare” o, forse, meglio “condonare” quanto accaduto in nome del progresso tecnologico sembra, in effetti, una questione, ancora una volta, di natura politica nella quale, probabilmente, Autorità chiamate semplicemente a applicare delle regole, non dovrebbero entrare.
Il difficile ruolo delle Autorità per la protezione dei dati personali europee
C’è il rischio, insomma, ancora una volta che le Autorità per la protezione dei dati personali europee si ritrovino a giocare un ruolo di supplenza nel tentativo di risolvere questioni che avrebbero potuto e forse dovuto essere risolte dai legislatori.
Alla ricerca di una soluzione comunque imperfetta, se si ritenesse toccare alle autorità di protezione dei dati personali europee intervenire per prime o, più semplicemente se, come appare probabile, si trovassero costrette a farlo dagli eventi, probabilmente, si dovrebbe da una parte lavorare su quelle “misure adeguate” che l’articolo 14 del GDPR impone al titolare del trattamento impossibilitato a fornire agli interessati una reale informativa di adottare e dall’altra sulla possibilità di “aumentare” il diritto di opposizione oggi riconosciuto ai singoli interessati.
Sotto il primo profilo, forse, si potrebbe immaginare che le fabbriche degli algoritmi pongano in essere, in epoca anteriore all’inizio della raccolta dei dati personali finalizzata all’addestramento o al ri-addestramento campagne di comunicazione di rilievo e costi proporzionati agli investimenti messi in campo per progettare, sviluppare e potenziare i propri servizi allo scopo di raggiungere il maggior numero di interessati possibile.
Sotto il secondo profilo, si potrebbe ipotizzare che gli stessi titolari del trattamento debbano porsi almeno in condizione di filtrare, tanto in sede di webscraping che in sede di output del servizio basato sull’intelligenza artificiale, un insieme di dati personali più ampio rispetto ai soli dati personali specificatamente individuati dall’interessato, un insieme di dati tendente alla totalità dei dati dell’interessato.
Il traguardo non sembra tecnologicamente impossibile e, probabilmente, è solo questione di rendere il suo raggiungimento una priorità non inferiore rispetto a quella di arrivare primi sul mercato con nuove funzionalità sempre più performanti.
Ma sono, naturalmente, solo suggestioni alla ricerca, appunto di una soluzione imperfetta.
E, in questo contesto, forse, il meglio che si può fare è aprire un dibattito tra gli addetti ai lavori, raccogliere pareri e opinioni sebbene nei limiti del tempo a disposizione per governare un fenomeno sul quale, innegabilmente, siamo già in ritardo.
Conclusioni
Ecco questo contributo, scritto a titolo assolutamente personale, vorrebbe stimolare proprio questo dibattito perché è difficile immaginare una scelta con un impatto più rilevante sulla vita delle persone e sul futuro della società e, quindi, una scelta per assumere la quale conoscere il pensiero di studiosi, addetti ai lavori e stakeholder diversi possa essere più prezioso.