Gestire i limiti del Gdpr per costruire il futuro della società digitale - Agenda Digitale

Privacy, big data e AI

Gestire i limiti del Gdpr per costruire il futuro della società digitale

Bisogna affrontare i limiti della regolamentazione privacy nei confronti di algoritmi e big data, pur riconoscendo la centralità del Gdpr. La ricetta è complessa, ma la sola possibile per consolidare la fiducia nella società digitale. Una strada indicata nel nuovo libro di Franco Pizzetti

04 Mar 2021
Anna Cataleta

Avvocato, Senior Partner P4I

Una delle riflessioni più significative proposte da Franco Pizzetti – ex Presidente dell’Autorità Garante per la Protezione dei Dati Personali e professore emerito dell’Università di Torino – nel suo nuovo volume la “Protezione dei Dati Personali in Italia tra GDPR e Codice Novellato”, attiene alla valutazione dell’adeguatezza dell’attuale normativa in materia di data protection a disciplinare i fenomeni caratterizzanti laquarta rivoluzione industriale”, quali l’intelligenza artificiale, gli algoritmi, l’internet delle cose (IoT), l’ingegneria genetica.

Un tema che questa testata sta sviluppando con contributi pubblicati e in pubblicazione di diversi esperti e autorità.

No a una modifica al Codice Privacy

Come punto preliminare, Pizzetti apre il dibattito sull’opportunità di una nuova ed ulteriore modifica al Codice Privacy, utile ad apportare talune necessarie correzioni alle più evidenti carenze che sono emerse durante i primi anni di applicazione della nuova regolamentazione. Tuttavia, rispetto a tale possibilità, Pizzetti espone svariate ragioni che inducono a ritenere preferibile attendere, prima di invocare un nuovo intervento del legislatore. Innanzitutto, in considerazione dell’impatto della regolamentazione comunitaria sulla disciplina nazionale, non si può ignorare la prevista adozione del nuovo “Regolamento ePrivacy volta a garantire la riservatezza delle comunicazioni elettroniche e a tutelare gli individui da abusi derivanti da trattamenti dei loro dati personali. Ancora più rilevante è poi la circostanza relativa all’inadeguatezza dello stesso GDPR a far fronte alle molteplici sfide dell’era digitale.

WEBINAR
18 Novembre 2021 - 15:00
PNRR: Cybersecurity e innovazione digitale (sicura).
Sicurezza
Cybersecurity

A questo proposito, non bisogna dimenticare che la gestazione del GDPR è stata un processo complesso e laborioso: la proposta di un Regolamento Europeo per la Protezione dei Dati Personali venne presentata nel 2012 dalla Commissione Barroso e il testo venne approvato nel 2016 – sotto la Commissione Junker – per entrare poi pienamente in vigore il 25 maggio 2018. Nella sua analisi, Pizzetti fa notare come, durante questo lasso temporale, la Commissione e il Parlamento non avessero ben chiare le implicazioni economiche e sociali che da lì a poco avrebbero avuto i big data, gli algoritmi (utilizzati per processare enormi quantità di dati anche a fini predittivi e manipolativi del mercato) e l’intelligenza artificiale.

Lo stesso GDPR parte dal presupposto che a ogni trattamento di dati personali concorrano più soggetti chiamati dalla normativa a ricoprire ruoli meramente “statici”: il titolare, il responsabile e una platea di soggetti interessati. Per il legislatore del GDPR i rapporti tra queste tre tipologie di figure risultano essere fondati su trattamenti caratterizzati da finalità stabilite a priori e volte a garantire agli interessati un controllo effettivo sui loro dati personali.

I “pilastri” del Gdpr inadeguati all’attuale sistema digitale

È evidente che la rigidità dei ruoli definiti dal GDPR poco si sposa con l’idea di Mercato Digitale Europeo per la condivisione delle informazioni tra gli Stati Membri su cui si fonda la recente proposta della Commissione per un nuovo modello di governance europea dei dati (il cosiddetto Data Governance Act).

Affinché le aziende europee e gli enti di ricerca possano innovare, sfruttando gli enormi vantaggi offerti dall’intelligenza artificiale e dai big data, è indispensabile che a questi sia garantito un facile accesso a immensi database i cui dati possano essere condivisi e riutilizzati in un susseguirsi di “trattamenti a catena”, effettuati da un numero potenzialmente indefinito di titolari e responsabili e per il perseguimento di molteplici finalità, spesso non determinabili prima dell’inizio del trattamento. In questa prospettiva, il Data Governance Act conferisce un ruolo di primo piano anche a dei soggetti cosiddetti intermediari (“data sharing provider”), il cui ruolo appare essere solo forzatamente inquadrabile tra quelli attualmente previsti dal Regolamento 2016/679.

Alla luce di queste considerazioni è facile rilevare l’incompatibilità dei fenomeni caratterizzanti l’attuale sistema digitale (big data, algoritmi, intelligenza artificiale) con alcuni “pilastri” su cui poggia l’intera impalcatura del GDPR.

Principio di minimizzazione e trasparenza

  • Nello specifico, il principio di minimizzazione appare in netto contrasto con l’utilizzo di sistemi che impiegano l’intelligenza artificiale e che esprimono appieno le proprie potenzialità solo in presenza di un vasto quantitativo di dati (sia strettamente necessari che potenzialmente ultronei) per sviluppare modelli predittivi.
  • Analogamente, l’applicazione del principio di trasparenza appare incompatibile con un sistema che si articola in una rete indistricabile di rapporti tra un numero potenzialmente indefinito di titolari e responsabili. In questo contesto – e soprattutto qualora venga adoperata la tecnologia deep learning – è inoltre impossibile garantire all’interessato il pieno controllo sui propri dati, poiché potrebbe non essere possibile individuare e ricostruire i percorsi logici compiuti della macchina per giungere a un determinato output.

Articolo 22, trattamenti automatizzati

Si veda anche portata dall’art. 22 del GDPR – da intendersi come il punto di connessione più evidente tra il testo normativo e lo sviluppo delle tecnologie digitali – e le implicazioni di un trattamento interamente automatizzato sull’applicazione dei principi di trasparenza e di accesso.

L’art. 22 del Regolamento stabilisce il diritto del soggetto interessato a non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato – compresa la profilazione – qualora questo produca effetti giuridici in grado di incidere significativamente sulla sua persona. Tale disposizione prevede inoltre che il titolare del trattamento adotti misure appropriate per tutelare le libertà e i diritti dell’interessato, compreso quello di richiedere l’intervento umano e di contestare una decisione adottata sulla base di un procedimento interamente automatizzato.

In questo contesto – e soprattutto qualora venga adoperata l’intelligenza artificiale e la tecnologia deep learning – Pizzetti sottolinea come appaia impossibile garantire all’interessato il pieno controllo sui propri dati e la possibilità di ricorrere all’intervento umano per la revisione e il controllo di decisioni automatizzate: in alcuni casi, infatti, potrebbe risultare impossibile per il titolare individuare e ricostruire i percorsi logici compiuti della macchina per giungere ad un determinato output.

Nello scenario così delineato, risulta evidente che le complessità del quadro normativo e le difficoltà applicative non possano risolversi unicamente con una modifica del Codice Privacy Novellato da parte del legislatore italiano. Il problema nasce, invece, direttamente al livello del GDPR e riguarda la necessità di definire il suo rapporto con le nuove dinamiche della società digitale, per realizzare compiutamente l’aspirazione di un mondo “full of new technologies and age-old values” che concili la tutela dei diritti fondamentali con il progresso tecnologico.

Codici di condotta e certificazioni

A questi fini, un indiscusso punto di forza del GDPR è rappresentato dalla disciplina relativa ai Codici di Condotta e alle Certificazioni, strumenti destinati a divenire imprescindibili per la regolamentazione di settori specifici e in costante trasformazione.

Tali Codici di Condotta e Certificazioni, insieme alle Linee Guida dettate dalle Autorità competenti, sembrano quindi essere, allo stato, gli strumenti più idonei a rispondere alle attuali esigenze di tutela e regolamentazione, molto più di un nuovo intervento del legislatore italiano. A questo proposito, Pizzetti suggerisce ai membri dell’Autorità Garante per la Protezione dei Dati Personali di non limitarsi ad attuare i principi del GDPR e del Codice Novellato, ma di dar prova di lungimiranza, “guardando lontano” e promuovendo – per mezzo di tutti gli strumenti a disposizione dell’Autorità – una lettura estensiva e coerente della normativa europea e nazionale, contribuendo al pieno sviluppo di un “nuovo diritto” che permetta agli individui di beneficiare di tutti i vantaggi che la digital age sarà in grado di offrire e, al contempo, li tuteli dai rischi e dalle minacce – alcuni dei quali potenzialmente ancora ignoti – connessi all’inarrestabile progresso della tecnologia.

Una nuova alleanza tra diritto e tecnologia

Sempre allo stesso scopo, emerge l’importanza di stringere un nuovo sodalizio tra diritto e tecnologia.

Lo stesso Pizzetti sottolinea l’importanza della preliminare cooperazione tra i soggetti tenuti a vigilare sul rispetto della regolamentazione in materia di dati personali e il legislatore chiamato a definire norme giuridiche, etiche e tecnologiche che orientino lo sviluppo digitale, anche in relazione al trattamento di dati personali.

Infatti, perché l’umanità intera possa godere dei benefici immensi riconducibili all’evoluzione tecnologica e all’intelligenza artificiale, è necessario che sia rafforzato il principio di responsabilità – anche etica – degli operatori attivi nell’ambito delle nuove tecnologie e di chiunque tratti i dati personali, così da aumentare la fiducia delle persone e da garantire una tutela effettiva dei loro diritti e libertà.

La responsabilità delle aziende perno della fiducia nella società digitale e per la sua crescita

Il rispetto del principio di accountability posto a carico dei soggetti che si occupano dello sviluppo di nuove tecnologie è essenziale per far crescere la fiducia nella società digitale e guidare le Data Protection Authority nelle loro molteplici attività, andando oltre una lettura restrittiva del Regolamento.

Pizzetti riconosce inoltre la necessità che le Autorità Europee (in primo luogo l’European Data Protection Board) ricoprano un ruolo proattivo nel predisporre Linee Guida e Opinioni per fornire una “bussola” alle Data Protection Authority nazionali e coordinare le loro attività definendo un unico approccio europeo in materia di intelligenza artificiale e gettare le basi per una “Carta Etica Europea per il controllo sui trattamenti relativi ai dati personali”.

Rivolgendosi poi all’Autorità Garante per la Protezione dei Dati Personali, Pizzetti invita i membri a non operare limitandosi a dare attuazione ai principi del GDPR e del Codice Novellato, ma di dar prova, di saper “guardare lontano”, promuovendo – attraverso tutti gli strumenti a disposizione dell’Autorità, compresa la pubblica consultazione – una lettura estensiva e coerente della normativa europea e nazionale, contribuendo al pieno sviluppo di un “nuovo diritto”: quello che permetta agli individui di beneficiare di tutto ciò che la Digital Age sarà in grado di offrire e, al contempo, garantisca una tutela efficace dalle minacce – comprese quelle potenzialmente ancora ignote – connesse all’incalzante progresso della tecnologia digitale.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4