Sono settimane intense, quelle che stiamo vivendo, per quanti operano nel mondo dei dati. Da ogni parte del globo si rincorrono notizie sulle iniziative delle diverse Autorità di controllo e garanzie, o delle assemblee legislative e dei governi. Su tutti campeggia il tema della regolazione dell’intelligenza artificiale, tema che impegna tanti di noi a vari livelli e con diversa intensità da mesi o anni[1].
Il più grande ed importante consesso che si è da poco occupato dei temi che ci impegnano è stato il G7 delle Autorità di protezione dati, svoltosi a Tokyo la scorsa settimana. Non solo AI, ovviamente, al centro del dibattito. Sono stati ben tre i temi al centro dell’agenda di lavoro dei rappresentanti dei Paesi membri, Stati Uniti, Canada, Francia, Germania, Giappone, Italia e Regno Unito: in primis il tema della libera circolazione dei dati basata sulla fiducia (Free Data Flow with Trust, iniziativa lanciata dal premier Shinzo Abe nel 2019); a seguire la questione dell’intelligenza artificiale e dintorni (le c.d. “tecnologie emergenti”); ed infine, alcune questioni di cooperazione internazionale nell’applicazione del quadro normativo.
Per l’Italia una figura altamente rappresentativa, la Vicepresidente del Garante, la professoressa costituzionalista Ginevra Cerrina Feroni.
Il tema del trasferimento dei dati
Il tema del trasferimento dei dati resta, ancora, un argomento irto di problematiche giuridiche e pratiche. L’incremento esponenziale dei trasferimenti dei dati e dei relativi flussi, grazie soprattutto all’esplosione del digitale, non permette di indugiare più: delle due l’una, o i Grandi del mondo imboccano la strada dei trattati, a cui via via possano aderire il più alto numero di Stati, ovvero il rischio del liberi tutti e del crollo della credibilità dei sistemi di protezione e libera circolazione è dietro l’angolo.
Sin dai tempi della prima direttiva europea sulla privacy, la 95/46/CE, fu posto in maniera netta il principio della possibile libera circolazione dei dati, a condizione che prima si fosse integrato un sistema di protezione degli stessi. Nacquero così le Autorità garanti nazionali in ciascun Paese dell’UE ed il Gruppo dei Garanti Europei dei dati.
Gli Usa ancora senza Garante privacy
Il modello fu esportato ed ora – dopo aver interrogato ChatGPT sul punto – si contano circa 100 autorità privacy nel mondo, ma nessuna negli Stati Uniti. Questo il primo e più grande vulnus sul piano internazionale, che mina la fiducia nei flussi internazionali dei dati e polarizza un ideale scontro tra due modelli, quello europeo basato sul GDPR e sul Trattato di Lisbona, che fa della protezione dei dati un diritto fondamentale, testata d’angolo di tutte le libertà fondamentali dell’individuo e quello statunitense, privo di analoga tutela e visione, ma al tempo stesso ricco di norme e statuti verticali, settore per settore e portatore di una cultura di impresa all’avanguardia sull’uso e la sicurezza dei dati, rappresentata ai massimi livelli globali dalla IAPP International Association of Privacy Professionals.
I Grandi al G7 hanno convenuto sulla necessità di avere, come obiettivo comune, proprio quello della circolazione dei dati libera, responsabile e basata sulla fiducia, funzione dei comuni valori di libertà, democrazia, tutela dei diritti umani e dello stato di diritto. Ed in tal senso, si legge nel comunicato stampa del Garante italiano sul meeting di Tokyo, “un elevato standard di protezione dati non può che essere un prerequisito per il libero flusso dei dati”.
Benefici e rischi derivanti dalla diffusione dell’intelligenza artificiale
Con riferimento alle tecnologie emergenti, nel riconoscere i benefici derivanti dalla diffusione dell’intelligenza artificiale, il G7 ha evidenziato, tra le altre cose, come queste tecnologie, se non controllate e regolamentate, possano causare danni, a partire dalla lesione dei diritti, ma anche degli interessi degli individui e delle formazioni sociali in cui operano ed agiscono.
Focus principale delle preoccupazioni è costituito da alcune evoluzioni tecnologiche del riconoscimento facciale e dell’intelligenza artificiale generativa. A quest’ultima, è stata dedicata una dichiarazione specifica, nella quale sono state lodate le iniziative in corso da parte delle Autorità di protezione dati, in primis quella portata avanti, pioneristicamente e – agli inizi – con il vento contrario, dal Garante italiano nei confronti di ChatGPT ed altre app di AI generativa, come Replika, che, come ricordato correttamente dal Presidente del Garante, Pasquale Stanzione l‘“Italia ha acceso un faro, nella cui luce molti altri potranno, se lo riterranno, sviluppare proprie analisi. A tutela della persona e della sua libertà”.
Il G7 sottolinea la necessità, per chi sviluppa ed utilizza queste tecnologie, di porre attenzione ai requisiti legali e agli orientamenti delle Autorità di protezione dei dati sull’intelligenza artificiale, non solo a garanzia della privacy, ma per la necessaria tutela di tutti i diritti umani e libertà fondamentali.
E qui entra in scena il GDPR, con i noti principi della protezione dati, a partire dalla “privacy by design” e dalla valutazione d’impatto, i quali dovrebbero essere integrati nella progettazione e nel funzionamento delle tecnologie di AI generativa, peraltro anticipando quanto previsto nella bozza dell’AI Act appena passata al trilogo delle istituzioni comunitarie dopo il voto storico del 14 giugno da parte del Parlamento Europeo.
L’importanza della cooperazione internazionale
I rappresentanti del G7 hanno infine sottolineato l’importanza della cooperazione internazionale, assumendo l’impegno a migliorarla per proteggere in maniera sempre più efficace i diritti e le libertà delle persone e offrire un quadro di regole coerenti alle imprese ed a tutti gli operatori, non solo economici.
Conclusioni
Il passaggio che stiamo vivendo al riguardo è epocale, come segnalava peraltro Agostino Ghiglia, componente del Garante italiano qualche settimana fa, ed è un bene che il G7 dei cosiddetti Grandi della Terra non si occupi solo della congiuntura e della programmazione economica, ma prenda coscienza del ruolo cruciale che gioca la tecnologia e della rilevanza dell’azione delle Autorità nazionali di controllo e garanzia sui dati. Anche nel nostro Paese occorrerebbe il coraggio di questa presa di coscienza, circa la centralità del Garante e forse i tempi sono maturi per passare da un Garante della privacy, grande invenzione del mio Maestro, Stefano Rodotà, ad un Garante dei Dati, affinché cada anche l’ultimo alibi di chi non vuole comprendere che senza protezione dei dati, non c’è futuro per l’economia, per la democrazia, per le libertà e per l’umanità.
Note
[1] È del 2020 il volume scritto da Guido Scorza, componente dell’Autorità Garante per la protezione dei dati personali italiana ed Alessandro Longo, direttore della testata che oggi mi ospita, intitolato Intelligenza Artificiale e pubblicato da Mondadori; mentre è addirittura del 2018 un mio articolo intitolato Privacy-by-design e GDPR: un’etica per l’intelligenza artificiale, sempre pubblicato su Agendadigitale.eu.
