Se pensiamo ai casi di violazione dei diritti umani in Italia viene in mente una, purtroppo, ancora lunga lista di fattispecie, dalle minacce ai giornalisti, all’anti-semitismo, dall’odio razziale a varie forme di discriminazione, solo per menzionarne alcune. Benché molte di queste situazioni si traducano in accadimenti fattuali materiali tangibili, sempre più – come per il resto delle manifestazioni del vivere sociale – essi trovano origine e/o sviluppo, quantomeno parziale, in un contesto digitale.
I diritti umani passano dai nostri dati: le sfide dei prossimi anni
Messaggi di odio sulla rete, basi di dati ed algoritmi impiegati nell’erogazione di servizi e nella gestione delle interazioni sociali con risultati discriminatori, limitazione dell’esercizio dei diritti nella moderna agorà digitale sono situazioni sempre più frequenti, così come ampia è la gamma delle tecnologie data-driven utilizzate nella gestione dei flussi migratori con significativi impatti sui diritti umani.
In termini di fattispecie c’è dunque certamente un nucleo di potenziali pregiudizi dei diritti umani unito dal filo rosso del digitale, dei dati e del loro utilizzo. In una società che non conosce più barriera fra digitale e materiale, questo potrebbe quindi essere un primo argomento per ritenere meritevole l’idea di considerare un’autorità con competenze radicate in materia di tutela delle persone – intese nella proiezione delle stesse mediante le informazioni che le riguardano – come possibile candidata per un più ampio spettro di competenze estese a tutti i diritti umani.
La tutela dei diritti umani
Un ulteriore più rilevante argomento in tal senso deriva, poi, dalla logica che connota l’operato concreto delle autorità di protezione dei dati personali in generale. Logica strettamente inerente ai diritti umani, ma limitata nella sua piena espressione proprio dal vincolo di mandato legato alla sola tutela dei dati personali.
Come dimostrato da uno studio condotto nel 2021, che ha esaminato oltre 700 decisioni e documenti chiave adottati dalle autorità di protezione dei dati di Belgio, Francia, Germania, Italia, Spagna e UK, nell’affrontare le sfide poste dalla società dell’informazione al vivere quotidiano, le autorità in questione guardavano in concreto ad un’efficacie tutela dei diritti umani in gioco nei diversi contesti fattuali considerati.
Semmai proprio il mandato legato alla protezione dei dati si era rivelato un limite nel garantire tale tutela. Dovendo rimanere fedeli ad esso, nelle argomentazioni delle autorità la dimensione relativa ai diritti umani veniva, infatti, mascherata utilizzando le categorie concettuali precipue della disciplina specifica del trattamento dati. Si faceva così ricorso a concetti propri di tale ambito, quale quelli di trasparenza, proporzionalità e necessità del trattamento, lasciando sullo sfondo la tematica dei diritti umani e non dando modo di rendere esplicita l’analisi specifica degli stessi nel contesto in esame.
Un approccio da cambiare
Questo approccio comporta un duplice vulnus che un’estensione della competenza del Garante potrebbe invece rimediare. Da un lato, vestendo il ragionamento di fondo nella sola forma della tutela dei dati, la presenza di motivi delle decisioni non pienamente espressi diviene una criticità per le parti coinvolte. Queste ultime non hanno, infatti, modo di essere edotte circa i reali punti cardine del problema e, conseguentemente, di tenerne in conto nel loro agire futuro.
In secondo luogo, per converso, si rischia di legittimare un’impropria “esplosione” della tutela dei dati personali, ritenendo tale materia come preposta a sovrintendere a tutti i rischi di potenziale pregiudizio ai diritti umani in quanto connessi all’uso di dati personali. Sebbene non manchino indici normativi specifici in tal senso (v. art. 35 GDPR), è evidente la criticità di fare della tutela dei dati personali una categoria contenitore che ingloba qualsiasi diritto umano appiattendo le specificità e peculiarità che connotano ciascuno di essi.
Questi due argomenti, attinenti alla fattispecie da trattare ed alla logica dell’agire del Garante, offrono dunque un supporto sia sul piano della sfera d’azione sia su quello delle competenze intrinseche per considerare l’operato di tale autorità nel contesto di una più ampia tutela dei singoli e dei gruppi all’interno dei quali i singoli si esprimono. In termini operativi, poi, l’inclusione esplicita di una competenza in materia di diritti umani, consentirebbe di elaborare una più nitida giurisprudenza, superando i limiti sopra esposti, senza ricorrere ad una sorta di tutela mediata, sul piano concettuale, dalla protezione dei dati.
A tali argomenti se ne aggiunge uno ultimo legato agli scenari della realtà socio-tecnica del presente ed immediato futuro.
Dai migranti, agli aiuti sociali, dalla lotta alla discriminazione alla mediazione dei contenuti informativi, è rapida in tutti i settori la diffusione di applicazioni incentrate su processi di “datificazione” (trasformazione della realtà in dati) abbinati all’uso dell’intelligenza artificiale. In tal contesto, le sfide poste trascendono ormai la protezione dei dati perché la funzione di diritto abilitante che l’ha connotata nel tempo, ampiamente sostenuta negli anni dal Consiglio d’Europa, necessita ora di accompagnarsi a risposte più puntuali e ad hoc, atte a far fronte agli impatti specifici che l’uso dei dati ha sui singoli diritti.
Queste risposte non possono essere costruite sulla base della sola protezione dei dati, come confermato dai riferimenti ai diritti umani nelle proposte di regolazione dell’AI sia del Consiglio d’Europa sia dell’UE, ma necessitano di mettere a frutto l’esperienza specificatamente maturata nell’elaborazione dottrinale e giurisprudenziale di ciascun diritto.
Analogamente, sul piano operativo, servono strumenti che guardino all’impatto sui diritti umani nella loro varietà e specificità, non più considerati come una semplice (spesso trascurata) componente di una valutazione d’impatto radicata nella protezione dei dati personali.
Verso il Garante per la protezione dei dati personali e dei diritti umani
Si è oggi agli albori della cruciale riflessione metodologica sulle modalità con cui definire questo impatto sui diritti umani, specie in relazione all’uso delle tecnologie digitali. Se, infatti, esiste un’elaborazione in tema di Human Rights Impact Assessment sviluppatasi in anni recenti, tale esperienza è però maturata soprattutto in un’ottica di supporto alle decisioni ed avendo come oggetto fenomeni territorialmente circoscritti. Casi di uso riguardano, ad esempio, l’impatto generato dalla creazione di grandi complessi industriali in zone di sviluppo, laddove la valutazione d’impatto interviene ex post suggerendo alcune possibili soluzioni di mitigazione.
Diversa è, e soprattutto sarà con l’adozione dell’AI Act, l’applicazione di tale valutazione nei sistemi data-driven. Qui i prodotti o servizi sono spesso distribuiti su scala globale senza uno specifico vincolo territoriale (fanno eccezione le smart cities). Soprattutto, la valutazione del rischio non è più un mero strumento di policy ma diventa un requisito intrinseco dello sviluppo regolato dell’AI, da cui derivano obbligazioni specifiche. Occorre quindi, anche in quest’ottica, andare oltre i dati personali e sviluppare soluzioni che guardino anche agli altri diritti umani.
A fronte di queste varie ragioni – inerenti le fattispecie trattate, la logica delle decisioni assunte e le sfide future – che potrebbero pienamente giustificare la proposta di fare del Garante per la protezione dei dati personali il Garante per la protezione dei dati personali e dei diritti umani, non vanno tuttavia nascosti alcuni limiti di un’autorità non adusa ad occuparsi a 360 gradi di diritti umani. Rimane tuttavia meno critico acquisire alcune specifiche expertise quando già si può beneficiare di una visione che include la prospettiva dei diritti umani e che concretamente già viene messa in pratica in vari contesti ed affrontando le sfide più nuove.
A ciò si aggiunga che, sebbene non manchino molte e valide esperienze e competenze in tema di diritti umani, sovente sia sul piano operativo sia su quello dottrinale e teorico, queste sono poco attente alla dimensione del digitale, in un mondo in cui (purtroppo) i migranti sono sottoposti ad emotion detection attraverso analisi delle espressioni facciali mediante machine learning, le donne sono spesso oggetto di aggressioni sessuali attraverso strumenti digitali, i soggetti più deboli vedono decidere le loro sorti in termini di aiuti da un algoritmo.
Se, dunque, dopo anni di colpevole inerzia la proposta di creare un’autorità a tutela dei diritti umani in Italia guarda al Garante per la protezione dei dati personali, la domanda da porsi è se esista migliore alternativa, tenendo anche conto che, per i motivi addotti, una soluzione diversa porterebbe a non poche e nel tempo crescenti sovrapposizioni di competenza con il Garante.
