La tutela dei dati personali è una delle aree giuridiche più interessate dalla diffusione e pervasività dei sistemi di intelligenza artificiale nella nostra vita quotidiana, proprio perché questi ultimi pongono alla base del loro funzionamento l’elaborazione, l’analisi e il trattamento di grandi quantitativi di informazioni e, nella maggior parte dei casi, di dati personali.
Partendo da questo assunto, si comprende come ogni principio e istituto giuridico in materia di tutela di dati personali sia direttamente coinvolto – non solo astrattamente – dalla diffusione dei sistemi AI. In questa sede, quindi, proviamo a esporre alcune delle questioni introdotte dai sistemi AI in materia di tutela dei dati personali (o data protection).
AI, tutela dei dati personali e Gdpr
Prima di entrare nel merito delle questioni che l’intelligenza artificiale pone in materia di tutela di dati personali, è opportuno ricordare che, ai fini della successiva trattazione, saranno presi in considerazione gli istituti giuridici, i principi e le disposizioni del Regolamento UE 2016/679 (General Data Protection Regulation, “GDPR”) che, come noto, è in vigore su tutto il territorio dell’Unione Europea (ovviamente, Italia compresa) a partire dal 25.05.2018.
Qui di seguito indichiamo un sintetico elenco delle principali tematiche che si pongono in materia di tutela di dati personali alla luce dei principi e delle disposizioni del GDPR:
- finalità del trattamento: qualsiasi trattamento di dati personali può essere svolto solo nei limiti di specifiche e predeterminate finalità[1]. Un sistema AI, nelle prime fasi della sua operatività, tratta dati per scopi e finalità predeterminati; tuttavia, nell’ambito della propria “autonoma” capacità di adattamento all’ambiente circostante e conseguente modifica dei suoi comportamenti (c.d. “machine learning”), potrebbe iniziare a trattare i medesimi dati per finalità diverse rispetto a quelle inizialmente prospettate, sulle quali né il soggetto interessato (cioè, il soggetto i cui dati sono trattati) né il titolare (cioè, il soggetto che tratta i dati) hanno consapevolezza e controllo;
- base giuridica per il trattamento: ai sensi dell’art. 6 del GDPR, il trattamento può avvenire, oltre che per finalità predeterminate, solo in presenza di idonee “basi giuridiche”, cioè condizioni alle quali il trattamento è considerato lecito[2]. Laddove il trattamento di dati non sia strettamente necessario per il mero accesso o utilizzo di servizi forniti da sistemi AI (e quindi non rientri nella base giuridica dell’esecuzione di obbligazioni contrattuali tra titolare e interessato), è arduo il rinvenimento di una ulteriore base giuridica idonea ai sensi dell’art. 6 del GDPR;
- chiarezza dei ruoli: il funzionamento dei sistemi AI presuppone, solitamente, il coinvolgimento di numerosi soggetti, che ricoprono ruoli privacy di natura diversa. Oltre – ovviamente – al soggetto interessato e al titolare del trattamento, sono spesso presenti numerosi ulteriori soggetti (ad esempio, fornitori di servizi accessori, o terzi ai quali i dati trattati sono comunicati per particolari scopi) che svolgono talvolta il ruolo di responsabili del trattamento (il responsabile, ai sensi dell’art. 28 del GDPR, è il soggetto che tratta dati per conto del titolare, sotto le istruzioni impartite da quest’ultimo), talvolta il ruolo di ulteriori autonomi titolari. Nell’ambito dell’operatività dei sistemi AI, non è infrequente che i ruoli privacy spettanti a ciascun soggetto non siano ben chiari e definiti. Spesso, ad esempio, coloro che dovrebbero operare solo in qualità di responsabili pongono in essere anche finalità autonome di trattamento, ponendosi come ulteriori titolari;
- elaborazione di molteplicità di informazioni: i sistemi AI elaborano e trattano molteplicità di dati personali e informazioni. E’ anche frequente che, dalla elaborazione di dati non personali[3], i sistemi AI riescano a trarre dati personali relativi non solo ai comportamenti e alle abitudini di vita e di consumo degli interessati, ma in alcuni casi anche alla sfera più intima e privata: ad esempio, i cosiddetti dati personali appartenenti a categorie particolari ai sensi dell’art. 9 del GDPR (es. stato di salute, convinzioni religiose, vita sessuale, ecc.);
- controlli e audit: in generale il GDPR richiede che si possano svolgere adeguati audit nei confronti di chi tratta i dati personali, a vario titolo. Non è sempre agevole svolgere controlli sul funzionamento e il trattamento di dati personali posto in essere da sistemi AI. Questi ultimi, quindi, appaiono spesso “impenetrabili” da soggetti diversi dai fornitori dei servizi di AI, e ciò può comportare la violazione di disposizioni contrattuali (laddove sono disciplinati diritti di audit) o normative (si pensi, ad esempio, ai diritti degli interessati disciplinati agli artt. 16-22 del GDPR, in base ai quali questi hanno diritto, tra le altre cose, a disporre di informazioni circa i dati personali trattati, le logiche del trattamento e l’eventuale trasferimento dei dati a terzi).
Quelle sopra accennate sono le principali tematiche che si pongono oggi in tema di AI e tutela dei dati personali.
Non bisogna commettere l’errore di valutarle solo come “criticità” da affrontare e superare o limitare: un approccio a queste tematiche che sia etico (e ovviamente conforme alla normativa applicabile, GDPR in primis) consentirà di trasformarle in vere e proprie opportunità, la cui corretta gestione conferirà agli operatori di settore che sapranno cogliere queste sfide un evidente vantaggio competitivo.
[1] Si tratta di un principio fondamentale sia secondo il GDPR, sia ai sensi della precedente disciplina comunitaria portata dalla Direttiva 95/46/CE, da cui deriva il D. Lgs. 196/2003 (Codice Privacy), che peraltro è stato modificato dal D. Lgs. 101/2018 proprio alla luce del GDPR.
[2] In estrema sintesi, ai sensi dell’art. 6 del GDPR il trattamento è lecito se avviene dietro consenso espresso dall’interessato (art 6(1)(a) del GDPR), per esecuzione di obbligazioni contrattuali o precontrattuali tra interessato e titolare (art 6(1)(b) del GDPR), per adempimento di obblighi normativi in capo al titolare (art 6(1)(c) del GDPR), per proteggere gli interessi vitali dell’interessato o di altra persona (art 6(1)(d) del GDPR) per eseguire interessi pubblici o connessi all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (art 6(1)(e) del GDPR), o per il conseguimento di un legittimo interesse del titolare (art 6(1)(f) del GDPR).
[3] Per completezza, segnaliamo che per “dato personale” si intende, ai sensi dell’art. 4(1) del GDPR, “qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.
