Lo sviluppo delle funzioni di machine learning (cioè l’abilità di un sistema di intelligenza artificiale di “imparare” sulla base di una molteplicità di variabili, tra cui l’interazione con l’ambiente circostante, le esperienze pregresse e le istruzioni ricevute dagli utilizzatori), può confliggere, in alcuni casi, con il principio generale di finalità del trattamento di dati personali.
Un principio, quello secondo cui il trattamento di dati personali deve avvenire esclusivamente per il conseguimento di finalità precise e predeterminate, non certo secondario, anzi, che “permea” la disciplina privacy sin dagli albori della materia: esso è, infatti, presente tanto nel GDPR quanto nella precedente fonte normativa a livello comunitario (Direttiva 95/46/CE) in materia di tutela dei dati personali. Si pone, quindi, il problema di una programmazione di tali sistemi tale che la loro operatività non “sfugga” al controllo dei titolari.
Programmazione di un sistema machine learning
La programmazione di un sistema AI con funzioni machine learning sempre più avanzate consente allo stesso di discostarsi dalle specifiche e determinate finalità di trattamento perseguite all’inizio della sua operatività, per elaborare ulteriori e diverse finalità non predeterminabili a priori (e talvolta nemmeno immaginabili), sulla base dell’apprendimento della macchina e della conseguente evoluzione delle sue condotte.
Da ciò deriva che i sistemi AI possano trattare dati per finalità più disparate. È chiaro, quindi, che in tale eventualità perseguirebbero finalità non predeterminate e specifiche, in violazione del principio generale sopra richiamato.
Il tema riguarda non solo il rispetto del principio di finalità a fini privacy, ma, in senso lato, il controllo del sistema AI da parte degli umani che interagiscono con esso.
Delle “nuove” finalità di trattamento (e più in generale, delle nuove condotte poste in essere), non hanno consapevolezza e controllo non solo il soggetto interessato[1], ma anche, astrattamente, il titolare del trattamento[2]: al di là del rispetto della normativa (entro i limiti e i vincoli che saranno illustrati nei prossimi articoli), i titolari dovranno programmare i sistemi AI in modo che la loro operatività non “sfugga” al loro controllo.
Basi giuridiche del trattamento
Una tematica analoga e conseguente a quella di cui al punto precedente, si pone anche con riferimento alle basi giuridiche del trattamento.
Ai sensi dell’art. 6 del GDPR, il trattamento di dati personali può avvenire solo in presenza di idonee “basi giuridiche”, cioè condizioni alle quali il trattamento è considerato lecito[3].
Il sistema AI tratta originariamente dati personali con determinate basi giuridiche: se il trattamento di dati personali è necessario al funzionamento del sistema AI e al raggiungimento dei risultati cui è stato inizialmente preordinato, allora avverrà secondo la base giuridica di cui all’art. 6(1)(b) del GDPR, cioè in esecuzione di un contratto tra titolare[4] e soggetto interessato[5].
Tuttavia, se alla luce delle funzioni machine learning (sulla base di quanto indicato al punto precedente) il sistema AI inizia a trattare dati per finalità ulteriori e diverse, allora si pone anche un problema di liceità della base giuridica: il trattamento di dati personali non rientra più nelle funzioni originariamente attribuite al sistema AI, di conseguenza non è più funzionale all’esecuzione del rapporto contrattuale tra titolare e interessato. Quindi, la base giuridica di cui all’art. 6(1)(b) del GDPR non è più applicabile.
Le possibili alternative
Un’alternativa, tra le basi giuridiche contemplate dall’art. 6 del GDPR, potrebbe essere il ricorso al consenso (art. 6(1)(a) del GDPR). Tale base giuridica, tuttavia, non è esente da rischi, per due ordini di motivi. Innanzitutto, il funzionamento dei sistemi AI non sempre consente in modo agevole la raccolta di un consenso da parte dell’interessato: sono programmati per trattare dati senza dipendere dal consenso degli interessati coinvolti.
In secondo luogo, il consenso è sempre revocabile dall’interessato: in caso di revoca del consenso, il titolare non potrà più trattare dati personali raccolti secondo tale base giuridica.
In una simile eventualità, si potrebbero porre problemi di attuazione di idonee procedure di revoca, di cui spesso i sistemi AI non sono dotati, e di legittimità degli eventuali trattamenti ulteriori, posti in essere dopo la revoca del consenso: il sistema AI potrebbe continuare, in virtù delle funzioni di machine learning, a trattare dati anche dopo la revoca del consenso, senza idonea base giuridica.
Una seconda alternativa potrebbe consistere nella base giuridica ai sensi dell’art. 6(1)(f) del GDPR, cioè il perseguimento di un legittimo interesse del titolare del trattamento.
Anche il ricorso a tale base giuridica, però, non pare agevolmente praticabile.
Infatti, il ricorso al legittimo interesse è possibile solo a condizione che il titolare effettui un bilanciamento tra il legittimo interesse e i diritti fondamentali degli interessati: in sintesi, si deve valutare che il perseguimento del legittimo interesse da parte del titolare non comporti pregiudizi o limitazioni dei diritti fondamentali degli interessati, che devono sempre prevalere.
Nel caso di specie, non è detto che suddetto bilanciamento si risolva in favore degli interessi legittimi del titolare. A ciò si aggiunga che, da un punto di vista meramente pratico anche per il titolare sarebbe arduo svolgere una valutazione di bilanciamento relativa a trattamenti posti in essere da sistemi AI talvolta in via del tutto autonoma e indipendente.
____________________________________________________________
- Il soggetto interessato è il soggetto i cui dati personali sono trattati (nel caso di specie, si tratta spesso dell’utilizzatore del servizio fornito dal sistema AI). ↑
- Il titolare, in estrema sintesi, è il soggetto che tratta i dati personali (o determina in ogni caso i mezzi e le finalità del trattamento); nel caso di specie, si tratta spesso del fornitore del servizio erogato mediante il sistema AI. ↑
- In estrema sintesi, ai sensi dell’art. 6 del GDPR il trattamento è lecito se avviene dietro consenso espresso dall’interessato (art 6(1)(a) del GDPR), per esecuzione di obbligazioni contrattuali o precontrattuali tra interessato e titolare (art 6(1)(b) del GDPR), per adempimento di obblighi normativi in capo al titolare (art 6(1)(c) del GDPR), per proteggere gli interessi vitali dell’interessato o di altra persona (art 6(1)(d) del GDPR) per eseguire interessi pubblici o connessi all’esercizio di pubblici poteri di cui è investito il titolare del trattamento (art 6(1)(e) del GDPR), o per il conseguimento di un legittimo interesse del titolare (art 6(1)(f) del GDPR). ↑
- Il titolare, in estrema sintesi, è il soggetto che tratta i dati personali (o determina in ogni caso i mezzi e le finalità del trattamento); nel caso di specie, si tratta spesso del fornitore del servizio erogato mediante il sistema AI. ↑
- Il soggetto interessato è il soggetto i cui dati personali sono trattati (nel caso di specie, si tratta spesso dell’utilizzatore del servizio fornito dal sistema AI). ↑
