È stato vivo nelle ultime settimane il dibattito sulle misure contenute nella Legge Europea che modificherà, con effetto dal 12 dicembre prossimo, il Codice Privacy introducendo un nuovo art. 110-bis sul riuso dei dati per ricerca scientifica.
Come ben sanno i lettori di Agendadigitale.eu la nuova disposizione consente di fare istanza al Garante Privacy per chiedere di autorizzare il riuso di dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati a fini di ricerca scientifica o per scopi statistici.
Il Garante, laddove autorizza, stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati, che possono essere aggiornate anche successivamente, considerando anche le esigenze di sicurezza. Laddove il Garante non rispondesse entro 45 giorni l’autorizzazione si intende rifiutata.
Le critiche al Codice Privacy sul riuso dei dati
A fronte di tale disposizione vi è stato un coro unanime di critiche che, brevemente riassumo.
LEGGI LE DUE CRITICHE AL RIUSO DATI SANITARI NEL CODICE PRIVACY
Alcuni si concentrano sulla preoccupazione di eccessiva genericità della misura, lasciando al Garante una competenza su ambiti che, in realtà, eccedono il tema del trattamento dei dati ed attengono alla tutela di diritti fondamentali diversi come la salute e, a ben vedere, sugli ambiti di ricerca scientifica percorribili e leciti.
Quasi tutti fanno notare che il Regolamento GDPR cessa il proprio ambito di efficacia laddove i dati siano anonimi e, dunque, l’anonimizzazione, in realtà farebbe venir meno la competenza del Garante Privacy a vigilare i dati suddetti. Al riguardo si fa anche notare che la misura di garanzia prevista dal Regolamento GDPR (art. 89) ai fini della ricerca scientifica e statistica è quella della psedonimizzazione e non dell’anonimizzazione.
Alcuni fanno notare che l’aver previsto una autorizzazione secondaria nell’ordinamento italiano, non contemplata dal Regolamento GDPR, sarebbe una violazione del Regolamento stesso in quanto il Legislatore nazionale non può regolare con legge nazionale i medesimi ambiti già regolati da Regolamento comunitario laddove non sia espressamente consentito.
Intelligenza artificiale e privacy
È bene cercare di chiarire, nei limiti del possibile, i termini del problema, anche con riferimento agli utilizzi e trattamenti dei dati che sono effettivamente necessari quando si ha a che fare con sistemi di intelligenza artificiale.
La norma sul riuso certamente avrebbe potuto essere pensata con più calma e metodo e scritta in modo migliore ma l’impianto mi pare non malvagio.
La maggior parte dei sistemi di intelligenza artificiale, a differenza dei software ordinari, sono tanto efficienti ed utili, riescono a comprendere quel che elaborano, in quanto riescono – come d’altra parte avviene per l’uomo – ad “apprendere” ed essere educati al compito che devono svolgere.
Alcuni sistemi possono cercare di apprendere per tentativi ma i risultati ottenibili in questo modo sono limitati e, in qualche misura, non del tutto affidabili per compiti delicati. Vi fareste fare una diagnosi medica da un sistema di intelligenza artificiale che ha imparato da solo come funziona il corpo umano?
Il modo per educare i sistemi di intelligenza artificiale è di alimentarli con i c.d. “dati annotati”.
Questi sono dati reali a cui si aggiungono annotazioni, cioè dati aggiuntivi utili a specificare meglio il dato che sono di guida al sistema di IA per capire il ruolo del dato.
Per fare un esempio banale, per un algoritmo è ancora difficile distinguere tra “pesca” come “frutto” rispetto alla attività di catturare un pesce. Allora la soluzione è comprendere l’intenzione umana (intent) cui si correla il dato “pesca” in vari casi concreti addestrando le macchine (machine learning) a riconoscere il dato su base esperienziale.
Tale risultato si consegue nel nostro esempio annotando al dato “pesca” la spiegazione “frutto” o “attività” nelle varie situazioni e, una volta raggiunto un certo numero di dati annotati, consentire, come dicevo, alla macchina di studiare i vari dati per imparare a riconoscerne di nuovi senza fraintendimenti.
Tale procedimento è importante per evitare i casi in cui un sistema AI, di per sé perfettamente funzionante, commetta dei macroscopici errori “di inesperienza” nella valutazione di ciò che processa.
Sarà (ed è già) dunque enorme la “fame” di dati annotati che ha qualsiasi settore in cui si faccia sviluppo di AI.
Al riguardo il Regolamento GDPR non è neutrale perché contiene disposizioni molto chiare riguardo ai cosiddetti “trattamenti automatizzati”.
Leggiamo al considerando 63 che “Ogni interessato dovrebbe pertanto avere il diritto di conoscere e ottenere comunicazioni in particolare in relazione alla finalità per cui i dati personali sono trattati, ove possibile al periodo in cui i dati personali sono trattati, ai destinatari dei dati personali, alla logica cui risponde qualsiasi trattamento automatizzato dei dati e, almeno quando è basato sulla profilazione, alle possibili conseguenze di tale trattamento” e, ancora, all’art. 22 che “L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.”.
È interessante poi che tale ultima disposizione non si applica qualora la decisione “sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato” e non si applica nemmeno in caso l’interessato abbia dato un consenso o firmato un contratto in tal senso.
È interessante allora leggere la norma sul riuso alla luce delle tutele di cui sopra, comunque presenti nel Regolamento GPDR.
A dirla tutta, si dovrebbe anche tenere in considerazione la norma del GPDR che consente (pacificamente) l’uso dei dati per ricerca scientifica a fronte della sola pseudonimizzazione del dato.
Volendo leggere questo complesso di situazioni e disposizioni in congiunzione con la nuova norma italiana sulla autorizzazione per il riuso dei dati, si vede come l’Italia, lungi dal consentire un riuso sistematico dai dati, abbia invece scelto una strada particolarmente cauta, affidando al Garante ogni scelta.
Infatti, di per sé, la nuova norma non autorizza nulla: il GDPR richiede comunque che al trattamento automatizzato, se pregiudizievole per i diritti, si debba prestare esplicito consenso (come, ad esempio avviene per l’uso commerciale dei dati).
Dunque, se vi fosse la possibilità di significative lesioni di diritti/libertà/legittimi interessi, sarebbe comunque richiesto il consenso, anzi, lo sarebbe in ogni caso se chi processa questi dati è diverso dall’entità cui sono stati conferiti.
Non vi può cioè essere alcun riuso ai sensi della nuova norma che consenta di risalire alle persone da cui i dati sono stati tratti.
Alcuni hanno obiettato che il prevedere che si riusino dati “anonimi” sia un escamotage per disapplicare il Regolamento GDPR ma non sono d’accordo. Il Regolamento GDPR, proprio perché non si applica ai dati anonimi, consente di verificare se i dati lo siano realmente o consentano, in qualche modo, di reidentificare l’interessato (la persona cui appartengono quei dati).
Con la norma appena approvata il Garante italiano si è assunto questo (improbo) compito.
La valutazione del Garante non può dunque che riguardare la possibilità di deanonimizzazione dei dati e, correttamente, il Legislatore specifica che le condizioni di autorizzazione possono anche mutare (man mano che le tecnologie di deanonimizzazione divengono più raffinate) o essere negata, se non vi sono garanzie.
Viene inoltre da domandarsi se vi sia tutto questo interesse al riuso dei dati della PA italiana che, per quanto si riesce a capire, non sono stati raccolti con metodi idonei all’uso da parte dell’IA se non in minima parte. Laddove si siano effettuate specifiche raccolte finalizzate all’uso IA è infatti estremamente semplice inserire consensi specifici che superano ogni necessità di autorizzazione del Garante.
Insomma, quello del riuso per Legge potrebbe essere un falso problema, alla luce del GDPR.
Sarà invece da monitorare con attenzione l’evoluzione delle privacy policy e delle condizioni contrattuali per quanto riguarda il tema del consenso specifico al trattamento da parte di sistemi di IA.
È infatti sotto gli occhi di tutti la velocità con cui si accetta ormai qualsiasi condizione d’uso relativa a tecnologie di sorta ma sinora, sono poche le tecnologie in grado di incidere in maniera significativa su sfere fondamentali quali cittadinanza, sicurezza e salute.
Sarebbero così auspicabili forme di richiamo dell’attenzione laddove si debbano esprimere consensi qualificati, che implicano il pregiudizio di particolari diritti o forme particolari di trattamento (ad es. dover confermare lo specifico consenso anche via mail o confermare il medesimo con un PIN inviato su un dispositivo a parte).
Non bisogna tuttavia commettere per questo motivo l’errore di inasprire ogni forma di accettazione e consenso elettronico.
In questo senso sarebbe auspicabile un nuovo tipo di attenzione alla tutela della privacy, non solo sotto il profilo del diritto della persona, ma anche sotto il profilo di una nuova ed equilibrata visione del diritto del consumatore in cui la complessità dell’accettazione è proporzionale alla chiarezza ed efficacia dell’informazione preventiva ricevuta e al tempo che si riesce a dedicare ad essa.
A volte una privacy policy è impeccabile ma la procedura complessiva di accettazione non consente di dedicare troppo tempo alla lettura di lunghi documenti mentre un documento più breve e chiaro ma sicuramente letto sarebbe più efficace.
Anche su questi temi bisognerebbe riflettere nel ridisegnare le tutele in vista delle sfide future.
