L’evoluzione tecnologia della rete e il dilagare, anche come effetto indiretto dell’epidemia, della società digitale hanno determinato cambiamenti profondi nel modo di vivere della nostra epoca: sempre più le nostre società diventeranno, per dirla alla Floridi (il noto filosofo), società on life piuttosto che società offline.
In particolare diventeranno sempre più digitali le relazioni tra persone che sono l’essenza stessa del vivere associato e la fonte prima dell’attività regolatrice delle società umane; donde l’antico brocardo “Ubi societas ibi ius”.
Che poi una gran parte di relazioni fra umani continuino e continueranno a svolgersi off line è ovvio (basti pensare a quelle connesse alla riproduzione della vita). Tuttavia è non meno ovvio che l’intreccio tra realtà off line e realtà on line determinerà nuovi problemi relativamente all’accertamento delle identità di chi dialoga in rete e, di conseguenza, del grado di affidabilità dei messaggi scambiati on line.
Tutto questo determina un profondo cambiamento rispetto al ruolo e all’importanza del tradizionale “diritto alla privacy”: un diritto che, pur nato prima della rete, ha avuto con lo svilupparsi della società digitale un enorme impulso.
Diritto alla privacy è sempre stato diritto “difensivo”
Il punto essenziale è che il diritto alla privacy, pur sempre legato allo sviluppo tecnologico delle società fin dal famoso articolo di Warren e Brandeis sulla Harvard Law Review, è stato nei decenni visto ed elaborato in una concezione sostanzialmente difensiva dell’individuo e delle informazioni relative a ciascun individuo acquisibili e diffondibili anche al di fuori di specifiche e definite relazioni tra le persone o tra persone e soggetti individuati quali titolari di specifici diritti ai trattamenti e alla diffusione delle informazioni stesse.
In sostanza il diritto alla privacy si è sviluppato, come è noto, in una accezione strettamente individualista e protettiva dell’individuo da arbitrarie e illecite diffusioni di informazioni a lui relative senza il suo specifico consenso informato.
Non vi è dubbio che anche il diritto alla privacy subisce nella società digitale nuove e importanti evoluzioni alle quali, anche in una visione anticipatrice dei cambiamenti in atto, la UE ha dedicato particolare attenzione, specialmente nella redazione e approvazione del GDPR: un corpus normativo regolatorio fortemente segnato dalla consapevolezza che si stava per entrare appunto nella società digitale e che quindi era urgente adottare regole a tutela degli individui adeguate al nuovo mondo, in modo che le persone potessero, anche nella società digitale, avere fiducia nei trattamenti di dati a loro relativi (cfr. Considerando 6 e 7 del GDPR).
Il successo del GDPR, che gli sviluppi in atto confermano ogni giorno di più anche per la sua espansione in altri Paesi extra UE, ha dato anche un nuovo impulso all’attività regolatrice della Unione Europea.
Infatti la UE, consapevole dei ritardi accumulati nello sviluppo delle tecnologie digitali e dei rischi di emarginazione dalla competizione globale che questo può comportare in una società fortemente digitalizzata, ha cercato e cerca di colmare il divario attraverso una crescente attività regolatrice. Una attività, peraltro, che proprio per la complessità che incontra nel costruire anche lo spazio unico digitale europeo sta mostrando sempre più i suoi limiti.
Due nuove questioni emergenti nella società digitale…
Il punto fondamentale è che nella moderna società digitale due nuove questioni emergono in modo prepotente e fra loro sempre più connesso.
Regolatori sempre in ritardo
La prima questione riguarda l’evoluzione tecnologica che procede in modo sempre più rapido tanto da rendere sempre più difficile ai regolatori stare al passo con l’innovazione digitale.
La dimostrazione di questo fenomeno è data oggi proprio dalla UE che, avendo scelto la via della regolazione come aspetto centrale della sua partecipazione alla competizione globale digitale, fatica sempre di più a stare al passo con l’evoluzione tecnologica. Ne deriva come conseguenza la difficoltà stessa di giungere a decidere il contenuto delle nuove regole in tempi ragionevoli, che consentano ad esse di esplicare in tempo utile effetti rilevanti e di lunga durata nella competizione globale e, allo stesso tempo, consentano di adottare tecniche di enforcement efficaci, trasparenti e prevedibili, oltre che uniformi, e uniformemente applicate, su tutto il territorio della Unione.
Etica affiancata a regole
Un secondo effetto del processo in atto è il ricorso sempre più frequente alla necessità di affiancare la regolazione giuridica con lo sviluppo di forti linee etiche condivise, alla cui elaborazione sono esplicitamente invitati a partecipare gli stake holders del sistema sociale e produttivo. Il ricorso sempre più accentuato al richiamo a profili etici costantemente rivisitati è infatti anche un modo per garantire un adeguamento costante dei comportamenti non solo a norme giuridiche, di per sé caratterizzate da rigidità e certezza del contenuto, ma anche a norme per loro natura più fluide e incerte ma proprio per questo più flessibili e costantemente aggiornabili dagli stessi protagonisti dei processi tecnologici.
Non vi è dubbio, peraltro, che questo fenomeno, mentre indebolisce e mostra tutti i limiti dell’approccio regolatorio UE, appare sempre più legato alla necessità di proteggere gli individui e le loro relazioni nel mondo della rete. Al centro si pongono dunque gli individui visti come protagonisti di relazioni sociali più che gli individui come tali nella loro atomistica autonomia: proprio il contrario di quello che invece era al centro del diritto alla privacy elaborato e sviluppato come diritto universale riconosciuto nello stesso modo a tutti gli esseri umani in quanto tali nel secolo scorso.
La ragione di fondo dell’indebolimento del diritto alla privacy nella società digitale, malgrado l’indubbia e avanzata attuazione del GDPR, consiste nel fatto che in questa società, che vive tutta di dati e di relazioni che avvengono attraverso lo scambio di dati digitali, il problema principale non è più solo quello di proteggere i dati personali (e cioè quelli relativi a una persona identificata o identificabile per tutelare la sua riservatezza o, nei casi estremi, il diritto a essere soli) ma si sdoppia in due direzioni parimenti nuove e essenziali.
…E due nuove direzioni
La prima direzione riguarda la necessità di proteggere tutti i dati che vengono scambiati all’interno della società digitale perché, specialmente in un mondo in cui prende sempre più piede la tecnologia basata sulla intelligenza artificiale (IA), tutti i dati richiedono di essere protetti e, soprattutto, richiedono di essere protette le reti che ne rendono possibile gli scambi.
Proteggere tutti i dati nell’era dell’IA
Qualunque alterazione di qualunque dato, comunque avvenga, può aver infatti effetti devastanti sulle relazioni on line.
- Sia perché, innanzitutto, può immettere nel circuito dello scambio dati falsi o manipolati, sia perché può aumentare in misura difficilmente controllabile i bias che possono condizionare negativamente la qualità dei dati trattati con le tecnologie di IA condizionando negativamente le relazioni esistenti all’interno della rete fra i diversi soggetti che intrattengono tra loro relazioni on line.
- In secondo luogo la immissione di dati di cattiva qualità o addirittura falsi può avere effetti devastanti proprio in ragione delle tecnologie di IA di volta in volta adottate perché può indurre in errore la IA e determinare effetti ingannevoli o dannosi negli scambi di informazioni propri della società digitale.
E’, dunque, sempre più importante assicurare, come già si fa con crescente attenzione, che le reti di trasmissione dei dati siano sicure e adeguatamente protette da usi impropri posti in essere da chi indebitamente abbia accesso alle reti stesse.
In sostanza mentre il right to privacy mira a proteggere da trattamenti illeciti le informazioni relative a persone identificate o identificabili, nella società digitale avanzata diventa centrale garantire la qualità dei dati e quindi una adeguata affidabilità delle relazioni poste in essere nell’ambito della società digitale.
Questo significa che la tutela delle reti e delle macchine coinvolte nella tecnologia degli scambi di dati devono essere protette non solo per tutelare la società digitale e la sicurezza della società come tale, ma anche i diritti delle singole persone che ne fanno parte e per questo intrattengono relazioni digitali. Corollario immediato è che le regole relative ai danni prodotti da illecito uso dei dati devono esser applicate anche laddove i danni siano prodotti da inadeguata protezione delle reti di scambio dei dati stessi.
Cosa, questa, non così nuova visto che molte Autorità hanno già affermato il dovere per chi scambia dati attraverso tecnologie digitali di considerare nei rischi legati agli scambi posti in essere anche la sicurezza di tali tecnologie. Per questo le analisi del rischio rispetto ai trattamenti di dati posti in essere non possono essere limitate al solo uso di sistemi e tecnologie IA ma devono estendersi anche a ragionevoli valutazioni sull’affidabilità delle reti e di chi ne assicura l’utilizzo, fornendo i servizi necessari.
Sempre più difficile distinguere umani da bot
Vi è però un secondo e molto più importante profilo che l’evoluzione della società digitale sta facendo emergere e che in particolare l’esplosione in atto del fenomeno delle chat bot, segnato dal successo imprevisto della chatgpt di Open AI che, con i suoi cento milioni di utilizzatori in un mese, è oggi sottoposto all’attenzione di tutti.
Questo nuovo aspetto riguarda la difficoltà crescente, e potenzialmente massimizzata proprio dalle tecnologie richiamate, di sapere con certezza con chi un utilizzatore della rete, che scambi dati per finalità di dare o ricevere informazioni, stia dialogando. E’ in sostanza sempre più difficile sapere se, dialogando in rete, stiamo dialogando con macchine guidate da tecnologie di IA o con persone fisiche simili a noi.
Lo stesso fenomeno si verifica, e non da oggi, coi social che in molti casi, come sappiamo da tempo, possono essere popolati da account manipolati da macchine o possono essere spiati da macchine che acquisiscono le informazioni attraverso la gestione di account appositamente creati.
Quest’ultimo fenomeno è meno recente di quanto sia quello delle chatbot ed è esploso già con le vicende di Cambridge Analytica. Esso infatti ha già ricevuto, e sta ricevendo ancor di più in questi giorni, una qualche risposta dal mercato come dimostra l’offerta del servizio, definito di “doppia spunta”, a garanzia della veridicità dell’account (meglio della sua gestione da parte di un essere umano noto alla piattaforma) offerto di recente da Facebook e prima ancora diffuso da Musk e dalle sue piattaforme.
Del resto la questione della sicurezza della identità dei soggetti che si scambiano informazioni in rete sta assumendo una dimensione sempre più centrale man mano che la società digitale (e dunque il sistema delle relazioni sociali in via digitale) si espande. Non solo: la questione sta assumendo un rilievo e un’importanza che sempre più avvicina questo tema a quella che era nel secolo scorso la “tutela della privacy”.
E’ evidente infatti che la certezza della qualità umana o tecnologica del soggetto col quale si scambiano informazioni in rete e di conseguenza, almeno in parte, della qualità dei dati scambiati riguarda anche la tutela delle persone in modo analogo a quanto accedeva con la tutela dei dati personali nel secolo scorso e continua ad accadere anche oggi.
Si può anzi dire che la tutela della effettiva conoscibilità degli interlocutori in rete è ancora più importante perché di fatto significa garantire la tutela della realtà della rete e delle relazioni che su di essa si possono sviluppare.
Inoltre tutelare il principio di realtà delle relazioni digitali e dei soggetti che vi partecipano incide anche sulla tutela della autocoscienza di sé e dunque a maggior ragione va visto come la tutela della persona in sé, considerata nella sua realtà esistenziale: una tutela che va ben oltre quella della identità legata ai dati personali che riguardano un soggetto perché tocca la centralità del valore della persona umana.
Tutelare il principio di realtà nella rete inteso come tutela della sua affidabilità, della qualità dei dati scambiati e delle identità dei soggetti tra i quali intercorrono relazioni digitali diventa dunque anche, e soprattutto, tutela della essenza psicofisica delle persone e della loro autocoscienza di sé. Va evitato infatti il rischio, tutt’altro che remoto, che in caso contrario una persona fisica, coinvolta a sua insaputa in una relazione personale con un bot adotti (o sia indotto dalla macchina ad adottare) reazioni e modalità di comportamento propri della macchina, abbandonando la sua dimensione umana o vedendosi costretto ad adottare comportamenti non conformi alla sua natura ma piuttosto affini a quelli della macchina con la quale sta interagendo a sua insaputa.
Si tratta di evitare lo svilupparsi di scenari già da qualche tempo oggetto di fortunate sceneggiature cinematografiche come quella della relazione tra robot e persona che è al centro del film Elle (LEI) del 2014. Un film che narra la vicenda di un uomo che dialoga via smartphone con un bot che si presenta e comunica come fosse una donna e usa toni e frasi seduttive fino a far innamorare di sé il suo interlocutore. Di conseguenza questi cadrà nella depressione più profonda quando, alla fine della storia, il bot gli comunicherà che in realtà sta parlando con una macchina che sta intrattenendo analoghe relazioni con altri 120 milioni di persone nel mondo, sempre via smartphone.
E’ chiaro che quelli delineati possono, allo stato, apparire ancora come scenari più adatti alla fantascienza o alla cinematografia che alla realtà. Si tratta però di pericoli già oggi reali, aggravati dal diffondersi sempre più veloce di tecnologie riconducibili alla IA e destinate a crescere rapidamente, non meno di quelle, notissime, legate al controllo delle persone attraverso l’uso di dati biometrici per garantire la sorveglianza massiva di aree a rischio, particolarmente diffuso in alcune zone del mondo.
In ogni caso gli scenari delineati ci devono fa riflettere molto rapidamente sulla necessità di accompagnare lo sviluppo delle società digitali con nuove norme e modalità di tutela della conoscenza della realtà in rete e, in particolare, del carattere umano o meno degli operatori. Conoscenza essenziale anche come indicatore che permetta una valutazione della qualità e affidabilità dei dati che vengono scambiati e utilizzati. Valutazione che può avvenire meglio tenendo conto delle relazioni che tali scambi consentono.
I nuovi scenari che si aprono per il Garante privacy
Si aprono a questo punto scenari nuovi ed estremamente ampi ed importanti per le Autorità di protezione dei dati che già costituiscono da tempo il collante essenziale dello spazio unico digitale europeo.
Infatti, tanto più diventa necessaria una vigilanza e una regolazione rapida e flessibile, capace di adattarsi rapidamente all’evoluzione tecnologica, tanto più cresce il ruolo delle Autorità di vigilanza e controllo, capaci di essere al medesimo tempo vigilatori e produttori di regole e prescrizioni adatte all’evoluzione tecnologica e sociale.
Non è un caso del resto che proprio la regolazione europea sulla privacy abbia contato fin dall’inizio sull’operato delle Autorità di controllo e sulla rete da esse costituita, sotto la Direttiva 95/46, precedente al GDPR, basata sul WP29.
Rete che ha trovato nel quadro del GDPR un particolare rafforzamento e ampiamento basato anche sull’importanza data alle Autorità nel Capo VI del GDPR e ai loro strumenti di coesione, oggetto del Capo VII, e quelli incentrati su meccanismi di coerenza fra l’azione delle Autorità e, soprattutto, sul Comitato Europeo per la protezione dei dati (in inglese EDPB). Comitato che nel GDPR è chiaramente il perno del ruolo delle Autorità nell’ambito dello spazio unico europeo.
Proprio le Autorità e i loro strumenti di cooperazione e coerenza possono garantire un adeguato controllo sulla rete e definire in modo tra loro condiviso e reciprocamente vincolante, i meccanismi, anche tecnologici, da adottare per garantire il rispetto del principio di trasparenza dei soggetti operanti nella società digitale tra i quali possono essere scambiati dati e informazioni.
Ovviamente questo significa che nella società digitale le Autorità di controllo dovranno tornare a sviluppare, come già fecero nel secolo scorso rispetto alla privacy, forti capacità di indirizzo e di guida, condivisa tra loro, degli operatori.
Sarà dunque molto importante, in questo nuovo scenario, che le Autorità, sia singolarmente sia, meglio, collegialmente nel quadro dello EDPB, riprendano la prassi di adottare Linee guida e provvedimenti a carattere generale, e anche reciprocamente vincolanti, che siano in grado di orientare gli operatori rispetto alle prassi da adottare e alle tecnologie da porre in essere.
La stessa cosa dovrà essere fatta rispetto all’UE, agli Stati e ai produttori di tecnologie.
Le Autorità tornino ad ampliare l’uso di raccomandazioni e linee guida
Invece di interpretare il core business delle proprie attività come basato sulla valutazione dei progetti di norme regolatrici nazionali e europee sarà bene che le Autorità tornino ad ampliare l’uso di raccomandazioni e Linee guida rivolte sia agli operatori che ai legislatori nazionali e, soprattutto, europei.
Saranno utilissime in questo quadro indicazioni comuni e condivise da tutte le Autorità sulle modalità tecnologiche da adottare per garantire l’identità tecnologica e giuridica degli operatori in rete, analizzando anche le modalità adottate proprio in questi giorni da Facebook in merito ai social e agli account verificati in essi presenti.
E’ evidente, infatti, che il tema della tutela della “realtà della rete” inteso come tutela della affidabilità e conoscibilità degli operatori e delle tecnologie da essi usate è troppo importante e vitale per lasciare libero il campo ai soli operatori economici.
Al contrario: tanto più essi mostrano di essere consapevoli di quanto sta accadendo e cercano, comprensibilmente, di allargare alle nuove frontiere il loro business, tanto più è doveroso che le Autorità siano protagoniste di questa evoluzione; la anticipino per quanto possibile; la guidino e la controllino per quanto è necessario.
Allo stesso tempo, come già avvenne nell’ambito del WP29 per la privacy (e il GDPR ne è la dimostrazione più evidente), sarà sempre più importante che le Autorità di controllo si pongano anche l’obbiettivo di aggiornare e guidare l’evoluzione della regolazione, dando anche suggerimenti sui punti fondamentali ai legislatori.
Credo che non vi sia chi non comprenda che nel prossimo decennio sarà inevitabile una rivisitazione del GDPR per adeguarlo alle innovazioni in atto e a quelle che stanno per arrivare. Ma chi ha vissuto il primo entusiasmante periodo che ha presieduto all’elaborazione dell’attuale GDPR sedendo dalla parte delle Autorità sa bene che senza il ruolo fattivo e attento dei vigilatori la regolazione europea attuale non avrebbe mai potuto vedere la luce.
E’ inevitabile che lo stesso sia e sarà per gli adeguamenti che man mano dovranno esser formalizzati per mantenere un effettivo e concreto primato regolatorio della UE e, soprattutto, per evitare che un possibile fallimento della scommessa regolatrice fatta dalla UE si trasformi anche in una sconfitta dei suoi valori e delle sue capacità competitive.
Insomma una grande sfida sta davanti alle Autorità di vigilanza UE e alla UE nel suo complesso.
Per vincere questa sfida sarà importante che le Autorità sappiano andare oltre una visione puramente individualista e illuminista della protezione dei dati personali e ricordino sempre, a sé stesse e al mondo, che ogni uomo è un essere sociale ma anche una identità preziosa e unica.
Nel nuovo mondo tecnologico la difesa della complessità e della unicità di ogni essere umano anche, e soprattutto, nel suo inevitabile e crescente dialogo con le macchine, è la nuova grandissima sfida che sta davanti alle Autorità e all’Europa tutta.
Una sfida che l’Europa, anche in ragione delle sue radici culturali, filosofiche e religiose non può non cogliere e, soprattutto, non può perdere.
Il testo riproduce il contenuto dell’intervento dell’A. al Convegno di Presentazione del volume “La Privacy nell’era digitale. Le Relazioni dei Presidenti dell’Autorità Garante 1997-2022” tenutosi il 22 febbraio 2022 nella Sala della Autorità di protezione dei dati personali, che ha anche curato la pubblicazione del volume.
