Lo scenario

Scorza: “Il 2024 della privacy, ecco i nodi da sciogliere”

Home Sicurezza digitale Privacy
Indirizzo copiato

Due questioni, come la legittimità del modello pay or ok, dovranno per forza essere risolte entro la fine dell’anno appena iniziato, mentre per altre due, come il nodo del trattamento dei dati per la ricerca medica, è difficile capire quando verranno trattate

Pubblicato il 3 gen 2024
Guido Scorza

Autorità Garante Privacy

Cybersecurity,Mixed,Media,With,Virtual,Locking,Padlock,On,Cityscape,Background.

Fare previsioni su quello che ci riserva il futuro, in particolare al crocevia tra progresso tecnologico e sfruttamento dei dati, inclusi quelli personali, è sempre più difficile perché il ritmo del progresso è in costante e continua accelerazione e i dati ne sono sempre più protagonisti.

Ci sono, tuttavia, un paio di nodi che sembrano destinati a arrivare al pettine prima di tanti altri e ce ne sono poi un altro paio che inesorabilmente ci arriveranno ma in un intervallo temporale più difficile da tracciare sul calendario.

Cominciamo dai primi.

Scorza: “AI Act è a rischio, ecco le regole che servono “

Modello “pay or ok”: il caso di Meta

Sul finire del 2023, Meta, fu Facebook, ha fatto una mossa dirompente: ha chiesto agli utenti interessati a continuare a usare i propri servizi di scegliere se prestare il consenso a continuare a ricevere pubblicità targettizzata o iniziare a pagare un abbonamento mensile e non ricevere più alcuna pubblicità.

Più o meno la stessa alternativa davanti alla quale, in ordine sparso, nel corso dei due anni precedenti, diversi editori di giornali hanno posto i propri lettori: pagare o lasciarsi profilare attraverso i cookies, i biscotti meno dolci e più invadenti della storia.

È vicenda analoga ma non identica perché nel caso di Meta, anche gli utenti che scelgono di pagare – una percentuale che difficilmente sarà mai a due cifre – continuano comunque a vedere tutti i propri dati personali trattati ai fini di una profilazione che, tuttavia, non viene poi usata per la pubblicità ma solo per proporre loro contenuti e “amicizie” più probabilmente in linea con i propri gusti e le loro preferenze.

Nel caso degli editori di giornali, invece, la scelta è radicale: chi paga non viene profilato, chi non paga si. Ma, differenze a parte, è evidente che la decisione di Meta ha accelerato in tutta Europa, Italia inclusa, la riflessione sulla legittimità del modello “pay or ok”.

La lettera di fine anno dell’EDPB

Ora questa riflessione va chiusa e, verosimilmente, accadrà nel 2024. Mentre la mezzanotte del 2023 stava per scoccare, peraltro, una lettera dell’EDPB alla Commissione europea su altra questione, ma correlata a questa, ha anticipato, forse, un possibile epilogo nel senso dell’incompatibilità del modello in questione, almeno in assenza di un qualche correttivo.

Troppo presto e troppo poco, però, per dire che andrà effettivamente a finire così e che attorno a questa posizione possano ritrovarsi tutte le Autorità di protezione dei dati personali europee, incluse quelle che in passato, almeno in relazione alla vicenda degli editori di giornale, avevano mostrato una posizione diversa.

Le prospettive

Ma quel che è certo è che in un modo o nell’altro il nodo andrà sciolto perché nell’Europa del Digital Service Act e del Digital Market Act non c’è spazio perché i dati personali di centinaia di milioni di persone vengano trattati, per finalità commerciali, in condizioni di dubbia legittimità.

O si valida il modello, magari ponendo qualche paletto capace di fare in modo che la scelta rimessa agli utenti – pay or ok – sia, per quanto possibile, una scelta davvero libera e consapevole o si dice di no a ogni alternativa tra denaro e consenso al trattamento di dati personali e, a quel punto, si impone una sterzata a “u” a quello che, sin qui, è stato il modello di business nella fornitura di servizi digitali.

Trattamento dati per l’addestramento di algoritmi: serve una base giuridica

L’altro nodo che, inesorabilmente, verrà al pettine prima della fine del 2024 è quello della necessità di trovare una base giuridica per il trattamento dei dati personali per l’addestramento degli algoritmi.

A che titolo le fabbriche delle intelligenze artificiali possono pescare a strascico online miliardi di dati personali e trasformarli in asset commerciali e tecnologici preziosissimi e, anzi, forse, irrinunciabili per il loro business?

In Italia il nodo andrà necessariamente sciolto nel corso del 2024 nell’ambito dell’istruttoria aperta nei confronti di OpenAI in relazione al al caso ChatGPT ma, le Autorità di protezione dei dati personali di tutta Europa, riunite nella task force istituita in seno all’European Data Protection Board, proprio a seguito della decisione d’urgenza adottata dal garante nei confronti di OpenAI, sono alla ricerca di una soluzione.

Scorza: “Dati pescati a strascico dall’intelligenza artificiale, perché la nostra indagine”

Il legittimo interesse può bastare? E anche qualora la risposta fosse positiva – il che appare lontano dal potersi considerare scontato – cosa dovrebbero fare le grandi fabbriche degli algoritmi per dare una puntuale informativa agli interessati e per garantire a questi ultimi il diritto di opposizione?

Perché, come è noto, non esistono deroghe o eccezioni all’obbligo di fornire un’informativa e garantire agli interessati il diritto di opporsi a un trattamento avviato sulla base del legittimo interesse. Questione complicata.

E non basta perché, comunque verrà decisa, si porrà poi il problema di capire come gestire i trattamenti di dati personali sin qui consumatisi, nella più parte dei casi, in un contesto, almeno, di grande confusione sul versante della base giuridica, dell’informativa agli interessati e dei diritti effettivamente riconosciuti a questi ultimi.

Ma, anche in questo caso, nell’Europa dell’AI Act prossimo venturo, non c’è spazio perché un dubbio di questa portata resti sul tavolo e perché il relativo nodo non venga sciolto prima di salutare l’anno appena iniziato.

Il nodo del trattamento dei dati per la ricerca medica

Alzando poi lo sguardo verso la linea dell’orizzonte e a voler guardare più lontano, tra tante, ci sono un paio di questioni destinate a essere affrontare e risolte il prima possibile anche se è difficile se prima o dopo lo scoccare della mezzanotte del 31 dicembre 2024. La prima delle due riguarda il trattamento dei dati personali per finalità di ricerca medica.

La pandemia ci ha fatto toccare con mano quanto mettere a fattor comune quantità importanti di dati personali anche di carattere sanitario possa consentire alla ricerca di fare balzi in avanti preziosi e capaci di salvare letteralmente vite umane.

Le regole attuali, d’altra parte, appaiono sempre meno compatibili con i tempi e gli obiettivi della ricerca. E non è colpa di nessuno. Ma è un dato di fatto che, talvolta, per fare ricerca medica in Europa, Italia in testa, servano più avvocati esperti di privacy che medici e ricercatori perché la disciplina è complicata.

Per carità, guai a far finta di non sapere che spesso, nell’universo della sanità e della ricerca, la privacy è anche usata come alibi per nascondere egoismi e ragioni decisamente meno nobili per non mettere a fattor comune dati personali che pure sarebbero preziosissimi.

E, però, il toro è da prendere per le corna, il problema va affrontato e risolto, serve una riflessione sulla forse eccessiva centralità del consenso tra le basi giuridiche abilitanti l’attività di ricerca e, magari, nelle more, serve un’attività di intensa sensibilizzazione, in tutti gli ambienti della ricerca, all’utilizzo degli strumenti giuridici già esistenti per fare ricerca, in maniera, forse, più complicata di quanto si vorrebbe, ma decisamente più semplice di quanto talvolta non si senta dire in giro.

PA e decisioni automatizzate

La seconda questione è rappresentata dal trattamento di dati personali, da parte di soggetti pubblici, per l’adozione di decisioni in tutto o in parte automatizzate, attraverso il ricorso all’intelligenza artificiale. Perché che ci piaccia o non ci piaccia l’intelligenza artificiale sta entrando nelle nostre pubbliche amministrazioni ed è destinata a essere utilizzata in una serie di direzioni che non si può non considerare auspicabili.

E, tuttavia, il rischio che per effetto di trattamenti di dati personali di scarsa qualità o, più semplicemente, eccessivi o sproporzionati rispetto alle finalità perseguite, si registrino discriminazioni in danno di milioni di cittadini è elevatissimo.

Le possibili soluzioni

Qui c’è un principio che andrebbe scritto sulla porta di tutti gli uffici pubblici: il fine non giustifica i mezzi in democrazia e non è vero che tutto ciò che è tecnologicamente possibile possa anche considerarsi giuridicamente legittimo e democraticamente sostenibile. Ma, detto questo, occorre trovare soluzioni ragionevoli e bilanciate per fare in modo che anche la nostra amministrazione possa cogliere le straordinarie opportunità offerteci dall’intelligenza artificiale, contenendo i rischi.

Educazione alla logica algoritmica e al valore dei diritti fondamentali per tutti decisori pubblici e, forse, l’istituzione di sand box regolamentari nelle quali, anche le amministrazioni, possano sperimentare soluzioni diversamente intelligenti, anche basate sui dati personali e misurarne l’impatto sulla società, iniziandole a usare in maniera sistematica solo laddove i benefici appaiano effettivamente superiori ai rischi e questi ultimi risultino sostenibili.

Conclusione

Il 2024 che ci aspetta, insomma, è un anno straordinariamente stimolante e ricco di sfide da affrontare senza mai perdere la voglia di confrontarsi e guardare a ogni questione dal maggior numero di punti di vista diversi.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • common criteria

    Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

    06 Dic 2023

    di Garibaldi Conte

    Condividi

  • approfondimento

    Come si digitalizza una stalla? Ecco in che modo la filiera zootecnica si innova

    01 Lug 2024

    di Antonio Picasso

    Condividi

  • compliance

    DSA: cinque requisiti di trasparenza per una piattaforma di gioco online

    19 Lug 2024

    di Fabia Cairoli e Akkeroos Kremers

    Condividi

Prossimo

Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

Articolo 1 di 4