Privacy, big data e AI

Gestire i limiti del Gdpr per costruire il futuro della società digitale

Bisogna affrontare i limiti della regolamentazione privacy nei confronti di algoritmi e big data, pur riconoscendo la centralità del Gdpr. La ricetta è complessa, ma la sola possibile per consolidare la fiducia nella società digitale. Una strada indicata nel nuovo libro di Franco Pizzetti

Pubblicato il 04 Mar 2021

Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)

GDPR

Una delle riflessioni più significative proposte da Franco Pizzetti – ex Presidente dell’Autorità Garante per la Protezione dei Dati Personali e professore emerito dell’Università di Torino – nel suo nuovo volume la “Protezione dei Dati Personali in Italia tra GDPR e Codice Novellato”, attiene alla valutazione dell’adeguatezza dell’attuale normativa in materia di data protection a disciplinare i fenomeni caratterizzanti laquarta rivoluzione industriale”, quali l’intelligenza artificiale, gli algoritmi, l’internet delle cose (IoT), l’ingegneria genetica.

Un tema che questa testata sta sviluppando con contributi pubblicati e in pubblicazione di diversi esperti e autorità.

No a una modifica al Codice Privacy

Come punto preliminare, Pizzetti apre il dibattito sull’opportunità di una nuova ed ulteriore modifica al Codice Privacy, utile ad apportare talune necessarie correzioni alle più evidenti carenze che sono emerse durante i primi anni di applicazione della nuova regolamentazione. Tuttavia, rispetto a tale possibilità, Pizzetti espone svariate ragioni che inducono a ritenere preferibile attendere, prima di invocare un nuovo intervento del legislatore. Innanzitutto, in considerazione dell’impatto della regolamentazione comunitaria sulla disciplina nazionale, non si può ignorare la prevista adozione del nuovo “Regolamento ePrivacy volta a garantire la riservatezza delle comunicazioni elettroniche e a tutelare gli individui da abusi derivanti da trattamenti dei loro dati personali. Ancora più rilevante è poi la circostanza relativa all’inadeguatezza dello stesso GDPR a far fronte alle molteplici sfide dell’era digitale.

A questo proposito, non bisogna dimenticare che la gestazione del GDPR è stata un processo complesso e laborioso: la proposta di un Regolamento Europeo per la Protezione dei Dati Personali venne presentata nel 2012 dalla Commissione Barroso e il testo venne approvato nel 2016 – sotto la Commissione Junker – per entrare poi pienamente in vigore il 25 maggio 2018. Nella sua analisi, Pizzetti fa notare come, durante questo lasso temporale, la Commissione e il Parlamento non avessero ben chiare le implicazioni economiche e sociali che da lì a poco avrebbero avuto i big data, gli algoritmi (utilizzati per processare enormi quantità di dati anche a fini predittivi e manipolativi del mercato) e l’intelligenza artificiale.

Lo stesso GDPR parte dal presupposto che a ogni trattamento di dati personali concorrano più soggetti chiamati dalla normativa a ricoprire ruoli meramente “statici”: il titolare, il responsabile e una platea di soggetti interessati. Per il legislatore del GDPR i rapporti tra queste tre tipologie di figure risultano essere fondati su trattamenti caratterizzati da finalità stabilite a priori e volte a garantire agli interessati un controllo effettivo sui loro dati personali.

I “pilastri” del Gdpr inadeguati all’attuale sistema digitale

È evidente che la rigidità dei ruoli definiti dal GDPR poco si sposa con l’idea di Mercato Digitale Europeo per la condivisione delle informazioni tra gli Stati Membri su cui si fonda la recente proposta della Commissione per un nuovo modello di governance europea dei dati (il cosiddetto Data Governance Act).

Affinché le aziende europee e gli enti di ricerca possano innovare, sfruttando gli enormi vantaggi offerti dall’intelligenza artificiale e dai big data, è indispensabile che a questi sia garantito un facile accesso a immensi database i cui dati possano essere condivisi e riutilizzati in un susseguirsi di “trattamenti a catena”, effettuati da un numero potenzialmente indefinito di titolari e responsabili e per il perseguimento di molteplici finalità, spesso non determinabili prima dell’inizio del trattamento. In questa prospettiva, il Data Governance Act conferisce un ruolo di primo piano anche a dei soggetti cosiddetti intermediari (“data sharing provider”), il cui ruolo appare essere solo forzatamente inquadrabile tra quelli attualmente previsti dal Regolamento 2016/679.

Alla luce di queste considerazioni è facile rilevare l’incompatibilità dei fenomeni caratterizzanti l’attuale sistema digitale (big data, algoritmi, intelligenza artificiale) con alcuni “pilastri” su cui poggia l’intera impalcatura del GDPR.

Principio di minimizzazione e trasparenza

  • Nello specifico, il principio di minimizzazione appare in netto contrasto con l’utilizzo di sistemi che impiegano l’intelligenza artificiale e che esprimono appieno le proprie potenzialità solo in presenza di un vasto quantitativo di dati (sia strettamente necessari che potenzialmente ultronei) per sviluppare modelli predittivi.
  • Analogamente, l’applicazione del principio di trasparenza appare incompatibile con un sistema che si articola in una rete indistricabile di rapporti tra un numero potenzialmente indefinito di titolari e responsabili. In questo contesto – e soprattutto qualora venga adoperata la tecnologia deep learning – è inoltre impossibile garantire all’interessato il pieno controllo sui propri dati, poiché potrebbe non essere possibile individuare e ricostruire i percorsi logici compiuti della macchina per giungere a un determinato output.

Articolo 22, trattamenti automatizzati

Si veda anche portata dall’art. 22 del GDPR – da intendersi come il punto di connessione più evidente tra il testo normativo e lo sviluppo delle tecnologie digitali – e le implicazioni di un trattamento interamente automatizzato sull’applicazione dei principi di trasparenza e di accesso.

L’art. 22 del Regolamento stabilisce il diritto del soggetto interessato a non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato – compresa la profilazione – qualora questo produca effetti giuridici in grado di incidere significativamente sulla sua persona. Tale disposizione prevede inoltre che il titolare del trattamento adotti misure appropriate per tutelare le libertà e i diritti dell’interessato, compreso quello di richiedere l’intervento umano e di contestare una decisione adottata sulla base di un procedimento interamente automatizzato.

In questo contesto – e soprattutto qualora venga adoperata l’intelligenza artificiale e la tecnologia deep learning – Pizzetti sottolinea come appaia impossibile garantire all’interessato il pieno controllo sui propri dati e la possibilità di ricorrere all’intervento umano per la revisione e il controllo di decisioni automatizzate: in alcuni casi, infatti, potrebbe risultare impossibile per il titolare individuare e ricostruire i percorsi logici compiuti della macchina per giungere ad un determinato output.

Nello scenario così delineato, risulta evidente che le complessità del quadro normativo e le difficoltà applicative non possano risolversi unicamente con una modifica del Codice Privacy Novellato da parte del legislatore italiano. Il problema nasce, invece, direttamente al livello del GDPR e riguarda la necessità di definire il suo rapporto con le nuove dinamiche della società digitale, per realizzare compiutamente l’aspirazione di un mondo “full of new technologies and age-old values” che concili la tutela dei diritti fondamentali con il progresso tecnologico.

Codici di condotta e certificazioni

A questi fini, un indiscusso punto di forza del GDPR è rappresentato dalla disciplina relativa ai Codici di Condotta e alle Certificazioni, strumenti destinati a divenire imprescindibili per la regolamentazione di settori specifici e in costante trasformazione.

Tali Codici di Condotta e Certificazioni, insieme alle Linee Guida dettate dalle Autorità competenti, sembrano quindi essere, allo stato, gli strumenti più idonei a rispondere alle attuali esigenze di tutela e regolamentazione, molto più di un nuovo intervento del legislatore italiano. A questo proposito, Pizzetti suggerisce ai membri dell’Autorità Garante per la Protezione dei Dati Personali di non limitarsi ad attuare i principi del GDPR e del Codice Novellato, ma di dar prova di lungimiranza, “guardando lontano” e promuovendo – per mezzo di tutti gli strumenti a disposizione dell’Autorità – una lettura estensiva e coerente della normativa europea e nazionale, contribuendo al pieno sviluppo di un “nuovo diritto” che permetta agli individui di beneficiare di tutti i vantaggi che la digital age sarà in grado di offrire e, al contempo, li tuteli dai rischi e dalle minacce – alcuni dei quali potenzialmente ancora ignoti – connessi all’inarrestabile progresso della tecnologia.

Una nuova alleanza tra diritto e tecnologia

Sempre allo stesso scopo, emerge l’importanza di stringere un nuovo sodalizio tra diritto e tecnologia.

Lo stesso Pizzetti sottolinea l’importanza della preliminare cooperazione tra i soggetti tenuti a vigilare sul rispetto della regolamentazione in materia di dati personali e il legislatore chiamato a definire norme giuridiche, etiche e tecnologiche che orientino lo sviluppo digitale, anche in relazione al trattamento di dati personali.

Infatti, perché l’umanità intera possa godere dei benefici immensi riconducibili all’evoluzione tecnologica e all’intelligenza artificiale, è necessario che sia rafforzato il principio di responsabilità – anche etica – degli operatori attivi nell’ambito delle nuove tecnologie e di chiunque tratti i dati personali, così da aumentare la fiducia delle persone e da garantire una tutela effettiva dei loro diritti e libertà.

La responsabilità delle aziende perno della fiducia nella società digitale e per la sua crescita

Il rispetto del principio di accountability posto a carico dei soggetti che si occupano dello sviluppo di nuove tecnologie è essenziale per far crescere la fiducia nella società digitale e guidare le Data Protection Authority nelle loro molteplici attività, andando oltre una lettura restrittiva del Regolamento.

Pizzetti riconosce inoltre la necessità che le Autorità Europee (in primo luogo l’European Data Protection Board) ricoprano un ruolo proattivo nel predisporre Linee Guida e Opinioni per fornire una “bussola” alle Data Protection Authority nazionali e coordinare le loro attività definendo un unico approccio europeo in materia di intelligenza artificiale e gettare le basi per una “Carta Etica Europea per il controllo sui trattamenti relativi ai dati personali”.

Rivolgendosi poi all’Autorità Garante per la Protezione dei Dati Personali, Pizzetti invita i membri a non operare limitandosi a dare attuazione ai principi del GDPR e del Codice Novellato, ma di dar prova, di saper “guardare lontano”, promuovendo – attraverso tutti gli strumenti a disposizione dell’Autorità, compresa la pubblica consultazione – una lettura estensiva e coerente della normativa europea e nazionale, contribuendo al pieno sviluppo di un “nuovo diritto”: quello che permetta agli individui di beneficiare di tutto ciò che la Digital Age sarà in grado di offrire e, al contempo, garantisca una tutela efficace dalle minacce – comprese quelle potenzialmente ancora ignote – connesse all’incalzante progresso della tecnologia digitale.

Protezione dei dati personali in Italia tra GDPR e Codice Novellato: il volume

“Protezione dei dati personali in Italia tra GDPR e Codice Novellato” è il titolo del nuovo manuale scritto da Franco Pizzetti – ex Presidente dell’Autorità Garante per la Protezione dei Dati Personali – che, insieme ad altri illustri autori, compie un’attenta e ampia disamina del Codice Privacy Novellato e che da oggi non può mancare fra i testi di riferimento per coloro, che su questi temi, sono alla ricerca di originali spunti di riflessione ed analisi giuridiche raffinate.

Gli autori esaminano la normativa italiana collocandola nel contesto del framework europeo di protezione dei dati personali, mettendo in luce le interconnessioni tra GDPR e Codice Privacy e i limiti della regolamentazione nazionale e comunitaria in relazione agli aspetti più dirompenti che caratterizzano la società delle piattaforme e degli algoritmi.

Nuove prospettive per affrontare le sfide della digital age

Il manuale offre nuove prospettive per affrontare le sfide della digital age e per raggiungere il necessario bilanciamento tra l’esigenza di apprestare un’adeguata tutela ai diritti individuali e l’inarrestabile progresso delle tecnologie digitali – compresa l’intelligenza artificiale – destinate ad avere un impatto sempre più significativo sull’uomo, sulle sue libertà e sulla realtà in cui vive.

Il volume si compone di tre parti. La prima, ad opera di Pizzetti, è interamente dedicata al d.lgs n.196/2003 e al processo di elaborazione del d.lgs 101/2018 ed esamina il ruolo che tali normative rivestono nel quadro della tutela della protezione dei dati personali e della libera circolazione degli stessi. I capitoli successivi, a cura di Giuseppe D’Acquisto, Rocco Panetta e Raffaele Bifulco, si concentrano sugli ambiti più innovativi della materia, tra cui la valorizzazione economica dei dati, i trattamenti transfrontalieri di dati personali, i Codici di Condotta e le Regole Deontologiche come strumenti per adeguare la normativa alle esigenze e alle peculiarità di specifici settori.

Completano il volume i saggi di Francesco Modafferi, Laura Ferola e Federica Resta, in cui vengono affrontati altre disposizioni del Codice Privacy Novellato e delle leggi nazionali di adeguamento e armonizzazione, quali quelle relative al trattamento di dati personali per finalità di pubblico interesse, alle misure di garanzia in relazione a dati biometrici, genetici e relativi alla salute, e al sistema sanzionatorio penale introdotto dal d.lgs. 101/2018.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • GDPR

    GDPR, tutto ciò che c'è da sapere per essere in regola

    05 Apr 2024

    di Anna Cataleta, Alessandro Longo e Raffaella Natale

    Condividi

Prossimo

GDPR, tutto ciò che c'è da sapere per essere in regola

Articolo 1 di 2