Esprimere un consenso informato

Un’ulteriore difficoltà si incontra nel momento in cui il titolare voglia legittimare il ri- corso a processi decisionali automatizzati mediante il consenso esplicito dell’interessato426. In particolare, le caratteristiche dell’assistente vocale, quali l’interconnessione con altri og- getti intelligenti e l’assenza di schermo e tasti, fanno sorgere nuovi interrogativi sulla reale

421 _{L.EDWARDS,M.VEALE,Slave to the algorithm? Why a ‘right to an explanation’ is probably not the remedy you are}

looking for, 16(1) Duke Law & Technology Review (2017), disponibile al sito:

https://scholarship.law.duke.edu/cgi/viewcontent.cgi?article=1315&context=dltr .

422 _{HÄNOLD, Profiling and Automated Decision-Making: Legal Implications and Shortcomings, cit., 134.} 423 _{ROUVROY, “Of Data and Men”: Fundamental Rights and Freedoms in a World of Big Data, cit., 31.}

424 _{Per un’ampia argomentazione del perché sia preferibile una decisione umana piuttosto che automatizzata si}

v. NOTO LA DIEGA, Against the Dehumanisation of Decision-Making - Algorithmic Decisions at the Crossroads of Intellec-

tual Property, Data Protection, and Freedom of Information, cit.,

425 _{Alcuni autori si sono spinti fino a ipotizzare la configurazione futura di un right to appeal to a machine, si v.}

HÄNOLD, Profiling and Automated Decision-Making: Legal Implications and Shortcomings, cit., 134; C. KUNER ,D.J.B. SVANTESSON,F.H.CATE,O.LYNSKEY,C.MILLARD, Machine learning with personal data: is data protection law smart

enough to meet the challenge?, in International Data Privacy Law, Vol. 7, No. 1, 1-2 (2017), disponibile al sito:

https://academic.oup.com/idpl/issue/7/1.

82

validità di un trattamento legittimato dal consenso. Quest’ultimo è da lungo tempo sotto- posto a notevoli critiche che colpiscono la qualità del consenso prestato tanto sotto l’aspetto della libertà dell’utente, quanto in merito all’efficacia dell’informazione427_.

Sotto attacco è il concetto di privacy self-management428, ossia la convinzione che l’utente sarà in grado di valutare autonomamente e in modo ponderato i costi e i benefici del trat- tamento dei suoi dati personali potendo esprimere la propria volontà grazie alle informa- zioni ricevute dal titolare e al controllo garantito dalla regolamentazione429. Eppure, l’interessato si dimostra spesso disinformato, sopraffatto dalla quantità e dalla tipologia del- le informazioni430 e cognitivamente mal equipaggiato per gestire le proprie preferenze431. Nei fatti è raro che legga la privacy policy di tutti i servizi di cui usufruisce e, anche laddove lo facesse, probabilmente non avrebbe gli strumenti per comprenderne a pieno le implicazioni (frequentemente non chiare anche agli stessi titolari)432.

In tale contesto critico si innestano le perplessità dovute al mutare dei mezzi attraver- so i quali l’informativa dovrebbe essere fornita all’interessato. Non si fa più riferimento ad un supporto cartaceo o ad una pagina web, bensì a oggetti intelligenti di dimensioni ridotte, talvolta difficilmente distinguibili dagli oggetti analogici433 _{e tendenzialmente privi di uno}

schermo. Simile ostacolo è stato superato da alcuni produttori mediante un rimando alla pagina web (creando confusione sull’applicabilità della privacy policy anche all’oggetto) 434 _o

attraverso l’inserimento di un’informativa cartacea nella confezione435_{: la prima risposta è}

stata quella di un ritorno ai supporti precedentemente utilizzati (ciò aggira il problema dell’assenza dell’interfaccia, ma non prospetta soluzioni per i dubbi in merito all’efficacia

427 _{A.PRINCIPATO, Internet of Things: sorveglianza, privacy by design, prospettive di governance globale, in DISTEFANO (a}

cura di), La protezione dei dati personali ed informatici nell’era della sorveglianza globale, cit.

428 _{D.J.SOLOVE, Privacy Self-Management and the Consent Dilemma, 126 Harv. L. Rev., 1882 (2013), disponibile al}

sito: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2171018 .

429 _{PEPPET,Regulating the Internet of Things: first steps toward managing discrimination, privacy, security and consent, cit.,}

159.

430 _{Sull’inadeguatezza di un approccio puramente quantitativo e testuale: G.D’ACQUISTO,M.NALDI, Big data}

e privacy by design, Torino, 161, 2017.

431 _{Ibidem; SOLOVE, Privacy Self-Management and the Consent Dilemma, cit., 1882-1888.}

432 _{Numerosi sono gli studi e gli esperimenti sociali che hanno voluto mettere alla prova la concreta efficienza}

del sistema basato sul consenso informato. Tra i molti, si v. MC DONALD A.,CRANOR L.F., The cost of reading

privacy policies, 4(3) I/S A Journal of Law and Policy for the Information Society, 540 (2008), le Autrici hanno calcola-

to che un utente dovrebbe passare circa settantasei giorni all’anno a leggere le privacy policy delle pagine web vi- sitate; C.A. TSCHIDER, Regulating the Internet of Things: Discrimination, Privacy, and Cybersecurity in the Artificial Intel-

ligence Age, 96 Denv. L. Rev., 113 (2018), disponibile al sito:

https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3129557 .

433 _{Art. 29 WP, Opinion 8/2014 on the on Recent Developments on the Internet of Things, cit., 7.} 434 _{GIOVANELLA,Le persone e le cose: la tutela dei dati personali nell’ambito dell’Internet of Things, cit., 1229.}

435 _{Per un’analisi delle soluzioni concretamente adottate da alcuni produttori si v. PEPPET,Regulating the Internet}

dell’informativa in sé). In tal modo, però, si rischia di spostare la manifestazione del con- senso ad un momento e ad un contesto differenti rispetto a quelli in cui si ha l’effettiva per- cezione della comunicazione dei dati personali e sulla base di una consapevolezza limitata e relativa solo ad alcuni aspetti436. D’altro canto, la ricerca dell’unità temporale tra questi due momenti nell’ambito dell’Internet of Things potrebbe intrappolare i titolari del trattamento e gli interessati in un circolo vizioso di informative e consensi, soprattutto alla luce della na- tura dinamica e iperconnessa degli oggetti437.

Dunque, è forse arrivato il giorno della débâcle del consenso informato?

Seppur rimangano valide le perplessità ora descritte438, sembra avventato concludere con una sconfitta la ricerca di nuove vie per garantire all’interessato un’adeguata informa- zione. Lo stesso Working Party, dopo aver enfatizzato i problemi strutturali dei sensor device (i quali non sembrano progettati né per fornire informazioni, né per consentire all’utente di esprimere il proprio consenso), prospetta la possibilità di implementare nuovi meccanismi a garanzia di un consenso espresso e informato attraverso i device stessi439_.

Una prospettiva è aperta dalla c.d. Sticky Policy440: le informazioni relative alle modalità e finalità del trattamento vengono incorporate nei dati stessi affinché gli algoritmi siano in grado di definire automaticamente i trattamenti leciti assicurando all’interessato un maggior controllo441_{. Nonostante vi siano ancora alcuni punti controversi}442_{, appare interessante}

l’idea di fornire all’utente la possibilità, ad esempio, di richiedere in qualsiasi momento all’assistente vocale di leggere la Sticky Policy dei dati personali sul cui trattamento nutra dubbi o perplessità, o ancora, ciò potrebbe avvenire automaticamente, dopo un determina-

436 _{D’ACQUISTO,NALDI, Big data e privacy by design, cit., 162.}

437 _{TSCHIDER, Regulating the Internet of Things: Discrimination, Privacy, and Cybersecurity in the Artificial Intelligence Age,}

cit., 111.

438 _{Per ulteriori approfondimenti sulle critiche al sistema di notice and choice si v. (per un esame degli argomenti a}

favore e contro) R.CALO, Code, Nudge, or Notice?, in Iowa L. Rev., 99, 773, 788–89 (2014), disponibile al sito:

https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2217013 ; D.J.SOLVE, Privacy Self-Management and the

Consent Dilemma, in 126 Harv. L. Rev., 1880 (2013), disponibile al sito:

https://papers.ssrn.com/sol3/papers.cfm?abstract_id=2171018 ; S.BAROCAS,H.NISSENBAUM, Proceedings of

the engaging data forum, on notice: the trouble with notice and consent (2009), disponibile al sito:

https://pdfs.semanticscholar.org/9ccb/6630d3ee7dceafbbf5c54cb88ff885362248.pdf .

439 _{Art. 29 WP, Opinion 8/2014 on the on Recent Developments on the Internet of Things, cit.}

440 _{Citate dallo stesso Working Party, Art. 29 WP, Opinion 8/2014 on the on Recent Developments on the}

Internet of Things, cit.

441 _{S.PEARSON,M.CASASSA MONT, Sticky Policies: An Approach for Managing Privacy across Multiple Parties, in}

IEEE Computer Society, Vol. 44, Issue 9 (2011), disponibile al sito:

https://ieeexplore.ieee.org/abstract/document/5959137 .

442 _{L’implementazione della Sticky Policy non assicura sempre il rispetto delle informazioni incorporate nel}

dato e talvolta è modificabile da terzi. Cfr. Q.TANG, On Using Encryption Techniques to Enhance Sticky Policies En-

forcement, (2008), disponibile al sito:

https://www.researchgate.net/publication/228397270_On_using_encryption_techniques_to_enhance_sticky _policies_enforcement .

84

to periodo di utilizzo di un servizio, per le categorie particolari di dati o nei casi in cui siano previsti trattamenti che il Regolamento reputa particolarmente rischiosi (si pensi appunto ai processi decisionali automatizzati o al trasferimento dei dati verso Paesi Terzi). Simili ipote- si andrebbero a colmare le potenziali debolezze di un’informativa cartacea o accessibile da mobile e potrebbero aumentare la sensibilizzazione dell’interessato verso alcuni trattamenti.

L’idea di fondo è quella di una rimodulazione dell’onere dell’acquisizione delle in- formazioni sulla privacy policy che non grava più solo sull’utente, ma anche sul produttore o sul designer del prodotto443_{. Su questa scia si giunge fino alla teorizzazione di un capovolgi-}

mento del principio della notice and choice: l’utente compie le proprie scelte e il sistema viene informato, l’oggetto intelligente dovrebbe essere progettato in modo da poter recepire gli input dell’utente quanto alle sue preferenze ed elaborare una risposta e una condotta su mi- sura444.

Nel caso specifico dei processi decisionali automatizzati, inoltre, si deve prendere in considerazione anche l’imposizione da parte del legislatore di un consenso esplicito445_:

l’ipotesi di un assistente vocale in grado di percepire una precisa azione dell’utente e di in- terpretarla in modo non ambiguo come un consenso libero e informato (senza interrompe- re l’user experience nella fruizione di un servizio)446 non risulterebbe conforme alle prescrizio- ni ex articolo 22.2.c) del GDPR. Una “dichiarazione o azione positiva inequivocabile”447

corrisponde ad un consenso espresso (prerequisito di validità sempre necessario), mentre il consenso è esplicito solo laddove vi sia una dichiarazione espressa448. Di conseguenza, l’assistente vocale potrà contare sulla voce449 _{(pur predisponendo tutte le misure necessarie}

affinché il titolare possa dimostrare l’avvenuta dichiarazione450_{), ma non su altri sensori.}