Franco Pizzett
2. GDPR e Intelligenza Artificiale: un problema aperto 1 Come già era capitato alla Direttiva 95/46, pensata ed elaborata
a partire dal 1990 nell’ambito del completamento del mercato unico come regolato dal Trattato di Maastricht e entrata in vigore nel 1995, mentre già stava “esplodendo” l’uso commerciale della rete e quindi l’economia digitale, anche il GDPR è nato in qualche modo “vecchio”.
I lavori preparatori del nuovo Regolamento sono iniziati fin dal 2009, subito dopo l’entrata in vigore del Trattato di Lisbona e quindi anche della Carta dei diritti fondamentali dell’Unione.
Già il 1 dicembre 2009, infatti, il Working Party approvò la Opi- nion n. 169 intitolata “The Future of Privacy: Joint contribution to the Consultaton of the European Commission on the legal framework for the fundemntal right to protection of personal data I” che può essere considerata come l’avvio di fatto del procedimento di forma- zione del GDPR.
Successivamente il 25 gennaio 2012, anche al fine di dare attua- zione a quanto previsto dall’art. 16 del Trattato sul funzionamento dell’Unione, la Commissione presentò la proposta di Regolamento destinata ad essere approvata, dopo un iter lungo e tormentato sol- tanto il 27 aprile del 2016 ed entrata in vigore, come tutti sappiamo, solo il 25 maggio 2018. Insieme alla proposta di questo Regolamento nella stessa data del 25 gennaio 2012 la Commissione presentò anche la proposta di Direttiva relativa al trattamento dei dati a fini di pre- venzione, indagine, accertamento e perseguimento di reati o esecu- zione di sanzioni penali, poi adottata ed entrata in vigore, come Di- rettiva 2018/680 contemporaneamente al GDPR. Di questo “Pacchetto per la protezione dei dati personali non fece invece parte la proposta di un nuovo Regolamento in materia di e-privacy, che infatti è tut- tora in discussione nell’ambito della procedura di concertazione tra Parlamento e Consiglio.
Per questo il GDPR esplicitamente chiarisce che le norme in esso contenute non abrogano né sostituiscono la Direttiva 2002/58 e suc- cessive modificazioni.
Le tappe qui richiamate chiariscono bene che i lavori preparatori del nuovo Regolamento sono avvenuti in un tempo che, dati i ritmi dell’innovazione tecnologica, non può che apparirci ormai lontano, quando ancora non era diffusa la tecnologia cloud; non era possibile
Regolare la tecnologia: il Reg. UE 2016/679
84
avvalersi a basso costo di processori molto potenti; la costituzione di enormi banche date che rendessero possibile tecnologia Big Data era frenata dai costi ancora troppo elevati e da processori non adeguati; la stessa velocità di trasmissione ed elaborazione dei dati era molto inferiore all’attuale.
Soprattutto a quell’epoca lo sviluppo delle molte e diverse tecno- logie che oggi sono ricomprese nella generica, e non nuova, defini- zione di “Intelligenza Artificiale” non aveva ancora assunto la posi- zione centrale che oggi ha nel dibattito politico, giuridico, scientifico e tecno logico che caratterizza la fase attuale dell’economia digitale.
Infatti, malgrado che l’espressione “Intelligenza Artificiale” si debba a Jhon McCarthty che, sotto questo nome, organizzò un grup- po di lavoro che si incontrò per la prima volta nel New Hampshire, al Dartmouth College, nell’estate del 1956, i temi legati all’Intelligenza Artificiale, che già gli studi di Alan Turing avevano anticipato fin dal 1936 e riproposto nel 1950, è diventato familiare al grande pubblico solo da pochissimo tempo, man mano che la tecnologia della raccol- ta, elaborazione e utilizzazione dei dati ha sviluppato la possibilità di implementare la programmazione e la costruzione di macchine in grado non solo di eseguire in modo automatizzato programmi predefiniti (i robot e l’automazione delle macchine sono noti da de- cenni) ma di “pensare” e cioè di reagire, sempre nell’ambito del pro- gramma come definito dagli algoritmi utilizzati, alle sollecitazioni e ai condizionamenti ambientali nei quali deve operare.
2.2. Ovviamente non è questa la sede per approfondire i temi legati alle tecnologie che oggi comunemente indichiamo, con un grado in- finito di approssimazione, come Intelligenza Artificiale, né è il caso che ci diffondiamo ad esplorare il tema di cosa si debba intendere per Internet delle cose.
Quello che certamente è possibile e doveroso registrare è che il GDPR, pur approvato nel 2016 ed entrato in vigore quest’ anno si basa ancora su una impostazione ormai datata.
Tutto il suo impianto normativo, infatti, appare imperniato su una visione ancora “monodimensionale” dei trattamenti dei dati personali, incentrata intorno a un titolare che progetta i trattamen- ti, ne valuta i rischi e adotta tutte le misure necessarie a tutelare i diritti e le libertà fondamentali delle persone, ivi comprese, ovvia- mente, tutte le misure necessarie ed adeguate per consentire ad esse
GDPR e Intelligenza Artificiale
di esercitare i loro diritti qualora, a seguito di trattamenti di dati che le riguardino, esse assumano la veste di “interessato”.
Nell’ambito del GDPR sembra non avere spazio la prospettiva della “catena dei trattamenti” che è invece alla base dell’evoluzio- ne dell’economia digitale, sia attraverso la prospettiva dei Big Data, utilizzati da chi li raccoglie non solo per le finalità più diverse ma anche messi a disposizione di altri titolari di altri e specifici tratta- menti, strettamente connessi con la predisposizione di algoritmi in grado di sviluppare la tecnologia del machine learning o delle mac- chine “intelligenti. Programmi che, a loro volta, sono poi messi a disposizione di costruttori delle macchine intelligenti per program- marle e consentire loro di sviluppare le proprie attività nell’ambito di programmi che consentano ad esse una più o meno ampia “capa- cità decisionale”. Infine vi è il rapporto tra macchina “intelligente” e utente finale, che si giova delle prestazioni offerte da queste tecnolo- gie, ivi compresa la c.d. “Internet delle cose”, ma che a tal fine deve consentire, consapevolmente o meno, alle macchine di utilizzare anche i dati personali che li riguardano per le finalità connesse alle attività per le quali esse sono programmate.
Nel tessuto normativo del GDPR, infatti, la c.d. “catena dei trat- tamenti” non assume una rilevanza autonoma. Protagonista cen- trale è il titolare come tale, insieme al responsabile quando una parte dei trattamenti è affidata a soggetti terzi legati al titolare da un contratto o altro atto giuridico vincolante. La stessa figura dei contitolari di cui all’art. 26 del GDPR è di scarsa utilità perché si riferisce a titolari che “determinano congiuntamente le finalità e i mezzi del trattamento” e dunque presuppone in qualche modo che vi sia un unico trattamento la definizione del quale è oggetto del concorrere delle decisioni di due o più diversi soggetti la cui conti- tolarità è data proprio dalla unitarietà del trattamento e delle sue finalità.
Lo stesso Considerando 79, anche con riferimento alla figura dei contitolari si limita a dire che la protezione dei diritti e delle libertà degli interessati «esigono una chiara ripartizione delle responsa- bilità ai sensi del presente regolamento, compresi i casi in cui un titolare del trattamento stabilisca le finalità e i mezzi del tratta- mento congiuntamente con altri titolari del trattamento o quando l’operazione di trattamento viene eseguita per conto del titolare del trattamento».
Regolare la tecnologia: il Reg. UE 2016/679
86
Come si vede, tanto la norma dell’art. 26 quanto il Considerando 79 non affrontano in alcun modo la tematica della “catena dei trat- tamenti” connessa invece allo svilupparsi delle tecnologie di IA e co- munque a quelle collegate all’uso di trattamenti di dati nell’ambito dei Big Data e della loro successiva utilizzazione per finalità molte- plici, ivi compresa quella della comunicazione ad altri soggetti che li utilizzano come titolari autonomi nell’ambito di ulteriori e diversi trattamenti, dotati di proprie, e autonome, finalità specifiche, con- nesse a loro volta ad attività poste in essere, grazie ai risultati di tali trattamenti, da altri titolari per finalità ulteriori e diverse.
In sostanza, quello che pare di poter dire è che il GDPR, che pure mette al centro di tutto il suo sistema regolatorio il titolare dei trat- tamenti e la sua responsabilità sembra essere prigioniero di una vi- sione molto restrittiva, e persino “statica”, della realtà dell’economia digitale che peraltro intende promuovere e sviluppare tanto da con- siderare suo obiettivo primario accrescere la fiducia dei cittadini nei confronti delle tecnologie che la caratterizzano e ne garantiscono la crescita.
2.3. Vi è, tuttavia, un aspetto che è opportuno mettere in luce molto più di quanto sinora sia stato fatto.
A guardare per così dire “dall’alto” il tessuto normativo del GDPR si vede con una certa facilità che vi è una evidente disparità tra la ampiezza dei diritti e, in particolare, dei “nuovi diritti” riconosciuti agli interessati e le responsabilità definite a carico dei titolari e dei responsabili.
Tanto il GDPR è in qualche modo “arretrato” sul piano delle re- sponsabilità del titolare e del responsabile, tanto è invece “avanzato” sul piano dei diritti degli “interessati”.
Si tenga conto che i due piani sono solo apparentemente coin- cidenti.
Quando il titolare progetta i suoi trattamenti ex art. 24 GDPR non ci sono ancora gli “interessati”. La posizione di “interessato”, infatti, si assume e si perde a seconda che i dati utilizzati da trat- tamenti effettivamente in atto riguardino o meno una specifica persona fisica.
In altri termini: in fase di “progettazione” dei trattamenti di cui all’art. 24 GDPR la “platea degli interessati” è potenzialmente inde- terminata, mentre in fase di “attuazione” l’ambito degli interessati è
GDPR e Intelligenza Artificiale
87
definito, anche se può variare a seconda dei dati in ciascun momen- to effettivamente trattati.
L’aspetto di maggiore interesse del GDPR è che mentre pare un poco “unidimensionale” nel definire le responsabilità del titolare, soprattutto dal punto di vista della concezione del titolare e del trat- tamento che questi progetta come parti di una “monade” chiusa su se stessa, nel Capo III, relativo ai diritti degli interessati esso indi- vidua una ampia sfera di nuovi diritti che comportano necessaria- mente rapporti e interconnessioni tra i diversi titolari.
Si pensi, ad esempio, alla portabilità dei dati, al diritto alla can- cellazione, a quello relativo all’obbligo del titolare di notificare a terzi a cui abbia comunicato i dati dell’interessato le richieste di questo, fino ai diritti di opposizione, di limitazione e, soprattutto, di cono- scenza della logica utilizzata nel caso di trattamenti interamente automatizzati di dati con effetti decisionali.
Sono tutti diritti che comportano di necessità la adozione di stan- dard comuni tra una pluralità di titolari e, in particolare, tra quelli che operano in un medesimo settore. Il riferimento è al diritto alla portabilità dei dati o ai diritti collegati a una attività legittima di tra- sferimento di dati da un titolare all’altro, come nel caso del diritto alla cancellazione dell’art. 17, del diritto alla rettifica e alla relativa notificazione dell’art. 16, del diritto di opposizione e di limitazione degli artt. 16, 17 e 18, non caso richiamati dall’art. 19.
Dunque non possiamo dire che il regolatore europeo non avesse ben chiara la possibilità (ed anzi la attualità) della “catena dei trat- tamenti” che caratterizza in maniera crescente la economia digitale. Quello che possiamo dire, però, è che vi è una forte ed evidente discrepanza fra le regole relative ai doveri e alle responsabilità del titolare (e del responsabile) e quelle che presiedono invece alla defi- nizione dei diritti dell’interessato.
2.4. La discrepanza, o lo “iato”, fra la definizione formale della re- sponsabilità e degli obblighi del titolare (e del responsabile) e i diritti degli interessati è certamente colmabile in misura ampia dalla non mai abbastanza sottolineata flessibilità che caratterizza il GDPR e, in parte rilevante, anche la legislazione nazionale di attuazione.
Per questo si insiste tanto sul considerare il GDPR non solo come un insieme di norme ma anche come una metodologia relativa al trattamento dei dati nella società e nell’economia digitale.
Regolare la tecnologia: il Reg. UE 2016/679
88
Per questo, anche si insiste tanto sui poteri di soft law dei Ga- ranti e sui compiti ad essi assegnati come Autorità non solo di vi- gilanza ma anche di guida e supporto all’evoluzione nel tempo di questa normativa.
Occorre riconoscere, tuttavia, che la discrepanza tra il modo col quale sono definiti e specificati i nuovi diritti degli interessati e quel- lo con cui sono individuati doveri e responsabilità dei titolari è molto forte. Una discrepanza che certamente nel quadro dello sviluppo del- la Intelligenza Artificiale è destinata a manifestarsi in modo sempre più evidente.
2.5. La catena dei trattamenti, ignorata nel Capo IV relativo ai doveri dei titolari e responsabili, campeggia invece al centro dei “nuovi di- ritti” degli interessati.
Tutti i nuovi diritti, infatti, presuppongono anche doveri ai quali i titolari devono adempiere rispetto ad altri titolari, siano essi interes- sati alla portabilità dei dati, alla notifica relativa alle richieste di ret- tifica, cancellazione, limitazione dei trattamenti o, infine, coinvolti nell’uso dei dati raccolti da un titolare e ceduti ad altro per finalità legate ai trattamenti posti in essere in modo automatizzato e con effetto decisionale.
La domanda che si pone necessariamente è dunque come, e attra- verso quali istituti di flessibilità del GDPR, si possa trovare una solu- zione a questi problemi e assicurare allo stesso tempo che l’evoluzio- ne delle tecnologie digitali sia accompagnata dalla evoluzione, anche metodologica, delle modalità da adottare per garantire in ogni con- testo la effettività e la stessa azionabilità dei diritti degli interessati.