La prima criticità: il diritto alla riservatezza

La lavorazione dei big data da parte dell’IA al fine di per-

venire ad una decisione robotica si deve confrontare, però, con

un primo grande problema che è quello della riservatezza37_.

Ed infatti perché la previsione sia il più possibile precisa oc-

corre disporre e lavorare un’enorme quantità di dati: se non si

richiede il consenso degli interessati (come ad esempio avviene a Singapore) ovviamente la quantità di dati a disposizione delle amministrazioni sarà massima e maggiore sarà la capacità pre-

dittiva; se invece si richiede il consenso l’insieme dei dati con-

sentirà più difficilmente di svolgere l’analisi predittiva.

Si tratta di trovare il bilanciamento giusto e al riguardo il diritto europeo si è pronunciato con il Regolamento 2016/679/

37_{In generale sul tema della riservatezza S. CALZOLAIO, Protezione dei}

dati personali (voce), in Disc.pubbl., Agg.to, 2017, Torino, p. 594 ss.; ID., Pri- vacy by design. Principi dinamiche ambizioni del nuovo Reg. UE 2016/679, in www.federalismi.it. Sui rapporti tra trasparenza e riservatezza cfr. B. CAROTTI, L’amministrazione digitale e la trasparenza amministrativa, in Giorn.di- r.amm., 2015, p. 625; M.C. CAVALLARO, Garanzie della trasparenza ammini- strativa e tutela dei privati, in Dir.amm., 2015, p. 121; M.C. D’Arienzo, Diritto alla trasparenza e tutela dei dati personali nel d.gs. n. 33/2013, con partico- lare riferimento alla disciplina dell’accesso civico, in Dir.processo amm., 2015, p. 123; F. FRACCHIA, L’impatto delle misure anticorruzione e della tra- sparenza sull’organizzazione amministrativa, in Il dir.dell’economia, 2015, p. 483; G. VESPERINI(a cura di), Il big bang della trasparenza, 2015; A. PAJNO, Il principio di trasparenza alla luce delle norme anticorruzione, in Giust.civ., 2015, p. 213; M.R. SPASIANO, Riflessioni in tema di trasparenza anche alla luce del diritto di accesso civico, in Nuove autonomie, 2015, p. 63; S. VACCARI, Il difficile bilanciamento tra favor per la trasparenza e (necessaria) tutela della riservatezza nel d.lgs. n. 33/2013, in Il dir.dell’economia, 2015, p. 151; A. CONTIERI, Trasparenza e accesso civico, in Nuove autonomie, 2014, p. 563; Atti del convegno di Varenna, Politica e amministrazione della spesa pubblica: controlli, trasparenza e lotta alla corruzione, 2014 F.II.593 59; F. MANGANARO, Trasparenza e obblighi di pubblicazione, in Nuove autonomie, 2014, p. 553; I. NICOTRA, La dimensione della trasparenza tra diritto alla accessibilità totale e protezione dei dati personali: alla ricerca di un equilibrio costituzionale, in Studi in onore di Maurizio Pedrazza Gorlero, vol. II, La libertà d’informazione e la democrazia costituzionale, 2014, p. 429 ss.; F. PATRONIGRIFFI, La traspa- renza della pubblica amministrazione tra accessibilità totale e riservatezza, in Federalismi, n. 8, 2013.

Copia

uso Open

Access

UE, cd. GDPR (General Data Protection Regulation), entrato in vigore il 25 maggio 2018, con cui si potrebbe dire si dà un colpo al cerchio e uno alla botte ai due interessi coinvolti del buon an-

damento e della tutela della riservatezza38_.

Si prevede che l’accesso ai dati in possesso di altre ammi-

nistrazioni debba avvenire sempre sulla base di richieste scritte, motivate, occasionali, non possa riguardare un intero archivio o

condurre all’interconnessione di archivi.

Il Regolamento UE 2016/679 o GDPR relativo alla prote- zione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) e, di conseguenza, sostituisce il Codice Privacy italiano

(D.Lgs. 196 del 2003)39_.

Il principio espresso dalla normativa europea per le p.a., in particolare nei considerando 31, 111, 154, 47 non è quello della interconnessione sempre e dovunque tra le p.a. ma quello della interconnessione prevista solo per specifici casi o per specifiche funzioni.

Nel considerando 71 è enunciato il principio secondo il qua-

le l’interessato “dovrebbe avere il diritto di non essere sottopo-

sto a una decisione, che possa includere una misura, che valuti aspetti personali che lo riguardano, basata unicamente su un trat- tamento automatizzato e che produca effetti giuridici che lo ri- guardano o incida in modo analogo significativamente sulla

sua persona”.

In particolare ci si sofferma sulla“profilazione”, ossia sul

trattamento automatizzato che valuta aspetti personali,“al fine

di analizzare o prevedere aspetti riguardanti il rendimento pro-

38_{Dei rapporti tra big data e decisione amministrativa si occupa un}’inda-

gine conoscitiva avviata da parte dell’Autorità Garante della Concorrenza e del Mercato (AGCM), dell’Autorità per le Garanzie e nelle Comunicazioni (AG- COM) e dell’Autorità Garante per la protezione dei dati personali (Garante del- la Privacy), che si è concentrata in particolare sui profili della concorrenza e della riservatezza.

39_{Il decreto 196 del 2003}“Codice in materia di protezione dei dati per-

sonali” detto anche “Testo unico sulla Privacy” è la normativa entrata in vigore dal 1° gennaio 2004, ampliando il percorso legislativo compiuto dall’Italia in materia di dati personali a partire dalla legge 675/96. Con tale Codice si è sta- bilito che ciascun soggetto (professionista, azienda, ente, associazione, ecc.) che tratti i dati personali di persone fisiche terze debba adottare misure tecni- che e obblighi (misure minime) a garanzia di standard di sicurezza minimi.

Copia

uso Open

Access

fessionale, la situazione economica, la salute, le preferenze o gli

interessi personali, l’affidabilità o il comportamento, l’ubicazio-

ne o gli spostamenti dell’interessato, ove ciò produca effetti giu-

ridici che la riguardano o incida in modo analogo significativa-

mente sulla sua persona”.

A seconda delle circostanze e del contesto, ci si raccomanda affinché siano adottate procedure matematiche o statistiche ap- propriate, e siano garantite la rettifica delle inesattezze dei dati, la minimizzazione del rischio di errori, la sicurezza dei dati e

l’insussistenza di fenomeni di discriminazione.

Nell’art. 5 del regolamento GDPR si prevede, nel rispetto

del principio della minimizzazione dei dati, che i dati personali siano raccolti e trattati per finalità determinate, esplicite e legit- time, e che siano adeguati, pertinenti e limitati a quanto neces- sario rispetto alle finalità.

Nell’art. 6 dello stesso si afferma però che sia lecito il trat-

tamento dei dati necessario per adempiere un obbligo legale o per l’esecuzione di un compito di interesse pubblico o connesso

all’esercizio di pubblici poteri: si rende così possibile il tratta-

mento per una finalità diversa da quella per la quale i dati per- sonali sono stati raccolti senza consenso dell’interessato e senza atto legislativo, ma il trattamento deve essere compatibile con la finalità originaria (tenendo conto dei nessi tra le finalità, del con- testo, della natura dei dati, delle possibili conseguenze, delle ga- ranzie offerte).

Si noti che, in base all’art. 9, è possibile trattare anche dati

c.d. sensibili o super sensibili per motivi di interesse pubblico rilevante, purché il trattamento sia proporzionato alla finalità, ri-

spetti l’essenza del diritto alla protezione dei dati e preveda mi-

sure appropriate e specifiche per tutelare i diritti fondamentali e

gli interessi dell’interessato, ma anche se il trattamento sia ne-

cessario per finalità di medicina preventiva o di medicina del la- voro, valutazione della capacità lavorativa del dipendente, dia- gnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali, nel caso di protezione da gravi minacce per la salute a carattere transfrontaliero o la ga-

ranzia di parametri elevati di qualità e sicurezza dell’assistenza

sanitaria e dei medicinali e dei dispositivi medici.

Se i dati non siano stati ottenuti presso l’interessato, l’infor-

mazione allo stesso, anche relativa all’esistenza di un processo

decisionale automatizzato, compresa la profilazione e informa- zioni significative sulla logica utilizzata, nonché l’importanza

Copia

uso Open

Access

e le conseguenze previste di tale trattamento non si applicano se e nella misura in cui comunicare tali informazioni risulti impos- sibile o implicherebbe uno sforzo sproporzionato, qualora l’otte- nimento o la comunicazione siano espressamente previsti dal di-

ritto dell’Unione o dello Stato membro che prevede misure ap-

propriate per tutelare gli interessi legittimi dell’interessato; op-

pure qualora i dati personali debbano rimanere riservati confor- memente a un obbligo di segreto professionale.

Come è stato esattamente rilevato40_{i primi atti successivi al}

Regolamento, quali la Direttiva 2016/680, relativa al trattamento dei dati personali a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, e la Di- rettiva 2016/681, sull’uso dei dati del codice di prenotazione (PNR, Passenger Name Record) a fini di prevenzione, accerta- mento, indagine e azione penale nei confronti dei reati di terro- rismo e dei reati gravi hanno messo a dura prova la nuova disci- plina rispetto all’esigenza di lotta al crimine e alla normazione di altri ordinamenti.

Al riguardo il Garante europeo per la protezione dei dati personali ha significativamente osservato in data 14 marzo

2017 che“la direttiva trasforma tutti noi in sospettati. I dati ver-

ranno analizzati in base ad algoritmi di cui non conosciamo il funzionamento. Tutti saranno schedati, anche coloro che non

hanno nulla a che fare con la prevenzione di reati. L’Europa get-

ta così una rete in termini troppo larghi. Abbiamo dubbi sul fatto

che la proporzionalità sia stata rispettata al cento per cento”.