Tecnologia cibernetica ed esigenza di protezione dei dati personali.

Come l’essere umano utilizza la propria conoscenza per sviluppare pensieri e ragionamenti e per decidere come comportarsi, così l’agente software utilizza il bagaglio di informazioni a sua disposizione per elaborare i processi logici necessari per svolgere la propria attività172. La conoscenza dell’agente software è quindi basata su un patrimonio di informazioni raccolte nei modi più vari: ove non fornite direttamente dall’interessato le informazioni vengono raccolte online o addirittura acquistate da altri soggetti. Tali informazioni possono avere un contenuto ampissimo, si pensi ai dati raccolti dal sistema durante la navigazione online, la registrazione dei siti visitati, delle immagini visualizzate, del testo letto, dei video riprodotti e di ogni informazione trasmessa tramite sulla rete. Ulteriori informazioni possono poi essere generate

171 _{In questo senso G. FINOCCHIARO (La conclusione del contratto telematico mediante i “software}

agents”: un falso problema giuridico?, in contratto e Impresa, 2002, 2. p. 500) che fa evidentemente

salva la possibilità di agire nei confronti di chi ha prodotto o sviluppato l’agente software per i vizi che questo presenti. Sull’applicabilità del principio di autoresponsabilità è, in generele, concorde anche G. SARTOR (Gli agenti software: nuovi soggetti del ciberdiritto?, in Contratto e impresa, 2002, 2, p. 465) che però ne restringe in parte la portata: per esempio quando entrambi i contraenti si avvalgono di agenti

software per la conclusione del contratto, la tutela dell’affidamento deve essere ridimensionata “Quindi nessuno potrà ragionevolmente ritenere che la dichiarazione (la volontà) dell'agente della controparte riproduca una dichiarazione (una volontà) della controparte stessa: non vi è alcuna apparenza di volontà che meriti tutela in base al principio di autoresponsabilità. Se alle dichiarazioni degli agenti si attribuisce efficacia giuridica nella sfera dell'utilizzatore, ciò non si verifica in quanto tali dichiarazioni appaiano esprimere la volontà dell'utilizzatore (piuttosto che le autonome determinazioni dell'agente), ma in quanto si ritenga di dare riconoscimento giuridico alla scelta dell'utilizzatore di conferire all'agente il potere di svolgere con autonomia un'attività con effetti nella propria sfera giuridica.”

dall’elaboratore stesso mediante la combinazione dei diversi dati già raccolti173. Questo vasto insieme di dati è utilizzato dagli operatori economici per effettuare la profilazione174 del cliente (o del potenziale cliente) nello svolgimento di attività di marketing e di personalizzazione delle offerte175. Si tratta frequentemente di grandi quantità di informazioni tali che in nessun modo potrebbero essere gestite da esseri umani ma che i computer sono in grado di elaborare e sfruttare in modo ogni giorno più efficiente.

Questo tipo di attività comporta un’evidente e preoccupante invasione della sfera privata dell’individuo con compressione degli stessi diritti fondamentali della persona. Ciò perché l’utente spesso non è in grado di sapere che i dati vengono raccolti, né in che modo avvengano la raccolta, la gestione e lo sfruttamento di queste informazioni personali. I rischi derivanti dalla profilazione rilevano su diversi piani, si pensi, oltre alla tutela della riservatezza in sé (esigenza di rango costituzionale), al rischio che l’individuo sia sottoposto a decisioni basate su informazioni errate o incomplete, o, comunque, all’enorme squilibrio che si viene a creare in materia contrattuale dal momento che una delle due parti ha una conoscenza estremamente approfondita anche delle più intime informazioni riguardanti la controparte. Da non sottovalutare poi il rischio di discriminazioni in quanto se l’agente software sulla base delle proprie informazioni calcola che sia più conveniente contrattare con una determinata categoria di soggetti allora è possibile che escluda totalmente altre categorie dalla possibilità di concludere il contratto176.

173 _{E. PELINO, I diritti dell’interessato, in BOLOGNINI, PELINO e BISTOLFI (a cura di), Il nuovo}

regolamento privacy europeo, Commentario alla nuova disciplina sulla protezione dei dati personali,

Giuffrè, 2016, p. 271: “l’estrazione di modelli dell’individuo realizzati in maniera automatica

rappresenta un vero e proprio atto creativo di nuovi dati personali”.

174 _{“Secondo il Regolamento la “profilazione” è una forma di trattamento automatizzato dei dati}

personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato, se ciò produca effetti giuridici che la riguardano o incida in modo analogo significativamente sulla sua persona.” (A. CICCIA MESSINA e N. BERNARDI, Privacy e Regolamento

europeo, Wolters Kluwer, 2016, p. 38.).

175 _{F. BRAVO, Contrattazione telematica e contrattazione cibernetica, Giuffrè, 2007, p. 293.}

176 _{S. GRUNDMANN, P. HACKER, Digital technology as a challenge to european contract law. From the}

existing to the future architecture, su European Review of Contract Law, 2017, 3, p. 255: “For example data mining and machine learning techniques are increasingly used to select job applicants. As a number of articles have shown, however, bias may enter these algorithmic processes at various instances of the

Da queste esigenze derivano le norme e gli istituti dedicati alla protezione dei dati personali in generale, nonché alla tutela dell’individuo nei confronti delle decisioni automatizzate. La protezione rispetto a questo specifico profilo non risulta nel nucleo originale delle tutele riconosciute dalla Convenzione 108/1981177 ma è già contemplato dalla direttiva 95/46178 e, conseguentemente, nella trasposizione italiana rappresentata dal Codice della Privacy179. L’articolo 14 di detto codice si preoccupa, in primo luogo, di tutelare l’individuo dagli atti e provvedimenti giudiziari o amministrativi fondati esclusivamente su trattamenti automatizzati di dati personali volti a definire il profilo o la personalità dell’interessato; e in secondo luogo, permette all’individuo di opporsi ad ogni determinazione basata su questo tipo di trattamento, salvo che essa sia stata adottata in occasione della conclusione o dell’esecuzione di un contratto, in accoglimento di una proposta dell’interessato o sulla base di adeguate garanzie individuate dal Garante della Privacy.

I trattamenti automatizzati sono peraltro presi in considerazione anche dalla Dichiarazione dei diritti in internet180 adottata il 28 luglio 2015 dalla Commissione per i diritti e i doveri di internet istituita presso la Camera dei Deputati. L’art. 8 di tale Dichiarazione stabilisce infatti che “Nessun atto, provvedimento giudiziario o

amministrativo, decisione comunque destinata ad incidere in maniera significativa nella sfera delle persone, possono essere fondati unicamente su un trattamento automatizzato di dati personali volto a definire il profilo o la personalità dell’interessato.”. Tale affermazione è evidentemente orientata all’ambito del diritto

design and application of the algorithm - particularly in case of self-learning algorithms. This is a real concern when, for instance, the data of historically successful candidates constitute the training data in the machine learning; if, for historical reasons, these candidates were mostly white males, the algorithm will likely find white and male applicants more attractive.”.

177 _{Convenzione di Strasburgo n. 108/1981, ratificata dalla Legge 21 febbraio 1989, n. 98 (Ratifica ed}

esecuzione della convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981).

178 _{Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela}

delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

179 _{D.Lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali.} 180 _{Il testo della Dichiarazione è disponibile sul sito www.camera.it.}

pubblico e amministrativo, riguardando i rapporti tra cittadino e pubblici poteri181, ma aiuta a rendere l’idea della portata di tale problematica.

Il panorama normativo in materia di protezione dei dati personali è ora dominato dal Regolamento europeo 2016/679182 (comunemente individuato con l’acronimo GDPR183) applicabile dal 25 maggio 2018, che contiene una disciplina specifica anche in materia di decisioni basate su trattamenti automatizzati nei rapporti tra privati.

10. La tutela dell’individuo rispetto alle decisioni automatizzate nel nuovo