- Evoluzione del diritto all'oblio: il caso Google Spain
- Dal caso "Wegrzybowski e Smolczewski" al GDPR e al diritto alla cancellazione
- GDPR, AI e privacy: nel mare magnum del progresso
- AI e privacy: dalle smart cities, al riconoscimento facciale, all'ambito sanitario
- Conclusioni
Evoluzione del diritto all'oblio: il caso Google Spain
[Torna su]
All'inizio del ventunesimo secolo, alcuni avvenimenti, particolarmente registratisi in Spagna, hanno sollevato notevole interesse e posto al centro di una importante sentenza della Corte di Giustizia Europea, emessa il 13 maggio 2014 all'esito del giudizio passato alle cronache mondiali come il caso "González vs. Google Spain", il rapporto tra Internet e diritto all'oblio.
Nel caso di specie un cittadino spagnolo, esercitando il proprio diritto ad essere dimenticato, chiedeva la rimozione, prima al gestore del sito e poi a Google, di alcuni dati personali pubblicati dal giornale "La Vanguardia Editiones SL" e da lui ritenuti non più attuali. In altre parole si affrontava la problematica riguardante la possibilità per un soggetto di chiedere ai motori di ricerca di non indirizzare i cibernauti su una determinata informazione ritenuta sgradita.
Le soluzioni a cui è pervenuta la Corte, sono state molto innovative tanto da scatenare un dibattito mondiale sul diritto all'oblio in Internet e sul ruolo dei motori di ricerca (in particolare di Google).
In primo luogo si è affrontato il problema del trattamento dei dati personali. Se da un lato Google riteneva che non aveva compiuto alcuna attività che potesse essere qualificata come «trattamento», ma soltanto una «indicizzazione automatica» con memorizzazione dei dati e messa a disposizione del pubblico, ponendo alla base di tale convinzione l'indicizzazione in automatico dei link
pubblicati sul web. La convenuta riteneva che pur volendo qualificare tale attività come "trattamento di dati", «il gestore di un motore di ricerca non poteva essere considerato come "responsabile" di tale trattamento, dal momento che egli non poteva avere conoscenza dei dati in questione e non esercitava alcun controllo su di essi»[1], d'altro canto la Corte ha ritenuto non condivisibile tale impostazione[2] ed ha dichiarato che «l'articolo 2, lettere b) e d), della direttiva 95/46 deve essere interpretato nel senso che, da un lato, l'attività di un motore di ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell'indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza, deve essere qualificata come "trattamento di dati personali", ai sensi del citato articolo 2, lettera b), qualora tali informazioni contengano dati personali, e che, dall'altro lato, il gestore di detto motore di ricerca deve essere considerato come il "responsabile" del trattamento summenzionato, ai sensi dell'articolo 2, lettera d), di cui sopra»[3]
Il secondo profili analizzato ha riguardato l'applicazione della normativa spagnola (e dunque europea) ad un'azienda con sede legale negli Stati Uniti (quale appunto Google) . I giudici di Lussemburgo hanno ritenuto che «l'articolo 4, paragrafo 1, lettera a), della direttiva 95/46 deve essere interpretato nel senso che un trattamento di dati personali viene effettuato nel contesto delle attività di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro, ai sensi della disposizione suddetta, qualora il gestore di un motore di ricerca apra in uno Stato membro una succursale o una filiale destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l'attività della quale si dirige agli abitanti di detto Stato membro».[4]
Infine, il punto cruciale al vaglio della Corte concerneva l'obbligo di intervenire a tutela del diritto all'oblio, diritto riconosciuto al soggetto che abbia ragione di chiedere la rimozione online di un certo contenuto diretto a pregiudicarlo. Il conflitto dei diversi interessi in gioco, è risolvibile solo tramite un bilanciamento degli stessi; sul punto la Corte di Giustizia è stata perentoria: «gli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46 devono essere interpretati nel senso che, al fine di rispettare i diritti previsti da tali disposizioni, e sempre che le condizioni da queste fissate siano effettivamente soddisfatte, il gestore di un motore di ricerca è obbligato a sopprimere, dall'elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web di cui trattasi, e ciò eventualmente anche quando la loro pubblicazione su tali pagine Web sia di per sé lecita».[5]
Dunque, risulta riconosciuto all'interessato il diritto di chiedere al motore di ricerca "responsabile", la "rimozione dell'indicizzazione", poichè in virtù degli artt. 7 e 8 della Carta europea dei diritti fondamentali, il rispetto della vita privata e della vita familiare e la protezione dei dati
di carattere personale hanno la meglio sia sull'interesse economico del gestore del motore di ricerca (ex art. 16), sia sull'interesse del pubblico all'informazione (ex art. 11).
Dal momento che non si configura più un diritto alla dimenticanza di sé (to be forgotten), risulta opportuno parlare di un diritto a non essere facilmente trovati (to not be found) o diritto non essere facilmente visti (to not be seen)[6], o meglio ancora sarebbe parlare di un diritto ad essere deindicizzati.
A ben vedere ,però, il diritto non dice che gli effetti della sentenza "Google Spain" non sono stati quelli tanto desiderati, e cioè che davvero il meccanismo congegnato dalla Corte di Lussemburgo potesse rendere non più rintracciabili notizie non gradite agli interessati, ma sono abbastanza deludenti; se è vero che l'avv. Mario Costeja Gonzàlez ha vinto la sua battaglia contro Google, poichè chi scrive il suo nome su "Google.es" non visualizza più l'articolo del quotidiano spagnolo "La Vanguardia" e, dunque, per questa via non può scoprire che nel 1998 il ministero del lavoro iberico aveva sequestrato e messo all'asta la sua abitazione, è pur vero che, scomparso dalle pagine europee del motore (come "Google.it" o, per l'appunto, "Google.es") in ottemperanza alla suddetta sentenza, l'articolo in questione è alla portata di chiunque navighi online utilizzando "Google.com", e cioè la pagina americana del motore di ricerca, o, tanto per fare un altro esempio, "Google.sm", e cioè la versione sanmarinese. Ma allora, tanto clamore per una sentenza che non dà il risultato sperato" Il problema risiede nella assenza di confini geografici e nazionali in Internet e nella ubiquità della Rete; il diritto si è dunque astenuto dal dire che tale lacuna rende facilmente aggirabili, sul piano tecnico, le disposizioni (tanto legislative, quanto pretorie) delle autorità nazionali, e quindi esso «sempre più spesso, rispetto alle questioni poste dalle nuove tecnologie (ed ovviamente non solo da quelle), appare davvero inadeguato»[7].
Dal caso "Wegrzybowski e Smolczewski" al GDPR e al diritto alla cancellazione
[Torna su]
Interessante è stato il punto di vista, sul tema, della Corte europea dei diritti umani. In particolare con la sentenza del 16 luglio 2013 (caso Wegrzybowski e Smolczewski vs. Polonia, Rc. N. 33846/2007) ha trattando una questione simile a quella affrontata dalla Corte di giustizia nel caso Google Spain, intervenendo sul tema del bilanciamento tra libertà di espressione, interessi individuali incisi dall'esercizio di tale libertà e interesse pubblico a conoscere la data informazione.
Il punto particolarmente significativo di tale sentenza è il disconoscimento, da parte della Cedu, del diritto dell'interessato ad ottenere la rimozione dell'informazione pubblicata online, individuandone la base nell'obbligo di pubblicare una nota aggiuntiva ad una fonte disponibile in un archivio Internet, la quale vada a specificare la circostanza che tale informazione sia stata reputata diffamatoria dall'autorità giudiziaria. I giudici di Strasburgo assicurano la piena libertà di espressione, corroborata dall'art. 10 della Convenzione europea dei diritti dell'uomo, e ritengono legittima la permanenza delle informazioni pubblicate su Internet, a tutela del diritto della collettività di accedere alle notizie, anche del passato. Inoltre considerano sproporzionata la rimozione integrale di un articolo giornalistico diffamatorio, pubblicato nella versione online di un quotidiano, finalizzata alla tutela della reputazione degli individui ex art 8 della Convenzione.
La Cedu così, nel bilanciamento tra il diritto al rispetto della vita familiare e la libertà di espressione ha dato prevalenza a quest'ultima, restringendo il campo di operatività e mettendo in ombra il diritto all'oblio: ha dimenticato il diritto ad essere dimenticati[8].
In questo quadro si inserisce a gamba tesa il Regolamento generale sulla protezione dei dati n. 2016/679 (anche noto come GDPR, General Data Protection Regulation) che con l'art. 17, riconosce all'interessato «il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo», mentre il titolare del trattamento ha l'obbligo di cancellare, senza ingiustificato ritardo, i dati personali in presenza di determinati motivi.
Se la disposizione non individua i tratti specifici del diritto all'oblio, parlando di diritto alla cancellazione, indica invece i presupposti - cumulabili o alternativi - per il riconoscimento e l'azionabilità del diritto:
a) i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti/trattati;
b) l'interessato revochi il consenso (e non esista altro fondamento giuridico per il trattamento);
c) l'interessato si opponga al trattamento per la sua particolare situazione;
d) i dati personali siano stati trattati illecitamente;
e) i dati personali debbano essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento;
f) i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione ai minori.
Inoltre individua anche i casi in cui il trattamento dei dati sarebbe, invece, ammesso e ritenuto necessario in virtù del bilanciamento:
a) per l'esercizio del diritto alla libertà di espressione e di informazione;
b) per l'adempimento di un obbligo legale o per l'esecuzione di un compito svolto nel pubblico interesse o nell'esercizio di pubblici poteri;
c) per motivi di interesse pubblico sanitario;
d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici [...];
e) per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Tuttavia molte sono state le criticità segnalate dalla dottrina: l'assenza di una precisa definizione; la discrezionalità nel bilanciamento giudiziale affidato alle Corti e alle Authorities nazionali; la modularità dei provvedimenti.
Delude molto che il diritto in questione (l'oblio) è ritenuto mera espressione del diritto alla cancellazione dei dati, realizzabile solo tramite quest'ultima.
GDPR, AI e privacy: nel mare magnum del progresso
[Torna su]
In quella che, ormai, potremmo definire una società liquida, caratterizzata da grandi e repentini cambiamenti, gli sviluppi dell'Intelligenza Artificiale stanno letteralmente rivoluzionando la nostra quotidianità ad una velocità a cui il diritto non è in grado di tenere testa.
Sebbene quella (l'intelligenza artificiale) che, già negli anni '50 Alan Turing[9] aveva teorizzato come la possibilità, per le macchine, di pensare come gli esseri umani, ha indubbie potenzialità (dai veicoli autonomi che migliorano la sicurezza stradale alla medicina personalizzata che salva vite; dall'automazione industriale che aumenta l'efficienza e la sostenibilità di processi produttivi alla traduzione automatica in grado di abbattere ogni barriera linguistica; dalle tecnologie capaci di ridurre il consumo energetico all'agricoltura di precisione; dai robot in grado di fornire counselling psicologico (vedi Replika) ai chatbot in grado di generare testo plausibile e coerente su una vasta gamma di argomenti), questo entusiasmo è smorzato dalle questioni che impattano, volenti o nolenti, sia con il trattamento dei dati personali che con la tutela dei diritti della persona.
Il maggior rischio evidenziato è il possibile sacrificio, sull'altare dell'efficienza e dell'efficacia, di importanti valori quali trasparenza e comprensibilità delle decisioni prese da un'IA oppure, ancora, la violazione della privacy personale.
Per migliorare il lavoro degli algoritmi, infatti, vi è bisogno di aumentare il numero e/o la qualità dei dati input, per determinare un più affidabile risultato. E' proprio questo il dato più preoccupante: l'Intelligenza Artificiale per essere abbastanza intelligente ha bisogno dei nostri dati personali ovvero delle informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche anche particolari (le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, le sue preferenze, la sua localizzazione, ecc..), ma spesso questi dati sono reperiti autonomamente dal sistema (c.d. machine learning, che rende i sistemi di intelligenza artificiali imprevedibili, in quanto gli algoritmi ex ante vengono modificati ex post dal machine learning ) e molto probabilmente sono decontestualizzati al punto da apparire come "frammenti" di vita delle persone cui si riferiscono, o tracce della loro esistenza quasi surreali (la visita di un sito, la fotografia pubblicata in un social network, la videoripresa ad un casello autostradale).
Nel XXI secolo, quindi, per la commodity si cedono dati personali, in barba ai rischi che si celano dietro la grande AI. Proprio muovendo da questo assunto, il legislatore europeo ha deciso che fosse giunto il momento di tenere il passo dell'evoluzione tecnologica, e prima con la Direttiva 95/46 e poi con il Regolamento 2016/679 UE, ha tentato di dare una regolamentazione al fenomeno dei dati raccolti dalle intelligenze artificiali. Solo un mero e vano tentativo, però si è rivelato, dal momento che, come la Legge di Moore insegna, la tecnologia, con la sua progressione geometrica[10], è in grado di elaborare e comparare dati personali sempre in maggior numero e sempre più velocemente.
Tuttavia, il GDPR ha posto particolare attenzione al problema del trattamento automatizzato dei dati personali. In particolare, con l'art. 22 (Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione) si chiarisce che nessuna tecnologia di Intelligenza Artificiale sia conforme al GDPR senza l'intervento umano, ergo l'Interessato ha il diritto di non essere sottoposto a una decisione basata esclusivamente sul trattamento automatizzato dei propri dati, a cominciare dalla profilazione, che produca effetti giuridici che lo riguardano o che incida allo stesso modo sulla sua persona in modo significativo.
Il primo paragrafo dell'art. 22, stabilisce che chi utilizza sistemi di intelligenza artificiale per acquisire e/o elaborare dati personali deve:
- definire le finalità del trattamento;
- informare sull'utilizzo che si fa della tecnologia IA;
- raccogliere il consenso al trattamento automatizzato e alla profilazione;
- determinare la base giuridica;
- valutare l'impatto che l'uso dell'IA esercita sugli individui (DPIA);
- dare prospetto compiuto e completo del funzionamento della tecnologia, per individuarne i criteri di ragionamento (ed eventualmente anche alcuni bias di partenza);
- intervenire nel caso in cui si presentino possibili occasioni di violazione dei diritti degli interessati;
- comunicare e informare in caso di data breach.
L'intento del legislatore è stato quello di evitare sia la spersonificazione dell'entità che di fatto decide, salvando così l'interazione Sistema/persona che migliora significativamente le performance, rendendo, nel contempo, gestibile l'attività di trattamento dei dati personali in conformità con quanto previsto dallo stesso GDPR, sia il rischio che, sistemi basati sull'IA e sul machine learning potrebbe iniziare a trattare i dati anche per finalità diverse da quelle inizialmente comunicate sulle quali, né l'Interessato (proprietario dei dati personali) ma, in alcuni casi, nemmeno il Titolare del trattamento dei dati, avrebbero notizia e quindi nessuna possibilità di esercizio dei diritti né di controllo il che inciderebbe sulla liceità della base giuridica invocata.
Per rendere più solida la protezione dei dati personali, il GDPR ha introdotto i concetti di Privacy by Design e Privacy by Default[11], indicandoli quali strumenti di enforcement strutturale dei diritti a tutela dell'identità personale. Secondo il principio di privacy by design la protezione dei dati dovrebbe essere implementata in ogni processo industriale e tecnologico, che implichi la produzione di beni e servizi, mediante il quale e/o per il quale vengano trattati dati personali. Secondo il GDPR è la tecnologia stessa a dover essere progettata e preordinata per operare rispettando i diritti fondamentali degli interessati. Anche Alan Turing ne sarebbe contento dal momento che proprio nell'Art. 25 del GDPR si trova la dichiarazione programmatica più avanzata per l'interazione persona/macchina.
Ciò determina un capovolgimento della situazione iniziale: gli strumenti di AI, che sono stati tacciati come "scalfitori" della privacy online, ora sono utili per un suo rafforzamento e sono mezzo per permettere agli utenti di personalizzare la protezione dei propri dati. Si è in certo modo aggirato il nemico, facendolo amico!
Nel corso del tempo le evoluzioni che ha portato l'intelligenza artificiale, si apprestano a produrre i benefici che ne hanno ispirato la creazione ad un prezzo cospicuo che le persone coinvolte saranno chiamate a pagare: un pezzetto di libertà individuale che se ne va, eroso dall'esposizione che subiscono i dati personali necessari alla fruizione del nuovo, comodo servizio
AI e privacy: dalle smart cities, al riconoscimento facciale, all'ambito sanitario
[Torna su]
Negli ultimi anni, l'intelligenza artificiale (IA) ha influenzato vari ambiti: dai contesti urbani, in cui l' intelligenza artificiale può portare benefici, ma non bisogna prendere alla leggera i rischi che possono derivare in termini di utilizzo dei dati personali dei cittadini, di etica e di sicurezza; alla sicurezza alle frontiere, in cui l'AI ha trasformato in modo significativo il campo del riconoscimento facciale, ora una realtà che offre sia opportunità rivoluzionarie, sia sfide etiche e di privacy; alla sanità, ambito che risente maggiormente del rischio legato al trattamento dei dati personali.
Case study: le smart cities e il caso Trento
In materia di protezione dei dati personali e conseguente protezione della privacy, aleggia un fondato sospetto sull'attuale assetto normativo in tale materia che si traduce nel fondato timore che esso possa essere inadeguato, se non proprio incompatibile, rispetto alle grandi sfide, presenti e future, come è per il caso delle smart cities [12].
Il Garante privacy con una nota del 6 ottobre 2021 dal titolo "Sì alle smart cities, ma occorre proteggere i dati delle persone. Studio del Parlamento Ue: tecnologie sempre più pervasive, sviluppo va fondato sull'etica e sulle persone" ha voluto valorizzare gli aspetti positivi delle smart cities, in quanto l'applicazione alla dimensione urbana delle tecnologie di intelligenza artificiale (AI) ha infatti enormi potenzialità in termini di sviluppo socio-economico e di miglioramento della qualità della vita individuale e collettiva, anche nell'ottica del raggiungimento di obiettivi di sviluppo sostenibile, relativi ad esempio alla mobilità urbana, alla gestione dei rifiuti, all' efficienza energetica, ma ha voluto anche sottolineare come sia impossibile ignorare i rischi che il ricorso alle tecnologie di AI può comportare, innanzitutto per i singoli individui: rischi collegati alla capacità di raccogliere, elaborare e trasformare grandi quantità di dati, sfruttando anche le sinergie con altre tecnologie, come Big Data, IoT.
L'Autorità nella nota, evidenzia che "in questo quadro, la protezione dei dati rappresenta un volano fondamentale per la valutazione e la mitigazione di rischi di varia natura, che vanno dalle politiche di cyber-security all'influenza di errori e "bias" (pregiudizi) basati sulla raccolta e l'elaborazione dei dati, che possono avere pesanti ripercussioni a livello individuale e collettivo: dal cosiddetto rischio "black-box", legato all'opacità o addirittura totale impenetrabilità dei processi automatizzati, alle implicazioni etiche connesse ai processi decisionali dell'AI che, a differenza di quelli umani, possono essere completamente avulsi da implicazioni morali, empatia, riferimento al contesto umano (lack-of-value); dai rischi reputazionali dovuti alla condivisione e diffusione incontrollata di dati personali, alle disparità connesse alle differenti opportunità di accesso ai dati; fino ad arrivare all'eccessiva invasività del controllo tecnologico nelle vite quotidiane".
Il Garante privacy, in particolare nell'ambito delle c.d smart cities, ha analizzato tre progetti di sviluppo, finanziati nell'ambito di programmi di ricerca dell'Unione europea e di cui è partner il Comune di Trento, nello specifico si tratta di MARVEL, PROTECTOR e PRECRISIS che comprendevano l'uso di telecamere, microfoni e analisi di dati da reti sociali per migliorare la sicurezza urbana.
Il controllo effettuato dal Garante ha rilevato numerose violazioni della normativa sulla privacy, incluse insufficienze nelle tecniche di anonimizzazione e mancanza di trasparenza; queste lacune mettevano a rischio la privacy dei cittadini, ma, al tempo stesso, ponevano interrogativi sulla legittimità e sull'etica dell'utilizzo di tali sistemi negli spazi pubblici o accessibili al pubblico.
Questi progetti prevedevano la raccolta di informazioni personali in luoghi pubblici attraverso telecamere di videosorveglianza e microfoni insieme all'uso di informazioni provenienti dai social media al fine di rilevare, tramite software di intelligenza artificiale, potenziali situazioni di pericolo per la pubblica sicurezza anche con riferimento a luoghi di culto religioso. Il trattamento dei dati aveva come unico fine l'addestramento dei software di intelligenza artificiale.
Sul profilo della trasparenza l'autorità ha evidenziato che le informative di primo (segnaletica e cartelloni stradali di avvertimento) e di secondo (il sito web del Comune) livello erano carenti, cioè non permettevano alle persone che passavano nelle zone sorvegliate di conoscere dettagli relativi al trattamento dei dati personali. Sul piano delle misure di prevenzione il Garante ha rilevato che le tecniche di anonimizzazione erano deficitarie e non era stata effettuata la valutazione d'impatto dei trattamenti previsti sulla protezione dei dati personali. Un altro profilo di gravità attiene al fatto che i dati erano destinati ad essere comunicati ai partner dei progetti internazionali (nell'ambito del progetto PROTECTOR i dati erano condivisi con la Polizia di Anversa e con il Ministero dell'Interno della Bulgaria).
Il Garante ha sottolineato come l'utilizzo di tali progetti per obiettivi di sicurezza pubblica e di prevenzione crimini, non debba tuttavia violare i principi di proporzionalità e necessità nel trattamento dei dati personali, incorrendo in concreti rischi di violazione e abuso della privacy.
A fronte delle varie e gravi violazioni riscontrate (assenza di una base giuridica per la liceità del trattamento; insufficiente trasparenza del trattamento; mancanza delle misure necessarie a proteggere i dati e a ridurre i rischi) il Garante privacy ha ordinato al Comune di Trento il pagamento di una sanzione di 50.000 Euro, riducibili alla metà se il pagamento avviene entro 30 giorni ed ha vietato di trattare i dati personali già raccolti imponendone la cancellazione.
Non prevedendo adeguate misure di anonimizzazione si sottovalutava sia il valore sia la sensibilità dei dati personali e ciò è impensabile in un'era digitale in cui i dati personali devono essere trattati con la massima cautela e secondo rigorosi standard di privacy.
Se è vero che l'uso di tecnologie di sorveglianza nelle città non è una novità è pur vero che la portata e la sofisticatezza dei progetti Marvel, Protector e Precrisis rappresentano un passo avanti significativo, poiché essi non si limitano alla semplice raccolta di immagini, ma si estendono all'analisi comportamentale e alla raccolta di dati personali, elementi che richiedono una riflessione più approfondita sul loro impatto sulla privacy.Fine modulo
Il caso di Trento è diventato un paradigma del dilemma moderno delle smart cities: come bilanciare l'innovazione tecnologica e la sicurezza pubblica con il rispetto dei diritti fondamentali" Con esso si
mette in luce la necessità di un dialogo continuo tra innovazione tecnologica e tutela dei diritti, sottolineando l'importanza della tutela dell'identità digitale e la responsabilità degli algoritmi e dell'intelligenza artificiale.
L'intervento del Garante funge da monito per le pubbliche amministrazioni e per gli enti che implementano tecnologie avanzate: è vitale che ogni iniziativa sia accompagnata da una valutazione approfondita degli impatti sulla privacy.
Case study: IBorderCtrl e il riconoscimento facciale
E' proprio il Giano Bifronte delle mitologia greca, la pietra di paragone da utilizzare quando si parla di sistemi di riconoscimento facciale, o per meglio dire tutti i sistemi in grado di rilevare dati biometrici: essi sono mirabilmente affidabili e sicuri nelle funzioni di identificazione e autenticazione, poiché fondati su caratteristiche biofisiche uniche e impossibili da rubare e duplicare, ma sono anche straordinariamente lesivi della privacy e dei diritti fondamentali dell'essere umano se male utilizzati.
In tale ambito, nel 2016 è stato finanziato un progetto avente ad oggetto una sorta di macchina della verità da usare alle frontiere, l' IborderCtrl che , se per sdrammatizzare riporta alla mente Lie to me, la serie tv con Tim Roth, in versione algoritmo, inevitabilmente, purtroppo presenta grandi problemi. Nello specifico questa tecnologia di analisi dei micro-movimenti facciali e di identificazione delle bugie è composta da vari strumenti. Uno dei principali è l'Automatic deception detection system (Adds), un rilevatore di bugie che tramite interviste video fornisce "un livello di falsità stimato sull'analisi di sessioni registrate di domande e risposte. Le domande, imprevedibili per i viaggiatori, si concentreranno su argomenti basati sulle loro informazioni e sul loro profilo. Nel caso di persone in arrivo da paesi terzi come migranti, si concentreranno sulla verifica di bugie legate al coinvolgimento nel terrorismo, nel traffico di esseri umani o di stupefacenti". A formulare tali quesiti è un avatar, che può utilizzare i dati precedentemente raccolti per adeguare l'intervista alla persona che si trova di fronte e identificare le micro-espressioni del viso o i segnali non verbali di una bugia; benché l'uso di interviste condotte da avatar massimizza l'efficacia dell'intervista stessa, potrebbe però mettere sotto stress le persone, a causa della mancata comprensione di linguaggi non verbali (che rischierebbe di mettere in una posizione scomoda il viaggiatore al momento dei controlli da parte delle autorità, bollandolo preventivamente come sospettato).
Sotto il profilo della massimizzazione dell'operato dell'IBorderCtrl, è prevista sia l'autorizzazione ad una preliminare analisi dei profili social e di tutte le potenziali informazioni ricavabili da fonti pubbliche sulla persona che si presenta in frontiera[13], sia sistemi di riconoscimento venoso.
Alla luce delle funzionalità di IBorderCtrl, restano molti punti oscuri, tra cui maggiore importanza assumono i dettagli su tutti i casi in cui il sistema automatico ha dato falsi allarmi, oppure non è stato in grado di riconoscere una palese bugia ed anche i dati personali che secondo quanto dichiarato saranno conservati per sei mesi dopo la pubblicazione dei risultati finali del programma. L'intento di tale fiutatore di bugie è stato messo in dubbio circa l'incongruenza con quanto si legge nella dichiarazione dell'EDPB e dell'EDPS: "Un divieto generale all'uso del riconoscimento facciale nelle aree accessibili al pubblico è il punto di partenza necessario se vogliamo preservare le nostre libertà e creare un quadro giuridico per l'intelligenza artificiale incentrato sull'uomo", e se ciò non bastasse, a rendere ancora più scettici è la testimonianza della giornalista Ludovica Jona, che sulla propria pelle ha sperimentato IBorderCtrl: "Qual è la tua data di nascita" Hai una sola cittadinanza" Quale Paese ha emesso il documento che vuoi usare per questo viaggio" Qual è la tua prima destinazione" Sono solo quattro delle sedici semplici domande che mi sono state poste dall'avatar di un poliziotto quando - munita di laptop in un hotel alla cittadina di Subotica alla frontiera serbo-ungherese - nel gennaio 2019 sono sottoposta alla "macchina della verità" sviluppata con il progetto europeo iBorderCtrl. Richieste alle quali ho risposto in modo corretto ma - come ho scoperto più tardi - il "sistema di identificazione delle bugie" (indicato come Adds - Authomatic deception detection system nei documenti del progetto) ha ritenuto che mentissi. Al termine dell'intervista con l'avatar, il sistema mi ha rilasciato un codice Qr. Conteneva il risultato dell'analisi dei micro-movimenti del mio volto, che erano stati registrati dalla telecamera del mio computer mentre rispondevo alle sedici domande, ed erano stati automaticamente analizzati dal sistema di riconoscimento dell'inganno. Il giorno successivo mi sono recata al posto di confine e ho presentato il codice Qr al poliziotto ungherese che mi ha dato il mio punteggio: 48 su 100, ovvero persona a rischio. Una possibile terrorista. Attraverso una richiesta di accesso agli atti, inoltrata a EuroDynamics - la società capofila del progetto iBorderCtrl - secondo la normativa europea per la privacy, ho potuto conoscere le motivazioni di un punteggio tanto basso. Secondo il sistema di individuazione delle bugie avevo mentito rispondendo a quattro domande su sedici - quelle indicate all'inizio di questo paragrafo - mentre su nove risposte il sistema non era sicuro della mia sincerità. Sarei stata onesta solo nel rispondere alle restanti tre domande".
Da ciò è inevitabile comprendere quanto, volenti o nolenti, l'AI posta al servizio, in questo caso, delle forze dell'ordine, e lasciata al suo unico e solo controllo, porti a risultati errati.
Punto di domanda oggi è: ora che l'AI Act e stato approvato definitivamente, come intende regolare strumenti di AI utilizzati per il riconoscimento facciale"
Case study: AI e ambito sanitario, il caso del Deep Patient
Il progresso dell'Intelligenza artificiale riguarda quasi tutti settori distinti che permeano la società in cui viviamo, tra cui spicca maggiormente il suo avanzare, con relativa applicazione, nell'ambito sanitario. Senza alcun dubbio in questo campo l'utilizzo dell'AI comporta numerosi benefici, aprendo la strada ad altrettante innovazioni (ad esempio la classificazione o la predizione diagnostica, le operazioni assai agevolate dall'impiego di software deep learning, più efficienti e veloci nell'identificazione della presenza di una malattia e della sua eventuale incidenza sull'individuo).
Proprio stando al passo delle grandi novità portate dall'uso dell'AI, alla Ichan School of Medicine del Monte Sinai, si è dato vita ad un progetto denominato "Deep Patient" che utilizza l'intelligenza artificiale per analizzare montagne di dati sanitari, scoprendo nuove intuizioni e connessioni per prevedere il rischio di malattie. Più nello specifico, Deep Patient utilizza il deep learning, un approccio di apprendimento automatico che imita essenzialmente le reti neurali del cervello, consentendo al sistema informatico di apprendere cose nuove senza essere programmato per farlo. Con Deep Patient, gli scienziati hanno inserito dati deidentificati, provenienti da 700.000 cartelle cliniche elettroniche, in una rete neurale di computer, che ha combinato in modo casuale i dati per creare e testare nuove variabili per il rischio di malattia. La speranza era che la macchina potesse allenarsi a comprendere tutti i dati in modo da facilitare la modellazione predittiva.
Se però sono ben evidenti i vantaggi, in termini di tempo e precisione, apportati da queste innovazioni , è pur vero che esse allo stesso tempo destino diversi sospetti e facciano sorgere svariate problematiche, relativamente soprattutto al trattamento dei dati personali.
Nonostante l'intervento del Garante Privacy, sulla base del Regolamento e alla luce della giurisprudenza del Consiglio di Stato, tre sono i principi cardine sull'uso dell'Intelligenza artificiale in Sanità:
1. trasparenza dei processi decisionali;
2. decisioni automatizzate supervisionate dall'uomo;
3. non discriminazione algoritmica
Data, però, la sensibilità del settore sanitario, necessaria è l'adozione ponderata e responsabile dell'IA, imprescindibile per poter garantire un utilizzo dell'AI nel settore sanitario che possa massimizzare i benefici e minimizzano i rischi e le disuguaglianze.
Conclusioni
[Torna su]
Alla luce di quanto sopra esposto e di una Intelligenza Artificiale continuamente in fieri, per tentare di porre un freno alle minacce dell'IA , numerose sono le sfide e le opportunità per implementare sistemi e servizi di IA sicuri in tutta l'Unione, basati su misure di sicurezza più mirate e proporzionate per mitigare le minacce individuate.
In questo cammino verso una migliore tutela della privacy nell'era dell'Intelligenza Artificiale, Europa e Stati Uniti se da un lato riconoscono le straordinarie potenzialità dell'IA ma anche i rischi che essa comporta per la protezione dei dati personali, dall'altro procedono su rette parelle non sovrapponibili.
Nel dettaglio, l'Europa prosegue con il proprio AI Act, una normativa complessa che mira a regolamentare l'impiego dell'IA in rispetto dei diritti fondamentali dei cittadini, focalizzandosi principalmente sui rischi che l'utilizzo scorretto delle tecnologie di intelligenza artificiale può comportare e l'Unione Europea con il bilanciamento tra innovazione tecnologica e protezione della privacy.
Oltreoceano gli Stati Uniti nel loro avanzare pongono l'accento sulle opportunità economiche e competitive legate allo sviluppo dell'IA.
A muovere le due superpotenze, seppure su strada diverse, è per entrambe la garanzia che l'evoluzione dell'IA non si traduca in una minaccia per i diritti individuali, in particolare per quanto riguarda la sicurezza dei dati sensibili.
Nonostante la corsa verso un'Intelligenza Artificiale etica e sicura e il dialogo tra Europa e Stati Uniti sia propulsore di standard globali che tutelino equamente cittadini e imprese, preoccupazioni sono state espresse a proposito del riconoscimento facciale e dell'intelligenza artificiale generativa.
In conclusione, riprendendo quanto egregiamente proposto dal costituzionalista Frosini, "e se fosse la IA a regolare la privacy""[14]
L'idea sarebbe un algoritmo capace di individuare violazioni della privacy (in particolare quelle riguardanti i dati sensibili), ed ogni volta che vengono rilevate tali violazioni, il sistema di AI "attiverebbe un'azione preventiva di blocco del procedimento ovvero un'azione successiva con la prescrizione di una sanzione per la violazione di legge. Si produrrebbe così una sorta di contrappasso: dalla privacy che regola la IA, alla IA che regola la privacy".
Non resta che stare a vedere, e non fare di tutta l'erba un fascio, ma permettere all'intelligenza artificiale di essere utile per gli strafalcioni che essa stessa commette!
[1] Corte giust., 13 maggio 2014, c. 131/12, Google Spain, cit., punto 22.
[2] La pronuncia richiama, in argomento, espressamente la sentenza Lindqvist, C 101/01, EU:C:2003:596, punto 25, nonché la sentenza Satakunnan Markkinapörssi e Satamedia, C 73/07, EU:C:2008:727, punti 48 e 49.
[3] Corte giust., 13 maggio 2014, c. 131/12, Google Spain, cit., punto 41.
[4] Corte giust., 13 maggio 2014, c. 131/12, Google Spain, cit., punto 60.
[5] Corte giust., 13 maggio 2014, c. 131/12, Google Spain, cit., punto 88.
[6] Sembra configurarsi un diritto «al ridimensionamento della propria visibilità telematica» per SICA e D'ANTONIO, La procedura di de-indicizzazione, in SICA, D'ANTONIO e RICCIO (a cura di), La nuova disciplina europea della privacy, Milanofiori Assago, 2016, 154.
[7] F. DI CIOMMO, Quello che il diritto non dice, in Danno e responsabilità 12/2014, p. 1112.
[8] Sul punto si veda BONAVITA e PARDOLESI, La Corte Edu contro il diritto all'oblio", in Danno resp., 2018, 149 ss., i quali sottolineano, a chiusura del contributo: «le criticità del right to be forgotten restano impregiudicate» (p. 155).
[9] A.M. TURING, Computing Machinery and Intelligence, MIND, 1950.
[10] La complessità di un microcircuito, misurata ad esempio tramite il numero di transistor per chip, raddoppia ogni 18 mesi (e quadruplica quindi ogni 3 anni).
[11]Ai sensi dell'articolo 25, paragrafo 1, del GDPR, per privacy by design si intende l'obbligo per il titolare, di mettere in atto "misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati". L'articolo 25, paragrafo 2, del GDPR, per privacy by default intende che prevede "Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica".
[12] Il concetto di smart city è ormai da tempo sinonimo di innovazione e digitalizzazione, ed esprime la tendenza delle città a dedicarsi alla ricerca di soluzioni "intelligenti", basate sull'utilizzo di nuove tecnologie (come l'Internet of Things, l'Intelligenza Artificiale e la Big Data Analytics), finalizzate allo sviluppo e al benessere dei cittadini.
[13] Per i ricercatori ci sarebbe una zona grigia in cui l'uso della parola profilazione, contemplato da Etias, potrebbe essere usato per espandere senza confini la sorveglianza della macchina della verità.
[14] T.E. Frosini, L'orizzonte giuridico dell'intelligenza artificiale, in BioLaw Journal - Rivista Di BioDiritto, n. 1, 155-64.
• Foto: 123rf.com