Data: 18/04/2024 07:00:00 - Autore: Cristina Mingo

Evoluzione del diritto all'oblio: il caso Google Spain

[Torna su]

All'inizio del ventunesimo secolo, alcuni avvenimenti, particolarmente registratisi in Spagna, hanno sollevato notevole interesse e posto al centro di una importante sentenza della Corte di Giustizia Europea, emessa il 13 maggio 2014 all'esito del giudizio passato alle cronache mondiali come il caso "Gonz�lez vs. Google Spain", il rapporto tra Internet e diritto all'oblio.

Nel caso di specie un cittadino spagnolo, esercitando il proprio diritto ad essere dimenticato, chiedeva la rimozione, prima al gestore del sito e poi a Google, di alcuni dati personali pubblicati dal giornale "La Vanguardia Editiones SL" e da lui ritenuti non pi� attuali. In altre parole si affrontava la problematica riguardante la possibilit� per un soggetto di chiedere ai motori di ricerca di non indirizzare i cibernauti su una determinata informazione ritenuta sgradita.

Le soluzioni a cui � pervenuta la Corte, sono state molto innovative tanto da scatenare un dibattito mondiale sul diritto all'oblio in Internet e sul ruolo dei motori di ricerca (in particolare di Google).

In primo luogo si � affrontato il problema del trattamento dei dati personali. Se da un lato Google riteneva che non aveva compiuto alcuna attivit� che potesse essere qualificata come �trattamento�, ma soltanto una �indicizzazione automatica� con memorizzazione dei dati e messa a disposizione del pubblico, ponendo alla base di tale convinzione l'indicizzazione in automatico dei link
pubblicati sul web. La convenuta riteneva che pur volendo qualificare tale attivit� come "trattamento di dati", �il gestore di un motore di ricerca non poteva essere considerato come "responsabile" di tale trattamento, dal momento che egli non poteva avere conoscenza dei dati in questione e non esercitava alcun controllo su di essi�[1], d'altro canto la Corte ha ritenuto non condivisibile tale impostazione[2] ed ha dichiarato che �l'articolo 2, lettere b) e d), della direttiva 95/46 deve essere interpretato nel senso che, da un lato, l'attivit� di un motore di ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell'indicizzarle in modo automatico, nel memorizzarle temporaneamente e, infine, nel metterle a disposizione degli utenti di Internet secondo un determinato ordine di preferenza, deve essere qualificata come "trattamento di dati personali", ai sensi del citato articolo 2, lettera b), qualora tali informazioni contengano dati personali, e che, dall'altro lato, il gestore di detto motore di ricerca deve essere considerato come il "responsabile" del trattamento summenzionato, ai sensi dell'articolo 2, lettera d), di cui sopra�[3]

Il secondo profili analizzato ha riguardato l'applicazione della normativa spagnola (e dunque europea) ad un'azienda con sede legale negli Stati Uniti (quale appunto Google) . I giudici di Lussemburgo hanno ritenuto che �l'articolo 4, paragrafo 1, lettera a), della direttiva 95/46 deve essere interpretato nel senso che un trattamento di dati personali viene effettuato nel contesto delle attivit� di uno stabilimento del responsabile di tale trattamento nel territorio di uno Stato membro, ai sensi della disposizione suddetta, qualora il gestore di un motore di ricerca apra in uno Stato membro una succursale o una filiale destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale motore di ricerca e l'attivit� della quale si dirige agli abitanti di detto Stato membro�.[4]

Infine, il punto cruciale al vaglio della Corte concerneva l'obbligo di intervenire a tutela del diritto all'oblio, diritto riconosciuto al soggetto che abbia ragione di chiedere la rimozione online di un certo contenuto diretto a pregiudicarlo. Il conflitto dei diversi interessi in gioco, � risolvibile solo tramite un bilanciamento degli stessi; sul punto la Corte di Giustizia � stata perentoria: �gli articoli 12, lettera b), e 14, primo comma, lettera a), della direttiva 95/46 devono essere interpretati nel senso che, al fine di rispettare i diritti previsti da tali disposizioni, e sempre che le condizioni da queste fissate siano effettivamente soddisfatte, il gestore di un motore di ricerca � obbligato a sopprimere, dall'elenco di risultati che appare a seguito di una ricerca effettuata a partire dal nome di una persona, dei link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web di cui trattasi, e ci� eventualmente anche quando la loro pubblicazione su tali pagine Web sia di per s� lecita�.[5]

Dunque, risulta riconosciuto all'interessato il diritto di chiedere al motore di ricerca "responsabile", la "rimozione dell'indicizzazione", poich� in virt� degli artt. 7 e 8 della Carta europea dei diritti fondamentali, il rispetto della vita privata e della vita familiare e la protezione dei dati
di carattere personale hanno la meglio sia sull'interesse economico del gestore del motore di ricerca (ex art. 16), sia sull'interesse del pubblico all'informazione (ex art. 11).

Dal momento che non si configura pi� un diritto alla dimenticanza di s� (to be forgotten), risulta opportuno parlare di un diritto a non essere facilmente trovati (to not be found) o diritto non essere facilmente visti (to not be seen)[6], o meglio ancora sarebbe parlare di un diritto ad essere deindicizzati.

A ben vedere ,per�, il diritto non dice che gli effetti della sentenza "Google Spain" non sono stati quelli tanto desiderati, e cio� che davvero il meccanismo congegnato dalla Corte di Lussemburgo potesse rendere non pi� rintracciabili notizie non gradite agli interessati, ma sono abbastanza deludenti; se � vero che l'avv. Mario Costeja Gonz�lez ha vinto la sua battaglia contro Google, poich� chi scrive il suo nome su "Google.es" non visualizza pi� l'articolo del quotidiano spagnolo "La Vanguardia" e, dunque, per questa via non pu� scoprire che nel 1998 il ministero del lavoro iberico aveva sequestrato e messo all'asta la sua abitazione, � pur vero che, scomparso dalle pagine europee del motore (come "Google.it" o, per l'appunto, "Google.es") in ottemperanza alla suddetta sentenza, l'articolo in questione � alla portata di chiunque navighi online utilizzando "Google.com", e cio� la pagina americana del motore di ricerca, o, tanto per fare un altro esempio, "Google.sm", e cio� la versione sanmarinese. Ma allora, tanto clamore per una sentenza che non d� il risultato sperato" Il problema risiede nella assenza di confini geografici e nazionali in Internet e nella ubiquit� della Rete; il diritto si � dunque astenuto dal dire che tale lacuna rende facilmente aggirabili, sul piano tecnico, le disposizioni (tanto legislative, quanto pretorie) delle autorit� nazionali, e quindi esso �sempre pi� spesso, rispetto alle questioni poste dalle nuove tecnologie (ed ovviamente non solo da quelle), appare davvero inadeguato�[7].

Dal caso "Wegrzybowski e Smolczewski" al GDPR e al diritto alla cancellazione

[Torna su]

Interessante � stato il punto di vista, sul tema, della Corte europea dei diritti umani. In particolare con la sentenza del 16 luglio 2013 (caso Wegrzybowski e Smolczewski vs. Polonia, Rc. N. 33846/2007) ha trattando una questione simile a quella affrontata dalla Corte di giustizia nel caso Google Spain, intervenendo sul tema del bilanciamento tra libert� di espressione, interessi individuali incisi dall'esercizio di tale libert� e interesse pubblico a conoscere la data informazione.

Il punto particolarmente significativo di tale sentenza � il disconoscimento, da parte della Cedu, del diritto dell'interessato ad ottenere la rimozione dell'informazione pubblicata online, individuandone la base nell'obbligo di pubblicare una nota aggiuntiva ad una fonte disponibile in un archivio Internet, la quale vada a specificare la circostanza che tale informazione sia stata reputata diffamatoria dall'autorit� giudiziaria. I giudici di Strasburgo assicurano la piena libert� di espressione, corroborata dall'art. 10 della Convenzione europea dei diritti dell'uomo, e ritengono legittima la permanenza delle informazioni pubblicate su Internet, a tutela del diritto della collettivit� di accedere alle notizie, anche del passato. Inoltre considerano sproporzionata la rimozione integrale di un articolo giornalistico diffamatorio, pubblicato nella versione online di un quotidiano, finalizzata alla tutela della reputazione degli individui ex art 8 della Convenzione.

La Cedu cos�, nel bilanciamento tra il diritto al rispetto della vita familiare e la libert� di espressione ha dato prevalenza a quest'ultima, restringendo il campo di operativit� e mettendo in ombra il diritto all'oblio: ha dimenticato il diritto ad essere dimenticati[8].

In questo quadro si inserisce a gamba tesa il Regolamento generale sulla protezione dei dati n. 2016/679 (anche noto come GDPR, General Data Protection Regulation) che con l'art. 17, riconosce all'interessato �il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo�, mentre il titolare del trattamento ha l'obbligo di cancellare, senza ingiustificato ritardo, i dati personali in presenza di determinati motivi.

Se la disposizione non individua i tratti specifici del diritto all'oblio, parlando di diritto alla cancellazione, indica invece i presupposti - cumulabili o alternativi - per il riconoscimento e l'azionabilit� del diritto:

a) i dati personali non siano pi� necessari rispetto alle finalit� per le quali sono stati raccolti/trattati;

b) l'interessato revochi il consenso (e non esista altro fondamento giuridico per il trattamento);

c) l'interessato si opponga al trattamento per la sua particolare situazione;

d) i dati personali siano stati trattati illecitamente;

e) i dati personali debbano essere cancellati per adempiere un obbligo legale previsto dal diritto dell'Unione o dal diritto dello Stato membro cui � soggetto il titolare del trattamento;

f) i dati personali sono stati raccolti relativamente all'offerta di servizi della societ� dell'informazione ai minori.

Inoltre individua anche i casi in cui il trattamento dei dati sarebbe, invece, ammesso e ritenuto necessario in virt� del bilanciamento:

a) per l'esercizio del diritto alla libert� di espressione e di informazione;

b) per l'adempimento di un obbligo legale o per l'esecuzione di un compito svolto nel pubblico interesse o nell'esercizio di pubblici poteri;

c) per motivi di interesse pubblico sanitario;

d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici [...];

e) per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

Tuttavia molte sono state le criticit� segnalate dalla dottrina: l'assenza di una precisa definizione; la discrezionalit� nel bilanciamento giudiziale affidato alle Corti e alle Authorities nazionali; la modularit� dei provvedimenti.

Delude molto che il diritto in questione (l'oblio) � ritenuto mera espressione del diritto alla cancellazione dei dati, realizzabile solo tramite quest'ultima.

GDPR, AI e privacy: nel mare magnum del progresso

[Torna su]

In quella che, ormai, potremmo definire una societ� liquida, caratterizzata da grandi e repentini cambiamenti, gli sviluppi dell'Intelligenza Artificiale stanno letteralmente rivoluzionando la nostra quotidianit� ad una velocit� a cui il diritto non � in grado di tenere testa.

Sebbene quella (l'intelligenza artificiale) che, gi� negli anni '50 Alan Turing[9] aveva teorizzato come la possibilit�, per le macchine, di pensare come gli esseri umani, ha indubbie potenzialit� (dai veicoli autonomi che migliorano la sicurezza stradale alla medicina personalizzata che salva vite; dall'automazione industriale che aumenta l'efficienza e la sostenibilit� di processi produttivi alla traduzione automatica in grado di abbattere ogni barriera linguistica; dalle tecnologie capaci di ridurre il consumo energetico all'agricoltura di precisione; dai robot in grado di fornire counselling psicologico (vedi Replika) ai chatbot in grado di generare testo plausibile e coerente su una vasta gamma di argomenti), questo entusiasmo � smorzato dalle questioni che impattano, volenti o nolenti, sia con il trattamento dei dati personali che con la tutela dei diritti della persona.

Il maggior rischio evidenziato � il possibile sacrificio, sull'altare dell'efficienza e dell'efficacia, di importanti valori quali trasparenza e comprensibilit� delle decisioni prese da un'IA oppure, ancora, la violazione della privacy personale.

Per migliorare il lavoro degli algoritmi, infatti, vi � bisogno di aumentare il numero e/o la qualit� dei dati input, per determinare un pi� affidabile risultato. E' proprio questo il dato pi� preoccupante: l'Intelligenza Artificiale per essere abbastanza intelligente ha bisogno dei nostri dati personali ovvero delle informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche anche particolari (le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, le sue preferenze, la sua localizzazione, ecc..), ma spesso questi dati sono reperiti autonomamente dal sistema (c.d. machine learning, che rende i sistemi di intelligenza artificiali imprevedibili, in quanto gli algoritmi ex ante vengono modificati ex post dal machine learning ) e molto probabilmente sono decontestualizzati al punto da apparire come "frammenti" di vita delle persone cui si riferiscono, o tracce della loro esistenza quasi surreali (la visita di un sito, la fotografia pubblicata in un social network, la videoripresa ad un casello autostradale).

Nel XXI secolo, quindi, per la commodity si cedono dati personali, in barba ai rischi che si celano dietro la grande AI. Proprio muovendo da questo assunto, il legislatore europeo ha deciso che fosse giunto il momento di tenere il passo dell'evoluzione tecnologica, e prima con la Direttiva 95/46 e poi con il Regolamento 2016/679 UE, ha tentato di dare una regolamentazione al fenomeno dei dati raccolti dalle intelligenze artificiali. Solo un mero e vano tentativo, per� si � rivelato, dal momento che, come la Legge di Moore insegna, la tecnologia, con la sua progressione geometrica[10], � in grado di elaborare e comparare dati personali sempre in maggior numero e sempre pi� velocemente.

Tuttavia, il GDPR ha posto particolare attenzione al problema del trattamento automatizzato dei dati personali. In particolare, con l'art. 22 (Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione) si chiarisce che nessuna tecnologia di Intelligenza Artificiale sia conforme al GDPR senza l'intervento umano, ergo l'Interessato ha il diritto di non essere sottoposto a una decisione basata esclusivamente sul trattamento automatizzato dei propri dati, a cominciare dalla profilazione, che produca effetti giuridici che lo riguardano o che incida allo stesso modo sulla sua persona in modo significativo.

Il primo paragrafo dell'art. 22, stabilisce che chi utilizza sistemi di intelligenza artificiale per acquisire e/o elaborare dati personali deve:

  1. definire le finalit� del trattamento;
  2. informare sull'utilizzo che si fa della tecnologia IA;
  3. raccogliere il consenso al trattamento automatizzato e alla profilazione;
  4. determinare la base giuridica;
  5. valutare l'impatto che l'uso dell'IA esercita sugli individui (DPIA);
  6. dare prospetto compiuto e completo del funzionamento della tecnologia, per individuarne i criteri di ragionamento (ed eventualmente anche alcuni bias di partenza);
  7. intervenire nel caso in cui si presentino possibili occasioni di violazione dei diritti degli interessati;
  8. comunicare e informare in caso di data breach.

L'intento del legislatore � stato quello di evitare sia la spersonificazione dell'entit� che di fatto decide, salvando cos� l'interazione Sistema/persona che migliora significativamente le performance, rendendo, nel contempo, gestibile l'attivit� di trattamento dei dati personali in conformit� con quanto previsto dallo stesso GDPR, sia il rischio che, sistemi basati sull'IA e sul machine learning potrebbe iniziare a trattare i dati anche per finalit� diverse da quelle inizialmente comunicate sulle quali, n� l'Interessato (proprietario dei dati personali) ma, in alcuni casi, nemmeno il Titolare del trattamento dei dati, avrebbero notizia e quindi nessuna possibilit� di esercizio dei diritti n� di controllo il che inciderebbe sulla liceit� della base giuridica invocata.

Per rendere pi� solida la protezione dei dati personali, il GDPR ha introdotto i concetti di Privacy by Design e Privacy by Default[11], indicandoli quali strumenti di enforcement strutturale dei diritti a tutela dell'identit� personale. Secondo il principio di privacy by design la protezione dei dati dovrebbe essere implementata in ogni processo industriale e tecnologico, che implichi la produzione di beni e servizi, mediante il quale e/o per il quale vengano trattati dati personali. Secondo il GDPR � la tecnologia stessa a dover essere progettata e preordinata per operare rispettando i diritti fondamentali degli interessati. Anche Alan Turing ne sarebbe contento dal momento che proprio nell'Art. 25 del GDPR si trova la dichiarazione programmatica pi� avanzata per l'interazione persona/macchina.

Ci� determina un capovolgimento della situazione iniziale: gli strumenti di AI, che sono stati tacciati come "scalfitori" della privacy online, ora sono utili per un suo rafforzamento e sono mezzo per permettere agli utenti di personalizzare la protezione dei propri dati. Si � in certo modo aggirato il nemico, facendolo amico!

Nel corso del tempo le evoluzioni che ha portato l'intelligenza artificiale, si apprestano a produrre i benefici che ne hanno ispirato la creazione ad un prezzo cospicuo che le persone coinvolte saranno chiamate a pagare: un pezzetto di libert� individuale che se ne va, eroso dall'esposizione che subiscono i dati personali necessari alla fruizione del nuovo, comodo servizio

AI e privacy: dalle smart cities, al riconoscimento facciale, all'ambito sanitario

[Torna su]

Negli ultimi anni, l'intelligenza artificiale (IA) ha influenzato vari ambiti: dai contesti urbani, in cui l' intelligenza artificiale pu� portare benefici, ma non bisogna prendere alla leggera i rischi che possono derivare in termini di utilizzo dei dati personali dei cittadini, di etica e di sicurezza; alla sicurezza alle frontiere, in cui l'AI ha trasformato in modo significativo il campo del riconoscimento facciale, ora una realt� che offre sia opportunit� rivoluzionarie, sia sfide etiche e di privacy; alla sanit�, ambito che risente maggiormente del rischio legato al trattamento dei dati personali.

Case study: le smart cities e il caso Trento

In materia di protezione dei dati personali e conseguente protezione della privacy, aleggia un fondato sospetto sull'attuale assetto normativo in tale materia che si traduce nel fondato timore che esso possa essere inadeguato, se non proprio incompatibile, rispetto alle grandi sfide, presenti e future, come � per il caso delle smart cities [12].

Il Garante privacy con una nota del 6 ottobre 2021 dal titolo "S� alle smart cities, ma occorre proteggere i dati delle persone. Studio del Parlamento Ue: tecnologie sempre pi� pervasive, sviluppo va fondato sull'etica e sulle persone" ha voluto valorizzare gli aspetti positivi delle smart cities, in quanto l'applicazione alla dimensione urbana delle tecnologie di intelligenza artificiale (AI) ha infatti enormi potenzialit� in termini di sviluppo socio-economico e di miglioramento della qualit� della vita individuale e collettiva, anche nell'ottica del raggiungimento di obiettivi di sviluppo sostenibile, relativi ad esempio alla mobilit� urbana, alla gestione dei rifiuti, all' efficienza energetica, ma ha voluto anche sottolineare come sia impossibile ignorare i rischi che il ricorso alle tecnologie di AI pu� comportare, innanzitutto per i singoli individui: rischi collegati alla capacit� di raccogliere, elaborare e trasformare grandi quantit� di dati, sfruttando anche le sinergie con altre tecnologie, come Big Data, IoT.

L'Autorit� nella nota, evidenzia che "in questo quadro, la protezione dei dati rappresenta un volano fondamentale per la valutazione e la mitigazione di rischi di varia natura, che vanno dalle politiche di cyber-security all'influenza di errori e "bias" (pregiudizi) basati sulla raccolta e l'elaborazione dei dati, che possono avere pesanti ripercussioni a livello individuale e collettivo: dal cosiddetto rischio "black-box", legato all'opacit� o addirittura totale impenetrabilit� dei processi automatizzati, alle implicazioni etiche connesse ai processi decisionali dell'AI che, a differenza di quelli umani, possono essere completamente avulsi da implicazioni morali, empatia, riferimento al contesto umano (lack-of-value); dai rischi reputazionali dovuti alla condivisione e diffusione incontrollata di dati personali, alle disparit� connesse alle differenti opportunit� di accesso ai dati; fino ad arrivare all'eccessiva invasivit� del controllo tecnologico nelle vite quotidiane".

Il Garante privacy, in particolare nell'ambito delle c.d smart cities, ha analizzato tre progetti di sviluppo, finanziati nell'ambito di programmi di ricerca dell'Unione europea e di cui � partner il Comune di Trento, nello specifico si tratta di MARVEL, PROTECTOR e PRECRISIS che comprendevano l'uso di telecamere, microfoni e analisi di dati da reti sociali per migliorare la sicurezza urbana.

Il controllo effettuato dal Garante ha rilevato numerose violazioni della normativa sulla privacy, incluse insufficienze nelle tecniche di anonimizzazione e mancanza di trasparenza; queste lacune mettevano a rischio la privacy dei cittadini, ma, al tempo stesso, ponevano interrogativi sulla legittimit� e sull'etica dell'utilizzo di tali sistemi negli spazi pubblici o accessibili al pubblico.

Questi progetti prevedevano la raccolta di informazioni personali in luoghi pubblici attraverso telecamere di videosorveglianza e microfoni insieme all'uso di informazioni provenienti dai social media al fine di rilevare, tramite software di intelligenza artificiale, potenziali situazioni di pericolo per la pubblica sicurezza anche con riferimento a luoghi di culto religioso. Il trattamento dei dati aveva come unico fine l'addestramento dei software di intelligenza artificiale.

Sul profilo della trasparenza l'autorit� ha evidenziato che le informative di primo (segnaletica e cartelloni stradali di avvertimento) e di secondo (il sito web del Comune) livello erano carenti, cio� non permettevano alle persone che passavano nelle zone sorvegliate di conoscere dettagli relativi al trattamento dei dati personali. Sul piano delle misure di prevenzione il Garante ha rilevato che le tecniche di anonimizzazione erano deficitarie e non era stata effettuata la valutazione d'impatto dei trattamenti previsti sulla protezione dei dati personali. Un altro profilo di gravit� attiene al fatto che i dati erano destinati ad essere comunicati ai partner dei progetti internazionali (nell'ambito del progetto PROTECTOR i dati erano condivisi con la Polizia di Anversa e con il Ministero dell'Interno della Bulgaria).

Il Garante ha sottolineato come l'utilizzo di tali progetti per obiettivi di sicurezza pubblica e di prevenzione crimini, non debba tuttavia violare i principi di proporzionalit� e necessit� nel trattamento dei dati personali, incorrendo in concreti rischi di violazione e abuso della privacy.

A fronte delle varie e gravi violazioni riscontrate (assenza di una base giuridica per la liceit� del trattamento; insufficiente trasparenza del trattamento; mancanza delle misure necessarie a proteggere i dati e a ridurre i rischi) il Garante privacy ha ordinato al Comune di Trento il pagamento di una sanzione di 50.000 Euro, riducibili alla met� se il pagamento avviene entro 30 giorni ed ha vietato di trattare i dati personali gi� raccolti imponendone la cancellazione.

Non prevedendo adeguate misure di anonimizzazione si sottovalutava sia il valore sia la sensibilit� dei dati personali e ci� � impensabile in un'era digitale in cui i dati personali devono essere trattati con la massima cautela e secondo rigorosi standard di privacy.

Se � vero che l'uso di tecnologie di sorveglianza nelle citt� non � una novit� � pur vero che la portata e la sofisticatezza dei progetti Marvel, Protector e Precrisis rappresentano un passo avanti significativo, poich� essi non si limitano alla semplice raccolta di immagini, ma si estendono all'analisi comportamentale e alla raccolta di dati personali, elementi che richiedono una riflessione pi� approfondita sul loro impatto sulla privacy.Fine modulo

Il caso di Trento � diventato un paradigma del dilemma moderno delle smart cities: come bilanciare l'innovazione tecnologica e la sicurezza pubblica con il rispetto dei diritti fondamentali" Con esso si

mette in luce la necessit� di un dialogo continuo tra innovazione tecnologica e tutela dei diritti, sottolineando l'importanza della tutela dell'identit� digitale e la responsabilit� degli algoritmi e dell'intelligenza artificiale.

L'intervento del Garante funge da monito per le pubbliche amministrazioni e per gli enti che implementano tecnologie avanzate: � vitale che ogni iniziativa sia accompagnata da una valutazione approfondita degli impatti sulla privacy.

Case study: IBorderCtrl e il riconoscimento facciale

E' proprio il Giano Bifronte delle mitologia greca, la pietra di paragone da utilizzare quando si parla di sistemi di riconoscimento facciale, o per meglio dire tutti i sistemi in grado di rilevare dati biometrici: essi sono mirabilmente affidabili e sicuri nelle funzioni di identificazione e autenticazione, poich� fondati su caratteristiche biofisiche uniche e impossibili da rubare e duplicare, ma sono anche straordinariamente lesivi della privacy e dei diritti fondamentali dell'essere umano se male utilizzati.

In tale ambito, nel 2016 � stato finanziato un progetto avente ad oggetto una sorta di macchina della verit� da usare alle frontiere, l' IborderCtrl che , se per sdrammatizzare riporta alla mente Lie to me, la serie tv con Tim Roth, in versione algoritmo, inevitabilmente, purtroppo presenta grandi problemi. Nello specifico questa tecnologia di analisi dei micro-movimenti facciali e di identificazione delle bugie � composta da vari strumenti. Uno dei principali � l'Automatic deception detection system (Adds), un rilevatore di bugie che tramite interviste video fornisce "un livello di falsit� stimato sull'analisi di sessioni registrate di domande e risposte. Le domande, imprevedibili per i viaggiatori, si concentreranno su argomenti basati sulle loro informazioni e sul loro profilo. Nel caso di persone in arrivo da paesi terzi come migranti, si concentreranno sulla verifica di bugie legate al coinvolgimento nel terrorismo, nel traffico di esseri umani o di stupefacenti". A formulare tali quesiti � un avatar, che pu� utilizzare i dati precedentemente raccolti per adeguare l'intervista alla persona che si trova di fronte e identificare le micro-espressioni del viso o i segnali non verbali di una bugia; bench� l'uso di interviste condotte da avatar massimizza l'efficacia dell'intervista stessa, potrebbe per� mettere sotto stress le persone, a causa della mancata comprensione di linguaggi non verbali (che rischierebbe di mettere in una posizione scomoda il viaggiatore al momento dei controlli da parte delle autorit�, bollandolo preventivamente come sospettato).

Sotto il profilo della massimizzazione dell'operato dell'IBorderCtrl, � prevista sia l'autorizzazione ad una preliminare analisi dei profili social e di tutte le potenziali informazioni ricavabili da fonti pubbliche sulla persona che si presenta in frontiera[13], sia sistemi di riconoscimento venoso.

Alla luce delle funzionalit� di IBorderCtrl, restano molti punti oscuri, tra cui maggiore importanza assumono i dettagli su tutti i casi in cui il sistema automatico ha dato falsi allarmi, oppure non � stato in grado di riconoscere una palese bugia ed anche i dati personali che secondo quanto dichiarato saranno conservati per sei mesi dopo la pubblicazione dei risultati finali del programma. L'intento di tale fiutatore di bugie � stato messo in dubbio circa l'incongruenza con quanto si legge nella dichiarazione dell'EDPB e dell'EDPS: "Un divieto generale all'uso del riconoscimento facciale nelle aree accessibili al pubblico � il punto di partenza necessario se vogliamo preservare le nostre libert� e creare un quadro giuridico per l'intelligenza artificiale incentrato sull'uomo", e se ci� non bastasse, a rendere ancora pi� scettici � la testimonianza della giornalista Ludovica Jona, che sulla propria pelle ha sperimentato IBorderCtrl: "Qual � la tua data di nascita" Hai una sola cittadinanza" Quale Paese ha emesso il documento che vuoi usare per questo viaggio" Qual � la tua prima destinazione" Sono solo quattro delle sedici semplici domande che mi sono state poste dall'avatar di un poliziotto quando - munita di laptop in un hotel alla cittadina di Subotica alla frontiera serbo-ungherese - nel gennaio 2019 sono sottoposta alla "macchina della verit�" sviluppata con il progetto europeo iBorderCtrl. Richieste alle quali ho risposto in modo corretto ma - come ho scoperto pi� tardi - il "sistema di identificazione delle bugie" (indicato come Adds - Authomatic deception detection system nei documenti del progetto) ha ritenuto che mentissi. Al termine dell'intervista con l'avatar, il sistema mi ha rilasciato un codice Qr. Conteneva il risultato dell'analisi dei micro-movimenti del mio volto, che erano stati registrati dalla telecamera del mio computer mentre rispondevo alle sedici domande, ed erano stati automaticamente analizzati dal sistema di riconoscimento dell'inganno. Il giorno successivo mi sono recata al posto di confine e ho presentato il codice Qr al poliziotto ungherese che mi ha dato il mio punteggio: 48 su 100, ovvero persona a rischio. Una possibile terrorista. Attraverso una richiesta di accesso agli atti, inoltrata a EuroDynamics - la societ� capofila del progetto iBorderCtrl - secondo la normativa europea per la privacy, ho potuto conoscere le motivazioni di un punteggio tanto basso. Secondo il sistema di individuazione delle bugie avevo mentito rispondendo a quattro domande su sedici - quelle indicate all'inizio di questo paragrafo - mentre su nove risposte il sistema non era sicuro della mia sincerit�. Sarei stata onesta solo nel rispondere alle restanti tre domande".

Da ci� � inevitabile comprendere quanto, volenti o nolenti, l'AI posta al servizio, in questo caso, delle forze dell'ordine, e lasciata al suo unico e solo controllo, porti a risultati errati.

Punto di domanda oggi �: ora che l'AI Act e stato approvato definitivamente, come intende regolare strumenti di AI utilizzati per il riconoscimento facciale"

Case study: AI e ambito sanitario, il caso del Deep Patient

Il progresso dell'Intelligenza artificiale riguarda quasi tutti settori distinti che permeano la societ� in cui viviamo, tra cui spicca maggiormente il suo avanzare, con relativa applicazione, nell'ambito sanitario. Senza alcun dubbio in questo campo l'utilizzo dell'AI comporta numerosi benefici, aprendo la strada ad altrettante innovazioni (ad esempio la classificazione o la predizione diagnostica, le operazioni assai agevolate dall'impiego di software deep learning, pi� efficienti e veloci nell'identificazione della presenza di una malattia e della sua eventuale incidenza sull'individuo).

Proprio stando al passo delle grandi novit� portate dall'uso dell'AI, alla Ichan School of Medicine del Monte Sinai, si � dato vita ad un progetto denominato "Deep Patient" che utilizza l'intelligenza artificiale per analizzare montagne di dati sanitari, scoprendo nuove intuizioni e connessioni per prevedere il rischio di malattie. Pi� nello specifico, Deep Patient utilizza il deep learning, un approccio di apprendimento automatico che imita essenzialmente le reti neurali del cervello, consentendo al sistema informatico di apprendere cose nuove senza essere programmato per farlo. Con Deep Patient, gli scienziati hanno inserito dati deidentificati, provenienti da 700.000 cartelle cliniche elettroniche, in una rete neurale di computer, che ha combinato in modo casuale i dati per creare e testare nuove variabili per il rischio di malattia. La speranza era che la macchina potesse allenarsi a comprendere tutti i dati in modo da facilitare la modellazione predittiva.

Se per� sono ben evidenti i vantaggi, in termini di tempo e precisione, apportati da queste innovazioni , � pur vero che esse allo stesso tempo destino diversi sospetti e facciano sorgere svariate problematiche, relativamente soprattutto al trattamento dei dati personali.

Nonostante l'intervento del Garante Privacy, sulla base del Regolamento e alla luce della giurisprudenza del Consiglio di Stato, tre sono i principi cardine sull'uso dell'Intelligenza artificiale in Sanit�:

1. trasparenza dei processi decisionali;

2. decisioni automatizzate supervisionate dall'uomo;

3. non discriminazione algoritmica

Data, per�, la sensibilit� del settore sanitario, necessaria � l'adozione ponderata e responsabile dell'IA, imprescindibile per poter garantire un utilizzo dell'AI nel settore sanitario che possa massimizzare i benefici e minimizzano i rischi e le disuguaglianze.

Conclusioni

[Torna su]

Alla luce di quanto sopra esposto e di una Intelligenza Artificiale continuamente in fieri, per tentare di porre un freno alle minacce dell'IA , numerose sono le sfide e le opportunit� per implementare sistemi e servizi di IA sicuri in tutta l'Unione, basati su misure di sicurezza pi� mirate e proporzionate per mitigare le minacce individuate.

In questo cammino verso una migliore tutela della privacy nell'era dell'Intelligenza Artificiale, Europa e Stati Uniti se da un lato riconoscono le straordinarie potenzialit� dell'IA ma anche i rischi che essa comporta per la protezione dei dati personali, dall'altro procedono su rette parelle non sovrapponibili.

Nel dettaglio, l'Europa prosegue con il proprio AI Act, una normativa complessa che mira a regolamentare l'impiego dell'IA in rispetto dei diritti fondamentali dei cittadini, focalizzandosi principalmente sui rischi che l'utilizzo scorretto delle tecnologie di intelligenza artificiale pu� comportare e l'Unione Europea con il bilanciamento tra innovazione tecnologica e protezione della privacy.

Oltreoceano gli Stati Uniti nel loro avanzare pongono l'accento sulle opportunit� economiche e competitive legate allo sviluppo dell'IA.

A muovere le due superpotenze, seppure su strada diverse, � per entrambe la garanzia che l'evoluzione dell'IA non si traduca in una minaccia per i diritti individuali, in particolare per quanto riguarda la sicurezza dei dati sensibili.

Nonostante la corsa verso un'Intelligenza Artificiale etica e sicura e il dialogo tra Europa e Stati Uniti sia propulsore di standard globali che tutelino equamente cittadini e imprese, preoccupazioni sono state espresse a proposito del riconoscimento facciale e dell'intelligenza artificiale generativa.

In conclusione, riprendendo quanto egregiamente proposto dal costituzionalista Frosini, "e se fosse la IA a regolare la privacy""[14]

L'idea sarebbe un algoritmo capace di individuare violazioni della privacy (in particolare quelle riguardanti i dati sensibili), ed ogni volta che vengono rilevate tali violazioni, il sistema di AI "attiverebbe un'azione preventiva di blocco del procedimento ovvero un'azione successiva con la prescrizione di una sanzione per la violazione di legge. Si produrrebbe cos� una sorta di contrappasso: dalla privacy che regola la IA, alla IA che regola la privacy".

Non resta che stare a vedere, e non fare di tutta l'erba un fascio, ma permettere all'intelligenza artificiale di essere utile per gli strafalcioni che essa stessa commette!


[1] Corte giust., 13 maggio 2014, c. 131/12, Google Spain, cit., punto 22.

[2] La pronuncia richiama, in argomento, espressamente la sentenza Lindqvist, C 101/01, EU:C:2003:596, punto 25, nonch� la sentenza Satakunnan Markkinap�rssi e Satamedia, C 73/07, EU:C:2008:727, punti 48 e 49.

[3] Corte giust., 13 maggio 2014, c. 131/12, Google Spain, cit., punto 41.

[5] Corte giust., 13 maggio 2014, c. 131/12, Google Spain, cit., punto 88.

[6] Sembra configurarsi un diritto �al ridimensionamento della propria visibilit� telematica� per SICA e D'ANTONIO, La procedura di de-indicizzazione, in SICA, D'ANTONIO e RICCIO (a cura di), La nuova disciplina europea della privacy, Milanofiori Assago, 2016, 154.

[7] F. DI CIOMMO, Quello che il diritto non dice, in Danno e responsabilit� 12/2014, p. 1112.

[8] Sul punto si veda BONAVITA e PARDOLESI, La Corte Edu contro il diritto all'oblio", in Danno resp., 2018, 149 ss., i quali sottolineano, a chiusura del contributo: �le criticit� del right to be forgotten restano impregiudicate� (p. 155).

[9] A.M. TURING, Computing Machinery and Intelligence, MIND, 1950.

[10] La complessit� di un microcircuito, misurata ad esempio tramite il numero di transistor per chip, raddoppia ogni 18 mesi (e quadruplica quindi ogni 3 anni).

[11]Ai sensi dell'articolo 25, paragrafo 1, del GDPR, per privacy by design si intende l'obbligo per il titolare, di mettere in atto "misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati". L'articolo 25, paragrafo 2, del GDPR, per privacy by default intende che prevede "Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalit� del trattamento. Tale obbligo vale per la quantit� dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilit�. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica".

[12] Il concetto di smart city � ormai da tempo sinonimo di innovazione e digitalizzazione, ed esprime la tendenza delle citt� a dedicarsi alla ricerca di soluzioni "intelligenti", basate sull'utilizzo di nuove tecnologie (come l'Internet of Things, l'Intelligenza Artificiale e la Big Data Analytics), finalizzate allo sviluppo e al benessere dei cittadini.

[13] Per i ricercatori ci sarebbe una zona grigia in cui l'uso della parola profilazione, contemplato da Etias, potrebbe essere usato per espandere senza confini la sorveglianza della macchina della verit�.

[14] T.E. Frosini, L'orizzonte giuridico dell'intelligenza artificiale, in BioLaw Journal - Rivista Di BioDiritto, n. 1, 155-64.


Tutte le notizie