Lynette Cook (Daly City, California - Contemporanea) - Blazing By – 2012 (Digital Painting)
E se tu non fossi la tua scia digitale?
di Fabrizio Cugia di Sant'Orsola
“You are not that” disse (se la memoria m’assiste) un santone yoga, alludendo al fatto che ogni identificazione oggettiva è per sua natura fallace, costituendo non soltanto un limite al sé profondo dell’io (qualsiasi cosa questo sia…) ma un cedere al gioco di specchi con reale, notoriamente inarrivabile sia nel microcosmo che nel macrocosmo.
Tu non sei quello, quindi. Ma è stato calcolato che nei prossimi dieci anni sul nostro pianeta vi saranno oltre 300 miliardi di device collegati in Rete, molti dei quali dotati di intelligenza artificiale, ossia perfettamente interattivi e capaci di interrogare da soli i big data in via autonoma e diretta, per trovar soluzioni in tempi per noi inimmaginabili. La stragrande maggioranza di tali apparati sarà atta a rilevare dati inerenti ai comportamenti umani tramite uso di traccianti o sensori di geolocalizzazione.
In tal senso la nuova disciplina privacy contenuta nel GDPR interviene anche sul fenomeno dell’uso e trattamento automatizzato di dati, ponendo nuovi obblighi a carico dei titolari del trattamento per l’uso di sistemi, apparati o tecnologie che non consentono per loro stessa natura la minimizzazione dei dati (obbligo generale posto dal GDPR a carico di ogni titolare del trattamento), ma come si usa dire si rischia di voler svuotare il mare con una paletta.
Il GDPR rappresenta senz’altro una visione evoluta della responsabilizzazione dei titolari del trattamento, incentrata sul tema dell’accountability e della responsabilità oggettiva nella corretta previsione dei rischi privacy oggetto della propria specifica attività. Appare tuttavia legittimo chiedersi se proprio la profilazione dei dati, ossia la gestione automatizzata di dati personali, non costituisca il vero e proprio banco di prova dell’efficacia del GDPR, innanzitutto con riguardo all’interazione degli apparati con i big data nell’offerta di servizi IoT (internet of things) e M2M nati proprio dall’intelligenza artificiale (AI).
Le misure privacy rischiano di risultare di difficile applicazione ed efficacia nel particolare quadro della parcellizzazione dei ruoli e delle intermediazioni o disintermediazioni proprie dell’evoluzione tecnologica (si pensi all’intermediazione nei pagamenti, dove i ruoli dei gestori nel trattamento dei dati possono esser distribuiti tra i diversi operatori della filiera, quali istituti bancari, operatori tlc e service providers nelle transazioni tramite device con riconoscimento biometrico).
Nei settori bancari, sanitari, assicurativi e pubblicitari l’interazione ed uso dei dati personali scambiati tra soggetto interessato (proprietario dei dati) e provider di servizi (es. assicurazioni “black box”) permettono non soltanto di scegliere profili di consumo e contrattazioni specifiche per tipologia di consumer, ma più ancora garantire il continuo rispetto di tali condizioni parametrate sul comportamento del singolo, rilevato e confermato di continuo dai dispositivi-sensori interattivi connessi con le centrali del titolare del trattamento dati.
Il progresso tecnologico pone quindi un particolare carico di rischi per i diritti e le libertà degli individui connessi all’utilizzo dei loro dati, dove i processi decisionali automatizzati sono basati su algoritmi complessi, spesso sconosciuti ed incomprensibili all’esterno. Il behavioral advertising (pubblicità comportamentale) è un esempio di tale attività di profilazione “generata” da dati prodotti dai comportamenti dei soggetti interessati, dove i sensori traccianti elaborano sui gusti, tendenze, acquisti, programmi di appartenenza, interazioni, ecc., per individuare il comportamento umano e circoscriverlo in “cluster” di appartenenza. La problematicità del processo di profilazione risiede soprattutto nel fatto che l’attività di reperimento e rielaborazione dei dati risulta essere invisibile agli interessati, essendo generata dall’interazione di tre elementi base: il trattamento automatizzato, l’uso di dati personali e lo studio del comportamento delle persone fisiche.
Secondo il GDPR l'interessato deve poter non sottostare inconsapevolmente al trattamento dei dati mediante profilazione (ed in generale tutti i processi automatici), come confermato dallo stesso Regolamento all'art. 22 GDPR. Secondo la norma, quando il processo decisionale è automatizzato, l'interessato ha il diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato (compresa la profilazione, che costituisce una delle forme di trattamento automatizzato), nel caso in cui tale trattamento produca effetti giuridici che lo riguardano o che incidano in modo analogo sulla sua persona.
Ciò pone l’obbligo a carico dei titolari di ottenere il previo consenso esplicito, a meno che non vi siano esigenze o prestazioni contrattuali o il trattamento sia autorizzato dal diritto nazionale o dell’UE. Il problema legale riguarda quindi, innanzitutto, il consenso espresso dal soggetto interessato, ossia in particolare il rapporto tra consenso, legittimi interessi ed adempimenti contrattuali.
Il consenso nell’area dell’AI e della stessa profilazione è ovviamente difficilmente definibile a priori, stante l’evoluzione dei dati “processati” e generati a getto continuo dagli apparati. Tali dati sono per loro stessa natura dinamici e legati spesso all’offerta dei servizi IoT, altro motivo di possibile interazione di tali dati con possibili privative e segreti industriali dell’offerente. Giustificare il trattamento di tali dati dal punto di vista contrattuale - come adempimento di prestazioni richieste - determina quindi un margine molto ristretto mirato ad una prestazione “cristallizzata” nel tempo, ossia non dinamica.
Così, parte della soluzione pare risiedere sul concetto di “interesse legittimo” in capo al Titolare del trattamento, interesse che tuttavia non è ritenuto sufficiente quando si tratta di speciali categorie di dati (es. salute, biometrici, ecc.) proprio particolarmente affetti dall’offerta di servizi dove impera l’AI.
Il legittimo interesse pone l’onere a carico di chi intende sviluppare i dati di dimostrare che tale sviluppo non pone un carico intollerabile ai diritti sulla privacy.
Si tratterà di vedere se l’esercizio di bilanciamento e contemperamento tra interessi dei titolari del trattamento e diritti dei soggetti interessati possano coesistere coerentemente nel quadro del nuovo GDPR. Nel mentre vivremo nel dubbio se i dati “rielaborati” dalle macchine in base a comportamenti umani profilati tramite algoritmi di AI costituiscano “altra cosa” dai diritti dei singoli racchiusi in clusters, e se questi dati possano essere o meno riferibili a soggetti interessati e quindi esser soggetti alle tutele previste dal GDPR.
Sino a quel giorno vivremo sotto la percezione di una prevalenza dei diritti individuali sulla nostra scia digitale. Ma come fosse una cometa, forse un giorno quella scia si separerà dal nucleo - dal paniere delle nostre identità - vagolando nell’etere come un’entità di forma autonoma e diversa, oggetto di privative d’altri.
Sic transit gloria mundi, potremo dire, sempre per citare i Grandi.