Privacy by design e Gdpr: un’etica per l’Intelligenza artificiale
Una delle novità più rilevanti, ma al tempo stesso più sfuggenti ed ineffabili, del GDPR è l’introduzione del principio di privacy by design (PbD, o protezione dei dati sin dalla progettazione, secondo la traduzione italiana riportata in Gazzetta Ufficiale), di cui all’art. 25 del noto Regolamento Europeo n. 679/2016. Nell’ambito del complesso dibattito in materia di privacy, la PbD – la cui maternità è tecnicamente e storicamente attribuita ad Ann Cavoukian, studiosa e fino al 2014 Garante privacy dello Stato canadese dell’Ontario – ha fatto emergere posizioni contrastanti.
Secondo questo principio, la protezione dei dati dovrebbe essere implementata in ogni processo industriale e tecnologico, che implichi la produzione di beni e servizi, mediante il quale vengano, ovviamente, trattati dati personali. Conseguentemente, per fare un primo esempio, i sistemi informatici e di comunicazione finalizzati al trattamento di dati personali dovranno tenere in considerazione la protezione degli stessi fin dalla loro progettazione, passando per la distribuzione e lo smaltimento. Cosi come la realizzazione di un nuovo prodotto che implichi trattamento dati – ad esempio, una automobile a guida autonoma o semi autonoma; uno smartphone o un tablet; una telecamera di ultima generazione; o anche una app o un servizio social fruibile online – ed il relativo uso sul mercato dovrà tenere nel giusto conto gli obblighi di PbD posti dal GDPR, onde evitare di incorrere nella violazione di legge, dunque nella conseguente illiceità del trattamento e nelle relative sanzioni.
Si tratta di un evidente cambio di prospettiva rispetto allo schema che vede nella tecnologia un elemento che precede logicamente e cronologicamente la regolamentazione, la legge e, nello specifico, la protezione dei dati personali. Secondo il GDPR è la tecnologia stessa a dover essere progettata e preordinata per operare rispettando i diritti fondamentali degli utilizzatori, o meglio degli interessati.
L’utopia dell’umanesimo delle macchine, che affonda le sue radici nei pensatori europei del Rinascimento, da Leonardo a Bacone a Vico, trova nell’art. 25 del GDPR il compimento programmatico più avanzato.
La norma sulla PbD è tuttavia norma programmatica, ancorché prescriva un obbligo.
Spesso i detrattori del diritto, o meglio i critici della funzione sociale delle leggi – se ne vedono tanti oggi giorno – sostengono il primato ora della tecnica, ora delle consuetudini e a volte anche del mal costume, sulla legge, accusandola di arrivare sempre in ritardo o comunque di perenne e cronica inadeguatezza rispetto alle magnifiche performance del progresso tecnologico e alle contingenze della società.
Questa volta, invece, la legge ci ha spiazzati. La PbD traccia una linea di demarcazione profonda tra norme generali e astratte digiune di scienza, mercato e tecnologia, tipiche del passato, anche recente, e norme contemporanee attente alle opportunità, ma anche alle insidie del progresso a discapito delle libertà e dei diritti delle persone.
Tuttavia, i più attenti lettori avranno notato che la definizione sopra richiamata della PbD presta il fianco ad alcune critiche: non stiamo forse parlando di un principio vago, che ripete peraltro cose già esplicitate in altri articoli del GDPR, ad esempio in quelli relativi alla Valutazione di impatto privacy? In cosa consistono le novità, o meglio, i risvolti pratici per le aziende?
Per rispondere a questa domanda dobbiamo tenere bene a mente la lungimiranza del progetto del GDPR, ovvero il tentativo di regolare una materia che – per natura – è in rapida evoluzione e cambiamento. Appare chiaro che l’inserimento della PbB nel GDPR sia il frutto di un compromesso: da un lato, il legislatore europeo ha lasciato l’implementazione del principio – rectius: l’osservanza dell’obbligo – ai soli titolari del trattamento; dall’altro, attraverso il Considerando 78, ha simultaneamente lanciato un monito e aperto una ‘scappatoia’ per la regolazione dei futuri sviluppi tecnologici.
In particolare, il Considerando 78, letto in combinato con l’art. 25, attribuisce alcuni spunti per interpretare estensivamente il suddetto articolo:
“Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. […] I produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati”.
Perciò, questo Considerando amplia il ruolo della Privacy-by-Design all’interno del Regolamento, collegando il generale dovere dei titolari di implementare misure tecniche ed organizzative che vadano incontro ai dettami della PbD ad un altro neo-introdotto principio: l’accountability, di cui abbiamo già parlato in altri articoli della presente rubrica.
Ho citato la regolazione degli sviluppi tecnologici. Mi riferisco principalmente ai Big Data, all’intelligenza artificiale (AI) e al machine learning. La privacy by design potrebbe essere il migliore strumento per fare fronte alle complesse e ancora irrisolte problematiche relative alla protezione dei dati derivanti dall’utilizzo di queste tecnologie. Stiamo parlando di macchine e algoritmi che – come nei migliori film di fantascienza – imparano e decidono da sé, non necessitando dell’intervento umano per funzionare.
A ben vedere, il principio di PbD sottende dunque una questione ancora più rilevante: c’è una stringente necessità che i nostri principi etici – oltre che giuridici – siano ‘interiorizzati’ dalle macchine stesse e, al tempo stesso, l’obbligo di PbD rimette l’uomo al centro del mondo, restituendogli il controllo totale sulle macchine e su beni e servizi che si “nutrono” di dati personali.
Più in concreto, l’art. 25 del GDPR attribuisce una speciale attenzione alla pseudonimizzazione e la minimizzazione, individuate quali misure tecniche adeguate al fine di dimostrare di aver rispettato gli obblighi in tema di privacy by design. Altre misure rilevanti, seppur non citate dall’articolo, potrebbero essere l’occultamento, la separazione o l’aggregazione dei dati. Ovviamente, in quanto misura elastica, la PbD non è applicabile allo stesso modo in ogni contesto, ma deve essere adattata alle varie tipologie di trattamento, comportando obblighi differenti a seconda del caso; è necessario tenere conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento […]
Perciò, l’inserimento di questo principio ‘in divenire’ nel corpus del GDPR costituisce una novità fondamentale, che potrebbe portare ad interessanti evoluzioni interpretative riguardo ai contesti di macchine intelligenti; ma, soprattutto, esso appare come un antesignano tentativo di riportare al centro l’Uomo e i suoi diritti – cosa non banale, nella società dell’automazione.
Fonte: Agenda Digitale