Garante Privacy: “Nell’era dei robot, queste sono le difese ai nostri diritti fondamentali”

Il rapporto tra privacy e tecnologia è sempre stato un rapporto aperto. I princìpi della protezione dei dati personali hanno la caratteristica di potersi adattare alle nuove domande che ci pone la tecnologia. Basti pensare all’entrata in scena di Internet, dei social network, degli smart-phone, dei Big data che in pochi decenni hanno rivoluzionato il nostro modo di vivere e hanno portato a una revisione continua, tutt’ora in atto, della disciplina europea e nazionale in materia di protezione dati specialmente nel settore delle telecomunicazioni e dei nuovi media.

Tra queste nuove, e a mio modo di vedere, appassionanti sfide, si sono inseriti ulteriori nuovi scenari e vorrei citare non solo l’Internet delle cose (IoT) ma anche l’intelligenza artificiale (AI) e la robotica.

Di robot e di intelligenza artificiale fino a poco tempo fa si parlava principalmente nella letteratura o nella cinematografia fantascientifica, come nei racconti di Isaac Asimov, o in film come “2001: Odissea nello spazio”, “Blade runner” o “Matrix“.

Ora siamo già dentro a quello scenario che una volta era immaginato solo da scrittori o scenografi. L’intelligenza artificiale intesa come la capacità di una macchina di imitare le funzioni “cognitive” proprie degli esseri, come ad esempio “l’apprendimento” e “la risoluzione di problemi “, è sempre più spesso utilizzata in molteplici settori facendoci entrare di fatto in quella che è stata definita la quarta rivoluzione industriale.

Le reti neurali ed altri sistemi, anche in combinazione tra loro, consentono di addestrare i dispositivi invece di programmarli; in altre parole,grazie all’analisi di un numero enorme di casi e di dati raccolti anche dall’ambiente circostante, il sistema stesso elabora, aggiorna e sviluppa le regole di comportamento futuro assumendo autonome decisioni o svolgendo azioni per massimizzare le possibilità di ottenere i risultati voluti in un modo imprevedibile perfino per gli stessi ideatori del sistema.

Oggi è già possibile creare interfacce funzionali cervello-computer e si sta sperimentando l’utilizzo di tecnologie convergenti come nel caso delle interrelazioni tra robotica, nanotecnologie e neurotecnologie, o per i collegamenti tra neuro, bio e scienze cognitive.

Iniziano così a girare per le nostre strade veicoli senza conducente, emergono, e in alcuni non è una novità, nuove interessanti possibilità di sviluppo in settori quali il comparto automobilistico, nell’elettronica, nei trasporti, nell’agricoltura o nell’istruzione.

Di particolare rilevanza è lo sviluppo di applicazioni nel contesto dell’assistenza sanitaria: si pensi ai robot utilizzati per l’assistenza agli anziani, per aiutarli a vivere una vita indipendente e per essere socialmente attivi, o alle protesi avanzate, ortesi e esoscheletri che possono migliorare la qualità della vita delle persone con diversi tipi di disabilità; non si possono tralasciare di considerare poi i possibili impieghi di queste tecnologie per scopi militari.

Questi temi comportano comunque un impatto sugli aspetti etici, sulla dignità, sui diritti umani o sulle libertà, e sollevano i più disparati interrogativi: sarà l’intelligenza artificiale a realizzare i sogni o porterà alla distruzione della persona? L’intelligenza artificiale rappresenta una opportunità o è essenzialmente una minaccia? Cosa ne sarà dei dati personali di ognuno di noi una volta che questi vengono raccolti in grandi quantità tramite sensori e “apparati intelligenti” e poi utilizzati per prendere decisioni su di noi in modo “automatico”?

Su quest’ultima domanda possiamo svolgere alcune considerazioni che in parte sono presenti nel Progetto di Relazione del Parlamento UE che contiene delle raccomandazioni alla Commissione sulle norme di diritto civile sulla robotica e che promuove l’elaborazione di sistemi di classificazione e registrazione dei robot intelligenti, insieme a meccanismi di verifica per la comprensione dei rischi e delle opportunità reali di tali tecnologie, che sarà presentato a Bruxelles) il 17 ottobre nel corso del workshop “robotics and artificial intelligence-ethical issues and regulatory approach”.

Pur parlando di applicazioni del tutto innovative, i valori che appaiono rilevanti se si esaminano queste nuove tipologie di trattamenti sono già rinvenibili nella Carta europea dei diritti fondamentali: il rispetto della vita privata e della vita familiare (art. 7) e la Protezione dei dati di carattere personale (art. 8), ma anche il rispetto di quei principi che potrebbero beneficiare dell’evoluzione di robotica e dell’AI, come ad esempio il principio di non discriminazione (art. 21), i diritti degli anziani (art. 25) e l’integrazione delle persone con disabilità (art. 26) o il diritto alla salute (art. 35).

Inoltre nel nuovo regolamento europeo in materia di protezione dei dati personali (UE 2016/679), che sarà applicabile in tutta l’UE a decorrere dal 25 maggio 2018, sono presenti alcuni principi, a dire il vero già contemplati dalla disciplina precedente, fondamentali anche in questi nuovi contesti. Mi riferisco, ad esempio, al divieto di adottare decisioni che producono effetti giuridici su una persona basate unicamente su un trattamento automatizzato teso a valutarne taluni aspetti della personalità o ad analizzarne o prevederne in particolare il rendimento professionale, la situazione economica, l’ubicazione, lo stato di salute, le preferenze personali, l’affidabilità o il comportamento. Tale divieto può essere superato solo in presenza di una norma di legge, o se il trattamento automatizzato è applicato nel contesto della conclusione o dell’esecuzione di un contratto, o se l’interessato ha espresso il proprio consenso(art. 22(1), (2)). A ciò si aggiunge anche la previsione che riporta alla necessità di subordinare il trattamento a “garanzie adeguate”.

Quali sono queste garanzie, queste “contromisure” che bilanciano possibili scorrerie della tecnologia a discapito dei diritti fondamentali degli individui? Si tratta di specifiche informazioni da rendere all’interessato, del diritto di questi di ottenere l’intervento umano, di avere la possibilità di poter esprimere la propria opinione, di ottenere una spiegazione circa la decisione maturata dopo una tale valutazione automatizzata e di contestarla, fermo restando che tale misura non dovrebbe riguardare un minore(art. 22). Inoltre, è previsto che il trattamento automatizzato di dati personali destinato a valutare taluni aspetti della personalità dell’interessato non può basarsi unicamente su dati sensibili, e quindi su dati cui l’ordinamento riconosce una tutela prioritaria.

E’ in questo contesto che il Regolamento richiama l’opportunità per il titolare del trattamento di adottare misure che evitino l’inesattezza dei dati e minimizzino il rischio di errori, anche al fine di garantire la sicurezza dei dati personali.

Per capire nel concreto la portata della norma basta pensare alle decisioni sulla concessione di un mutuo o nell’ambito di un procedimento di selezione del personale e, in particolare, alla possibilità che esse siano negative per l’interessato in quanto, secondo il sistema, l’individuo non soddisfa specifici parametri prefissati. Certi meccanismi vengono applicati anche nel mondo finanziario e a volte hanno causato imprevedibili crolli azionari o colpito, come di recente, valute nazionali.

Il problema principale si pone quando l’intelligenza artificiale, auto arricchendosi, diventa così complessa e le sue decisioni si basano su un numero così elevato di dati e di combinazioni di dati che in realtà non è possibile dare una giustificazione a una decisione specifica.

In tale ultimo caso il diritto dell’interessato di poter conoscere le conclusioni raggiunte da un sistema di intelligenza artificiale si potrebbe affievolire scivolando nel mero diritto a conoscere gli elementi presi in considerazione dal sistema nel condurre le sue valutazioni, le quali sarebbero dunque destinate a restare prive di spiegazione.

Certo è che le decisioni prese con sistemi di intelligenza artificiale che hanno un impatto sugli individui devono essere strutturate in modo tale da rendere comunque possibile ricostruire, in un percorso a ritroso, la motivazione e i parametri su cui si fondano.

Vi sono altri sono i profili di diritto che emergono. Innanzitutto occorre ribadire che i dati devono essere raccolti e successivamente trattati sempre in modo lecito, quindi rispettando gli obblighi di informativa e consenso quando richiesto, nonché utilizzati per il conseguimento dei soli fini per i quali sono stati inizialmente raccolti.

Altro aspetto da tenere in considerazione è quello della responsabilità e della sua corretta imputabilità, cioè innanzitutto dell’individuazione del soggetto tenuto a rispondere in caso di adozione di una decisione errata o di un malfunzionamento o ancora di una violazione dei dati (data breach). Incombe, infatti, sul soggetto così individuato l’onere della prova di aver rispettato tutte le disposizioni in materia di protezione dei dati nella specie rilevanti. Diviene essenziale poter dimostrare, anche documentalmente, di aver adottato una policy privacy in linea con la disciplina vigente.

In definitiva per valorizzare i benefici di questi nuovi strumenti e minimizzarne i rischi, è necessario favorire i comportamenti che consentano di prevenire possibili problematiche: ad esempio, assicurare la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento, quella che viene definita “privacy by design” o la necessità, ora un vero obbligo, per i titolari/responsabili di condurre una valutazione di impatto prima di procedere ad un (nuovo) trattamento, e di nominare un “Responsabile della protezione dati” (ovvero il “Data Protection Officer”) per assicurare una gestione corretta e proattiva dei dati personali trattati.

Sono questi comportamenti frutto di quello che è il concetto, presente nel regolamento, di accountability, cioè di responsabilizzazione di chi effettua il trattamento che deve avere un approccio proattivo, e non reattivo, proprio nell’ottica di prevenire le possibili problematiche.