Che il trattamento dei dati personali sia nel presente sempre più devoluto all’operare di sistemi di IA, e che tale realtà sia foriera di rischi e opportunità, è d’immediata intuibilità. Meno immediata è la comprensione degli strumenti regolativi a disposizione del legislatore per contenere i potenziali pericoli generati dall’impiego dell’IA – nella protezione dei diritti fondamentali – garantendo al contempo gli obiettivi benefici di efficienza nell’organizzazione delle attività economiche, da essa discendenti. Il punto di mediazione fra rischi e opportunità dipende dalle scelte di policy perseguite dal legislatore. Il diritto europeo e statunitense restituiscono, già a un primo sguardo, una differente ponderazione delle esigenze dello sviluppo tecnologico e degli interessi della persona. Mentre il primo è più orientato a un modello risk-based (che gradua il controllo sugli impieghi dell’IA in funzione dei rischi ad essa connessi), il secondo sembra più attento alle logiche di mercato ad essa sottese. Il rilievo primario assegnato nell’ordinamento statunitense agli spazi di autonomia degli operatori nel settore comporta limiti penetranti all’intervento regolativo; è evidente il timore d’indebolire il mercato interno a vantaggio di competitors attivi in sistemi in cui alla dimensione business-friendly non s’accompagna con eguale forza l’attenzione ai diritti individuali. Mentre l’Europa ha optato per un approccio normativo di respiro sistematico, negli Stati Uniti sembra al momento prevalere la scelta di sistemi regolativi puntuali adottati da agenzie federali, limitati per ambiti di competenza. Una parte dell’indagine sarà dedicata a due principi caratterizzanti l’approccio europeo – principio di prevenzione dei danni e principio di trasparenza degli algoritmi alla base dei sistemi di IA nella processazione dei dati – muovendo da casi italiani recenti. Il primo principio sarà esaminato a margine dell’ordinanza del Garante italiano della Privacy 9/2022, relativa a piattaforme elettroniche per la gestione e organizzazione di prestazioni sanitarie legate all’emergenza epidemiologica. Un banale difetto di diligenza tecnica nella protezione dei dati aveva consentito a soggetti non autorizzati di accedere abusivamente ai dati degli utenti del servizio; il titolare del trattamento vi aveva posto rimedio senza costi eccessivi. Il Garante aveva dichiarato l’illiceità del trattamento dei dati e irrogato una sanzione amministrativa pecuniaria all’azienda. Quali sarebbero stati, però, i criteri di soluzione del conflitto fra protezione della salute che, quale interesse della collettività, postulava interventi tempestivi a fronte di sopravvenute emergenze sanitarie, e protezione dei dati sensibili raccolti attraverso processi automatizzati ove, al fine di garantire l’osservanza del principio di prevenzione dei danni discendenti dal rischio di accesso a questi ultimi da parte di soggetti non autorizzati, il titolare del trattamento avesse dovuto adottare misure di sicurezza necessitanti tempi lunghi e costi ingenti?In altre fattispecie, un problema di tutela della persona s’è delineato relativamente al grado di consapevolezza richiesto per la valida manifestazione del consenso. Nel caso deciso da Cass. 14381/2021, sistemi di IA erano serviti a predisporre ratings reputazionali riguardanti aderenti a un’associazione sulla base di dati conferiti dagli stessi. La questione si era posta per coloro ai quali era stato attribuito un punteggio basso. Il problema era se il consenso prestato al trattamento poteva considerarsi validamente fornito nonostante lo schema esecutivo dell’algoritmo e gli elementi di cui si componeva così come il suo funzionamento fossero ignoti o non conoscibili agli utilizzatori. La Corte dà risposta negativa considerando illecito il trattamento. Scelte parzialmente differenti paiono caratterizzare l’ordinamento statunitense. Pur non ignorando le esigenze di tutela dei diritti della persona, il sistema americano adotta un modello “light touch”, in cui la frammentarietà legislativa favorisce lo smart business e con esso la circolazione dei dati personali. La logica d’efficienza permea anche ambiti, quale il diritto penale, in cui è particolarmente elevata l’esigenza di garanzia dei diritti individuali (basti pensare al sistema Compas, volto a valutare la possibilità di recidiva dell’imputato). Il memorandum “Guidance for regulation of artificial intelligence applications”, pubblicato nel 2020 dalla Casa Bianca, ha ribadito la preferenza per una regolamentazione “flessibile”.richiesto un approfondimento sulla solvibilità di determinati consumatori, un software che rilevava corrispondenze potenziali fra l’identificativo degli attori e le generalità di individui schedati dal Dipartimento del Tesoro statunitense per reati gravi, con una conseguente segnalazione automatica sul report relativo (e senza che ulteriori controlli fossero espletati), in violazione del diritto vigente a livello federale. Gli individui interessati non erano posti a conoscenza dell’alert che li riguardava. A seguito di una class action, la Corte Suprema aveva riconosciuto le ragioni solo di quegli attori in grado di provare una lesione concreta della propria reputazione. La Corte aveva individuato nella distinzione fra danno effettivo e danno potenziale il criterio di soluzione della controversia, statuendo che il pregiudizio lamentato dalla maggioranza degli attori della classe integrasse solo un future harm, non rientrante pertanto fra i danni risarcibili. La prevalenza degli interessi connessi agli utilizzi di sistemi di IA sulla protezione della persona può cogliersi anche in Facebook v. Duguid. In questo caso, si lamentava la violazione del Telephone Consumer Protection Act (TCPA 1991), che vieta l’utilizzo di sistemi automatizzati (autodialer) per chiamate a numeri privati, con effetti intrusivi nella sfera privata. Nel caso di specie, il ricorrente subiva l’invio di messaggistica di alert, da parte di Facebook, nonostante non vi fosse iscritto. La Corte Suprema, in virtù di un’interpretazione letterale della norma giustificata dall’esigenza di evitare l’espansione incontrollata del suo ambito di applicazione, escludeva la possibilità di assimilare il sistema esaminato a quelli vietati dalla normativa del 1991. In entrambi i casi, le specifiche ricostruzioni delle questioni giuridiche consentono alla Corte di eludere il vero problema di fondo – la lesione di attributi della personalità conseguente all’utilizzo di sistemi automatizzati –, accordando esclusivo beneficio agli interessi soddisfatti dall’impiego dell’IA. I casi in esame costituiscono un’occasione di riflessione sugli interessi messi a repentaglio dall’impiego di sistemi automatizzati e sulle tecniche attraverso cui viene operata in contesti, caratterizzati da una sensibilità valoriale diversa, la ponderazione di essi con situazioni soggettive che dall’impiego di IA traggono immediato beneficio.
Tutela dei dati e IA: persona e sviluppo tecnologico nel prisma europeo e statunitense
BIAGIO ANDO'
2023-01-01
Abstract
Che il trattamento dei dati personali sia nel presente sempre più devoluto all’operare di sistemi di IA, e che tale realtà sia foriera di rischi e opportunità, è d’immediata intuibilità. Meno immediata è la comprensione degli strumenti regolativi a disposizione del legislatore per contenere i potenziali pericoli generati dall’impiego dell’IA – nella protezione dei diritti fondamentali – garantendo al contempo gli obiettivi benefici di efficienza nell’organizzazione delle attività economiche, da essa discendenti. Il punto di mediazione fra rischi e opportunità dipende dalle scelte di policy perseguite dal legislatore. Il diritto europeo e statunitense restituiscono, già a un primo sguardo, una differente ponderazione delle esigenze dello sviluppo tecnologico e degli interessi della persona. Mentre il primo è più orientato a un modello risk-based (che gradua il controllo sugli impieghi dell’IA in funzione dei rischi ad essa connessi), il secondo sembra più attento alle logiche di mercato ad essa sottese. Il rilievo primario assegnato nell’ordinamento statunitense agli spazi di autonomia degli operatori nel settore comporta limiti penetranti all’intervento regolativo; è evidente il timore d’indebolire il mercato interno a vantaggio di competitors attivi in sistemi in cui alla dimensione business-friendly non s’accompagna con eguale forza l’attenzione ai diritti individuali. Mentre l’Europa ha optato per un approccio normativo di respiro sistematico, negli Stati Uniti sembra al momento prevalere la scelta di sistemi regolativi puntuali adottati da agenzie federali, limitati per ambiti di competenza. Una parte dell’indagine sarà dedicata a due principi caratterizzanti l’approccio europeo – principio di prevenzione dei danni e principio di trasparenza degli algoritmi alla base dei sistemi di IA nella processazione dei dati – muovendo da casi italiani recenti. Il primo principio sarà esaminato a margine dell’ordinanza del Garante italiano della Privacy 9/2022, relativa a piattaforme elettroniche per la gestione e organizzazione di prestazioni sanitarie legate all’emergenza epidemiologica. Un banale difetto di diligenza tecnica nella protezione dei dati aveva consentito a soggetti non autorizzati di accedere abusivamente ai dati degli utenti del servizio; il titolare del trattamento vi aveva posto rimedio senza costi eccessivi. Il Garante aveva dichiarato l’illiceità del trattamento dei dati e irrogato una sanzione amministrativa pecuniaria all’azienda. Quali sarebbero stati, però, i criteri di soluzione del conflitto fra protezione della salute che, quale interesse della collettività, postulava interventi tempestivi a fronte di sopravvenute emergenze sanitarie, e protezione dei dati sensibili raccolti attraverso processi automatizzati ove, al fine di garantire l’osservanza del principio di prevenzione dei danni discendenti dal rischio di accesso a questi ultimi da parte di soggetti non autorizzati, il titolare del trattamento avesse dovuto adottare misure di sicurezza necessitanti tempi lunghi e costi ingenti?In altre fattispecie, un problema di tutela della persona s’è delineato relativamente al grado di consapevolezza richiesto per la valida manifestazione del consenso. Nel caso deciso da Cass. 14381/2021, sistemi di IA erano serviti a predisporre ratings reputazionali riguardanti aderenti a un’associazione sulla base di dati conferiti dagli stessi. La questione si era posta per coloro ai quali era stato attribuito un punteggio basso. Il problema era se il consenso prestato al trattamento poteva considerarsi validamente fornito nonostante lo schema esecutivo dell’algoritmo e gli elementi di cui si componeva così come il suo funzionamento fossero ignoti o non conoscibili agli utilizzatori. La Corte dà risposta negativa considerando illecito il trattamento. Scelte parzialmente differenti paiono caratterizzare l’ordinamento statunitense. Pur non ignorando le esigenze di tutela dei diritti della persona, il sistema americano adotta un modello “light touch”, in cui la frammentarietà legislativa favorisce lo smart business e con esso la circolazione dei dati personali. La logica d’efficienza permea anche ambiti, quale il diritto penale, in cui è particolarmente elevata l’esigenza di garanzia dei diritti individuali (basti pensare al sistema Compas, volto a valutare la possibilità di recidiva dell’imputato). Il memorandum “Guidance for regulation of artificial intelligence applications”, pubblicato nel 2020 dalla Casa Bianca, ha ribadito la preferenza per una regolamentazione “flessibile”.richiesto un approfondimento sulla solvibilità di determinati consumatori, un software che rilevava corrispondenze potenziali fra l’identificativo degli attori e le generalità di individui schedati dal Dipartimento del Tesoro statunitense per reati gravi, con una conseguente segnalazione automatica sul report relativo (e senza che ulteriori controlli fossero espletati), in violazione del diritto vigente a livello federale. Gli individui interessati non erano posti a conoscenza dell’alert che li riguardava. A seguito di una class action, la Corte Suprema aveva riconosciuto le ragioni solo di quegli attori in grado di provare una lesione concreta della propria reputazione. La Corte aveva individuato nella distinzione fra danno effettivo e danno potenziale il criterio di soluzione della controversia, statuendo che il pregiudizio lamentato dalla maggioranza degli attori della classe integrasse solo un future harm, non rientrante pertanto fra i danni risarcibili. La prevalenza degli interessi connessi agli utilizzi di sistemi di IA sulla protezione della persona può cogliersi anche in Facebook v. Duguid. In questo caso, si lamentava la violazione del Telephone Consumer Protection Act (TCPA 1991), che vieta l’utilizzo di sistemi automatizzati (autodialer) per chiamate a numeri privati, con effetti intrusivi nella sfera privata. Nel caso di specie, il ricorrente subiva l’invio di messaggistica di alert, da parte di Facebook, nonostante non vi fosse iscritto. La Corte Suprema, in virtù di un’interpretazione letterale della norma giustificata dall’esigenza di evitare l’espansione incontrollata del suo ambito di applicazione, escludeva la possibilità di assimilare il sistema esaminato a quelli vietati dalla normativa del 1991. In entrambi i casi, le specifiche ricostruzioni delle questioni giuridiche consentono alla Corte di eludere il vero problema di fondo – la lesione di attributi della personalità conseguente all’utilizzo di sistemi automatizzati –, accordando esclusivo beneficio agli interessi soddisfatti dall’impiego dell’IA. I casi in esame costituiscono un’occasione di riflessione sugli interessi messi a repentaglio dall’impiego di sistemi automatizzati e sulle tecniche attraverso cui viene operata in contesti, caratterizzati da una sensibilità valoriale diversa, la ponderazione di essi con situazioni soggettive che dall’impiego di IA traggono immediato beneficio.I documenti in IRIS sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.
