L'intelligenza artificiale e le regole giuridiche alla prova: il caso paradigmatico del GDPR - di Giuseppe Mobilio - Flore
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
ISSN 1826-3534
27 MAGGIO 2020
L’intelligenza artificiale e le regole
giuridiche alla prova: il caso
paradigmatico del GDPR
di Giuseppe Mobilio
Ricercatore di Diritto costituzionale
Università degli Studi di FirenzeL’intelligenza artificiale e le regole giuridiche
alla prova: il caso paradigmatico del GDPR *
di Giuseppe Mobilio
Ricercatore di Diritto costituzionale
Università degli Studi di Firenze
Abstract [It]: Le tecnologie basate sull’intelligenza artificiale (IA) sono incredibilmente diffuse nelle società
contemporanee. Sono in grado di condizionare la vita delle persone e sollevare numerosi interrogativi sul piano
sociale, economico e persino antropologico. Ma l’IA ha caratteristiche e apre a problematiche che presentano anche
un immediato risvolto sul piano giuridico. Obiettivo del contributo è verificare in che modo il diritto eserciti la
propria pretesa regolatoria a fronte di tali problematiche, sostanzialmente inedite, sollevate dall’IA e dai sistemi di
decisione algoritmica. Come caso paradigmatico viene presa in considerazione la fonte che, allo stato, offre più
organicamente una regolazione dell’IA, ovvero il GDPR. Il contributo richiama alcuni capisaldi di questa fonte,
con l’obiettivo di ricostruire la tutela offerta, le potenzialità e, soprattutto, i limiti. L’intento non è soltanto quello
di valutare l’adeguatezza di questa disciplina, ma anche cogliere alcuni spunti in essa presenti per affrontare le
nuove questioni tecnologiche.
Abstract [En]: Cutting-edge technologies based on AI are pervasively widespread within contemporary societies.
Many questions around social, economic and even anthropologic implications are raising. But some features of AI
and algorithmic decision-making have also a direct impact on law and fundamental rights. The essay stresses the
challenges that AI is throwing to legal regulation, choosing the GDPR as a paradigmatic example for verifying the
suitability of the regulation in force to tackle the features above mentioned. Therefore, the essay remembers some
of the cornerstones of GDPR, paying particular attention to principles of purpose limitation, data minimisation,
notice and consent, sensitive data, transparency and its corollaries, explainability, and prohibition of bias,
underlining the interests protected, the shortcomings of the regulation, but also suggesting some inspirations for
the future legislation.
Sommario: 1. Considerazioni introduttive: la pervasività dell’IA e l’impreparazione del diritto. – 2. Tecnologie
avanzate e problematiche inedite. – 3. Il GDPR come argine normativo fondamentale nei confronti dell’IA: critiche
generali e insufficienze particolari. – 3.1. Il principio di limitazione delle finalità. – 3.2. Il principio di
minimizzazione dei dati. – 3.3. Il principio del consenso. – 3.4. Il regime di categorie particolari di dati personali.
– 3.5. Il principio di trasparenza e i suoi corollari (conoscibilità, accesso, non esclusività). – 3.6. Il principio di
explainability. – 3.7. I c.d. bias e il divieto di discriminazioni. – 4. Considerazioni conclusive.
1. Considerazioni introduttive: la pervasività dell’IA e l’impreparazione del diritto
È oramai riconosciuto che l’evoluzione nelle c.d. NBIC (nanotecnologie, biotecnologie, informatica,
scienze cognitive) ha dato vita ad una “quarta rivoluzione”, tecnologica e scientifica, che ha fatto perdere
all’uomo il primato di unico agente intelligente e con capacità di pensiero1.
*Articolo sottoposto a referaggio.
1Cfr. L L. FLORIDI, La quarta rivoluzione. Come l’infosfera sta trasformando il mondo, Raffaello Cortina Editore, Milano, 2014,
99 ss., che scandisce nella storia del pensiero scientifico diverse rivoluzioni, le quali hanno portato l’uomo a non essere
più al centro dell’universo (I rivoluzione, copernicana), a non essere più al centro della realtà biologica (II rivoluzione,
darwiniana), a non essere più al centro e padroni della coscienza (III rivoluzione freudiana), sino alla perdita del
monopolio dell’intelligenza e della capacità di pensiero (IV rivoluzione, il cui padre può essere considerato Alan Turing).
266 federalismi.it - ISSN 1826-3534 |n.16/2020Alla base di questo sviluppo stanno i passi da gigante compiuti con le scoperte nell’ambito dell’intelligenza artificiale (IA), ovvero la capacità che i software o le macchine possiedono di realizzare un obiettivo prefissato con un certo grado di autonomia, percependo l’ambiente circostante e decidendo quali siano le migliori azioni allo scopo2. L’IA non è più dominio di pochi specialisti che lavorano nelle università, nei servizi finanziari o nelle grandi direzioni marketing, ma è divenuta in linea generale un driver delle domande sociali ed economiche3. Basti pensare alla moltitudine di applicazioni che l’IA oggi riceve, come avviene – il punto verrà ripreso – con le tecniche di profilazione algoritmica4, tramite le quali le imprese riescono a indirizzare i c.d. “ads” (o Digital advertising) ai singoli consumatori per rivolgere loro un’offerta personalizzata dei propri prodotti (microtargeting)5. Ma si pensi anche alle tecniche utilizzate per classificare le persone tramite un punteggio (score), a partire dal quale parametrare i servizi bancari6, assicurativi7, o il job placement8. Sino a toccare il livello politico, con l’impiego di queste tecnologie per organizzare strategie di microtargeting in campagna elettorale, riuscendo addirittura a influenzare le decisioni di voto su vasta scala9. Non stupisce che anche i pubblici poteri si siano accorti delle enormi potenzialità derivanti dall’uso dell’IA, per svolgere attività di interesse generale, come in ambito giudiziario10, per erogare prestazioni, 2 Per una definizione più precisa, si v. infra. 3 S. FINLAY, Artificial Intelligence and Machine Learning for Business, Relativistic, Great Britain, 2018, 2 ss. 4 Cfr. D.K. CITRON, F. PASQUALE, The Scored Society: Due Process for Automated Predictions, in Washington Law Review, 89, 2014, 1 ss. Il riferimento, inoltre, va all’oramai classico S. ZUBOFF, The age of surveillance capitalism, Profile Books, London, 2019. 5 È rilevante notare come il 2019 segna l’anno in cui, negli Stati Uniti, le imprese hanno speso di più per pubblicizzare i propri prodotti tramite “adds” che tramite i mezzi tradizionali di diffusione delle informazioni, come giornali, radio o televisione; cfr. Digital advertising in the US is finally bigger than print and television. TV and newspapers are out. Facebook and Google are in, in Vox, 20 febbraio 2019 https://www.vox.com/2019/2/20/18232433/digital-advertising-facebook-google- growth-tv-print-emarketer-2019 (ult. acc. 31.3.2020). 6 Nel mondo bancario, gli istituti di credito riescono a valutare la solvibilità dei propri potenziali debitori (credit rating), a prevedere e individuare transazioni fraudolente, ad analizzare le tendenze commerciali delle imprese, ad offrire incentivi personalizzati ai propri clienti; cfr. M. HURLEY, J. ADEBAYO, Credit Scoring in the Era of Big Data, in Yale Journal of Law and Technology, 18, 1, 2017, 148 ss. 7 Nel mondo assicurativo, gli intermediari possono fissare premi in maniera più accurata, migliorare strategie di marketing, identificare richieste fraudolente, oppure accedere ai social media per valutare il rischio e stabilire se concedere o meno una polizza; cfr. Why the Life-Insurance Industry Wants to Creep on Your Instagram, in The New Yorker, 29 febbraio 2019, https://www.newyorker.com/culture/cultural-comment/why-the-life-insurance-industry-wants-to-creep-on- your-instagram (ult. acc. 31.3.2020) 8 Ovvero la valutazione delle assunzioni, l’assegnazione delle mansioni, fino a stabilire la necessità di impiegare esseri umani nei processi produttivi e nelle professioni piuttosto che fare affidamento su robot e software. Sulla possibilità che l’IA sostituisca l’essere umano nelle proprie attività lavorative, v. M. CHUI, J. MANYIKA, M. MIREMADI, Four Fundamentals of Workplace Automation, McKinsey Quarterly, 2015. 9 Il pensiero corre ovviamente allo scandalo della società “Cambridge Analytica”, legato alle elezioni presidenziali negli USA del 2016 e al referendum sulla Brexit dello stesso anno: v. su tutti D. MESSINA, Il Regolamento (EU) 2016/679 in materia di protezione dei dati personali alla luce della vicenda “Cambridge Analytica”, in Federalismi.it, 20, 2018, e le fonti ivi citate. 10 Emblematico al riguardo è il c.d. caso Compas, in relazione all’utilizzo di un software con finalità predittive da parte di numerose autorità giudiziarie americane, precisamente allo scopo di calcolare il rischio di recidiva e determinare l’ammontare della pena da comminare; v. How We Analyzed the COMPAS Recidivism Algorithm, in ProPublica, 23 maggio 267 federalismi.it - ISSN 1826-3534 |n.16/2020
come in ambito medico11, per svolgere funzioni di prevenzione, come nel caso delle forze dell’ordine12. Siamo completamente immersi in un ecosistema digitale fatto di Information and Communication Technologies (ICT), entro cui ha preso vita quella che è stata chiamata “Algorithmic Society”13. Le nuove tecnologie riducono i tempi di ricerca di informazioni e prodotti (si pensi ai motori di ricerca), accorciano le distanze fisiche e offrono migliori occasioni (si pensi alla frontiera dell’e-commerce), eliminano le forme di intermediazione cui si ricorreva per ottenere un risultato (dalla prenotazione di un viaggio alla ricerca di un articolo scientifico)14. E nessuno vorrebbe verosimilmente rinunciare a questi vantaggi. Per questo le società contemporanee hanno oramai superato un punto di non ritorno al di là del quale non è più possibile fare a meno dell’IA15. È il manifestarsi di una “tendenza espansiva” della tecnologia che ci cattura a partire dalla sua forza pratica, rendendoci sempre più dipendenti dall’algoritmo16. Il diritto è chiamato ad affrontare una sfida epocale nello stabilire se e come assecondare, o al limite frenare, questi cambiamenti radicali17. Ma che l’IA stia cogliendo il diritto impreparato è stato recentemente testimoniato dallo stesso CEO di Facebook, il quale, dopo mesi segnati da scandali e falle nella sicurezza del famoso social network, è giunto a dichiarare: «abbiamo bisogno di un ruolo più attivo 2016, disponibile su: https://www.propublica.org/article/how-we-analyzed-the-compas-recidivism-algorithm (ult. acc. 31.3.2020). 11 Si pensi a quanto risulti oramai cambiato il modo di identificare, prevenire e trattare le malattie, dalla diagnostica attraverso l’analisi delle immagini digitalizzate o la comparazione di migliaia di casi, alla chirurgia robotica di precisione, alla pianificazione delle cure; cfr. G.-Z. YANG ET AL., Medical robotics – regulatory, ethical, and legal considerations for increasing levels of autonomy, in Science Robotics, 2, 4, 2017. 12 Si pensi ai software che, sulla base di calcoli probabilistici, sono in grado di prevenire la commissione di reati e consentire di migliorare le strategie di controllo del territorio. Per limitarsi al panorama italiano, molto diffuso è il software XLAW, in dotazione a numerose questure; BUSINESS INSIDER ITALIA, Parla l’ispettore di Polizia che ha creato un algoritmo che prevede scippi, rapine, furti. E funziona, da anni, 30 luglio 2019, disponibile su: https://it.businessinsider.com/perla-il-dirigente-di-polizia-ha-creato-un-algoritmo-che-prevede-scippi-rapine-furti-e- funziona-da-anni/ (ult. acc. 31.3.2020). 13 Cui fa riferimento J.M. BALKIN, The Three Laws of Robotics in the Age of Big Data, in Faculty Scholarship Series, 2017, 1219, ovvero «a society organized around social and economic decision-making by algorithms, robots, and Al agents, who not only make the decisions but also, in some cases, carry them out». 14 M. DELMASTRO, A. NICITA, Big data, Big data, il Mulino, Bologna, 2019, 12 s. 15 Per ulteriori esempi concreti di questa diffusione, v. T. SCANTAMBURLO, A. CHARLESWORTH, N. CRISTIANINI, Machine Decisions and Human Consequences, in K. YEUNG, M. LODGE (a cura di), Algorithmic Regulation, Oxford University Press, Oxford, 2019, 49 ss. Sull’uso delle tecnologie digitali, di algoritmi predittivi e big data per assumere decisioni pubbliche e private, v. R. KENNEDY, Algorithms and the Rule of Law, in Computers and Law, aprile/maggio 2017, 23 ss. 16 Cfr. A SIMONCINI, L’algoritmo incostituzionale: intelligenza artificiale e il futuro delle libertà, in BioLaw Journal, 1, 2019, 69 ss., che puntualizza come tale forza non dipenda da ragioni di valore scientifico, di accuratezza predittiva o di affidabilità tecnica dell’automatismo, ma – appunto – da mera convenienza pratica. V. anche L. ALEXANDRE, La guerra delle intelligenze. Intelligenza artificiale contro intelligenza umana, EDT, Torino, 2018, 29 ss. 17 Spunti sulla necessità che il diritto “guidi” e “orienti” la tecnologia anche in A. PAJNO ET AL. AI: profili giuridici. Intelligenza Artificiale: criticità emergenti e sfide per il giurista, in BioLaw Journal, 3, 2019, 215. 268 federalismi.it - ISSN 1826-3534 |n.16/2020
per i governi e le autorità di regolamentazione»18. I c.d. Big Tech , come Facebook19, sono gli assoluti protagonisti della platform economy, in grado di esercitare un oligopolio economico e tecnologico; ma pur essendosi guadagnati l’appellativo di “BAADD” (Big, Anti-competitive, Addictive e Destructive to Democracy)20, persino loro si sono resi conto che occorre un maggior coinvolgimento dei decisori pubblici, ovvero regole chiare ed efficaci che offrano un certo grado di protezione agli interessi rilevanti – salvo dover stabilire quali siano questi interessi e in che modo perseguirli. Di contro, le norme giuridiche attualmente in vigore risultano frammentarie, lacunose, inadatte a fronteggiare le sfide lanciate dalle nuove tecnologie e, soprattutto, dall’IA21. La stessa Commissione europea, nel recente White paper “On Artificial Intelligence - A European approach to excellence and trust”, ha evidenziato la necessità di riformare la disciplina sovranazionale in chiave organica, per fronteggiare queste sfide22. Oggetto del presente contributo è un’analisi che metta in luce in che modo il diritto eserciti la propria pretesa regolatoria a fronte di alcune problematiche specifiche, sostanzialmente inedite, sollevate dall’IA e dai sistemi di decisione algoritmica. A questo scopo, verrà presa in considerazione una tra le fonti che, allo stato, offrono più organicamente una disciplina rilevante per l’IA, ovvero il nuovo regolamento (UE) 2016/679 (c.d. General Data Protection Regulation - GDPR), relativo alla privacy e alla protezione dei dati personali. In particolare, occorrerà innanzitutto offrire chiarimenti su alcuni concetti tecnici legati all’IA, oltre che ai sistemi e alle tecnologie che ne fanno impiego, allo scopo di sottolineare – come sopra anticipato – alcune implicazioni che presentano un immediato risvolto sul piano del diritto e che condizionano inevitabilmente l’adeguatezza e l’efficacia della disciplina giuridica. Dopo aver illustrato i motivi per cui il GDPR risulti particolarmente significativo per la regolazione dell’IA, e giustificata quindi la scelta di questa fonte come paradigmatica ai fini della presente analisi, si procederà a richiamare alcuni principi e regole che ne costituiscono i capisaldi, con l’obiettivo di ricostruire il grado di tutela offerta, le potenzialità e, soprattutto, i limiti di questa disciplina. L’obiettivo 18 Cfr. Mark Zuckerberg: The Internet needs new rules. Let’s start in these four areas, in The Washington Post, 30 marzo 2019: https://www.washingtonpost.com/opinions/mark-zuckerberg-the-internet-needs-new-rules-lets-start-in-these-four- areas/2019/03/29/9e6f0504-521a-11e9-a3f7-78b7525a8d5f_story.html?noredirect=on&utm_term=.60136b7a9be1 (ult. acc. 31.3.2020). 19 Si tratta delle americane GAFA, ovvero Google (e la collegata Alphabet), Amazon, Facebook ed Apple (cui si può aggiungere Microsoft e IBM), e delle cinesi BAT (Baidu, Alibaba e Tencent). 20 How to tame the tech titans, in The Economist, 18 gennaio 2018, disponibile su: https://www.economist.com/leaders/2018/01/18/how-to-tame-the-tech-titans (ult. acc. 31.3.2020). 21 Osserva C. SALAZAR, Umano troppo umano…o no?, in BioLaw Journal, 1, 2014, 257, come «le norme giuridiche già esistenti siano inadeguate e insufficienti per regolare in tutte le sue implicazioni l’interazione tra gli uomini e queste macchine, all’evidenza “diverse” da tutte le altre». 22 Cfr. EUROPEAN COMMISSION, White Paper “On Artificial Intelligence - A European approach to excellence and trust”, COM(2020) 65 final, 19.2.2020. 269 federalismi.it - ISSN 1826-3534 |n.16/2020
ultimo non è soltanto valutare l’adeguatezza di questa fonte, ma anche far emergere le specificità del fenomeno regolato e cogliere alcuni spunti presenti nella disciplina in vigore per affrontare le nuove questioni tecnologiche. 2. Tecnologie avanzate e problematiche inedite Quello dell’IA è un campo di studio e di ricerca oltremodo complesso, perché ne costituiscono una componente essenziale oltre che le metodologie e tecniche per l’elaborazione del linguaggio naturale, anche gli studi sui metodi probabilistici statistici, computazionali e simbolici, le scienze informatiche e la matematica, le neuroscienze e la psicologia, la linguistica e la filosofia, e via discorrendo23. Da ciò si intuisce come l’IA rappresenti una tematica sfuggente, che può essere approcciata da diverse prospettive, e che in ultima analisi – come chiarito da John McCarthy, colui che ha coniato il termine stesso di “IA” – non può che essere “messa in relazione con l’intelligenza umana”, perché “non possiamo descrivere in generale che tipo di procedure computazionali possiamo qualificare come intelligenti”24. Si tratta però di una forma di intelligenza – è stato detto – sempre più in grado di rivaleggiare con quella umana25. Senza voler entrare nel dibattito scientifico specialistico che da tempo si sforza di offrirne una definizione26, basti qui richiamare quanto stabilito convenzionalmente dall’High-Level Expert Group istituito dalla Commissione europea, secondo cui “i sistemi di IA sono software (e verosimilmente hardware) progettati da esseri umani che, dato un obiettivo complessivo, agiscono nella dimensione fisica o digitale percependo l’ambiente circostante attraverso l’acquisizione di dati, interpretando i dati strutturati o non strutturati raccolti, elaborando quanto acquisito, o processando le informazioni derivanti da questi dati, e decidono le migliori azioni da adottare per raggiungere l’obiettivo dato”27. L’IA rappresenta una sorta di “concetto ombrello”, che può coprire differenti soluzioni tecnologiche28. Ma alla base vi sono sempre gli algoritmi, ovvero quelle sequenze di istruzioni che dicono a un computer, in maniera precisa e univoca, quali operazioni effettuare per ottenere un certo risultato29. Sul punto, per iniziare a sottolineare i possibili rischi nell’utilizzo di sistemi di IA, occorre tenere a mente 23 U. PAGALLO, Intelligenza Artificiale e diritto. Linee guida per un oculato intervento normativo, in Sistemi intelligenti, 3, 2017, 615. 24 J. MCCARTHY, What is Artificial Intelligence?, 12 novembre 2007, disponibile su http://jmc.stanford.edu/artificial- intelligence/index.html (ult. acc. 31.3.2020). 25 L. ALEXANDRE, La guerra delle intelligenze, cit. 26 Basti rinviare al principale manuale introduttivo allo studio dell’IA, ove si fornisce un set di definizioni di IA, a seconda se riferite al pensiero o al comportamento umano e al pensiero o al comportamento razionale (delle macchine); cfr. S.J. RUSSELL, P. NORVIG, Intelligenza artificiale. Un approccio moderno, I, Pearson Prentice Hall, Milano-Torino, 2010, 4 ss. 27 Cfr. HIGH-LEVEL EXPERT GROUP ON ARTIFICIAL INTELLIGENCE, A definition of AI: main capabilities and disciplines, aprile 2019, traduzione nostra. 28 Cfr. R. CALO, Artificial Intelligence Policy: A Primer and Roadmap, in U.C.Davis L. Rev., 51, 2017, 405. 29 Cfr. C. TOFFALORI, C. BOLOGNA, Algoritmi. Raccontare la matematica, il Mulino, Bologna, 2015; P. DOURISH, Algorithms and their others: Algorithmic culture in context, 3, 2, in Big Data & Society, 2016. 270 federalismi.it - ISSN 1826-3534 |n.16/2020
come spesso accada che i dati processati dagli algoritmi non siano solamente dati diretti, bensì vengano utilizzati dati a loro volta prodotti da altri algoritmi, oppure dati vicarianti o indiretti (proxy). Il pericolo, in questo caso, è di minare l’accuratezza delle decisioni algoritmiche o distorcere la percezione della realtà che queste ultime presuppongono. Un ulteriore concetto che occorre introdurre, poi, è quello di big data; temine oramai di uso comune, ma che non indica solamente una quantità enorme di dati. Per offrirne una descrizione più accurata occorre fare riferimento ad una serie di caratteristiche, riconducibili alle famose tre “V”, ovvero “volume” dei dati raccolti, “varietà” delle fonti da cui vengono prodotti i dati, “velocità” di produzione e trattamento dei dati, cui si aggiunge anche “veridicità” dei dati e, soprattutto, “valore” che i big data sono oramai in grado di generare grazie alle tecniche di analisi (c.d. big data analytics) e che gli operatori, primi fra tutti i citati Big Tech, sono in grado di sfruttare30. Per afferrare l’importanza dei big data non si può prescindere da quel fenomeno di progressiva “datificazione” delle società, ovvero conversione dei processi vitali in flussi di dati da processare tramite computer e da mettere sul mercato31. Si comprende, dunque, perché i dati siano divenuti la “nuova valuta”32 dell’economia digitale, grazie alla quale i citati Big Tech sono riusciti ad ottenere un valore ben al di sopra del PIL di uno Stato sovrano33. Questo processo, inoltre, viene amplificato grazie all’Internet of Things (smartwatch, smart TV, domotica, ecc.) e all’ubiquitous computing, in cui ogni cosa e ogni persona è online e interconnessa ovunque tramite internet34. Già qui, però, occorre dar conto di una ulteriore problematica destinata a produrre immediate conseguenze sul piano giuridico, e che potrebbe essere riassunta con il passaggio “dalla causazione alla 30 Sulla complessità del concetto di “big data”, v. M. DELMASTRO, A. NICITA, cit., 26; D. LANEY, 3D data management: controlling data volume, velocity, and variety, in Technical report, META Group, 2001; M.C. CARROZZA ET AL., AI: profili tecnologici. Automazione e Autonomia: dalla definizione alle possibili applicazioni dell’Intelligenza Artificiale, in BioLaw Journal, 3, 2019, 241, che aggiungono la “variabilità”, secondo cui il contenuto dei dati muta di significato a seconda dell’analisi a cui è sottoposto. 31 N. COULDRY, J.YU, Deconstructing datafication’s brave new world, in New media & society, 2018, 1 ss. A riprova di questo fenomeno, osserva A. VESPIGNANI, L’algoritmo e l’oracolo. Come la scienza predice il futuro e ci aiuta a cambiarlo, Il Saggiatore, Milano, 2019, 52, come nel 1986 il 92% dei dati veniva immagazzinato in forma analogica, nel 2007 la cifra si è invertita, con il 94% delle informazioni custodite in digitale. 32 W.D. EGGERS, R. HAMILL, A. ALI, Data as currency. Government’s role in facilitating the exchange, in Deloitte Review, 13, 2013, 19 ss. 33 Si consideri che la somma dei titoli quotati a Wall Street di Google, Apple, Microsoft, Amazon e Facebook raggiunge un valore complessivo di borsa di 5,2 miliardi di dollari, pari al 18% dell’intero indice S&P500 e più dei Pil di Italia e Francia messi insieme; cfr. Google raggiunge Apple e Microsoft nel club dei mille miliardi. Ma la corsa dei big tech potrebbe essere finita, in Business Insider Italia, 22 gennaio 2020, disponibile su: https://it.businessinsider.com/google-raggiunge-apple-e- microsoft-nel-club-dei-mille-miliardi-ma-la-corsa-dei-big-tech-potrebbe-essere-finita/ (ult. acc. 31.3.2020). 34 Di una «straordinaria lente di ingrandimento in grado di rendere visibili e osservabili realtà fisiche, sociali e ambientali cui fino ad ora non avevamo accesso» parla C. ACCOTO, Il mondo dato. Cinque brevi lezioni di filosofia digitale, Egea, Milano, 2017, cit., 38. V. anche A. GREENFIELD, Everyware. The dawning age of ubiquitous computing, New Riders, Berkeley, 2006. 271 federalismi.it - ISSN 1826-3534 |n.16/2020
correlazione”35. Le data analytics si fondano su tecniche di correlazione induttiva e di inferenza probabilistica che prescindono completamente dalla “comprensione” del dato processato. Invece di ricercare il nesso di causazione tra i dati, gli algoritmi sono in grado di scoprire schemi e correlazioni all’interno di enormi quantità di dati a partire dalla loro frequenza statistica, senza che vi sia alcun bisogno di capire o spiegare il senso dei dati in questione o il loro nesso causa-effetto con altri dati. Il passaggio descritto, inoltre, segna anche il conferimento di una forte capacità predittiva da parte di questo tipo di algoritmi, fondata sulle correlazioni rintracciate e sulla probabilità, verificata a partire dall’analisi di enormi quantità di dati, che esse possano ripetersi in futuro in presenza di dati e condizioni di partenza analoghe. Un esempio significativo è offerto dal servizio Google Flu lanciato nel 2009, con cui Google si dichiarava capace di prevedere la diffusione di virus influenzali con largo anticipo rispetto alle autorità pubbliche, basandosi esclusivamente sulle informazioni che i cittadini raccolgono entro una determinata area grazie al suo motore di ricerca e alla correlazione statistica che a certe malattie corrispondano determinate ricerche su internet36. È un approccio epistemologico che capovolge, quindi, secoli di pratiche di conoscenza e che sfida i metodi umani di comprensione su come assumere decisioni e comprendere la realtà37. Si è giunti persino a pronosticare la “fine della teoria”, o l’obsolescenza dei metodi scientifici, dal momento che “con un numero sufficiente di dati, le cifre parlano da sole”38. Altro portato dell’evoluzione tecnologica sono i sistemi algoritmici più avanzati che vengono sviluppati in parallelo al diffondersi dei big data. Si tratta, innanzitutto, del machine learning, o apprendimento automatico, ovvero quei processi con cui “si istruiscono i computer a imparare”39. Con questa tecnologia i computer non si limitano a elaborare istruzioni, ossia regole predeterminate con condizioni fisse su come realizzare certi obiettivi in determinati modi, ma imparano da soli a svolgere il proprio compito a partire dai dati e dall’esperienza40. Il machine learning si basa sul riconoscimento di schemi 35 V. MAYER-SCHÖNBERGER, K. CUKIER, Big Data: A Revolution that will Transform How We Live, Work and Think, John Murray, London, 2013, 6 ss.; M. EBERS, Regulating AI and Robotics: Ethical and Legal Challenges, in M. EBERS, S. NAVAS NAVARRO (a cura di), Algorithms and Law, Cambridge University Press, Cambridge, in corso di pubblicazione, 2020, 10. 36 Detecting influenza epidemics using search engine query data, in Nature, 19 febbraio 2009, disponibile su: https://www.nature.com/articles/nature07634 (ult. acc. 31.3.2020). 37 Cfr. V. MAYER-SCHÖNBERGER, K. CUKIER, Big Data: A Revolution that will Transform How We Live, Work and Think, cit., 7, che riassumono questo passaggio con “non knowing why but only what”. 38 C. ANDERSON, The End of Theory: the Data Deluge Makes the Scientific Method Obsolete, in Wired Magazine, 23 giugno 2008, disponibile su: https://www.wired.com/2008/06/pb-theory/ (ult. acc. 31.3.2020). 39 B. BUCHANAN, T. MILLER, Machine Learning for Policymakers. What It Is and Why It Matters, Harvard Kennedy School, Belfer Center for Science and International Affairs, Paper, giugno 2017. 40 A. VESPIGNANI, L’algoritmo e l’oracolo, cit., 65 ss.; A. SIMONCINI, S. SUWEIS, Il cambio di paradigma nell’intelligenza artificiale e il suo impatto sul diritto costituzionale, in Riv. Int. Fil. Dir., 1, 2019, 90 ss. Sulle diverse tipologie di machine learning con apprendimento supervisionato, non supervisionato e per rinforzo, v. M.A. BODEN, L’Intelligenza Artificiale, il Mulino, Bologna, 2019, 47 s. 272 federalismi.it - ISSN 1826-3534 |n.16/2020
(patterns), o sottoschemi, all’interno di dati non strutturati utilizzati per allenare gli algoritmi (training), e su meccanismi predittivi basati sulla comparazione di nuovi dati con gli schemi riconosciuti in precedenza, allo scopo di rintracciare eventuali ricorrenze41. Un esempio diffuso è offerto dai filtri antispam delle caselle e-mail, che imparano da soli a capire quali mail sono spam indesiderati attraverso il riconoscimento di schemi ricorrenti, come singole parole o strutture lessicali. Il machine learning, poi, ha trovato grande sviluppo grazie al supporto offerto dalle reti neurali artificiali, o artificial neural network (ANN), ovvero sistemi di elaborazione delle informazioni basati su una struttura fisica e su una logica di funzionamento del tutto diverse da quelle dei computer classici. La ANN, infatti, presenta una architettura computazionale che si basa sul modello del sistema nervoso ed è ispirata al paradigma connessionistico proprio delle reti neurali e del cervello umano42. Questa diversa struttura apre ad alcuni vantaggi non trascurabili: da una parte, le ANN presentano una maggior flessibilità e non si limitano a risolvere problemi specifici, ma possono arrivare a risolvere qualsiasi classe di problema43; dall’altra, il sistema apprende autonomamente dai propri errori, grazie al tipo e al “peso” delle connessioni che si instaurano tra i “neuroni” della rete, sfruttando le tecniche di machine learning44. Di conseguenza, però, il funzionamento delle ANN è molto complesso, per cui diviene estremamente difficoltoso risalire in termini comprensibili per l’uomo al procedimento logico che ha portato ad una determinata soluzione. Con riguardo a machine learning e artificial neural network, però, emerge una ulteriore problematica, e cioè che le macchine si stanno rendendo sempre più autonome rispetto agli esseri umani 45. L’IA, infatti, è sempre più in grado di agire in maniera imprevedibile, in relazione – come detto – alla attitudine ad imparare direttamente dai dati, alla capacità predittiva, o all’incapacità umana di ricostruire la linea di ragionamento seguita dall’IA. L’essere umano, quindi, trova sempre più difficile esercitare un controllo su queste tecnologie e i loro processi decisionali. Tale controllo, inoltre, è reso ancora più difficoltoso dal fenomeno della c.d. “black box”, con il quale vengono celate le scelte presupposte alla costruzione degli algoritmi o le logiche in essi trasfuse (ad 41 Analogamente M. VAN OTTERLO, A machine learning view on profiling, in M. HILDEBRANDT, K. DE VRIES (a cura di), Privacy, Due Process and the Computational Turn-Philosophers of Law Meet Philosophers of Technology, Routledge, Abingdon, 2013, 46. 42 M. TEGMARK, Vita 3.0. Essere umani nell’era dell’intelligenza artificiale, Raffaello Cortina Editore, Milano, 2018, 107. In sostanza, una ANN è costituita da una rete in cui molteplici unità computazionali sono interconnesse e distribuite in parallelo, di modo che ciascuna unità è in grado di ricevere segnali da diverse altre unità e risolvere problemi complessi. Le ANN poi sono solitamente strutturate su più strati di unità interconnesse, in modo che il primo strato di unità acquisisce gli input, uno o più strati intermedi lo elaborano, mentre l’ultimo strato rilascia l’output; cfr. A. VESPIGNANI, L’algoritmo e l’oracolo, cit., 69 ss. 43 S. BEDESSI, Intelligenza artificiale e fenomeni sociali. Previsioni con le reti neurali, Maggioli, Santarcangelo di Romagna, 2019, 10 ss. 44 M.A. BODEN, L’Intelligenza Artificiale, cit., 82. 45 L. FLORIDI, J.W. SANDERS, On the Morality of Artificial Agents, in Minds and Machines, 14, 3, 349 ss. 273 federalismi.it - ISSN 1826-3534 |n.16/2020
esempio, i dati utilizzati per allenarli, le variabili utilizzate, ecc.), per rendere così imperscrutabili all’esterno gli interessi delle imprese private e l’uso effettivo che viene fatto dei dati46. Ulteriore conseguenza nascente dalla diffusione di queste tecnologie, inoltre, è l’assottigliamento del confine tra sfera pubblica e sfera privata, legato alle già richiamate tecniche di profilazione. Non si tratta solamente del rischio che comportamenti privati possano più facilmente essere resi pubblici, come avviene grazie alla miriade di dispositivi dotati di sensori – grazie al già citato Internet of Things – in grado di captare e trasmettere ad altri soggetti dati sulle nostre abitudini e comportamenti privati47. È che singoli comportamenti “neutrali” possono acquisire una rilevanza molto più ampia rispetto al contesto in cui sono stati assunti. Ogni forma di interazione, specie su internet, viene tracciata. Vi sono complessi algoritmi che – anche in forza della citata capacità di correlazione statistica – organizzano i dati così raccolti entro gruppi o categorie (clustered), basati su comportamenti, preferenze o altre caratteristiche parziali, andando a costruire profili personali. Le decisioni che riguardano singoli individui, poi, possono essere prese non sulla base delle peculiarità del singolo, bensì a partire dal profilo entro cui essi sono ricondotti, ovvero in termini di inferenze e deduzioni legate alla categoria cui l’individuo appartiene o – come avviene sempre più spesso, anche grazie alla capacità predittiva degli algoritmi – presumibilmente esso può appartenere48. Il fatto di essere classificato entro un gruppo, quindi, è ragione sufficiente per trarre conseguenze rilevanti circa il singolo. Ne deriva che, grazie alla disponibilità di enormi quantità di informazioni riferite alla popolazione in generale e alle tecniche di big data analytics, le imprese o i governi possono indovinare le preferenze e anticipare i comportamenti dei singoli con una efficacia inimmaginabile rispetto al passato49. Le stesse tecnologie, inoltre, consentono di rintracciare le impronte digitali lasciate dagli utenti (c.d. data fingerprints) su qualunque tipologia di dato, tramite tecniche di combinazione di dati parziali con le quali, da una sfera di dati (anonimi, personali e non) è possibile risalire con un’altissima probabilità al loro specifico titolare50. La letteratura informatica ha quindi dimostrato come l’idea di “anonimizzazione perfetta” sia oramai un mito e come vi siano molteplici soluzioni tecnologiche per re-identificare dati resi anonimi51. 46 Cfr. l’oramai classico F. PASQUALE, The Black Box Society. The Secret Algorithms That Control Money and Information, Harvard University Press, Cambridge-London, 2015. 47 C.J. BENNETT, R.M. BAYLEY, Privacy Protection in the Era of ‘Big Data’: Regulatory Challenges and Social Assessments, in B. VAN DER SLOOT, D. BROEDERS, E. SCHRIJVERS (a cura di), Exploring the Boundaries of Big Data, Amsterdam University Press, The Hague/Amsterdam, 2016, 210. 48 Ibidem. 49 R. CALO, Artificial Intelligence Policy: A Primer and Roadmap, cit., 421. 50 P. OHM, Broken Promises Of Privacy: Responding to the Surprising Failure of Anonymization, in Ucla Law Review, 57, 2010, 1701 ss. 51 O. ANGIULI ET AL., How to De-Identify Your Data, in Communications of the ACM, 58, 12, 2015, 48 ss.; I. RUBINSTEIN, W. HARTZOG, Anonymization and Risk, in Washington Law Review, 91, 2016, 703 ss. 274 federalismi.it - ISSN 1826-3534 |n.16/2020
Se questo è lo stato dell’arte, occorre adesso interrogarsi su come il diritto intenda fronteggiare problematiche per lo più inedite, come quelle citate. La pretesa è evitare che la tecnica possa diventare «il principio ordinatore di ogni materia, la volontà che regola ogni altra volontà»52, quanto piuttosto consentire al diritto di esercitare quella funzione tipica di argine con cui indirizzare, e se del caso limitare, l’evoluzione tecnologica per poter tutelare determinati interessi e valori53. 3. Il GDPR come argine normativo fondamentale nei confronti dell’IA: critiche generali e insufficienze particolari Con il presente contributo non è certo possibile fare riferimento al complesso di tutte le regole giuridiche che possono interessare l’IA. Con una prospettiva più limitata, si è deciso di escludere tanto le normative specifiche riferite alle applicazioni settoriali che ricevono le tecniche di IA 54, quanto le discipline a carattere strumentale55, per concentrarsi invece sui principi e le regole che, più direttamente e in maniera sistematica, si appuntano sulle problematiche sopra richiamate, offrendo così protezione ad interessi di immediato rilievo costituzionale. Stante la normativa in vigore, quindi, l’analisi non può che avere come termine di paragone il regolamento (UE) 2016/679 (c.d. General Data Protection Regulation - GDPR), il quale – come si dirà a breve – presenta alcune caratteristiche che lo rendono un riferimento obbligato per qualsiasi sistema di IA. Il GDPR, innanzitutto, contiene una disciplina a carattere sovranazionale che, in quanto contenuta in un regolamento, e a differenza della precedente direttiva 95/46/CE56, si impone direttamente agli Stati membri ed è in grado di travalicare i rispettivi perimetri territoriali57. In questo si tratta di una disciplina 52 Come riferisce invece Severino in N. IRTI, E. SEVERINO, Dialogo su diritto e tecnica, Laterza, Roma-Bari, 2001, 27. 53 Come suggerisce invece L. MENGONI, Diritto e tecnica, in Riv. trim. dir. proc. civ., 2001, 7. Per una aspra critica, invece, all’erompere della tecnica come espressione di puro potere, fine a se stesso, che svuota il diritto riducendolo a pura forma asservita ad esso, v. G. AZZARITI. Diritto e conflitti. Lezioni di diritto costituzionale, Laterza, Roma-Bari, 2010, 198 ss. 54 Si pensi, nel caso dei mercati finanziari, alla direttiva 2014/65/UE, che impone determinati obblighi e cautele agli operatori che effettuano “negoziazioni algoritmiche” (art. 17); oppure, nel caso della sicurezza aerea, al regolamento (UE) 2018/1139, che affronta questioni come la registrazione, la certificazione e le regole generali di condotta degli operatori che utilizzano droni. 55 Come nel caso della disciplina sui brevetti, riconducibile alla European Patent Convention, o sul copyright, di cui alla direttiva (UE) 2009/24/CE del 23 aprile 2009 relativa “alla tutela giuridica dei programmi per elaboratore”. 56 Sottolinea F. PIZZETTI, La protezione dei dati personali e le sfide dell’Intelligenza Artificiale, in F. PIZZETTI ET AL., Intelligenza artificiale, protezione dati personali e regolazione, Giappichelli, Torino, 2018, 5 ss., come il GDPR segni il passaggio da una disciplina, formulata tramite direttiva, volta ad armonizzare la legislazione degli Stati membri per assicurare la libera circolazione dei dati personali all’interno della CEE, alla necessità di dare attuazione al diritto fondamentale alla protezione dei dati personali, riconosciuto dall’art. 8 della CFDUE e dall’art. 16 del TFUE, oltre che a garantire la libera circolazione dei dati (art. 1, par. 1). Più in generale, v. anche S. CALZOLAIO, Protezione dei dati personali, in Dig. Disc. Pubbl., Agg., 2017, 594 ss. 57 V. art. 3 per la disciplina sull’ambito di applicazione territoriale del GDPR, che copre le ipotesi di trattamento in cui il titolare o il responsabile sono stabiliti nell’UE, oppure, a certe condizioni, in cui i dati personali sono riferiti a persone che si trovano nell’UE. La questione del perimetro di applicazione è comunque controversa, come dimostra anche la sentenza CGUE nella causa C-507/17 Google LLC c. Commission nationale de l’informatique et des libertés (CNIL), 275 federalismi.it - ISSN 1826-3534 |n.16/2020
che va incontro alle esigenze di “sovraterritorialità” che le nuove tecnologie impongono a causa della propria diffusione e sfruttamento, entrambe ben al di là dei confini propriamente giuridici58. Sebbene questa fonte si appunti solamente sulla protezione dei dati personali59, il riferimento ad essa nell’analisi proposta non dovrebbe rivelarsi una forzatura. Dalla disciplina rivolta ai dati personali, infatti, è ben possibile estrapolare principi attinenti ai dati tout court, in quella prospettiva “dinamica”60 che accompagna la circolazione e l’utilizzo dei dati. Inoltre, molti dei dati processati dai meccanismi decisionali di IA che rilevano ai fini del presente contributo sono qualificabili propriamente come personali, e dunque il GDPR rappresenta necessariamente un argine fondamentale nei confronti di queste tecnologie. La stessa nozione di “privacy”, in aggiunta, ha subito una lunga evoluzione – quasi è stata “reinventata”61 – giungendo ad offrire garanzia alla “protezione del dato”, da tenere distinta rispetto alla stessa “privacy”62, e a garantire un più generale controllo sull’informazione63. del 24 settembre 2019, ove si stabilisce che il gestore di un motore di ricerca non è tenuto a effettuare la deindicizzazione in tutte le versioni del suo motore di ricerca, ma solo in quelle corrispondenti agli Stati membri. Sul punto cfr. O. POLLICINO, L’ ‘‘autunno caldo’’ della Corte di giustizia in tema di tutela dei diritti fondamentali in rete e le sfide del costituzionalismo alle prese con i nuovi poteri privati in ambito digitale, in Federalismi.it, 19, 2019, 1 ss., anche per ulteriori spunti giurisprudenziali. 58 Di «questione eminentemente transnazionale, e come tale difficilmente ricomponibile ricorrendo alla tradizione giuridica singolo-nazionale», parla A. VENANZONI, Intersezioni costituzionali – Internet e Intelligenze Artificiali tra ordine spontaneo, natura delle cose digitale e garanzia dei diritti fondamentali, in Forum di Quaderni Cost., 27 aprile 2018, 4. 59 Che il GDPR si riferisca alla protezione delle persone fisiche con riguardo alla protezione dei dati personali si ricava subito dall’art. 1, par. 1. Per una definizione di “dato personale” v. art. 4, par. 1, n. 1. 60 Da un approccio “statico” della tutela della privacy, secondo una accezione “negativa” volta ad escludere le interferenze di terzi, si è passati ad un approccio “dinamico”, in cui cioè la tutela segue i dati nella loro circolazione; così S. RODOTÀ, Il diritto di avere diritti, Laterza, Roma-Bari, 2012, 397 s., con uno spunto ripreso anche da C. COLAPIETRO, A. IANNUZZI, I principi generali del trattamento dei dati personali e i diritti dell’interessato, in L. CALIFANO, C. COLAPIETRO (a cura di), Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Editoriale Scientifica, Napoli, 2017, 87. Si tratta di un passaggio quanto mai necessario, alla luce delle politiche europee più recenti volte ad istituire un Single Digital Market entro cui venga garantito il “free flow” di dati; v. la EUROPEAN COMMISSION, Communication “A Digital Single Market Strategy for Europe” SWD(2015) 100 final, 6 maggio 2015. 61 S. RODOTÀ, Il diritto di avere diritti, cit., 319 ss. 62 Sebbene vi siano diversi aspetti di sovrapposizione, il diritto alla privacy non coincide con i diritti derivanti dalla tutela dei dati personali; cfr. P. DE HERT, S. GUTWIRTH, Data protection in the case law of Strasbourg and Luxemburg: constitutionalisation in action, in S. GUTWIRTH, Y. POULLET, P.D. HERT, J. NOUWT, C.D. TERWANGNE (a cura di), Reinventing data protection?, Springer, Berlino, 2009, 3 ss., anche per numerosi riferimenti giurisprudenziali sul punto. 63 Cfr. S. RODOTÀ, Il diritto di avere diritti, cit., 396, ma anche, al di fuori dell’Europa, R. CALO, Artificial Intelligence Policy: A Primer and Roadmap, cit., 420. Come noto, si è partiti dalla definizione convenzionale della privacy come «diritto ad essere lasciato solo», inteso come diritto di escludere terzi dalla conoscenza di propri fatti e opinioni, secondo la prima nota ricostruzione riconosciuta a L. BRANDEIS, S. WARREN, The Right to Privacy, in Harvard Law Review, 4, 5, 1890, 193 ss. Il concetto ha poi acquisito altre valenze, come il potere di controllare l’uso che gli altri fanno delle informazioni che mi riguardano, secondo l’elaborazione in A.F. WESTIN, Privacy and Freedom, New York, Athenum, 1970. Sino alla c.d. autodeterminazione informativa, intesa come possibilità di escludere dalla propria sfera privata messaggi e dati provenienti da terzi, a partire dalle informazioni in ambito sanitario che riguardano il diretto interessato, per la quale basti rinviare a L. CHIEFFI, La tutela della riservatezza dei dati sensibili: le nuove frontiere europee, in L. CALIFANO, C. COLAPIETRO (a cura di), Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, cit., spec. 226 ss., ma anche L. CALIFANO, Privacy: affermazione e pratica di un diritto fondamentale, Editoriale Scientifica, Napoli, 2016, spec. 96 ss. Più in generale, sulla cultura giuridica della privacy nel nostro ordinamento, cfr. S. SCAGLIARINI, In tema di privacy: virtù e vizi della cultura giuridica, in Ars Interpretandi, 1, 2017, 49 ss. 276 federalismi.it - ISSN 1826-3534 |n.16/2020
Infine – come si vedrà meglio nel prosieguo – il GDPR, nel disciplinare il trattamento dei dati personali, reca direttamente protezione a valori e diritti di rango costituzionale, oppure contiene una disciplina presupposta a questo scopo64. Se questi sono alcuni degli elementi che consentono di valorizzare il GDPR in una prospettiva regolatoria dell’IA, non bisogna tuttavia sottacere i limiti per i quali la relativa disciplina, di per sé sola e nella sua attuale formulazione, non pare adatta a fronteggiare pienamente le violazioni dei diritti fondamentali perpetrabili dai sistemi di IA. La raccolta, l’elaborazione, la conservazione e l’utilizzo di dati tramite queste tecnologie, a partire dai dati personali, sollevano rischi nuovi e quasi sconosciuti cui la disciplina europea non si dimostra del tutto all’altezza65. Per dare conto di alcune criticità che, in generale, solleva l’attuale impianto di fondo del GDPR, si consideri innanzitutto come il riferimento ai soli “dati personali” rappresenti anche un limite, visto che – come riferito sopra – la distinzione tra dato personale e dato non personale, come tra sfera pubblica e privata, è divenuta molto labile alla luce delle nuove tecnologie. Non è chiaro, dunque, se i principi portanti del GDPR si applichino anche ai dati e alle informazioni derivanti dalla elaborazione dei dati personali tramite big data analytics, specialmente dopo che si è tentato di anonimizzarli o sono stati trasformati in profili di gruppo66. La disciplina europea, inoltre, tutela il dato personale guardando alla nozione di “interessato” ben determinato, i cui dati sono oggetto di “trattamento”67. Nell’epoca dell’IA, però, il dato è continuamente oggetto di circolazione e trasformazione, per cui qualsiasi persona fisica, in qualunque momento, può diventare potenzialmente oggetto di trattamento e perciò interessata alla tutela dei propri dati, ma sempre più difficilmente riconducibile alla tutela del GDPR68. Ancora, il GDPR è destinato a proteggere il singolo interessato, ma non il gruppo, il quale non è riconosciuto come titolare del diritto alla protezione dei dati69. Eppure, come detto, big data analytics e machine learning operano trattando non semplicemente il dato del singolo individuo, ma cluster di dati in forma aggregata. Anche da questo punto di vista la potata precettiva del regolamento europeo si rivela 64 Questo è il motivo per cui non verrà preso in considerazione neppure il regolamento (UE) 2018/1807 relativo alla libera circolazione dei dati non personali. 65 Giudizio condiviso, ad esempio, da T.Z. ZARSKY, Incompatible: The GDPR in the Age of Big Data, in Seton Hall Law Review, 47, 2017, 995 ss.; V. MAYER-SCHÖNBERGER, Y. PADOVA, Regime Change? Enabling Big Data through Europe’s New Data Protection Regulation, in The Columbia Science & Technology Law Review, 17, 2016, 315 ss.; L. MITROU, Data Protection, Artificial Intelligence and Cognitive Services. Is the General Data Protection Regulation (GDPR) “Artificial Intelligence-Proof”?, in SSRN, aprile 2019; G. DE MINICO, Big Data e la debole resistenza delle categorie giuridiche. Privacy e lex mercatoria, in Dir. pubbl., 1, 2019, 93. 66 I.S. RUBINSTEIN, Big Data: The End of Privacy or a New Beginning?, in International Data Privacy Law, 3, 2, 2013, 78. 67 Art. 1, par. 1, del GDPR. 68 F. PIZZETTI, La protezione dei dati personali e le sfide dell’Intelligenza Artificiale, cit., 40 ss. 69 L. TAYLOR, L. FLORIDI, B. VAN DER SLOOT (a cura di), Group Privacy: New Challenges of Data Technologies, Springer, Dordrecht, 2017. 277 federalismi.it - ISSN 1826-3534 |n.16/2020
troppo limitata. Ulteriore punto debole del regolamento, nella prospettiva tecnica di costruzione dei sistemi di IA, deriva dalla sola applicabilità alla fase di sviluppo del sistema, al momento cioè di raccolta e utilizzo dei dati per “allenare” gli algoritmi e generare il modello di machine learning, e, a certe condizioni, quando il sistema opera per assumere decisioni riguardanti gli individui nella fase del trattamento. Non trova applicazione, invece, nella fase intermedia e cruciale di elaborazione dei dati, come ad esempio all’interno di una rete neurale artificiale, una volta cioè che il sistema di IA è stato costruito ma prima che questi assuma decisioni70. Il GDPR non è del tutto silente con riguardo agli aspetti indicati, poiché prevede espressamente una disciplina relativa alla “profilazione”, intesa come «qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica» a scopo di analisi o predizione71. Il Gruppo di lavoro “Articolo 29”, nelle sue linee guida, ha anche puntualizzato che la profilazione ha lo scopo di includere i soggetti «in una determinata categoria o gruppo»72. Tuttavia, anche qui, e come emergerà ancora più puntualmente guardando ai singoli principi contenuti nel GDPR, la disponibilità di tecnologie di big data analytics non può che indebolire le misure e le distinzioni di fondo delineate dalla disciplina europea. 3.1. Il principio di limitazione delle finalità Tra i principi del GDPR che assumono maggiore rilievo nei confronti dell’IA vi è il principio di “limitazione delle finalità”. Quale sviluppo della Carta di Nizza73, l’art. 5 del GDPR stabilisce che i dati personali devono essere «raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità»74. In sostanza, con tale previsione si richiede la definizione di uno scopo preciso al momento della raccolta 70 Cfr. M. EBERS, Regulating AI and Robotics: Ethical and Legal Challenges, cit., 24. F. PIZZETTI, La protezione dei dati personali e le sfide dell’Intelligenza Artificiale, cit., 42 ss. 71 Art. 4, par. 1, n. 4, del GDPR, secondo cui, più precisamente, il trattamento ha lo scopo di «analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica». 72 GRUPPO DI LAVORO ARTICOLO 29, Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679, 6 febbraio 2018, 8, ove si stabilisce più precisamente che la profilazione consiste «nella raccolta di informazioni su una persona (o un gruppo di persone) e nella valutazione delle loro caratteristiche o dei loro modelli di comportamento al fine di includerli in una determinata categoria o gruppo, in particolare per analizzare e/o fare previsioni, ad esempio, in merito a: capacità di eseguire un compito; interessi, o comportamento probabile». 73 L’art. 8, parr. 1 e 2, della Carta dei Diritti Fondamentali dell’Unione Europea stabilisce che «ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano» e «tali dati devono essere trattati [...] per finalità determinate». 74 Art. 5, par. 1, lett. b, del GDPR. 278 federalismi.it - ISSN 1826-3534 |n.16/2020
dei dati e che i dati non siano riutilizzati per altro scopo incompatibile con la finalità originaria75. Similmente a quanto accadeva nella precedente direttiva, l’enunciato si compone di due parti, ovvero il riferimento alle “finalità determinate” al momento della raccolta e all’“uso compatibile” del trattamento76. Il regolamento proibisce così il riutilizzo arbitrario dei dati e ne consente invece un nuovo utilizzo purché sia «compatibile con le finalità per la quale i dati personali sono stati raccolti», indicando allo scopo una serie di condizioni in assenza delle quali occorre chiedere un nuovo consenso o ricorrere ad una diversa base legale77. La finalità del principio, quindi, è di consentire ai titolari di godere della libertà di autodeterminazione sui propri dati, di esercitare su di essi una qualche forma di controllo, di ridurre la possibilità che siano lesi i propri diritti e le libertà, di limitare i possibili danni derivanti dalla violazione dei dati, come ad esempio a seguito di attacchi hacker, promuovendo al contempo la fiducia nei confronti del trattamento dei dati e della concorrenza tra attività economiche che vi fanno ricorso78. Garantire questo principio nell’epoca dei big data, tuttavia, risulta sempre più difficile, costoso, e talvolta impossibile. Il GDPR – come detto – indica espressamente una serie di criteri da rispettare per arginare il riutilizzo arbitrario dei dati e per rendere espliciti i casi di incompatibilità con le finalità per le quali sono stati inizialmente raccolti. Il rispetto di tali criteri, tuttavia, tende ad essere eluso dalle tecniche di big data analytics. Queste ultime, infatti, implicano metodi di raccolta dei dati, elaborazione e costruzione di schemi, che sia il titolare del trattamento, sia l’individuo cui appartengono i dati non possono nemmeno immaginare al momento della raccolta79. Accanto ad un “uso primario” dei dati, legato al loro sfruttamento per rispondere direttamente alle esigenze per cui vengono collezionati, vi è un “uso secondario” che nella data driven economy disvela il “valore opzionale” dei dati, di cui non è possibile conoscere preventivamente l’esistenza e la consistenza80. Il principio in questione, allo stesso tempo, rischia di produrre un ulteriore effetto indiretto che può portare ad un limite nella ricerca e sviluppo dell’IA. Si tratta del rafforzamento del regime oligopolistico dei Big Tech, i quali hanno già ottenuto legittimamente accesso ai dati e, sfruttando le tecniche di big data 75 N. FORGÓ, S. HÄNOLD B. SCHUT̈ ZE, The Principle of Purpose Limitation and Big Data, in M. CORRALES, M. FENWICK, N. FORGÓ (a cura di), New Technology, Big Data and the Law, Springer, Singapore, 2017, 20. 76 Ivi, 33 ss., anche per una ricostruzione dell’evoluzione storica della normativa UE sul punto. 77 Art. 6, par. 4 GDPR. Si fa riferimento ad una valutazione di “compatibilità delle finalità”, che guarda a fattori come il nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto; il contesto in cui i dati personali sono stati raccolti; la natura dei dati personali; le possibili conseguenze dell’ulteriore trattamento previsto per gli interessati; l’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione. Sul punto si veda anche il considerando 50 e GRUPPO DI LAVORO ARTICOLO 29, Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679, cit., 12. 78 T.Z. ZARSKY, Incompatible: The GDPR in the Age of Big Data, cit., 1007. 79 L. MITROU, Data Protection, Artificial Intelligence and Cognitive Services. Is the General Data Protection Regulation (GDPR) “Artificial Intelligence-Proof”?, cit., 46 ss. 80 M. DELMASTRO, A. NICITA, Big data, cit., 27. 279 federalismi.it - ISSN 1826-3534 |n.16/2020
Puoi anche leggere
