Linee guida sulla protezione dei dati e l'intelligenza artificiale: come tutelare la privacy nell'era digitale?

Come è già stato evidenziato nel focus relativo alla Carta etica europea sull'uso dell'AI nei sistemi giudiziari e sul loro sviluppo, le problematiche maggiori sono connesse alla possibile lesione dei diritti fondamentali ed in primis alla tutela della privacy.

Infatti la digitalizzazione dei dati e lo sviluppo del web hanno sollevato dubbi e problemi connessi alla tutela ed alla sicurezza dei dati sensibili che hanno spinto il Comitato dei Ministri del Consiglio d'Europa (COE) a modernizzare la Convenzione 108 sulla privacy e a creare appositi organi consultivi che hanno elaborato queste Linee guida per orientare gli sviluppatori e gli utilizzatori nell'affrontare la gestione di queste moderne tecnologie.

Il Comitato dei Ministri del Consiglio d'Europa nel 1981 adottò la Convenzione 108 sulla tutela dei dati personali, sostanzialmente sovrapponibile alle norme comunitarie e nazionali in materia. La recente e sempre più avanzata evoluzione di nuove tecniche e forme di comunicazione, lo sviluppo della rete e la necessità di equo bilanciamento delle libertà di espressione, opinione ed informazione (attiva e passiva) con i diritti fondamentali e la tutela del copyright (c.d. libertà del web) e soprattutto il sempre più crescente impiego di programmi di intelligenza artificiale, in continua modernizzazione, nei sistemi giudiziari, hanno fatto sorgere nuovi scenari e problemi che hanno portato alla modernizzazione della stessa attraverso la Convenzione 108 +.

Per dare ulteriore risposta e cercare soluzioni a questi interrogativi è stato creato dal Comitato dei Ministri del Consiglio d'Europa il Comitato consultivo della Convenzione per la protezione dei dati e quello sulla protezione delle persone rispetto al trattamento automatizzato dei dati.

Questa riforma è stata decisa dalla Raccomandazione del Comitato dei ministri del COE n. 2/18 ed è aperta alle sottoscrizioni da fine giugno 2018: è speculare, contemporanea e complementare al GDPR del 2016, approvato dall'UE, espressamente richiamato nel suo testo.

Ciò che rileva maggiormente rispetto ad altre analoghe leggi nazionali ed internazionali è non tanto il ribadire il ruolo centrale degli Stati membri nel tutelare questo diritto nella sua ampia accezione ex art. 8 Cedu (la privacy, non solo riguarda la sfera privata, lavorativa, sociale di un individuo, ma soprattutto è l'espressione più alta del rispetto della dignità umana) e l'autodeterminazione sia dell'interessato che dell'utilizzatore dei dati, nel caso di impiego di AI, quanto, per la prima volta, in base alla mia conoscenza, esamina i classici problemi dell'equo bilanciamento tra riservatezza e le suddette libertà, il diritto di accesso ai dati, alla luce delle nuove norme e della prassi, dello scambio e del trattamento automatizzato in rete (informazioni scambiate sul web, social etc.) ed attraverso l'AI: in breve si occupano della tutela della privacy digitale.

La parte introduttiva con le note esplicative ed il commento alla 108 + evidenzia come lo sviluppo della rete e delle nuove forme e tecniche di comunicazione, sotto cui può essere sussunta anche l'AI, porti alla necessità di una maggiore cooperazione tra gli Stati e l'adozione di norme ad hoc per proteggere i diritti alla riservatezza (nell'accezione sopra descritta) degli interessati bilanciandoli equamente col flusso di dati transfrontalieri e con lo sviluppo della rete.

Uno dei primi esempi di trattamento di questi problemi si è avuto con le sentenze della CGUE cc.dd. Google Spain ( EU: C: 2014: 317), sul diritto all'oblio e Safe Harbour e della CEDU:Delfi AS c. Estonia [GC] del 2015 ed Egill Einarsson c. Islanda del 7/11/17 sulla responsabilità dei providers e degli utenti nella diffamazione online e sui social networks.
L'art. 3 Convenzione 108+ (campo di applicazione), per la prima volta espressamente prevede la tutela dei dati connessi alle “attività personali e domestiche”.

Un tragico esempio di una violazione degli stessi, nonché, del domicilio digitale e della segretezza della corrispondenza, si è riscontrato nella decisione Khadija Ismayilova c. Azerbaijan del 10 gennaio 2019.

Nello stesso art. 3 si affronta la questione della tutela laddove questi dati vengono diffusi, tramite la rete, servizi di comunicazione e social networks. A tal proposito devono essere applicate tutte le misure e le garanzie di sicurezza previste per il trattamento dei dati rivolti al pubblico.

Nella riforma in esame non c'è un vero e proprio riferimento all'AI ed all'uso automatizzato dei dati, bensì solo riferimenti indiretti agli usi potenzialmente lesivi che possono essere fatti di questi dati se immessi in rete, volontariamente o meno, al trattamento ed al flusso dei dati transfrontalieri.

Il problema maggiore che gli Stati sono chiamati a risolvere è la soluzione del conflitto tra leggi applicabili a queste garanzie, laddove, proprio per la natura transfrontaliera di questo scambio di dati potrebbe essere difficile anche individuare il foro cui indirizzare il ricorso. Il COE, ha fornito commenti più analitici su queste ed altre tematiche, offrendo possibili soluzioni al problema nella pubblicazione congiunta della CEDU e della FRA (agenzia dell'UE per la tutela dei diritti fondamentali) intitolata “Manuale sul diritto europeo sulla protezione dei dati”.
Il flusso di dati transfrontalieri non va confuso col semplice scambio interno all'UE, né con l'automatizzazione degli stessi. La definizione di trattamento automatizzato e la sua differenza dal mero flusso dei dati si ricava dalla massima della sentenza della CGUE EU:C:2003:596, C-101/01.

In sintesi, per poter effettuare un trasferimento di dati transfrontaliero, che dovrebbe essere privo di vincoli anche tra Stati dell'UE, in base al principio della loro libera circolazione, occorre garantire che la protezione dei dati, offerta dal paese destinatario del flusso, sia adeguata: laddove vi siano dubbi in proposito è fondamentale l'intervento del Garante, cui bisogna rivolgersi per assodare questo punto.
La sua analisi dovrà acclarare la presenza di una base legale della protezione della privacy, id est se i principi fondamentali di queste tutele siano stati effettivamente introdotti nell'ordinamento interno del paese terzo cui sono trasferiti tali dati: “ai sensi del diritto dell'UE, l'adeguatezza della protezione dei dati in un paese terzo è valutata dalla Commissione europea. Ai sensi del diritto del COE, le modalità di valutazione dell'adeguatezza sono disciplinate dalla legislazione nazionale “.
I destinatari dei dati, a loro volta, devono adottare misure atte a garantire tale adeguatezza.

Si ribadisca che in base al principio di responsabilità, così come disciplinato anche dalle “Linee-guida per la tutela della vita privata e i flussi transfrontalieri di dati personali” elaborate dall'OSCE nel 2013, il responsabile del trattamento dei dati ha il dovere di garantire che sia conforme agli standard, alle norme interne ed internazionali, nonché che siano adottate misure atte a garantire tale adeguatezza, la promozione e la salvaguardia dei diritti. Tutto ciò vale anche per i dati automatizzati. Il responsabile dunque deve “dimostrare in qualsiasi momento agli interessati, al pubblico in generale e alle autorità di controllo” che opera in conformità alle disposizioni sulla protezione dei dati.

Un ruolo fondamentale è giocato dalle autorità indipendenti sia come Garanti della privacy cui indirizzare ricorsi, richieste etc. degli interessati e degli Stati, per quanto sopra esplicato, sia come certificatori del rispetto degli standard di sicurezza e conformità degli stessi: vi è una stretta interconnessione tra il loro operato e quello del responsabile del trattamento dati, sia che si tratti di quelli transfrontalieri che di quelli processati dall'intelligenza artificiale o trattati per qualsiasi finalità legittima.
Si noti che sono espressamente citate e recepite le garanzie offerte dal GDPR che, come detto, è parte integrante della Convenzione 108 +. L'unico accenno indiretto all'AI potrebbe rinvenirsi nell'art. 10 laddove sono imposti doveri supplementari sia al responsabile del trattamento di questi dati sia a chi sviluppa sistemi informatici per tali fini e lo scambio degli stessi.

Il problema del trattamento automatizzato e del flusso transfrontaliero dei dati, che poi saranno eventualmente processati dall'AI per la giustizia e la polizia predittiva è più delicato e solleva maggiori interrogativi nel settore penale.
È disciplinato dalle varie Decisioni Quadro GAI che istituiscono il MAE e l'esecuzione reciproca delle decisioni nel campo penale, ma anche dai database di Eurojust, Europol, Schengen e similia, in cui confluiscono non solo dati su indiziati, indagati, colpevoli di reati gravi ma anche quelli sulle vittime e sui testimoni dei crimini.

Crescendo sempre più l'uso dell'intelligenza artificiale, crescono anche i problemi ad essa connessi.
Le Linee guida in esame, tenendo presente il suddetto fenomeno, sono state presentate lo scorso 28 gennaio in occasione della Giornata internazionale della protezione dei dati.

Esse, de facto, recepiscono e danno ulteriori suggerimenti sull'applicazione dei principi cardine della Carta etica del CEPEJ. In quest'ultima si chiede agli sviluppatori, produttori, fornitori ed ai politici che ogni loro azione sia ispirata a ridurre al minimo il rischio di lesioni dei diritti fondamentali, in primis alla privacy ed all'equo processo, regolati dalle Convenzioni e norme sinora citate, i rischi di elaborazioni di modelli deterministici e discriminatori e che l'intervento umano non sia minimizzato o soppiantato da una macchina.

Questo approccio deve essere ispirato, più precisamente, a questi elementi chiave: “liceità, correttezza, specifica finalità, proporzionalità del trattamento dei dati, privacy by design e per impostazione predefinita, la responsabilità e la dimostrazione di conformità (accountability), la trasparenza, la sicurezza dei dati e gestione del rischio”.

Deve essere, perciò, massimizzato e deve essere fatta una politica di sensibilizzazione per incrementare l'intervento delle autorità indipendenti di controllo per vigilare sugli algoritmi che regolano l'intelligenza artificiale e la creazione di detti modelli ed utilities per la giustizia, soprattutto laddove vengono acquisiti e processati dati supersensibili come quelli biometrici o relativi alla salute.

La decisione di un individuo, sia esso un giudice nell'emettere una sentenza, soprattutto nel processo penale, non può essere rimessa ad un processo automatizzato ed alla creazione di schemi e modelli potenzialmente preconcetti e deterministici.

Il rischio che si corre facendo uso spropositato dei processi automatizzati è quello di generare malagiustizia. Per ovviare a questo problema, gli esperti indipendenti (autorità di controllo, gruppi di lavoro etc.) perciò dovrebbero essere coinvolti nella progettazione dei software.

Altra possibile soluzione è passare dai big data all'uso in forma sintetica degli stessi ed aprire dibattiti pubblici prima di adottare politiche sulla cyber giustizia, come invocato da più voci, per un maggiore coinvolgimento della comunità e degli interessati e per incrementare la fiducia degli utenti e della collettività sull'uso dell'AI nella giustizia. Sarebbe utile adottare codici etici in materia.

• Per ulteriori info sulle attività del Comitato consultivo sulla protezione dei dati:
  • https://www.coe.int/en/web/data-protection/home
  • https://www.coe.int/fr/web/data-protection/home
• G. Milizia, La condanna del provider per i “fake” postati dai lettori non viola la libertà d'espressione, nota a sentenza al caso Delfi AS. C. Estonia [GC], Diritto e Giustizia, 16 giugno 2015;
• G. Milizia, Rassegna della Corte europea dei diritti dell'uomo, breve commento ai casiEgill Einarsson c. Islanda e Khadija Ismayilova c. Azerbaijan, Diritto e Giustizia. 11 novembre 2017 e 22 febbraio 2019;
• G. Milizia, Il link di rinvio a foto inedite pubblicate abusivamente su un sito web è lecito?, Diritto e Giustizia
• G. Milizia, Vietato pubblicare foto di siti web free senza una nuova autorizzazione dell'autore, Diritto e Giustizia;
• G. Milizia, Google Spain e Safe Harbour: Google search non può pubblicare dati sensibili, pur leciti, senza il consenso dell'interessato;
• A. Del Ninno, Invalidità della Decisione Safe Harbour per il trasferimento dei dati verso gli USA: l'impatto pratico sulla esportazione dei dati personali e Le conseguenze pratiche dell'annullamento della decisione Safe Harbour: gli altri presupposti di liceità per il trasferimento dei dati personali negli USA, Diritto e Giustizia;
• M. Sacchi, Viaggio verso la fine dell'homo sapiens, Il Giornale del 10 febbraio 2019.