GDPR e Intelligenza Artificiale
Può il Robot assumere il ruolo di Titolare del trattamento?
di Niccolò Nalesso
Premessa
Ci troviamo oggi in un momento storico in cui la robotica e l’intelligenza artificiale (AI) hanno le potenzialità di dare finalmente il via ad una nuova rivoluzione industriale. Il primo concreto passo in avanti di una legislazione europea che sia stata in grado di tenere conto di tali innovazioni si è compiuto in ambito privacy ed in particolar modo nella tutela dei dati personali con il Regolamento UE 679/2016 (GDPR).
La tutela apportata dalla nuova normativa ruota attorno alla figura del Titolare del trattamento, in capo al quale vengono posti una serie di obblighi volti alla tutela dei dati personali trattati. In questo articolo ci si interroga attorno alla questione se il GDPR abbia posto o meno le basi per un futuro (ma non troppo lontano…) nel quale entità di intelligenza artificiale possano essere coinvolte nel processo di trattamento dei dati dei cittadini europei.
Il Robot come titolare del trattamento
Il Robot viene definito come un’entità in grado di prendere decisioni in via autonoma, vale a dire senza necessità dell’intervento umano, e di interagire con l’ambiente circostante elaborando nel contempo una notevole quantità di dati in base ai quali poter modificare i propri algoritmi di partenza (c.d. machine learning)[1].
A questo punto, come anticipato, è interessante ipotizzare che esso possa assumere il ruolo di Titolare all’interno del processo di trattamento dei dati personali, e cercare di comprendere quali conseguenze e quali tutele normative possano entrare in gioco in tale contesto.
A dire il vero, il GDPR non lega la nozione di titolare del trattamento a quella di persona fisica, ben potendo tale ruolo essere generalmente assunto da una società o da un’autorità pubblica purchè essa/o sia il soggetto (“body”, nel testo inglese) che definisca le finalità ed i mezzi del trattamento[2].
Il Robot, essendo dotato di capacità decisionale autonoma, ha il potere di determinare le finalità ed i mezzi del trattamento dei dati, e pertanto non è escluso che potrebbe essere considerato come Titolare del trattamento, e dunque, venendo chiamato ad adempiere a tutti gli obblighi posti dal GDPR in capo a tale figura. A titolo esemplificativo, prendiamo in esame la seguente catena di trattamenti che verosimilmente caratterizzerà la programmazione degli automi[3]:
- viene raccolto un volume considerevole di dati diversi (c.d. Big Data);
- tali dati vengono ceduti ad una società che sviluppa algoritmi;
- la società fornisce agli automi i dati necessari all’apprendimento ed allo sviluppo di autonome capacità decisionali.
E’ evidente che la terza fase della catena vedrà coinvolto il Robot in qualità di Titolare del trattamento, in quanto soggetto che raccoglie, registra, conserva, elabora ed in generale utilizza i dati personali coinvolti.
D’altro canto, questa non è certamente la prima occasione in cui si discute del Robot come entità giuridica, ovvero come qualcosa di più di un mero oggetto o strumento nelle mani dell’uomo. Lo stesso Parlamento europeo, con la Risoluzione del 16 febbraio 2017 ha previsto che nel lungo termine andrà istituito uno specifico status giuridico per i Robot più sofisticati, i quali acquisirebbero una sorta di personalità elettronica[4].
Ciò tuttavia presuppone di aver chiarito il dilemma della responsabilità del Robot, ovvero se ad esso sia possibile imputare l’adempimento di obblighi giuridici. Trattasi di un tema centrale per lo sviluppo delle intelligenze artificiali, dal momento che ad un certo stato dell’evoluzione tecnologica gli stessi programmatori e/o sviluppatori non saranno in grado di prevedere in toto come tali entità si comporteranno, o meglio attraverso quale tipo di procedimento giungeranno a prendere una decisione di fronte ad una situazione concreta[5].
In questi casi dovrà sempre essere possibile per gli utenti interessati ricorrere alla protezione fornita dall’art 22 del GDPR per cui “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato”, e per cui vi è “il diritto di ottenere l’intervento umano da parte del titolare del trattamento”. In buona sostanza si fa divieto a che l’interessato sia oggetto di decisioni basate unicamente su di un trattamento automatizzato, vale a dire su decisioni assunte senza la presenza dell’intervento umano, in quanto deve sempre esservi la possibilità di ottenere la disattivazione o la modifica dell’algoritmo del Robot. La previsione vale solo per quelle decisioni che producono effetti giuridici in capo all’utente interessato, ma tuttavia essa si pone come una delle colonne portanti della tutela dei diritti fondamentali. Si pensi alla portata di decisioni automatizzate che impediscano ad un soggetto l’ingresso in uno Stato, o l’accesso ad un sussidio statale, o ancora all’erogazione di un servizio essenziale.
E’ evidente che l’importanza degli effetti di decisioni simili vada accompagnata dalla possibilità per l’interessato di chiedere l’intervento di un soggetto umano per la decisione finale, o quantomeno di poter appellare – sempre di fronte ad un soggetto umano – la decisione presa dal Robot. L’interessato dovrà tuttavia essere reso edotto di come una particolare decisione sia stata raggiunta dal Robot, ovvero cosa sia necessario perché esso pervenga ad una decisione differente in un’occasione successiva[6].
Privacy by design
Nell’ipotesi in cui un Robot assuma effettivamente il ruolo di Titolare del trattamento, diviene di primaria importanza prevedere delle garanzie circa la correttezza del suo operato ed il rispetto di tutti gli obblighi previsti dal GDPR. Il principio fondamentale che potrà porre al riparo da conseguenze potenzialmente nefaste per gli utenti interessati dall’azione del Robot è la Privacy by design.
Il Titolare del trattamento deve porre in essere “misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati (art 25 par. 1 GDPR). Tale principio si pone alla base della tutela effettiva dei diritti e delle libertà, in quanto il titolare del trattamento è chiamato ad integrare le necessarie garanzie man mano che se ne presenti la necessità, come avviene nel caso di introduzione di nuove tecnologie. Trattasi di una modalità dinamica di adeguamento dei comportamenti dei titolari, i quali dovranno per tutta la durata del trattamento monitorare l’adeguatezza delle misure adottate ed eventualmente intervenire con quelle ritenute necessarie.
Il concetto di privacy by design descrive quindi in che modo l’algoritmo del Robot debba essere progettato per garantire la protezione dei dati di volta in volta utilizzati. Si possono catalogare, senza pretesa di esaustività, i seguenti accorgimenti[7]:
- sviluppare l’algoritmo in modo tale che l’interessato possa esercitare i diritti di accesso, aggiornamento e cancellazione dei propri dati. Un esempio può consistere nella previsione di un sistema di accesso in cui l’utente possa concretamente verificare per cosa abbia prestato il proprio consenso, le impostazioni di sicurezza e la configurazione del sistema;
- programmare l’algoritmo in modo tale da raccogliere solo i dati strettamente necessari al trattamento da porre in essere;
- inserire nell’algoritmo meccanismi di pseudonimizzazione e cifratura da utilizzare nel trasferimento, comunicazione e conservazione del dato[8];
- il Robot dovrebbe essere in grado di separare i processi di trattamento di dati riferibili alla stessa persona fisica, ostacolandone così la possibile identificazione. In particolare dovrebbe essere in grado di separare i dati sensibili conservandoli in un database differente e maggiormente protetto da misure di sicurezza adeguate;
- la configurazione dell’algoritmo dovrebbe semplificare la possibilità di documentare come vengono protetti i dati personali impiegati e come, in generale, vengono rispettate le normative vigenti;
- dovrebbero essere periodicamente effettuati sul sistema delle operazioni di valutazione del rischio e dei penetration test alla ricerca di eventuali vulnerabilità da colmare.
Si ritiene dunque che il concetto di privacy by design non riguardi soltanto le decisioni e le misure tecniche adottate, bensì che imponga al titolare stesso di verificare sin dall’inizio che anche gli strumenti e le tecnologie di cui si avvale siano costruiti/e in modo tale da consentire il rispetto di questo principio[9]. L’assunto viene avvalorato anche dal Considerando n. 78 del GDPR, ove si afferma che “in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati”[10]. Di fatto la sua portata finisce con il coinvolgere i produttori/sviluppatori di Robot, con la conseguenza che anch’essi dovranno progettare la propria attività in modo tale da consentire al titolare del trattamento di adempiere alle prescrizioni del GDPR[11].
La conferma a tale interpretazione giunge anche tramite l’art 32 del GDPR, per cui il Titolare del trattamento deve mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”: perciò egli non deve limitarsi a tutelare la sicurezza del trattamento in oggetto, ma deve garantire che esso non venga messo a rischio dall’utilizzo di tecnologie non conformi a quegli stessi standard di sicurezza.
Al fine di garantire il rispetto di questi principi, si ritiene essenziale l’introduzione di adeguati e vincolanti meccanismi di certificazione. L’utilizzo degli stessi non dovrà essere limitato alla mera valutazione dei trattamenti dei dati, ma dovrà bensì ricomprendere anche l’attività dei produttori e dei programmatori che forniscono ai titolari le tecnologie necessarie allo svolgimento dell’attività.
Riassumendo, si dovranno quindi vincolare – attraverso meccanismi di certificazione o quant’altro – i produttori/sviluppatori di automi ad adempiere gli obblighi di Privacy by design, vale a dire ad inserire all’interno degli algoritmi di funzionamento del Robot dei criteri etici che aiutino l’entità ad assumere decisioni in linea con la tutela dei diritti fondamentali dell’uomo[12]. L’individuazione di tali criteri etici non potrà per ovvie ragioni essere lasciata all’arbitrio dell’azienda produttrice, ma si dovrà procedere con un intervento regolatorio su scala quantomeno europea. Trattasi, invero, di un ambito prettamente legato ai valori culturali di un Paese, pertanto sarà necessario individuare solamente dei criteri universalmente condivisi senza addentrarsi nelle diversità socio – culturali che variano a seconda del contesto di riferimento.
Gli stessi principi finiranno poi con il vincolare lo stesso Robot nell’adempiere agli obblighi del Titolare del trattamento, essendo esso dotato delle capacità necessarie ad adottare autonomamente le modalità di privacy by design necessarie alla protezione dei dati coinvolti nei trattamenti operati.
[1] Cfr. A. MATTHIAS, The Responsibility Gap: Ascribing Responsibility for the Actions of Learning Automata, p. 177, per cui “the rules by which they act are not fixed during the production process, but can be changed during the operation of the machine, by the machine itself. This is what we call machine learning”.
[2] Regolamento UE n. 679/2016, art 4 c.1 n. 7.
[3] F. PIZZETTI, La protezione dei dati personali e la sfida dell’Intelligenza Artificiale, in F. PIZZETTI (a cura di), Intelligenza Artificiale, protezione dei dati personali e regolazione, Giappichelli, 2018, pp. 44 ss.
[4] PARLAMENTO UE, Risoluzione del 16.02.2017, Norme di diritto civile sulla robotica, par. n. 59 f).
[5] A questo proposito si è parlato di “Responsibility gap” in A. MATTHIAS, The Responsibility Gap: Ascribing Responsibility for the Actions of Learning Automata, p. 175. Di opinione parzialmente contraria è A. BERTOLINI, Robots as Products: The Case for a Realistic Analysis of Robotic Applications and Liability Rules, p. 231 ss.
[6] THE NORWEGIAN DATA PROTECTION AUTHORITY, Artificial Intelligence and Privacy, Report 01/2018, pp. 20 ss.
[7] ICO, Big data, artificial intelligence, machine learning and data protection, p. 73.
[8] Cfr. PARLAMENTO UE, Risoluzione del 16.02.2017, Norme di diritto civile sulla robotica, Allegato alla Risoluzione, Licenza per progettisti.
[9] F. PIZZETTI, La protezione dei dati personali e la sfida dell’Intelligenza Artificiale, in F. PIZZETTI (a cura di), Intelligenza Artificiale, protezione dei dati personali e regolazione, Giappichelli, 2018, pp. 124. Si veda anche CONSULTATIVE COMMITTEE OF THE CONVENTION FOR THE PROTECTION OF INDIVIDUALS WITH REGARD TO AUTOMATIC PROCESSING OF PERSONAL DATA, Guidelines on the protection of individuals with
regard to the processing of personal data in a world of Big Data, 2017, pp. 3-4.
[10] EUROPEAN DATA PROTECTION SUPERVISOR, Opinion 5/2018- 31.05.2018, Preliminary Opinion on Privacy by design, pp. 7-8.
[11] Per ulteriori approfondimenti tecnici v. ENISA, Privacy and Data Protection by Design, 2015.
[12] Le famose “Leggi di Asimov”, infatti, non erano altro che criteri etici che avrebbero dovuto impedire ai robot di operare contro l’uomo.
Autore:
