Dati personali e AI Act

0
Giovanni De Gregorio*
Federica Paolucci**

 

  1. Introduzione[1]

 

I dati sono sempre più considerati una tra le principali risorse del presente, e del futuro, e l’Unione europea sembra aver compreso quanto possa essere importante fare una scelta di campo, e di mercato, con l’obiettivo di rendersi leader nel settore, sia dal punto di vista tecnico, sia da quello del design normativo di tali applicazioni [2]. L’AI Act[3] è assolutamente rappresentativo di questo trend che sta interessando non solo l’economa dei dati ma anche la tutela dei diritti. I sistemi d’intelligenza artificiale necessitano didati per funzionare. E sia chiaro, non solo dati personali[4]. In particolare, per quanto concerne i dati personali, il dialogo tra la disciplina dominata dal GDPR[5] e la proposta di Regolamento può essere considerato un esempio di una serie di problematiche che si tenteranno di individuare, a metà tra l’esigenza di promuovere lo sviluppo delle tecnologie di intelligenza artificiale e la tutela dei valori costituzionali europei.

 

  1. GDPR e intelligenza artificiale: alla ricerca della compatibilità tra i due sistemi

 

La comparazione tra GDPR e AI Act riflette in modo più ampio il raffronto tra l’architettura dei sistemi di intelligenza artificiale e, invece, la dimensione normativa dei dati personali[6]. Per valutare, dunque, la compatibilità tra queste due discipline occorre rifarsi ai principi tracciati per il trattamento dei dati. Difatti, il GDPR, sin dalla prima enunciazione introduce un nuovo modello di trattamento dei dati personali basato sul  principio di accountability e il conseguente risk based approach [7]. Secondo tale impianto, difatti, spetta al titolare del trattamento non solo assicurare il rispetto dei principi generali ma anche il provare di essersi conformato a quest’ultimi. Prendendo come riferimento il principio di trasparenza, il titolare del trattamento [8] è chiamato a mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente a quanto stabilito dal Regolamento.

Ne consegue che, considerata in particolare la complessità dell’intelligenza artificiale e le immense quantità di dati da essa processati, il principio dell’accoun­tability assume un rilievo fondamentale, in particolare ove, ad esempio, la trasparenza non è sempre deducibile al cospetto di taluni procedimenti decisionali. La tensione si amplifica, peraltro, quando si osserva la declinazione di altri principi alla base della protezione dei dati – quali, la limitazione delle finalità, la minimizzazione dei dati, il trattamento speciale dei “dati sensibili”, la limitazione delle decisioni automatizzate – e la possibilità di un pieno utilizzo dei sistemi di intelligenza artificiale e di sfruttamento dei big data.

 

  1. Il mancato raccordo con l’art. 22 del GDPR

 

Accanto, però, alle perplessità enucleate che hanno per lo più ad oggetto i mancati raccordi, anche di principio, tra le due norme, un punto su tutti preoccupa, soprattutto alla luce di quelle che avrebbero dovuto essere le premesse del corpus normativo: la mancanza di meccanismi procedurali. Se lo scopo voleva essere di mettere al centro l’uomo, sembrano però mancare strumenti che possano consentire agli individui, vittime di decisioni automatizzate discriminatorie, o comunque errate, di ottenere un rimedio diretto al pregiudizio subito.

 

Non è sufficiente, difatti, fare riferimento alla disciplina dell’art. 22 del GDPR [9] che, seppur rappresenti il cuore della materia della protezione dei dati per quanto concerne i sistemi automatizzati, non copre del tutto i vastissimi ambiti di applicazione dell’intelligenza artificiale. Tale strumento, già di per sé criticato dalla letteratura[10], è assolutamente precario con riguardo ad alcuni sistemi: in particolari, le reti neurali, di cui fa parte il riconoscimento facciale. La norma prevede il diritto degli individui a non essere sottoposti a una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che li riguardano o che incida in modo altrettanto significativo a meno che tale decisione sia necessaria nel contesto di un contratto, ovvero sia autorizzata da una legge dell’UE o di uno Stato Membro. Ebbene, pur prevedendo che le decisioni di cui all’art. 22 non si possano basare su “categorie speciali di dati personali” – tra cui quelli biometrici[11] – la clausola di apertura consente il trattamento di detti dati qualora l’interessato vi abbia acconsentito (ex art. 9 par. 2 lett. a), o qualora vi siano ragioni di pubblico interesse (ex art. 9 par. 2 lett. g). Le eccezioni ivi in evidenza, che pur richiamano l’impianto dell’art. 5 della proposta[12], non sembrano fornire un quadro sufficientemente chiaro, sia per gli investimenti nel settore, sia per la tutela dei diritti fondamentali[13]. In tale quadro, l’art. 22 non è uno strumento adeguato a sopperire alla mancanza di una procedura attagliata alle esigenze della proposta di Regolamento. Un’inadeguatezza che viene in evidenza anche quando tali trattamenti automatizzati sono svolti da operatori transatlantici, o per ragioni di law enfocerment, prevedendo la relativa Direttiva delle circostanze non equivalenti[14].

 

  1. Conclusione

 

Molteplici sono le problematiche che potrebbero essere esaminate con riguardo al raccordo tra AI Act e GDPR. Tuttavia, in questo caso si è deciso di soffermarsi sulla mancanza di un meccanismo procedurale adeguato, in quanto tale insufficienza provoca tre conseguenze sostanziali: in primo luogo, si rischia di imporre degli obblighi eccessivi agli attori privati, che devono rileggere l’applicazione dell’art. 22 alla luce del ben più ampio spettro dell’intelligenza artificiale; in secondo luogo, senza una bussola, gli operatori – spesso provenienti da sistemi giuridici differenti in cui la privacy ha un valore diverso rispetto all’Europa – sono chiamati in prima persona ad effettuare un bilanciamento tra interessi, nel solco di quel che si era già accennato in merito alla privatizzazione dell’enforcement dei diritti fondamentali ; in terzo luogo e in maniera più vistosa, gli individui vengono lasciati senza una tutela, anche procedurale, sufficiente.

 

*  Giovanni De Gregorio, Ricercatore Post Doc. presso il Centre for Socio-Legal Studies dell’Università di Oxford nel programma di ‘Comparative Media Law and Policy’.

** Federica Paolucci, Dottoranda di Diritto Pubblico Comparato, presso l’Università Commerciale “L. Bocconi”.

[1] L’analisi riportata nel presente contributo in forma di breve blog post è pubblicata nella sua interezza in G. De Gregorio, F. Paolucci, Dati e Intelligenza artificiale all’intersezione tra mercato e democrazia, in E. Cremona, F. Laviola, V. Pagnanelli, Il valore economico dei dati, Firenze, 2022, pag. 109 e ss.

[2] Circa il percorso seguito dall’Unione europea nei confronti della protezione dei dati personali, si veda F. Pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Il Regolamento europeo 2016/67, voll. I e II, Torino, 2016.

[3] Precisamente, Proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (artificial intelligence act) and amending certain Union legislative acts, Brussels, 21 aprile 2021 COM(2021).

[4] Come evidenzia L. Floridi in Etica dell’intelligenza artificiale. Sviluppi, opportunità e sfide, Milano, 2022, l’IA è spesso avvicinata al concetto di big data enfatizzando non tanto la qualità dei dati, ma la quantità di informazioni su cui il sistema automatizzato viene allenato.

[5] ‘Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati). Qui di seguito, GDPR.

[6] Tema su cui, ben prima della pubblicazione della proposta, si interrogava la letteratura, tra cui T. Zarsky, Incompatible: the GDPR in the age of big data, in Seton Hall Law Review, 2017, 47, p. 1014 ss.

[7] Si veda in part. art. 5 (2) GDPR.

[8] Con riferimento al concetto della responsabilità, il GDPR adotta una definizione alquanto dinamica, di cui all’art. 5, comma 2.

[9] Non sembra, tuttavia, sufficiente il richiamo comparatistico ai rimedi offerti dal GDPR e ai diritti dell’interessato di richiedere un intervento in caso di contestazione delle decisioni automatizzate o trattamento avvenuto in violazione di legge.

[10] S. Wachter – B. Mittelstadt – L. Floridi, Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation, in International Data Privacy Law, 2017.

[11] Si veda Cons. 51 GDPR.

[12] La cui problematicità è stata analizzata in O. Pollicino – G. De Gregorio – F. Paolucci, AI Act, troppo potere agli Stati? I problemi della proposta Ue, in Agenda Digitale, 25 febbraio 2022.

[13] M. Martini, Regulating Algorithms: How to demystify the alchemy of code?, in M. Ebers – S Navas (a cura di), in Algorithms and Law, Cambridge (UK), 2020, pp. 100-135.

[14] ‘Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA’, OJ L 119, 4.5.2016, in part., pp. 89–131. Si veda, inoltre, G. González Fuster – M. Nadolna Peeters, Person identification, human rights and ethical principles, in EPRS – European Parliamentary Research Service, 2021.

Share this article!
Share.

About Author

Leave A Reply