L’attuazione della Strategia europea in materia di dati sta cambiando il volto del sistema regolatorio europeo mediante la predisposizione di nuovi strumenti per il governo dei dati, sia (a monte) volti all’incentivazione della loro circolazione sia (a valle) volti al controllo del loro utilizzo. In questo contesto, il presente contributo mira a fornire una prima analisi della concreta portata applicativa di alcuni concetti di recente introduzione quali l’altruismo dei dati (data altruism) e il c.d. punteggio sociale (social scoring). Nel farlo, lo scritto prende le mosse da alcune esperienze pratiche recentemente oggetto di attenzione nell’attività del Garante privacy, con la finalità di identificare delle possibili applicazioni dei nuovi strumenti regolatori nonché di delineare il confine tra iniziative di cittadinanza attiva e di cittadinanza “a punti”.
As the European Strategy for data is changing the European regulatory framework, new means for data governance are being implemented. These tools are intended to both foster data circulation and control its use. Within this context, the paper offers an overview of the concrete scope of application of some newly-introduced concepts such as data altruism and social scoring. Therefore, the study takes as a basis some practical experiences recently investigated by the Italian Data Protection Authority, in order to identify possible applications of the new regulatory tools and to outline the border between active citizenship and citizen scoring initiatives.
Sommario: 1. Nuove frontiere nel sistema europeo di governo dei dati. – 2. Altruismo dei dati. Oltre il recepimento normativo. – 3. Punteggio sociale. Dal modello cinese alle applicazioni europee. – 4. Le istruttorie del Garante privacy: il caso dell’Osservatorio Nazionale Sharing Mobility. – 4.1. Alla luce del Data Governance Act. – 4.2. Alla luce dell’Artificial Intelligence Act. – 5. Osservazioni conclusive: cittadinanza attiva o “a punti” per la smart city.
- Nuove frontiere nel sistema europeo di governo dei dati
Il processo di adeguamento del modello regolatorio europeo alle trasformazioni in corso nella società basata sui dati ha di recente subìto una decisa sterzata, muovendo verso frontiere nuove e aderendo a un rilevante mutamento di prospettiva[1]. Invero, il graduale manifestarsi delle componenti della Strategia europea in materia di dati[2] sembra preludere alla concretizzazione di un rivisitato modello di gestione e governo dei dati (o, come viene spesso definito, pur nell’ambiguità del termine, di data governance)[3]. Più precisamente, nella ricerca di un corretto regime giuridico circa la raccolta, l’elaborazione, l’utilizzo, il governo dei i dati – ciò che, appunto, viene definito data governance –, il mutamento concettuale da un paradigma di esclusività sui dati a uno improntato ad accessibilità e condivisione è ora accompagnato da scelte di politica legislativa che paiono sottendere «un modello multipolare, nel quale le istanze di protezione dei dati coesisteranno con pari dignità con quelle di libero accesso e riuso dei dati medesimi»[4].
La libera circolazione dei dati, fulcro dell’innovazione digitale e della creazione di uno “spazio comune europeo di dati”[5], viene così a essere stimolata per il tramite di meccanismi di incentivo all’accesso o alla condivisione, assecondando un utilizzo trasversale dei dati che sia volto ad assicurare la creazione di benefici per i cittadini[6]. In linea con quanto descritto finora, lo sviluppo di politiche di apertura nel governo dei dati mira a massimizzare, in particolar modo, la circolazione e l’utilizzo di dati per scopi di utilità e interesse generale (contrasto al cambiamento climatico, prevenzione delle pandemie, miglioramento dei servizi pubblici)[7]. Peraltro, tali iniziative di apertura e sensibilizzazione coinvolgono, nell’intenzione del legislatore europeo, anche gli stessi consociati. Così, valorizzando una visione che da tempo va affermandosi tra gli studiosi e in alcune esperienze applicative, meccanismi di “data activism” e forme di cittadinanza attiva possono essere incentivati, contribuendo all’evoluzione del concetto stesso di città, che, nel mondo interconnesso, diviene smart city[8].
L’attuale configurazione regolatoria conosce tre atti definiti – Digital Markets Act (DMA)[9], Digital Services Act (DSA)[10], Data Governance Act (DGA)[11] – e due proposte presentate dalla Commissione europea – Data Act (DA)[12], Artificial Intelligence Act (AIA)[13] –, che costituiscono i pilastri del progetto di predisposizione di un pacchetto digitale intrapreso dall’Unione europea[14]. La frammentazione legislativa cui l’UE si è arresa nel regolare tali fenomeni riflette i molteplici stimoli con i quali il legislatore si deve confrontare e il complesso rapporto tra le varie componenti della data economy[15].
Del resto, la complessità del sistema emerge con il solo considerare l’atteggiarsi della sequenza dati-algoritmi (cui, più propriamente, dovrebbe aggiungersi un terzo segmento, relativo alle piattaforme[16]) come elementi attorno ai quali ruota la moderna società informazionale: è riconosciuto che i dati operino allo stesso tempo come input e output dei processi produttivi che interessano i sistemi di intelligenza artificiale [17]. Da questa fondamentale interazione deriva un nesso inscindibile tra i due elementi, che ne condiziona la futura operatività come l’uno strettamente dipendente dall’altro.
All’interno di questo disegno, le strategie regolatorie promosse dall’UE in risposta alle esigenze della nuova società digitale descrivono e alimentano – per scelta politica o per necessità tecnica – tale rapporto osmotico tra dati e algoritmi (o, più in generale, tra dati e sistemi di intelligenza artificiale)[18].
Ciò premesso, scopo del presente contributo è mettere in luce la relazione tra i due segmenti della sequenza e, per farlo, si propone di esaminare un esempio di interazione dati-algoritmi e le sue possibili implicazioni sul piano delle tutele dei soggetti coinvolti, facendo ricorso ai nuovi strumenti del pacchetto digitale UE. Dunque, a partire dalle esperienze applicative attualmente presenti in Italia, verrà descritta l’incidenza di alcune norme presenti nell’attuale contesto regolatorio – sia volte all’incentivazione delle nuove pratiche tecnologiche sia dirette ad imporvi dei limiti.
In via di prima approssimazione, è possibile distinguere due piani operativi nei quali l’interazione tra dati e algoritmi si può articolare: a) a monte – il legislatore europeo muove verso la predisposizione di strumenti abilitanti una maggiore circolazione dei dati, anche (e soprattutto) verso il settore pubblico, quali l’altruismo dei dati; b) a valle – la proposta regolatoria complessiva dell’UE vigila sull’utilizzo che di questi dati viene fatto attraverso gli algoritmi, imponendo il rispetto di alcuni principi strumentali a preservare i diritti fondamentali coinvolti e irreggimentando forme di tutela rispetto a pratiche predittive quali l’attribuzione di un punteggio sociale basato sui dati.
In altri termini, tra fenomeni quali l’altruismo dei dati (data altruism) e il punteggio sociale (social scoring) potrebbe scorgersi un nesso, si potrebbe dire, ipotattico[19]: il primo aspetto attiene alla fonte dei dati e consiste in una modalità di (incentivazione della) circolazione dei dati; il secondo riguarda l’attività sui dati ottenuti e consiste in una modalità di (rectius, distorsione nell’) utilizzo che di essi viene fatto tramite il possibile ricorso a sistemi di intelligenza artificiale.
Attraverso il richiamo a evidenze empiriche e a prospettive applicative, allora, sarà possibile fornire una prima impressione circa i legami e l’interazione tra le varie componenti del sistema europeo di governo dei dati che va delineandosi (come combinazione di atti legislativi già approvati e proposte ancora da approvare).
A tal fine, lo studio si soffermerà, in particolare, sull’esperienza dell’Osservatorio Nazionale Sharing Mobility, che ha promosso un’indagine sulla mobilità urbana basata sull’analisi statistica di dati relativi agli spostamenti messi a disposizione volontariamente dagli stessi cittadini[20]; di recente, il Garante per la protezione dei dati personali ha avviato un’istruttoria nei confronti di tale iniziativa (accomunandola ad altri progetti) per scongiurare il rischio di quella che ha definito una cittadinanza “a punti”, riproponendo la sottolineata (pericolosa) vicinanza tra cittadinanza attiva e rischi di profilazione[21].
Il dato comune alle esperienze interessate dalle istruttorie del Garante risiede nella predisposizione di meccanismi premiali incentivanti la condivisione “volontaria” dei dati (che, in alcuni casi, possono essere accompagnati dalla previsione di provvedimenti lato sensu sanzionatori) rispetto ai quali è opportuno compiere gli accertamenti necessari a scongiurare eventuali derive discriminatorie che dall’attribuzione di un punteggio – e dal corrispondente meccanismo di premi e sanzioni – possono scaturire.
Pertanto, dopo una disamina dei tratti caratterizzanti le due pratiche in questione – altruismo dei dati (2.) e punteggio sociale (3.) –, si procederà a un’analisi più dettagliata delle esperienze oggetto delle istruttorie del Garante privacy (in particolare, il caso dell’Osservatorio Nazionale Sharing Mobility) (4.) e della loro compatibilità con il quadro regolatorio europeo in via di formazione – sia vigente, il DGA (4.1.), sia ancora da approvare, l’AIA (4.2.). All’esito di questa trattazione, saranno offerte delle osservazioni conclusive in merito alle implicazioni che la diffusione di simili iniziative può generare nel rapporto tra Stato e cittadino nella società digitale, cercando di individuare dove le stesse si collochino nell’alternativa tra forme di cittadinanza attiva e “a punti” (5.).
- Altruismo dei dati. Oltre il recepimento normativo.
Per quanto riguarda il primo dei due piani operativi sopra individuati – relativo alla raccolta dei dati come oggetto della successiva attività degli algoritmi – la Strategia europea mira a introdurre strumenti idonei a garantire una maggiore condivisione dei dati relativamente a tutti i flussi che possono venire in considerazione nelle prassi applicative (business-to-business o B2B, government-to-business o G2B, business-to-government o B2G).
Recentemente, come forma di reazione alla scarsa predisposizione dei settori privato e pubblico a interagire tra loro, le discussioni in merito all’accrescimento della fiducia circa la condivisione dei dati sono andate intensificandosi. Così, in linea con la diffusione di una cultura di “filantropia digitale”[22], anche la strategia regolatoria europea ha cominciato a farsi carico delle suddette istanze: il DGA dedica un intero Capo (il Capo IV) a quello che viene definito come “altruismo dei dati” (data altruism)[23].
A livello definitorio, l’art. 2, par. 1, n. 16) DGA spiega come per altruismo dei dati si intenda: «la condivisione volontaria di dati sulla base del consenso accordato dagli interessati al trattamento dei dati personali che li riguardano, o sulle autorizzazioni di altri titolari dei dati volte a consentire l’uso dei loro dati non personali, senza la richiesta o la ricezione di un compenso che vada oltre la compensazione dei costi sostenuti per mettere a disposizione i propri dati, per obiettivi di interesse generale, stabiliti nel diritto nazionale, ove applicabile, quali l’assistenza sanitaria, la lotta ai cambiamenti climatici, il miglioramento della mobilità, l’agevolazione dell’elaborazione, della produzione e della divulgazione di statistiche ufficiali, il miglioramento della fornitura dei servizi pubblici, l’elaborazione delle politiche pubbliche o la ricerca scientifica nell’interesse generale».
Gli elencati obiettivi di interesse generale informano, perciò, l’utilizzo dei dati così raccolti. Del resto, la logica sottesa all’altruismo dei dati è in linea con l’obiettivo di superare un sistema in cui la detenzione dei dati si concentra nelle mani di poche imprese private (peraltro non europee) e di consentire di contribuire, volontariamente, al bene comune[24]. In altri termini, la finalità cui questo nuovo strumento mira è «contribuire allo sviluppo di pool di dati messi a disposizione sulla base dell’altruismo dei dati, che abbiano dimensioni sufficienti da consentire l’analisi dei dati e l’apprendimento automatico, anche attraverso l’Unione»[25]. Per far sì che ciò avvenga, lo stesso Regolamento rimanda alla definizione di politiche nazionali da parte degli Stati membri che si muovano in questa direzione – agevolando l’altruismo dei dati per mezzo, ad esempio, della previsione di strumenti di facile utilizzo per dare il consenso o l’autorizzazione o di campagne di sensibilizzazione[26].
Dalla lettura del testo normativo, sembrano emergere alcuni elementi costitutivi di particolare rilevanza nelle pratiche di altruismo. Si tratta dei connotati della: a) volontarietà; b) assenza di compenso; c) funzionalizzazione a obiettivi di interesse generale.
A questa considerazione si aggiunge il rilievo secondo il quale il reticolato predisposto dal DGA si innesta, in ogni caso, sulle disposizioni del Regolamento generale sulla protezione dei dati (RGDP o GDPR) ed è condizionato al suo rispetto, in particolare per quanto concerne il tema dell’altruismo dei dati. Difatti, non solo la condivisione volontaria è subordinata a un consenso che deve rispettare le condizioni di liceità poste dal GDPR, ma anche il trattamento dei dati da parte delle organizzazioni dovrà rispettare il medesimo impianto normativo[27]. In quest’ottica, peraltro, il DGA ipotizza l’introduzione di un “modulo europeo comune di consenso all’altruismo dei dati”, che, strutturato secondo un approccio modulare che permette una personalizzazione in funzione di settori specifici e finalità diverse, garantirebbe uniformità, nel formato, tra gli Stati membri[28].
Così delineato, l’altruismo intercetterebbe due esigenze: da un lato, l’aspirazione a ridurre la distanza tra i dati a disposizione del settore privato e quelli detenuti dal settore pubblico – sostenuta anche con il tentativo di inserire, nella proposta di Data Act, un eccezionale meccanismo di accesso forzato ai dati detenuti dai privati da parte del settore pubblico che si affianchi ai modelli di condivisione volontaria[29]; dall’altro, l’intenzione di coinvolgere i cittadini, concorrendo a garantire una maggiore consapevolezza nella raccolta e nell’utilizzo dei dati che li riguardano (c.d. self data awareness).
Lo strumento che il DGA ha individuato come mezzo di incentivazione di queste pratiche è l’istituzione di organismi ad hoc. Più precisamente, nell’ottica di aumentare la fiducia nei confronti delle iniziative di condivisione dei dati, il DGA predispone la possibilità di istituire “organizzazioni per l’altruismo dei dati”. Tali organismi, che derogano alle disposizioni relative ai servizi di intermediazione del Capo III (art. 15), necessitano del possesso di alcuni requisiti affinché possano essere qualificati come tali. L’art. 18 DGA fissa i requisiti generali per la registrazione presso un registro pubblico di cui all’art. 19 DGA. A tal fine, l’entità deve: «a) svolgere attività di altruismo dei dati; b) essere una persona giuridica costituita a norma del diritto nazionale per conseguire obiettivi di interesse generale, stabiliti nel diritto nazionale, ove applicabile; c) operare senza scopo di lucro ed essere giuridicamente indipendente da qualsiasi entità che operi a scopo di lucro; d) svolgere le proprie attività di altruismo dei dati mediante una struttura funzionalmente separata dalle sue altre attività; e) rispettare il codice di cui all’articolo 22, paragrafo 1, al più tardi entro 18 mesi dopo la data di entrata in vigore degli atti delegati di cui a tale paragrafo»[30].
Ai requisiti generali si aggiungono poi una serie di obblighi: sia di trasparenza (riguardanti le modalità del trattamento dei dati, le persone fisiche e giuridiche che possono accedervi, gli obiettivi di carattere generale perseguiti), sia di assistenza nel prestare o revocare il consenso sia, ancora, di rispetto delle finalità di utilizzo e di garanzia di un elevato livello di sicurezza per la conservazione e il trattamento[31].
In ogni caso, il Regolamento fa salva la possibilità di svolgere attività nell’ambito dell’altruismo dei dati anche a prescindere dalla qualificazione di organizzazione riconosciuta[32].
Una volta registrate, il ruolo di tali organizzazioni pare potersi ricondurre a tre tipologie di attività: a) la raccolta di dati pertinenti direttamente da persone fisiche e giuridiche; b) il trattamento di dati raccolti da terzi; c) lo svolgimento di entrambe le attività, per finalità del trattamento dalle stesse stabilite (in alternativa, saranno soggetti terzi a svolgere il trattamento, per le medesime finalità)[33].
Tuttavia, le nobili intenzioni del testo si scontrano con i limiti degli strumenti che sono stati scelti per attuarle: da più parti è stato sottolineato come la tendenza a un’eccessiva procedimentalizzazione e burocratizzazione, insieme all’assenza di disposizioni di natura sostanziale relative al consenso da prestare, rischino di ridurre l’altruismo a una mera formula vuota, di facciata[34].
Ciononostante, il messaggio comunicativo sembra essere in grado di dispiegare una certa efficacia: alle iniziative che già esistevano in tema di altruismo dei dati (decode, OpenSchufa)[35], si sono aggiunti numerosi progetti originati dalle necessità legate all’emergenza pandemica (le app di contact tracing)[36]; inoltre, e soprattutto, le pubbliche amministrazioni hanno, in alcuni casi, accolto questa formula – talvolta in maniera atecnica – con la finalità di sviluppare una proficua collaborazione con i cittadini per il miglioramento di servizi pubblici[37].
In ogni caso, a fronte di una volontaria e “filantropica” cooperazione tra privati e settore pubblico, rimane da verificare il rispetto dei limiti posti all’utilizzo che dei dati viene compiuto.
- Punteggio sociale. Dal modello cinese alle applicazioni europee.
Forniti volontariamente dai privati o dai cittadini, acquisiti coattivamente per finalità di interesse pubblico, ottenuti sulla base di contratti o collaborazioni tra esponenti del settore pubblico e del settore privato, i dati alimentano le macchine. E, con una frequenza sempre maggiore, «[a]ziende e governi sfruttano […] le macchine per giudicare le persone, consentendo a chi sviluppa le AI di accumulare un potere enorme. Il potere è la capacità di far compiere a una persona azioni che altrimenti non farebbe»[38].
Dunque, nell’ambito della sequenza dati-algoritmi, i sistemi di intelligenza artificiale si inseriscono a questo punto della catena, utilizzando i dati che li alimentano per generare a loro volta dati come output. Nonostante processi di vario genere (predittivi, statistici, di profilazione) siano regolarmente in atto da parte di aziende private, una particolare attenzione dev’essere rivolta all’eventualità che siano soggetti pubblici a servirsi di questo tipo di attività, eventualità sempre più attuale con la proliferazione dei progetti di smart city.
In particolare, tra le possibili applicazioni cui la raccolta di dati combinata all’azione degli algoritmi dà luogo, sebbene ancora poco esplorato dagli studiosi (se non con riguardo all’esperienza cinese[39]), il tema dei sistemi idonei ad attribuire un punteggio sociale sulla base dei dati analizzati (social scoring) va acquisendo – sia sul piano empirico che a livello di politiche legislative – una rilevanza sempre maggiore, tale da non poter più essere trascurato.
Il social scoring costituisce il portato del carattere pervasivo della tecnologia in ogni settore della società e della quotidianità, in grado di incidere, per quello che qui interessa maggiormente, sul rapporto tra pubblico e privato e, più specificamente, sulla relazione Stato-cittadino[40]. Esso consiste nell’azione di sistemi di intelligenza artificiale che, sulla base di dati a vario titolo ottenuti (sia online input che offline input), attribuiscono un punteggio sociale alle persone. Più precisamente, l’operare congiunto delle nuove tecnologie (sistemi IA, algoritmi, big data, riconoscimento facciale, sensori delle smart city, …) produce valutazioni (di tipo numerico) classificatorie a partire da comportamenti, preferenze, violazioni (e, nelle sue più estreme configurazioni, opinioni espresse sui social network). Le analisi operate sulla base di questi elementi generano un punteggio indicativo del grado di affidabilità del singolo, creando dei profili, e rendono possibile la corresponsione di premi o sanzioni rispetto al comportamento di ciascuno[41]. Tali risultati categorizzanti rischiano di generare inaccettabili conseguenze discriminatorie nell’ampliamento o nella restrizione della sfera giuridica individuale[42], soprattutto quando dotate di elevato potenziale in termini di manipolazione inconsapevole delle persone e controllo sociale[43]. Calate nel rapporto tra Stato e cittadino finirebbero, finanche, per delineare un nuovo concetto di cittadinanza, allineato alle peculiarità delle “città intelligenti”[44].
In ultima istanza, «[i]sistemi di credito sociale non sono solo progetti giuridici, ma anche culturali e politici»[45].
Quanto all’origine di questi progetti, generalmente, se ne parla come di derivazioni di sistemi già oggetto di implementazione, a vario livello, nella società cinese: in Cina, il sistema dei crediti sociali (Scs) si concretizza in un costante monitoraggio che, dacché originariamente limitato alle aziende, solo nel 2014 è stato esteso ufficialmente alle persone, quando il Consiglio di Stato cinese ha annunciato delle “linee guida per la promozione di un sistema di credito sociale” basate sulla valutazione della reputazione mediante l’attribuzione di un punteggio[46].
Sul piano storico, gli studiosi che si occupano dell’esperienza cinese spesso avvertono riguardo alle peculiarità che la digitalizzazione assume in Cina, soprattutto quanto al recepimento di certe dinamiche all’interno della società: in questo caso, si afferma, «[i]l sistema dei crediti sociali ha radici antiche nella cultura cinese»[47]. Questo si spiega considerando che il percorso iniziato con la filosofia confuciana, con la quale la morale diveniva parte integrante della nuova società, sembra ora evolversi nei termini in cui sono le nuove tecnologie a consentire di calcolare la moralità dei cittadini[48].
Tuttavia, è bene specificare che il modello di Scs cinese non consiste in un sistema unificato, ma in diversi sistemi (black list, red list, progetti pilota, …), tutti in fase di sperimentazione e tutti diretti all’attribuzione di un punteggio di affidabilità a cittadini e aziende sulla base di parametri fissati da Stato o amministrazioni locali[49].
Nella sua configurazione tradizionale, a cavallo tra le varie esperienze globali, il social scoring comprende e influenza opportunità di ogni tipo (la possibilità di viaggiare, l’istruzione, l’ottenimento di prestiti, …), rendendole più o meno difficoltose o del tutto inibendole. Di esso, vengono identificati tre elementi caratterizzanti: universalità, effetto a onda e rete di conseguenze[50]. L’universalità concerne la fonte delle informazioni, dal momento che universale, in quanto basata su informazioni di qualsiasi provenienza, è la gamma di dati a disposizione dei Scs. L’effetto a onda fa riferimento alla eterogeneità di conseguenze di una eventuale violazione rispetto al contesto in cui la stessa è stata posta in essere. Infine, la rete di conseguenze interessa gli effetti (positivi o, soprattutto, negativi) che possono prodursi in capo a soggetti diversi rispetto a colui che realizza la condotta.
Il funzionamento del social scoring si ispira – come la maggior parte delle applicazioni e dei dispositivi smart oggi diffusi – a una logica di gamification, che «si verifica quando elementi divertenti simili a quelli di un gioco compaiono in diverse attività, e tutto dipende dal punteggio quantificato»[51]. L’inserimento di premi, incentivi, ma anche punizioni o sanzioni, può avvenire in relazione a qualsiasi tipo di attività e ciò concorre a rendere più coinvolgente l’esperienza legata all’attività in questione, fino ad arrivare potenzialmente a coinvolgere ogni aspetto della vita. In base ai feedback che ricevono, gli utenti sono portati a modificare il loro comportamento al fine di migliorare il proprio record o punteggio. In questo modo, è facile presumere che nei cittadini sorga una «personalità algoritmica volta a massimizzare il proprio status»[52], sia individuale che all’interno della collettività. Secondo gli osservatori più critici, gli aspetti ‘gamificatori’ della sorveglianza nascondono gli algoritmi e «incanalano la soggettività in evoluzione»[53], con l’inevitabile conseguenza di indirizzare l’identità e plasmare i modelli comportamentali secondo una logica di assuefazione ai feedback, ai punteggi, ai traguardi personali, senza che l’individuo se ne renda conto, producendo un effetto inconsapevole di autosorveglianza[54].
Sul piano più prettamente giuridico, un apporto, a livello definitorio, rispetto a simili fenomeni, si rinviene nella recente proposta di regolamento sull’intelligenza artificiale: l’art. 5, I, AIA nel vietare determinate pratiche di intelligenza artificiale secondo un approccio risk-based, include soltanto alcune tipologie di social scoring e per esso intende il ricorso a «sistemi di IA da parte delle autorità pubbliche o per loro conto ai fini della valutazione o della classificazione dell’affidabilità delle persone fisiche per un determinato periodo di tempo sulla base del loro comportamento sociale o di caratteristiche personali o della personalità note o previste».
Al netto di eventuali considerazioni circa l’effettivo orizzonte applicativo della fattispecie[55], è opportuno sottolineare che la (provvisoria) formulazione si appunta, quindi, sul concetto di “affidabilità” (trustworthiness), che, come hanno fatto notare i primi commentatori, innova rispetto a quanto era stato proposto dall’High Level Expert Group-AI, nel quale si era, invece, fatto riferimento a valutazioni inerenti alla “personalità” o alla “integrità morale”[56].
L’espressa previsione (nonché, a determinate condizioni, il divieto) dei meccanismi attributivi di un punteggio sociale all’interno dell’impianto normativo che va delineandosi nell’ambito della Strategia europea per i dati rivela una latente preoccupazione circa l’espansione e l’adozione di siffatti sistemi anche in Occidente[57]. Del resto, esistono anche in ambito europeo alcune esperienze applicative già sperimentate e, in taluni casi, non tollerate dagli ordinamenti da esse interessati.
Per fornire, brevemente, alcuni esempi, nel 2014 era stato avviato dal governo olandese SyRI (System Risk Indication), un algoritmo di profilazione del rischio (risk profiling) finalizzato alla protezione del sistema di assistenza sociale nazionale e ideato per rilevare possibili frodi da parte dei beneficiari di misure di assistenza. Tuttavia, nonostante la presenza di un’espressa previsione normativa come base giuridica, il Tribunale dell’Aja ne ha sancito l’illegittimità alla luce della violazione del diritto alla privacy come riconosciuto dall’art. 8 CEDU[58].
Come ulteriore modello di sistema di profilazione di rischio può richiamarsi l’esperienza danese, iniziata nel 2018, relativa al c.d. “Gladsaxe model”, volto all’individuazione di situazioni di rischio riconducibili a minori in condizioni di particolare vulnerabilità familiare; il modello, per via delle pressioni provenienti dall’opinione pubblica e dal mondo accademico, nonché a causa della scoperta di un’attività di raccolta di dati molto più intensa di quanto non fosse necessario da parte delle amministrazioni coinvolte, è stato bloccato dallo stesso governo danese[59].
Ancora, in Germania, il progetto OpenSCHUFA – di fatto, espressione di una forma di altruismo dei dati già prima della sua espressa previsione – ha fatto luce su alcune criticità esistenti in merito all’operatività del sistema di credito SCHUFA, diretto a stabilire, a fronte di dati raccolti in settori tra loro eterogenei, un punteggio dei cittadini relativo alla loro affidabilità creditizia, e idoneo a influenzare l’accesso a prodotti o servizi[60].
In un siffatto contesto evolutivo, la notizia delle istruttorie avviate dal Garante per la protezione dei dati personali volte a investigare il rischio di una cittadinanza “a punti” deve essere letta come il naturale esito di un processo di avvicinamento tecnologico di simili modelli – che mantengono comunque una significativa distanza dal modello cinese – ormai avviato.
All’esito di queste brevi considerazioni introduttive, occorre chiarire in che modo le iniziative attenzionate dal Garante possano rappresentare esperienze esemplificative della sequenza dati-algoritmi sottesa alle strategie regolatorie aventi ad oggetto le istanze della società digitale.
- Le istruttorie del Garante privacy: il caso dell’Osservatorio Nazionale Sharing Mobility
Il nesso tra altruismo dei dati e punteggio sociale ha trovato una recente manifestazione in una serie di iniziative italiane interessate da alcune istruttorie del Garante per la protezione dei dati personali. Con un comunicato stampa dell’8 giugno 2022, il Garante divulgava la notizia di aver avviato tre istruttorie (che vanno ad aggiungersi a una, precedente e riguardante vicende astrattamente analoghe, resa nota con un comunicato del 3 maggio 2022), aventi ad oggetto «una serie di progetti promossi da soggetti pubblici e privati, che prevedono l’assegnazione di punteggi anche riguardo a raccolte di dati conferiti “volontariamente” dagli interessati»[61], a testimonianza della progressiva diffusione (e, conseguente, attenzione) che simili vicende vanno assumendo anche nell’ordinamento italiano.
La finalità dell’intervento dell’Autorità risiede nel prevenire «rischi connessi a meccanismi di profilazione che comportino una sorta di “cittadinanza a punti” e dai quali possano derivare conseguenze giuridiche negative sui diritti e le libertà degli interessati, inclusi i soggetti più vulnerabili»[62]. Del resto, le problematiche sottese alla sorveglianza e alle conseguenze che simili iniziative potrebbero avere in termini di profilazione maturano, in particolar modo, ove siano coinvolte pubbliche amministrazioni, la cui attività sarebbe in grado generare forme di sovrapposizione tra pubblico e privato, così incidendo sul rapporto tra Stato cittadino e, più in generale, sul concetto di cittadinanza[63].
Più specificamente, oggetto dell’azione del Garante sono tre progetti: 1) il progetto dell’Osservatorio Nazionale Sharing Mobility, in cui è coinvolto il Comune di Bologna, mediante il quale si mira a compiere un’analisi sulla mobilità urbana sulla base di dati volontariamente forniti dai cittadini, i quali potranno conseguentemente ottenere dei benefici (ad esempio, scontistiche); 2) lo “Smart Citizen Wallet” del Comune di Bologna, una sorta di “patente digitale” finalizzata, sempre su base volontaria, a individuare i cittadini più virtuosi attribuendo loro un punteggio e dei premi; 3) la “Carta dell’assegnatario” nel Comune di Fidenza, come sistema di valutazione a punti dei nuclei familiari nell’ambito degli alloggi di edilizia residenziale pubblica, che comprende anche la possibilità di determinare, a fronte di comportamenti valutati negativamente, conseguenze pregiudizievoli.
Oltre alle iniziative in questione, occorre richiamare il caso del sistema di rating reputazionale, ad opera della piattaforma Mevaluate, diretto al calcolo di una reputazione “reale” e “virtuale” di studenti, cui parrebbe aver aderito un istituto di istruzione superiore di Torino, parimenti oggetto di un’istruttoria avviata dall’Autorità[64].
Con un maggior sforzo ricostruttivo, si potrebbe sottolineare come i progetti attenzionati dal Garante, in verità, paiano porsi su una diversa scala di approfondimento nell’attività di attribuzione di un punteggio ai destinatari del servizio. Sarebbe, cioè, possibile distinguere molteplici gradienti di intensità rispetto a iniziative latamente riconducibili al social scoring[65]: sistemi che prevedono l’attribuzione di un punteggio, basato su dati provenienti da contesti molto distanti tra loro, e idonei a ricomprendere una vasta gamma di comportamenti si porrebbero al vertice della scala d’intensità; invece, sistemi con un campo di applicazione più circoscritto o privi dell’elemento classificatorio del punteggio si attesterebbero su un livello di intensità più basso. Tuttavia, in assenza di una scelta di politica legislativa netta e di disposizioni che ne individuino un ambito di operatività certo, rimane al momento dubbio ciò che rientra e ciò che non rientra nel concetto di social scoring (del resto, se si dovesse seguire la linea posta dalla definizione resa nella proposta di AIA, rimarrebbero fuori tutti quei sistemi non produttivi di una valutazione sull’affidabilità del soggetto).
Ciò premesso, in generale, sulle istruttorie promosse dal Garante, pare utile soffermarsi su una delle iniziative in particolare, ossia il progetto dell’Osservatorio Nazionale Sharing Mobility, in quanto idoneo a illustrare i due piani operativi che il presente contributo è volto ad analizzare più da vicino. Difatti, esso non solo investe il tema dei possibili profili di vicinanza al social scoring (sebbene meno intensamente rispetto agli altri progetti coinvolti), ma, per quanto riguarda il momento, cronologicamente anteriore, della raccolta dei dati, l’iniziativa si ispira dichiaratamente a una logica di altruismo dei dati[66].
Per questi motivi, essa è idonea, su un piano prettamente descrittivo, a illustrare i due segmenti in cui è possibile scomporre la sequenza dati-algoritmi caratteristica della società digitale: in un primo momento, simili progetti fanno leva sul carattere volontario della raccolta dei dati, spingendosi fino a invocare forme di altruismo dei dati; in un secondo momento, il potenziale utilizzo che di questi dati viene fatto, connesso al riconoscimento di premi (o sanzioni) a coloro che vi partecipano, deve essere monitorato e, per questo motivo, ha stimolato l’interesse del Garante.
Il progetto dell’Osservatorio Nazionale Sharing Mobility, promosso dalla Fondazione per lo sviluppo sostenibile, dal Ministero della transizione ecologica e dal Ministero delle infrastrutture e della mobilità sostenibili, e in cui è coinvolto lo stesso Comune di Bologna, consiste in «un’indagine statistica a carattere sperimentale attraverso la quale il cittadino viene invitato a condividere i propri dati (apparentemente ‘in forma anonima’), per consentire un’analisi della mobilità degli abitanti di Bologna [al cui termine]è previsto che il cittadino riceva premi offerti dai partner privati del Progetto»[67]. La finalità principale del trattamento dei dati, quindi, è l’analisi della mobilità delle persone in un determinato territorio per promuovere soluzioni che possano ridurre gli impatti negativi dei trasporti[68].
Alcuni aspetti sono ulteriormente specificati nella Privacy Policy del progetto, nella quale si chiarisce che ‘Titolare del trattamento’ è la Fondazione per lo sviluppo sostenibile e che la base giuridica del trattamento, effettuato dal Titolare, risiede: «a) nell’ambito del ruolo di promotore dell’Osservatorio Nazionale Sharing Mobility e di firmatario dell’Accordo di collaborazione con il MiTE registrato il 26/01/2021, ai sensi dell’art. 6 comma 1, lett. e) del GDPR; b) sul consenso che Lei esprime esplicitamente dopo la lettura di questa informativa»[69].
Per quanto riguarda i dati che vengono raccolti, si tratta sia di dati generati dall’applicazione sia di dati forniti tramite questionario dall’utente. Nella prima categoria rientrano: i) dati sulla posizione; ii) dati del dispositivo; iii) dati di utilizzo. Nella seconda sono richieste informazioni eterogenee, quali indirizzo del domicilio, genere, utilizzo di servizi di sharing, età, reddito, titolo di studio, disponibilità di veicoli o di abbonamenti al trasporto pubblico, etc.[70]
Infine, è di rilievo la circostanza che tra i soggetti ai quali potranno essere comunicati i dati rientrano sia soggetti privati (erogatori dei premi all’esito della iniziativa) sia enti locali e soggetti pubblici[71].
Al riguardo, il Garante ha chiesto di chiarire alcuni aspetti: a) il ruolo dei soggetti pubblici e privati coinvolti; b) la base giuridica del trattamento; c) le modalità di funzionamento dell’app e i trattamenti ad essa connessi.
Sulla base di questi elementi, è possibile effettuare una prima valutazione in merito alla compatibilità di una simile iniziativa con il quadro regolatorio europeo in fieri. In altri termini, piuttosto che soffermarsi sulle questioni di cui, verosimilmente, dovrà occuparsi il Garante (relative all’eventuale anonimizzazione dei dati coinvolti, alla legittimità della base giuridica individuata per il trattamento, all’assimilabilità del trattamento a una profilazione vietata ex art. 22 GDPR)[72], il presente contributo cercherà di valutare il ruolo delle più recenti componenti del pacchetto digitale rispetto a iniziative quali quella del progetto dell’Osservatorio Nazionale Sharing Mobility, in maniera tale da “testare” la tenuta, in queste situazioni, della descritta deviazione di stampo promozionale della circolazione dei dati rispetto all’originario versante limitativo della protezione dei dati, alla cui tutela l’azione del Garante rimane preposta.
4.1. Alla luce del Data Governance Act
Quanto all’incidenza del regolamento (UE) 2022/868 (DGA) su iniziative quali il progetto dell’Osservatorio Nazionale Sharing Mobility, andrebbero affrontate alcune questioni.
Anzitutto, sarebbe opportuno misurare la principale innovazione operata dal DGA – l’introduzione delle “organizzazioni di altruismo dei dati” – nei termini di una possibile riconduzione dei soggetti promotori del progetto all’interno di tale figura.
In secondo luogo – questione strettamente connessa con la prima –, occorrerebbe valutare la compatibilità del concetto di “altruismo dei dati” con iniziative che promettono premi e incentivi per facilitare la partecipazione.
Relativamente alla prima questione, deve ricordarsi, preliminarmente, che in dottrina è stato sottolineato il fatto che il DGA non prevede disposizioni puntuali in merito ai rapporti tra chi mette a disposizione i dati volontariamente e le organizzazioni di altruismo né rispetto ai rapporti delle organizzazioni con i terzi destinatari dei dati[73]. Per questo motivo, l’apporto del DGA si arresta, nel caso di specie, alla possibilità di ricondurre i soggetti coinvolti in simili iniziative all’interno del nuovo paradigma delle organizzazioni altruistiche.
Nel caso dell’iniziativa dell’Osservatorio Nazionale Sharing Mobility, verosimilmente, uno ‘studio di fattibilità’ relativo all’eventuale qualificazione come “organizzazione di altruismo dei dati” andrebbe svolto con riguardo alla Fondazione per lo sviluppo sostenibile in quanto Titolare del trattamento e soggetto al quale vengono trasmessi i dati volontariamente dalle persone fisiche, ruoli che si è visto poter coincidere secondo quanto previsto dal considerando 50 DGA relativamente alle possibili attività delle organizzazioni riconosciute.
La registrazione ex art. 19 DGA è subordinata, come analizzato precedentemente, al ricorrere dei requisiti di cui all’art. 18 DGA[74].
Anzitutto, nel caso di specie, è possibile affermare che alcuni dei requisiti in questione potrebbero essere accertati solo in un secondo momento: più precisamente, si tratta delle lett. d) ed e), relative rispettivamente alla creazione di una struttura funzionalmente separata dalle sue altre attività e al rispetto del codice ex art. 22 DGA.
Invece, l’assolvimento di altre condizioni parrebbe già in astratto compatibile con il modello civilistico della fondazione di cui agli artt. 14 e ss. c.c. nonché con le caratteristiche statutarie della Fondazione per lo sviluppo sostenibile: le lett. b) e c), difatti, richiedono rispettivamente la forma di persona giuridica che consegue obiettivi di carattere generale e l’assenza di scopo di lucro[75].
Maggiori complicazioni sembrerebbero porre, nel caso di specie, la necessità, stabilita dalla lett. c), di essere giuridicamente indipendente da qualsiasi entità che operi a scopo di lucro e, soprattutto, la richiesta di cui alla lett. a), di svolgere attività di altruismo dei dati.
Su quest’ultimo aspetto si innesta l’ulteriore elemento di criticità che la vicenda in esame presenta: la compatibilità della corresponsione di un premio ai partecipanti all’esito dell’indagine statistica con l’attività di altruismo dei dati.
Difatti, il principale connotato degli strumenti altruistici, in linea con il loro fondamento “filantropico”, è – insieme alla volontarietà – la gratuità. In tal senso, il considerando 45 DGA dispone che «[g]li interessati dovrebbero poter ricevere un compenso esclusivamente in relazione ai costi da loro sostenuti nel mettere a disposizione i propri dati per obiettivi di interesse generale». Pertanto, prevedere delle ricompense in cambio della condivisione dei propri dati potrebbe inficiare la pratica stessa di «svolgere attività di altruismo dei dati» richiesta come condizione per la registrazione delle entità come organizzazioni per l’altruismo.
Per come descritto dal Regolamento, l’espressione «svolgere attività di altruismo», riferita al requisito per la registrazione delle organizzazioni, sembrerebbe ricomprendere sia l’attività di raccogliere dati messi a disposizione volontariamente sia l’attività di operare sugli stessi un trattamento volto a obiettivi di interesse generale (o consentire a terzi di farlo).
Così interpretato il concetto di altruismo, la corresponsione di un premio potrebbe invalidare la natura altruistica della circolazione dei dati soprattutto alla fonte, nel momento della messa a disposizione da parte degli interessati, perché la condivisione dei dati che li riguardano non potrebbe più dirsi disinteressata.
In considerazione di tali rilievi, l’iniziativa promossa dall’Osservatorio Nazionale Sharing Mobility – così configurata – finirebbe per non rientrare nell’orizzonte applicativo della nuova disciplina.
4.2 Alla luce dell’Artificial Intelligence Act
Ancora, prendendo in considerazione il secondo segmento della sequenza dati-algoritmi, è utile analizzare il progetto dell’Osservatorio Nazionale Sharing Mobility e il connesso tema del social scoring alla luce della disciplina europea (non ancora in vigore) in materia di intelligenza artificiale.
In altri termini, occorre chiedersi se tale progetto possa rientrare o meno nelle attività vietate di cui all’art. 5 AIA. A tal fine, preliminarmente, è opportuno delimitare il campo di applicazione della norma.
La proposta avente ad oggetto un regolamento sull’intelligenza artificiale – è ormai noto[76] – si fonda su un meccanismo di gestione del rischio orientato alla tutela dei diritti fondamentali e, perciò, in linea con gli attributi del modello regolatorio che l’UE sta tentando di definire come alternativo alla dicotomia Cina-Stati Uniti[77]. Con questa definizione, si intende sottolineare la particolare fisionomia di un testo normativo quando delineato secondo una struttura a geometria variabile, a seconda del livello di rischio che le attività prese in considerazione presentano[78].
In questo contesto, nell’attuale configurazione dell’AIA, i meccanismi di social scoring aventi determinate caratteristiche sono inseriti nei sistemi “a rischio inaccettabile” e, quindi, tra le pratiche vietate, in ragione della loro incompatibilità strutturale con la cornice assiologica che l’UE sta cercando di predisporre.
Tuttavia, il divieto non è generalizzato, bensì circoscritto ad alcune tipologie di social scoring. Affinché un determinato sistema possa essere o meno considerato rientrante nella portata del (futuro) divieto normativo, occorrerà valutare se tali pratiche comportino «un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di interi gruppi di persone fisiche»[79]: a) in contesti sociali che non sono collegati ai contesti in cui i dati sono stati originariamente generati o raccolti; oppure b) che sia ingiustificato o sproporzionato rispetto al loro comportamento sociale o alla sua gravità.
In quest’ottica, più che a una valutazione in astratto, la riconduzione di questo o quel meccanismo all’interno del divieto predisposto dal legislatore sarebbe demandato a un accertamento in concreto, in considerazione degli effetti che l’intelligenza artificiale potrebbe generare nei confronti degli individui coinvolti (quando, cioè, essa «comporti il verificarsi»[80] di uno dei due scenari vietati). Il che rappresenta, a detta di molti, un ulteriore limite del testo normativo proposto, che non consente di operare una valida selezione ex ante dei sistemi IA produttivi di un tale risultato e, quindi, inammissibili; ciò, peraltro, faciliterebbe il sottrarsi dell’autorità coinvolta da responsabilità poiché la stessa potrebbe affermare, a tal fine, che la tecnica di scoring non sia stata un fattore determinante nella produzione degli effetti oggetto di divieto[81].
La natura limitata del divieto deriva oltretutto, sul piano soggettivo, dalla perimetrazione dei soggetti utilizzatori di questi tipi di sistemi, che devono essere usati da «un’autorità pubblica o per loro conto»[82] e, sul piano temporale, dal loro utilizzo «per un determinato periodo di tempo». Conseguenza di una tale delimitazione soggettiva – per questo motivo già oggetto di critiche sia in dottrina che a livello istituzionale[83] – è il fatto che la disposizione, nella formulazione attuale, lascia esenti i sistemi privati.
Nel caso del progetto dell’Osservatorio Nazionale Sharing Mobility, anche alla luce di queste considerazioni, meglio si comprende l’opportunità di un esame più approfondito – che è infatti parte dell’oggetto dell’istruttoria del Garante – circa il rapporto che sussiste tra i vari soggetti, sia di natura pubblica che privata, coinvolti nell’iniziativa. Ciò, peraltro, alla luce del fatto che è la stessa Privacy Policy a giustificare il trattamento facendo richiamo, oltre al consenso espresso dell’interessato, all’art. 6, par. 1, lett. e) GDPR (a tal fine richiamando il documento l’accordo di collaborazione con il MiTE del 2021), il quale lo legittima quando «necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento»[84].
In ogni caso, anche a voler qualificare come pubblico l’interlocutore in questione o definire l’attività come svolta per conto di un’autorità pubblica, i limiti nel ricondurre la fattispecie nell’alveo dell’art. 5 AIA si palesano, altresì, su un piano oggettivo: in primo luogo, l’attività in questione non include l’assegnazione di un “punteggio sociale”; in secondo luogo, la nozione di “valutazione dell’affidabilità delle persone fisiche”, per quanto indeterminata, non sembra ricomprendere le valutazioni che si sostanziano in indagini con finalità meramente statistiche, senza la creazione di profili classificatori; in terzo luogo, dall’utilizzo dei dati compiuto (cioè, per comparare le abitudini di mobilità di soggetti che si servono o meno della sharing mobility) non pare potersi derivare né un trattamento pregiudizievole di natura eterogenea rispetto al contesto generante i dati né un trattamento ingiustificato o sproporzionato.
Peraltro, sembra possibile sostenere questo ragionamento solamente in relazione alle attività statistiche che l’iniziativa si propone di realizzare; invece, nel caso in cui il trattamento dovesse essere utilizzato in maniera tale da incidere significativamente su alcuni gruppi della società – ad esempio, soggetti utilizzatori o non utilizzatori di servizi di sharing mobility[85] –, allora il tema potrebbe porsi con una diversa intensità.
Tuttavia, non è da escludere che l’inserimento dell’elemento della corresponsione di un premio possa in astratto avvicinare queste pratiche a quelle che, nell’intenzione del legislatore europeo, sono da vietare. Difatti, la logica premiale è ciò che accomuna operazioni di questo tipo al modello del punteggio sociale – e, più in generale, alla gamification di cui esso costituisce espressione – e le discosta dallo strumento dell’altruismo propriamente inteso.
Parimenti, la questione potrebbe essere meritevole di maggiore attenzione qualora le valutazioni in merito alla corresponsione del premio fossero collegate all’attribuzione di un punteggio (anche implicito) o alla corresponsione di sanzioni (in particolare se sproporzionate o avulse dal contesto di raccolta dei dati), come ipotizzato in altri progetti interessati dall’azione del Garante.
Per dovere di completezza, infine, può sottolinearsi un ulteriore aspetto: anche qualora si dovesse ritenere che iniziative di questo tipo non siano riconducibili alle attività vietate dall’art. 5 AIA, un’ulteriore indagine si potrebbe imporre in merito al rispetto dei requisiti, relativi ai dati e al loro trattamento, che la proposta di regolamento richiede per i sistemi di intelligenza artificiale ad alto rischio (Titolo III), nel caso in cui i sistemi considerati dovessero ricadere nell’elenco presente nell’allegato III (si possono ricordare, a titolo esemplificativo, i sistemi di “gestione e funzionamento delle infrastrutture critiche” o di “istruzione e formazione professionale”). In questi casi, come momento intermedio e di congiunzione tra la raccolta dei dati e l’attività che su di essi viene effettuata, occorrerebbe soffermarsi sulla base giuridica identificabile per il trattamento. Anche su questo piano, l’apporto della proposta potrebbe essere significativo, se si considera che una parte della dottrina individua nell’esenzione di cui all’art. 10, par. 5, AIA[86], relativa al divieto di trattamento di particolari categorie di dati, una nuova base giuridica per il trattamento di dati particolari ex art. 9 GDPR, correlata alle finalità di ‘debiasing’ e correzione delle distorsioni, prodotte dall’utilizzo di categorie di dati limitate, perorate nella proposta per evitare trattamenti algoritmici discriminatori[87].
- Osservazioni conclusive: cittadinanza attiva o “a punti” per la smart city
Seguire il flusso di dati dalla fase della raccolta a quella dell’utilizzo – illustrando così una sequenza dati-algoritmi – permette di osservare come esperienze concrete interagiscano con il quadro regolatorio in divenire e consente, altresì, di svolgere alcune considerazioni conclusive in merito al nesso tra pratiche di data altruism e social scoring.
Pur attenendo tali fenomeni a due piani diversi (fonte dei dati e attività sui dati), la presenza nelle pratiche di condivisione dei dati di alcuni elementi – ad esempio, come visto, la corresponsione di premi – ne potrebbe determinare, in un certo senso, una sovrapposizione.
Per il momento, le iniziative esaminate si agganciano a due attributi che le mantengono distanti da modelli di social scoring veri e propri: a) la volontarietà, che si riflette sulla modalità di ottenimento dei dati da parte delle autorità pubbliche e ne limita la portata ai soli dati forniti volontariamente; b) la previsione della sola corresponsione di benefici e l’assenza di sanzioni o dell’attribuzione di un punteggio alle persone.
Tuttavia, l’analisi condotta ha permesso di osservare che anche situazioni di questo tipo possono presentare dei profili di criticità. D’altronde, il fondamento dell’altruismo dei dati – e la sua assimilabilità alla logica del dono[88] – risiede nella natura disinteressata del contributo; al contrario, prevedere la corresponsione di qualsiasi tipo di compenso o premio (per quanto incentivante) formalmente incrina questa logica.
Pertanto, nonostante la condivisione dei dati sia subordinata al requisito della volontarietà, la previsione di forme di compensazione altera il modello del data altruism e lo può avvicinare ai meccanismi di nudging insiti nel punteggio sociale e nella gamification (in cui a uno o più determinati comportamenti possono corrispondere premi, sanzioni o modifiche del punteggio, inducendo così il partecipante a tenere una determinata condotta).
In sintesi, potrebbe affermarsi che stimolare forme di partecipazione attiva da parte dei cittadini per mezzo di tecniche solo latamente riconducibili a una logica di gamification non si schiera nettamente né dal lato delle iniziative di social scoring né dal lato del data altruism e dell’aumento di fiducia verso la circolazione dei dati nei consociati (anzi, rischia di produrre risultati talvolta opposti nell’opinione pubblica[89]). Ciò in quanto, per un verso, la fiducia dei cittadini potrebbe essere ricercata altrove[90] e non in meccanismi premiali per i cittadini “virtuosi” e, per altro verso, le caratteristiche ‘gamificatorie’ dei progetti esaminati non sono così marcate da poterli considerare tecniche di controllo sociale o cittadinanza “a punti”.
In altri termini, nonostante il coinvolgimento diretto dei cittadini nelle attività di raccolta dei dati sia volto a garantire loro una maggiore consapevolezza e fiducia, esso, incidendo direttamente sul rapporto tra cittadini e Stato, sollecita alcune riflessioni e richiede una certa cautela nella sua attuazione, affinché condivisibili iniziative di cittadinanza attiva e di condivisione dei dati non ingenerino dubbi circa la deriva verso una cittadinanza “a punti”.
Del resto, il tema dell’individuazione del confine tra cittadinanza attiva e “a punti” come nuove declinazioni del concetto di cittadinanza è tanto più degno di attenzione se si considera che esso intercetta quella esigenza di elaborazione di dati provenienti dagli abitanti e dal contesto pubblico che si pone alla base della realizzazione della smart city[91].
Nella formazione e nello sviluppo delle “città intelligenti”, condivisione e analisi dei dati costituiscono, infatti, elementi imprescindibili: un simile utilizzo dei dati consentirebbe la risoluzione di problemi collettivi e di questioni di interesse pubblico. Nell’alimentare la smart city, nei suoi connotati tipici di connettività e integrazione tra strumenti tecnologici, è naturale che la facilitazione della raccolta dei dati passi attraverso il coinvolgimento dei cittadini, nell’ottica di un miglioramento dei servizi pubblici guidato dall’analisi dei dati. Tuttavia, anche in quest’ambito, l’oscillazione nei modelli tra i due estremi della cittadinanza attiva e della cittadinanza “a punti” ripropone quella tensione tra il desiderio di assicurare un impianto tecnologico al servizio degli abitanti e il rischio di assecondare, così facendo, forme di controllo sociale[92].
In quest’ottica, sono da accogliere con favore i più recenti interventi regolatori dell’UE nelle parti in cui sollecitano nuove sinergie tra pubblico e privato nella società digitale[93], essendo i dati (e la loro circolazione tra i due settori) «capac[i]di ridurre lo squilibrio tra organi potestativi e cittadini»[94].
All’estremo opposto, però, si collocano esperienze quali quella cinese, in cui l’immagazzinamento di dati pare rappresentare uno strumento per creare una “cittadinanza modello” e idonea a popolare le nuove smart city perché selezionata secondo le dinamiche del punteggio sociale[95].
Ancora una volta, dunque, il tema risulta essere quello dello sviluppo di una valida alternativa ‘europea’: non cedere, nel complesso bilanciamento tra efficienza delle funzioni pubbliche e tutela dei diritti dei cittadini[96], verso forme di cittadinanza “a punti”, ma predisporre strumenti adatti a facilitare modelli di cittadinanza attiva nel governo dei dati. In questa direzione, sono noti i progetti che promuovono logiche di ‘empowerment’ dei cittadini con la funzione di riappropriarsi del controllo sui dati che li riguardano ed evitare le disuguaglianze, la frammentazione e la mancanza di fiducia dettate dalla concentrazione dei dati nelle mani delle principali imprese private[97].
La spinta verso una diffusione di pratiche più contigue a tali modelli si spiega alla luce del tentativo di allontanarsi dalle logiche proprie del capitalismo della sorveglianza e della società reputazionale, ormai diffuse in ambito privato a partire dall’espansione delle Big Tech. Al contrario, adottare questi principi anche in ambito pubblicistico rischierebbe di assecondare definitivamente il «principale pericolo del controllo sociale tramite AI: un mondo irreggimentato»[98].
[1] Le esigenze di regolazione dei mercati di dati vengono efficacemente descritte da L. Taylor, H. Mukiri-Smith, T. Petročnik, L. Savolainen, A. Martin, (Re)making data markets: an exploration of the regulatory challenges, in Law, Innovation and Technology, 2, 2022, 355 ss. La società “datificata”, del resto, imponeva una scelta in questo senso: nell’ampia letteratura di riferimento in tema di c.d. datification, si rinvia a V. Mayer-Schönberger, K. Cukier, Big Data: a revolution that will transform how we live, work, and think, Mariner Books, New York, 2014; L. Floridi, La quarta rivoluzione. Come l’infosfera sta trasformando il mondo, Milano, 2017.
[2] Commissione europea, Comunicazione A European strategy for data, 19.2.2020 COM(2020).
[3] Per il concetto di data governance e la sua evoluzione, vd. T. Streinz, The Evolution of European Data Law, in P. Craig e G. de Búrca (a cura di), The Evolution of EU Law, Oxford, 2021 (3a ed.), 902 ss.; S. Viljoen, A Relational Theory of Data Governance, in Yale Law Journal, 2, 2021, 573 ss.
[4] G. Resta, Pubblico, privato, collettivo nel sistema europeo di governo dei dati, in Rivista Trimestrale di Diritto Pubblico, 4/2022, 975. Sulla dialettica esclusività-accessibilità, si fa riferimento alla ricostruzione di J. Drexl, Designing Competitive Markets for Industrial Data – Between Propertisation and Access, in JIPITEC, 8, 2017, 257 ss.; sul punto, rimangono sempre attuali le parole di S. Rodotà, Il terribile diritto, Bologna, 2013 (3a ed.), 463: «[m]uta lo sguardo sulla proprietà […] si potrebbe dire che si passa da una proprietà “esclusiva” ad una “inclusiva”. Più correttamente, questa situazione può essere descritta come riconoscimento della legittimità che al medesimo bene facciano capo soggetti e interessi diversi. Il discorso sull’esclusione viene tramutato così in quello sull’accessibilità.».
[5] M. Minghini, A. Kotsev, C. Granell, A European Approach to the Establishment of Data Spaces, in Data, 7, 118, 2022.
[6] Riassume tali obiettivi la Strategia europea in materia di dati, di cui il dato trasversale si ricava dalla promozione delle varie tipologie di flussi di dati (B2B, B2G, G2B). Un simile stimolo è richiesto anche dalle risultanze di indagini empiriche, basti pensare all’affermazione secondo la quale circa l’85% dei dati raccolti in Europa non viene riutilizzato (T. Ramge, V. Mayer-Schönberger, Fuori i dati! Rompere i monopoli delle informazioni per rilanciare il progresso, Milano, 2021, 39).
[7] Coerentemente con questo disegno, gli strumenti predisposti dal legislatore seguono le medesime finalità: a titolo esemplificativo, l’altruismo dei dati del Data Governance Act è previsto “per obiettivi di interesse generale”, così come l’accesso forzato dei dati del settore privato da parte del settore pubblico (B2G) proposto nel Data Act sarebbe possibile solo “under exceptional need”.
[8] Sul punto, S. Tranquilli, Il nuovo citoyen européen nell’epoca del Data governance act, in Rivista di Digital Politics, 1-2, 2022, 180; cfr. anche F. Musella, Amministrazione 5.0, in Rivista di Digital Politics, 1, 2021, 101.
[9] Regolamento (UE) 2022/1925.
[10] Regolamento (UE) 2022/2065.
[11] Regolamento (UE) 2022/868. D’ora in avanti, DGA.
[12] Commissione europea, Proposta di regolamento del Parlamento europeo e del Consiglio riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo (normativa sui dati), COM(2022) 68 final.
[13] Commissione europea, Proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (legge sull’intelligenza artificiale), COM(2021) 206 final. D’ora in avanti, AIA.
[14] P.G. Picht – H. Richter, EU Digital Regulation 2022: Data Desiderata, in GRUR International, 5, 2022, 395; G. Resta, Pubblico, privato, collettivo nel sistema europeo di governo dei dati, cit., 971. Per una panoramica delle iniziative previste, si rinvia alla Comunicazione “Strategia europea per i dati” (vd. supra, nota 2).
[15] Su alcune implicazioni relative ai rapporti tra gli impianti normativi, vd. S. Tranquilli, Il nuovo citoyen européen nell’epoca del Data governance act, cit., 187-189.
[16] G. Resta, Pubblico, privato, collettivo nel sistema europeo di governo dei dati, 972.
[17] F. Mezzanotte, Access to Data: The Role of Consent and the Licensing Scheme, in S. Lohsse, R. Schulze, D. Staudenmayer (a cura di), Trading Data in the Digital Economy: Legal Concepts and Tools, Oxford/Baden-Baden, 2017, 159 ss.
[18] Sulla relazione tra dati e algoritmi, ex multis, vedasi V. Mayer-Schönberger, T. Ramge, Das Digital: Markt, Wertschöpfung und Gerechtigkeit im Daten-kapitalismus, 2017; WIPO, WIPO Technology Trends 2019: Artificial Intelligence, Geneva: World Intellectual Property Organization, 2019; Comunicazione 25.4.2018, L’intelligenza artificiale per l’Europa; M. Brkan, Do algorithms rule the world? Algorithmic decision-making and data protection in the framework of the GDPR and beyond, in International Journal of Law and Information Technology, 2, 2019, spec. 19 ss.
[19] Intendendosi come “proposizione principale” l’attività che con i dati viene svolta dall’IA e come “proposizione subordinata” – e, in questo caso, cronologicamente antecedente – la modalità di raccolta dei dati stessi: la seconda è operata in funzione della prima e rappresenta una sola delle possibili modalità di raccolta dei dati diffuse nella prassi.
[20] Le principali informazioni sull’iniziativa sono reperibili sul sito osservatoriosharingmobility.it
[21] Garante Privacy, comunicato stampa 8 giugno 2022, «“Cittadinanza a punti”: Garante privacy ha avviato tre istruttorie. Preoccupanti i meccanismi di scoring che premiano i cittadini “virtuosi”».
[22] M. Taddeo, Data Philanthropy and Individual Rights, in Minds and Machines, 27, 2017, 1–5; cfr. anche R. Kirkpatrick, A new type of philanthropy: donating data, in Harvard Business Review, 21 marzo 2013. Se vogliamo, una visione coerente con il bisogno di solidarietà (in questo contesto, una solidarietà ‘digitale’) fatto proprio da S. Rodotà, Solidarietà. Un’utopia necessaria, Roma-Bari, 2014. Tuttavia, da parte di alcuni è stato notato come «[l]a scelta del termine “altruismo” risulta altrettanto problematica implicando che non acconsentire alla condivisione dei dati equivalga ad una manifestazione di “egoismo”» (F. Caloprisco, Data Governance Act. Condivisione e “altruismo” dei dati, in I Post di AISDUE, III, 2021, 5 maggio 2021, 60).
[23] Sul punto, vd. C. Kruesz – F. Zopf, The Concept of Data Altruism of the Draft DGA and the GDPR: Inconsistencies and Why a Regulatory Sandbox Model May Facilitate Data Sharing in the EU, in European Data Protection Law Review, 4, 2021, 569 ss. Per alcune prime analisi del nuovo regolamento, si rinvia a F. Caloprisco, Data Governance Act. Condivisione e “altruismo” dei dati, cit.; S. Tranquilli, Il nuovo citoyen européen nell’epoca del Data governance act, cit.; L. Lionello, La creazione del mercato europeo dei dati: sfide e prospettive, in Diritto del commercio internazionale, 3, 2021, spec. 688-689.
[24] Sul punto, in generale, vd. A. Alemanno, Data for Good. Unlocking Privately – Held Data to the Benefit of the Many, in European Journal of Risk Regulation, 2, 2018, 183 ss.
[25] Considerando 45 DGA.
[26] Art. 16 e considerando 45 DGA.
[27] Considerando 50 DGA: «Qualora siano titolari del trattamento o responsabili del trattamento dei dati ai sensi del regolamento (UE) 2016/679, le organizzazioni per l’altruismo dei dati riconosciute dovrebbero rispettare le norme di tale regolamento. L’altruismo dei dati sarebbe basato in genere sul consenso degli interessati ai sensi dell’articolo 6, paragrafo 1, lettera a), e dell’articolo 9, paragrafo 2, lettera a), del regolamento (UE) 2016/679, che dovrebbe rispettare i requisiti per il consenso lecito conformemente agli articoli 7 e 8 di tale regolamento. […]». Quanto alla specificità del consenso, S. Tranquilli, Il nuovo citoyen européen nell’epoca del Data governance act, cit., 193 evidenzia come «[u]na descrizione generica, quale, ad esempio, la finalità di rendere i dati disponibili “per il bene pubblico” o “per la ricerca scientifica” sarebbe considerata insufficiente a soddisfare il requisito della specificità del consenso». Vd. Anche Caloprisco, Data Governance Act. Condivisione e “altruismo” dei dati, cit., 63.
[28] Art. 25, par. 1 e par. 2.
[29] Tale meccanismo, la cui portata sarebbe da verificare in concreto e sul quale si sono appuntate le prime critiche rispetto alla formulazione del testo legislativo, è contenuto nel Capo V e dev’essere giustificato da necessità eccezionali (exceptional need). Sul punto, vedasi H. Richter, The Law and Policy of Government Access to Private Sector Data (B2G Data Sharing), in Bundesministerium der Justiz und für Verbraucherschutz, Max-Planck-Institut für Innovation und Wettbewerb (a cura di), Data Access, Consumer Interests and Public Welfare, 2021, 529.
[30] Art. 18 DGA.
[31] Artt. 20 e 21 DGA. Ne danno conto F. Caloprisco, Data Governance Act. Condivisione e “altruismo” dei dati, cit., 72; G. Resta, Pubblico, privato, collettivo nel sistema europeo di governo dei dati, cit., 988.
[32] Considerando 48.
[33] Questo è quanto pare derivarsi dal contenuto del considerando 50.
[34] G. Resta, Pubblico, privato, collettivo nel sistema europeo di governo dei dati, cit., 991, in cui si riporta il rischio che si tratti di «un dispositivo di marketing normativo privo di significativo impatto operazionale»; similmente, sull’eccessiva burocratizzazione, S. Tranquilli, Il nuovo citoyen européen nell’epoca del Data governance act, cit., 194, la quale ivi sottolinea, inoltre, che le disposizioni contenute nel DGA assomigliano più a quelle di una direttiva che non a quelle di un regolamento; cfr. anche, in termini critici sul DGA, W. Veil, Data altruism, AlgorithmWatch Discussion Paper #1, 2021.
[35] Sulla prima iniziativa, volta a consentire ai cittadini di controllare se condividere o meno i propri dati, decodeproject.eu; per quanto riguarda la seconda, finalizzata a indagare le pratiche del sistema di punteggio tedesco SCHUFA, openschufa.de. Gli esempi sono tratti da W. Veil, Data altruism: how the EU is screwing up a good idea, cit.
[36] Sul punto, si rinvia a V. Zeno-Zencovich, G. Resta, E. Poillot, G. Lenzini, Data protection in the context of Covid-19. A short (hi)story of tracing applications, Roma TrE-Press, 2021.
[37] Di alcune di queste esperienze si darà conto infra, par. 4.
[38] F. Pasquale, Le nuove leggi della robotica. Difendere la competenza umana nell’era dell’intelligenza artificiale, Luiss University Press, 2021, 166.
[39] F. Liang – Y. Chen, The making of “good” citizens: China’s Social Credit Systems and infrastructures of social quantification, in Policy & Internet, 14, 2022, 114 ss.; D. Mac Síthigh – M. Siems, The Chinese social credit system: A model for other countries?, in EUI Working Papers, 1, 2019. Diverso il livello di approfondimento scientifico per quanto riguarda simili sistemi come esperienze legate al mondo creditizio, dove meccanismi di questo tipo sono molto diffusi: sul punto, si rinvia a P. Manes, Credit scoring assicurativo, machine learning e profilo di rischio: nuove prospettive, in Contratto e Impresa, 2, 2021, 469 ss.; per un esame della tematica, a livello comparatistico, nel Regno Unito, si veda N. Aggarwal, The Norms of Algorithmic Credit Scoring, in The Cambridge Law Journal, 1, 2021, 42 ss.
[40] G. Sciascia, Reputazione e potere: il social scoring tra distopia e realtà, in Giornale di diritto amministrativo, 3, 2021, 318: «Il social scoring costituisce un esempio emblematico delle trasformazioni e delle evoluzioni che riguardano i rapporti tra poteri pubblici, nuove tecnologie e libertà».
[41] S. Pieranni, Red Mirror. Il nostro futuro si scrive in Cina, Roma – Bari, 2020, 96.
[42] G. Sciascia, Reputazione e potere, cit.; K. Crawford, Atlas of AI: Power, Politics, and the Planetary Costs of Artificial Intelligence, Yale University Press, 2021, 205 laddove l’Autrice aggiunge che spesso questi sistemi (e, in generale, sistemi di controllo da parte dello Stato) vengono testati sulle categorie più deboli, in particolare portando l’esempio dei rifugiati; C. O’Neil, Weapons of Math Destruction: How Big Data Increases Inequality and Threatens Democracy, Crown, 2016, passim.
[43] Cfr. considerando 15 AIA.
[44] S. Pieranni, Red Mirror, cit., passim; G. Sciascia, Reputazione e potere, cit.
[45] F. Pasquale, Le nuove leggi della robotica, cit., 162.
[46] Ivi, 160; S. Pieranni, Red Mirror, cit.; peraltro, recentemente è stata divulgata in Cina la bozza di una legge che disciplina l’istituzione del sistema di credito sociale, la quale ne distingue l’operatività in quattro settori (governativo, commerciale, sociale, giudiziario) e ne fornirebbe così una solida base legale.
[47] S. Pieranni, Red Mirror, cit., 98.
[48] Ibid.; cfr. rilievi simili in F. Nasi, Il sistema di credito sociale cinese, su pandorarivista.it, 28 dicembre 2021che richiama «il concetto di chéngxìn (诚信), che può essere tradotto come onestà, affidabilità o integrità».
[49] S. Pieranni, Red Mirror, cit., 96.
[50] F. Pasquale, Le nuove leggi della robotica, cit., 161.
[51] D. Lyon, La cultura della sorveglianza. Come la società del controllo ci ha reso tutti controllori, Luiss University Press, 2020, 140.
[52] F. Pasquale, Le nuove leggi della robotica, cit.; Id., The Algorithmic Self, in The Hedgehog Review, 1, 2015; cfr. anche P. de Filippi, The Social Credit System as a New Regulatory Approach: From ‘Code-Based’ to ‘Market-Based’ Regulation, in verfassungsblog.de, 24 giugno 2019.
[53] J. E. Cohen, The Surveillance-Innovation Complex: The Irony of the Participatory Turn, in D. Barney – G. Coleman – C. Ross – J. Sterne – T. Tembeck (a cura di) The Participatory Condition, University of Minnesota Press, 2015, 5 («channel evolving subjectivity»). Riecheggiando, in un certo senso, quanto S. Rodotà, Protezione dei dati e circolazione delle informazioni, in Id., Tecnologie e diritti, Bologna, 2021 (2a ed.), 87, anticipava con riguardo agli effetti distorsivi delle tendenze classificatorie, il quale già lucidamente avvertiva circa le possibili conseguenze distorsive in termini sociali quando, anticipando il concetto di ‘categorizzazione’, affermava che «[l]a categorizzazione di individui e gruppi, inoltre, rischia di annullare la capacità di percepire sfumature sottili, gusti non abituali»; in merito, sulle conseguenze della raccolta di informazioni, cfr. anche Id. Elaboratori elettronici e controllo sociale, Bologna, 1973 (ristampa inalterata, Jovene 2018).
[54] D. Lyon, La cultura della sorveglianza, cit., 139-140, attuando quello che J. Whitson, Gaming the quantified self, in Surveillance and Society, 1-2, 2013, definisce «quantificare la cura di sé». Pare utile ricordare che le medesime dinamiche sono indagate in S. Zuboff, The age of surveillance capitalism, Profile Books Ltd, 2019. Sugli effetti distorsivi di una “società a punteggio”, cfr. anche D. K. Citron, F. Pasquale, The Scored Society: Due Process for Automated Predictions, in Washington Law Review, 1, 2014, 7 ss.
[55] Che verranno svolte infra, par. 4.2.
[56] Lo sottolineano M. Veale – F. Borgesius, Demystifying the Draft EU Artificial Intelligence Act, in Computer Law Review International, 4, 2021, 100 dove rimandano a High-Level Expert Group on Artificial Intelligence, Ethics Guidelines for Trustworthy AI, 2019, 34 e High-Level Expert Group on Artificial Intelligence, Policy and Investment Recommendations for Trustworthy AI, 2019, 20.
[57] Nell’occuparsi della normativa europea, il presente contributo tralascia l’esperienza americana, rispetto alla quale è però doveroso il rinvio al caso più conosciuto, relativo all’algoritmo COMPAS sul rischio di recidiva e alla famosa controversia State v. Loomis che ne è scaturita. Per una disamina completa, vd. H. Liu – C. Lin – Y. Chen, Beyond State v. Loomis: artificial intelligence, government algorithmization and accountability, in International Journal of Law and Information Technology, 2, 2019, 122 ss.
[58] Per un’analisi dettagliata delle implicazioni del caso e della decisione, si rinvia a G. Avanzini, Intelligenza artificiale e nuovi modelli di vigilanza pubblica in Francia e Olanda, in Giornale di diritto amministrativo, 3, 2022, 322-323.
[59] Vd. AlgorithmWatch, Automated Society Report 2020, Denmark, accessibile presso automatingsociety.algorithmwatch.org. Ne dà conto anche G. Sciascia, Reputazione e potere, cit., 321.
[60] In merito, vd. W. Veil, Data altruism, cit., 3; cfr. anche E. Brandimarte, Should we let the algorithms decide? A critical assessment of Automated Decision Making in Europe, 24-35 (capitolo III), tesi del Master in European Economic Studies presso il College of Europe Bruges, accessibile presso mayerbrown.com.
[61] Garante Privacy, comunicato stampa 8 giugno 2022, cit.
[62] Ibidem.
[63] Del resto, Y. Citino, Cittadinanza “a punti” e social scoring: le pratiche scorrette dell’era dell’intelligenza artificiale, in diritticomparati.it, 22 giugno 2022 ricorda come «si p[ossa]sostenere che all’istituto della cittadinanza si stiano pericolosamente affiancando logiche di mercato, che mirano a targettizzare la popolazione con l’obiettivo di estrarre dati».
[64] Garante Privacy, comunicato stampa 3 maggio 2022, “Scuola: rating reputazionale sotto la lente del Garante privacy. Avviata istruttoria su una piattaforma rivolta agli studenti”. Non è la prima volta che un simile sistema privato diventa oggetto dell’attenzione del Garante: relativamente alla medesima azienda, si ricordi il recente pronunciamento della Corte di cassazione, su cui F. Bravo, Rating reputazionale e trasparenza dell’algoritmo. Il caso “Mevaluate”, in Il diritto dell’informazione e dell’informatica, 6, 2021, 1001 ss.
[65] S. Ianese, Il social rating cerca di sbarcare in Italia. Ma quanti lo vogliono?, in smartius.it, 19 luglio 2022 ad esempio, suddivide in tre categorie delle iniziative italiane di social scoring, alcune oggetto di istruttoria del Garante, definendole, rispettivamente di citizen science, di social rating “limitato”, di social rating “puro”, operando una distinzione basata, principalmente, sul campo di applicazione di ciascun progetto.
[66] La pagina web del progetto spiega infatti che: «I mobility data, raccolti da smartphone o veicoli, registrano la posizione di una persona a intervalli regolari tramite GPS. I mobility data prendono spesso il nome di bread-crumb [e u]tilizzare questi dati per volontà esplicita di chi partecipa all’iniziativa, sotto il suo controllo e per delle finalità condivise, è l’aspetto centrale di questo nuovo tipo d’indagine e di un nuovo approccio all’uso dei dati personali: il Data Altruism» in osservatoriosharingmobility.it.
[67] Garante Privacy, comunicato stampa 8 giugno 2022, cit.
[68] Privacy Policy del progetto, accessibile presso osservatoriosharingmobility.it.
[69] Ivi, punto 4.
[70] Ivi, punto 6.
[71] Ivi, punto 8.
[72] In ragione, da un lato, dell’inopportunità di un’analisi priva di elementi materiali sufficienti, stante la paucità di informazioni rinvenibili riguardo alle iniziative in questione e, dall’altro, della maggiore coerenza rispetto al contesto regolatorio preso in considerazione con il presente scritto.
[73] R. Schildbach, Zugang zu Daten der öffentlichen Hand und Datenaltruismus nach dem Entwurf des Daten-Governance-Gesetzes, in ZD, 2022, 151; G. Resta, Pubblico, privato, collettivo nel sistema europeo di governo dei dati, cit., 988-989.
[74] Vd. supra¸ par. 2, 7. Non rileva, invece, in questa sede, la natura pubblica o privata del soggetto, diversamente da quanto sarà osservato infra (par. 4.2.) relativamente al social scoring. Vd. T. Tombal, Business-to-Government data sharing for environmental purposes, in Network Industries Quarterly, 3, 2022, 7 ss., spec. 8, in cui si afferma che: «only public and private non-for-profit entities that pursue objectives of general interest and have a legally independent functionally separate structure can be recognised as DAOs».
[75] Lo stesso statuto della Fondazione afferma che essa non ha uno scopo lucrativo e individua uno scopo di carattere generale quale «la promozione di uno sviluppo sostenibile, di una green economy nonché dello sviluppo tecnologico e dell’alta formazione tecnologica finalizzate all’elevata qualità ecologica». Art. 1 Statuto della Fondazione per lo sviluppo sostenibile, accessibile presso fondazionesvilupposostenibile.org.
[76] M. Veale – F. Borgesius, Demystifying the Draft EU Artificial Intelligence Act, cit.; G. Finocchiaro, La proposta di regolamento sull’intelligenza artificiale: il modello europeo basato sulla gestione del rischio, in Il diritto dell’informazione e dell’informatica, 2, 2022, 303 ss.; G. Resta, Cosa c’è di ‘europeo’ nella Proposta di Regolamento UE sull’intelligenza artificiale?, in Il diritto dell’informazione e dell’informatica, 2, 2022, 323 ss.
[77] A. Bradford, The Brussels Effect: How the European Union Rules the World, Faculty Books, 2020. Sui conflitti regolatori su scala globale, si rinvia a M. S. Erie – T. Streinz, The Beijing Effect: China’s “Digital Silk Road” as Transnational Data Governance, in New York University Journal of International Law and Politics, 1, 2021, 1 ss.; E. Chiti – B. Marchetti, Divergenti? Le strategie di Unione Europea e Stati Uniti in materia di intelligenza artificiale, in Rivista della Regolazione dei mercati, 1, 2020, 29 ss.
[78] G. Resta, Cosa c’è di ‘europeo’ nella Proposta di Regolamento UE sull’intelligenza artificiale?, cit., 339, il quale chiama “piramide del rischio” quella predisposta dal legislatore. La proposta distingue, infatti, tra sistemi vietati (unacceptable risk), ad alto rischio (high risk), a rischio limitato o minimo (low or minimal risk).
[79] Art. 5 AIA.
[80] Art. 5 AIA: le critiche si appuntano, nella versione originale, sul verbo “leading to”.
[81] M. Ebers – V. R. S. Hoch – F. Rosenkranz – H. Ruschemeier – B. Steinrötter, The European Commission’s Proposal for an Artificial Intelligence Act—A Critical Assessment by Members of the Robotics and AI Law Society (RAILS), in J, 4, 2021, 589 ss., spec. 592; dello stesso parere M. Veale – F. Borgesius, Demystifying the Draft EU Artificial Intelligence Act, cit., 100.
[82] Anche la relazione introduttiva specifica: «[l]a proposta vieta altresì l’attribuzione di un punteggio sociale basato sull’IA per finalità generali da parte di autorità pubbliche» (AIA, pag. 14).
[83] G. Resta, Cosa c’è di ‘europeo’ nella Proposta di Regolamento UE sull’intelligenza artificiale?, cit., 340; M. Veale – F. Borgesius, Demystifying the Draft EU Artificial Intelligence Act, cit.; M. Ebers – V. R. S. Hoch – F. Rosenkranz – H. Ruschemeier – B. Steinrötter, The European Commission’s Proposal for an Artificial Intelligence Act, cit.; EDPB-GEPD, Parere congiunto 5/2021 sulla proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (legge sull’intelligenza artificiale), punto 29.
[84] In merito al contenuto della lett. e), è bene ricordare che la disposizione prevede che siano gli Stati membri a fissare le basi giuridiche del trattamento e che, nel farlo, ne determinino le finalità e gli eventuali adeguamenti alle disposizioni del GDPR. Relativamente all’ordinamento italiano, poi, il Codice in materia di protezione dei dati personali è stato interessato da una recente modifica che, sul punto, ha introdotto il comma 1-bis all’interno dell’art. 2-ter, che delle basi giuridiche si occupa: in esso viene specificato che il trattamento da parte di un’amministrazione pubblica «è anche consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri ad esse attribuiti». In questo panorama normativo si inserisce, inoltre, un recente provvedimento con il quale il Garante ha precisato che «[a]l fine di adempiere […] “obblighi legali” o “compiti di interesse pubblico o connessi all’esercizio di poteri pubblici”, i soggetti pubblici non sono tenuti a chiedere alcun consenso (o autorizzazione) ai soggetti interessati per effettuare il trattamento dei relativi dati personali», anche in considerazione del fatto che lo squilibrio tra interessato e titolare che caratterizza i rapporti con le autorità pubbliche inficerebbe la validità del consenso prestato (considerando 43 GDPR). Per una trattazione dettagliata sul punto, si rinvia a D. Poletti, sub Art. 6 regolamento (UE) 2016/679 del 27 aprile 2016 (GDPR), in R. D’Orazio – G.D. Finocchiaro – O. Pollicino – G. Resta (a cura di), Codice della Privacy e Data Protection, Milano, 2021, 199 ss.
[85] Per il momento, difatti, i risultati dello studio che sono stati pubblicati evidenziano alcune correlazioni nelle abitudini di queste due categorie di soggetti (ad esempio, relative all’utilizzo dell’automobile); essi sono consultabili presso: osservatoriosharingmobility.it.
[86] Che recita: «Nella misura in cui ciò sia strettamente necessario al fine di garantire il monitoraggio, il rilevamento e la correzione delle distorsioni in relazione ai sistemi di IA ad alto rischio, i fornitori di tali sistemi possono trattare categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del regolamento (UE) 2016/679, all’articolo 10 della direttiva (UE) 2016/680 e all’articolo 10, paragrafo 1, del regolamento (UE) 2018/1725, fatte salve le tutele adeguate per i diritti e le libertà fondamentali delle persone fisiche, comprese le limitazioni tecniche all’utilizzo e al riutilizzo delle misure più avanzate di sicurezza e di tutela della vita privata, quali la pseudonimizzazione o la cifratura, qualora l’anonimizzazione possa incidere significativamente sulla finalità perseguita».
[87] Questa posizione è sostenuta da M. Ebers – V. R. S. Hoch – F. Rosenkranz – H. Ruschemeier – B. Steinrötter, The European Commission’s Proposal for an Artificial Intelligence Act, cit., 600 e da G. Resta, Cosa c’è di ‘europeo’ nella Proposta di Regolamento UE sull’intelligenza artificiale?, cit., 337; contra, vd. EDPB-GEPD, Parere congiunto 5/2021, cit., punto 73.
[88] G. Resta, Pubblico, privato, collettivo nel sistema europeo di governo dei dati, cit., 989.
[89] Ne sono testimonianza gli articoli con cui le testate giornalistiche hanno riportato la notizia delle istruttorie del Garante, giustamente mostrando un certo scetticismo verso iniziative che sottenderebbero rischi di controllo sociale, ma spesso cedendo alla solo apparente vicinanza dei progetti occidentali al modello cinese (citato espressamente o richiamato da contributi grafici). A titolo esemplificativo, si richiamano: Con la patente a punti per i buoni cittadini rischiamo una deriva cinese, su editorialedomani.it, 4 luglio 2022; I 3 progetti italiani di “credito sociale” che preoccupano il Garante della privacy, su wired.it, 8 giugno 2022. Sull’accostamento al Scs cinese, oltre a rinviare a quanto visto supra (par. 3), utile il richiamo a How the West Got China’s Social Credit System Wrong, su wired.com, 29 luglio 2019.
[90] Ad esempio, la figura degli intermediari di dati (data intermediaries) ha subìto un notevole sviluppo nelle recenti prospettazioni dottrinarie e legislative. Sul punto, M. Hennemann – L. v. Ditfurth, Datenintermediäre und Data Governance Act, in NJW, 2022, 1905; F. Bravo, Intermediazione di dati personali e servizi di data sharing dal GDPR al Data Governance Act, in Contratto e impresa Europa, 1, 2021, 199 ss.; World Economic Forum, Advancing Digital Agency: The Power of Data Intermediaries, February 2022.
[91] In generale, sul tema, si rinvia a A. Decker, Smart Law for Smart Cities, in Fordham Urban Law Journal, 41, 2014, 1491 ss.; R. Kitchin, The promise and peril of smart cities, in Computers and law: the journal of the Society for Computers and Law, 2, 2015, 1 ss. Su un piano comparatistico, rispetto al modello cinese, si segnala W. He, W. Li, P. Deng, Legal Governance in the Smart Cities of China: Functions, Problems, and Solutions, in Sustainability, 14, 2022, 18 ss.
[92] S. Pieranni, La Cina nuova, Roma-Bari, 2021, 83.
[93] S. Tranquilli, Il nuovo citoyen européen nell’epoca del Data governance act, cit., 183.
[94] F. Musella, Amministrazione 5.0, cit., 101.
[95] S. Pieranni, La Cina nuova, cit., 122: «lo scopo finale è la creazione di una «cittadinanza modello», ideale per abitare le sfavillanti ed efficienti smart city e […] [i]l sistema dei crediti sociale rappresenta l’acme di questo processo».
[96] F. Musella, Amministrazione 5.0, cit., 108.
[97] Per un’analisi approfondita E. Morozov – F. Bria, Rethinking the Smart City. Democratizing Urban Technology, New York, 2018, 53 («Cities and governments have yet to fully grasp that data lies at the heart of most power relations today»), in cui si propone un modello di gestione dei dati nelle città diverso da quello, imperante, del capitalismo digitale. In particolare, per il caso della città di Barcellona, vd. I. Calzada – E. Almirall, Barcelona’s Grassroots-led Urban Experimentation: Deciphering the ‘Data Commons’ Policy Scheme, Conference Data for Policy, 2019, 2; F. Monge – S. Barns – R. Kattel – F. Bria, A new data deal: the case of Barcelona, UCL Institute for Innovation and Public Purpose, Working Paper Series n. 02/2022, 8. Ancora, su istanze analoghe si incentra la proposta di J. J. Zygmuntowski – L. Zoboli – P. F. Nemitz, Embedding European values in data governance: a case for public data commons, in Internet Policy Review, 3, 2021, 3.
[98] F. Pasquale, Le nuove leggi della robotica, cit., 29. Per contrastare questo pericolo, l’Autore sottolinea l’opportunità di «superare i tentativi di riformare i sistemi di punteggio e cercare di limitarne la portata, assumendo il ruolo di giudici dei limiti della AI [perché il suo uso] non è il solo modo per governare una società e giudicare chi merita oneri o benefit» (ivi, 164-165).