Home / Macroambiente / GDPR, IoT e intelligenze artificiali: nuove sfide per la privacy?

GDPR, IoT e intelligenze artificiali: nuove sfide per la privacy?

GDPR, IoT e intelligenze artificiali: nuove sfide per la privacy?

La risposta del nuovo regolamento europeo per la protezione dei dati personali (GDPR) alle sfide dell'IoT e del trattamento automatizzato.

Con l’adozione del nuovo Regolamento generale sulla protezione dei dati (cd. GDPR – n° 679/2016), adottato dal Parlamento Europeo e dal Consiglio il 27 aprile 2016, l’UE ha compiuto un passo decisivo nel senso del rafforzamento della protezione dei dati delle persone fisiche nonché dell’agevolazione della libera circolazione dei dati personali nel mercato unico digitale.

Va detto, infatti, che il “regolamento” è lo strumento normativo più incisivo di cui dispone l’Unione, in quanto non solo vengono dettate norme di dettaglio, ma esse sono immediatamente operative e in via uniforme in tutti gli Stati membri, senza che occorrano – diversamente da quanto avviene con le Direttive – atti di recepimento o vi sia possibilità di differenziazione su base nazionale.

La necessità di ricorrere a tale tipologia di atto-fonte deriva essenzialmente da due fattori: anzitutto, la tutela delle persone fisiche con riguardo al trattamento dei dati personali rappresenta un diritto fondamentale ed inviolabile, riconosciuto dall’art. 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea (cd. Carta di Nizza), dunque si rende necessaria una tutela uniforme in tutta l’Unione, quantomeno in termini di standard minimi non derogabili; dall’altro lato, poi, è circostanza di palmare evidenza quella per cui la diffusione delle nuove tecnologie, specie in materia di tlc, ha determinato l’abbattimento dei confini nazionali, con la conseguenza che il trattamento dei dati personali sempre più spesso assume portata transnazionaleplurinazionale. Di conseguenza, divengono insufficienti le normative meramente nazionali e si impone – se si vuol assicurare una tutela veramente efficace – una regolamentazione moderna comune dei fenomeni di circolazione dei dati personali.

IoT e GDPR: criticità e rimedi

In quest’ottica, un problema di particolare interesse è quello che riguarda il cd.  internet of things  (IoT), ovverosia il ricorso a particolari dispositivi che – sfruttando le possibilità organizzative e di comando offerte della Rete – consentono di semplificare o ottimizzare il compimento di determinate attività, come accade, ad esempio, con i sistemi di domotica. In sostanza, quindi, v’è il governo o la fruizione di beni o servizi offline attraverso dispositivi online

Tutto ciò, come è facile immaginare, genera non poche criticità in termini di tutela della privacy: proprio al fine di assicurare la fruizione dei servizi offerti dall’IoT, infatti, i dispositivi in questione raccolgono una mole significativa di dati personali, non di rado anche sensibili.

Ebbene, proprio prendendo atto di questa problematica, il GDPR detta per la prima volta in sede comunitaria una disciplina di tutela imperniata sul principio di prevenzione.

In termini generali, infatti, si prevede (art. 32) che «tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche», venga adottato – in uno ad altri, come quello della cifratura – il criterio della pseudonimizzazione: il trattamento dei dati personali, quindi, dovrà avvenire in modo tale che gli stessi non possano essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive, sempre che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative tese a garantire la non attribuzione a una persona identificata o identificabile.

Ancora, secondo quanto dispone il GDPR, i dati trattati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite, realizzandosi, così, il principio della minimizzazione dei dati (considerando nr. 39 – art. 5 lett. c).

In via specifica, poi, viene superata l’idea di un trattamento dei dati imperniato (e giustificato) sulla base di una mera check list ovvero un burocratico riscontro di taluni requisiti, ma viene richiesta l’elaborazione di un sistema di gestione privacy che sia sviluppato fin dalla fase di progettazione dell’oggetto o del servizio: la protezione dei dati, quindi, non rappresenta più un posterius inerente semplicemente alla fase operativa, ma nasce e si sviluppa parallelamente al bene-servizio di riferimento.

Con il considerando nr. 90, infatti, si precisa l’opportunità che il responsabile del trattamento effettui una valutazione d’impatto sulla protezione dei dati prima del trattamento, per valutare probabilità e gravità del rischio, tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio.

Ciò è richiesto in particolare in presenza di trattamenti su larga scala e cioè quelli che potrebbero incidere su un vasto numero di interessati con un rischio elevato o comunque che siano tali da rendere più difficoltoso, per gli interessati, l’esercizio dei propri diritti.

Una valutazione d’impatto particolare, poi, è quella richiesta nel caso di regolamentazione dell’accesso a determinate aree mediante dispositivi optoelettronici o comunque con modalità che l’autorità di controllo competente ritiene possano presentare un rischio elevato per i diritti e le libertà degli interessati, ad esempio perché impediscono di esercitare un diritto o di avvalersi di un servizio (considerando nr. 91).

Tali considerazioni di metodo sono poi tradotte in prescrizioni puntuali dagli artt. 35 e 36 del GDPR. In particolare l’art. 36 impone una tutela rafforzatabifasica per i casi in cui la valutazione d’impatto indichi che il trattamento presenterebbe un rischio elevato: in questa ipotesi, infatti, occorrerà interpellare l’autorità di controllo (per l’Italia il Garante per la protezione dei dati personali) che, entro un periodo massimo di otto settimane dalla richiesta di consultazione, fornirà una consulenza per iscritto al responsabile del trattamento e, se non dovesse ritenere sufficienti le misure successivamente adottate, potrà avvalersi di poteri di ammonimento e inibitori previsti dall’art. 58 del Regolamento.

Valorizzando, poi, una concezione dinamica della protezione dei dati, il GDPR richiede che venga assicurata la adozione di procedure per «provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento» (art. 32, lett. d).

IA e trattamento dei dati: una sfida già chiusa

Altro profilo che – soprattutto in chiave prospettica – assume rilievo, è quello del trattamento effettuato in via automatizzata. Sul punto, però, occorre fare una distinzione: non pongono particolari problemi quelle attività in cui l’automatizzazione attiene alla sola “fase esecutiva“. Qui, in realtà, ci troviamo sì dinanzi ad una meccanizzazione, ma la decisione in ordine alle finalità e modalità del trattamento sono effettuate a monte da un umano, dunque il problema è solo quello “tradizionale” relativo alla affidabilità degli strumenti impiegati. Diversamente, occorre chiedersi se sia possibile che queste decisioni vengano rimesse, nell’ottica di una sempre maggior pervasività della tecnologia, all’azione delle intelligenze artificiali, facendo sì che queste si pongano – in buona sostanza – come autonomi titolari del trattamento, con tutte le eventuali conseguenze pregiudizievoli in termini di controllabilità dei procedimenti e accessibilità delle scelte da parte dei diretti interessati.

Anche su tale profilo interviene il GPDR che detta invero prescrizioni di segno univoco. Anzitutto, a norma dell’art. 5 – che fornisce le definizioni dei concetti più importanti – possono assumere le vesti di  titolari del trattamento «la persona fisica o giuridica, l’autorità pubblica, il servizio o (un) altro organismo» che determinino i mezzi e le finalità del trattamento. Dunque, si delinea un novero da cui sembrerebbero essere esclusi i meri software, ovverosia le IA.

Più esplicitamente, poi, l’art. 22 prevede testualmente che «l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automa­tizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significa­tivamente sulla sua persona». Al momento, quindi, tale rischio sembra essere scongiurato.

© RIPRODUZIONE RISERVATA È vietata la ripubblicazione integrale dei contenuti

Resta aggiornato!

Iscriviti gratuitamente per essere informato su notizie e offerte esclusive su corsi, eventi, libri e strumenti di marketing.

loading
MOSTRA ALTRI