Aggiornato al 28.02.2020
Rubrica a cura di Giovanna De Minico
Scheda di Maria Orefice
Nel periodo di riferimento considerato (ottobre 2019 – febbraio 2020) si registra, in particolare, la pubblicazione del Rapporto finale dell’indagine sugli effetti prodotti dai Big Data (di seguito, “BD”) in relazione al contesto economico politico e sociale e all’attuale cornice normativa.
Premessa
È indubbio il carattere informativo dell’Indagine conoscitiva citata, il cui scopo è approfondire aspetti tecnologici, economici e giuridici legati ai BD, ma è anche innegabile la natura paranormativa delle Raccomandazioni ivi contenute.
Tali raccomandazioni, atti di soft law1, sono di regola prodromiche ad atti normativi binding e per tale motivo l’indagine, che le contiene, assume un particolare rilievo per le ragioni che seguono, pur rimanendo estranea al sistema delle fonti del diritto.
Essa rappresenta la prima posizione ufficiale assunta dal Garante per la Protezione dei Dati Personali (di seguito, “Garante”) sul tema dei BD, probabile primo passo verso l’adozione di una regolamentazione vincolante.
È il risultato di un’azione condotta congiuntamente con l’Autorità per le Garanzie nelle Comunicazioni (di seguito, “AGCom”) e con l’Autorità Garante della Concorrenza e del Mercato (di seguito “AGCM”); quindi, contiene sollecitazioni non trascurabili in ragione dei suoi autori e dell’essere uno stesso fenomeno analizzato da diversi punti di vista.
Infine, l’Indagine si presenta come un “decalogo” di linee guida per il policymaker suscettibili di tradursi in atti di hard law in avvenire.
Background
Nel documento sono riportate le risposte alle richieste di informazioni rivolte alle principali piattaforme online e i contributi forniti da operatori ed esperti, sentiti in audizione, sui riflessi dei BD sui singoli e sull’operatività delle imprese tra il 2017 e il 2018.
Considerata la particolare complessità degli argomenti trattati nell’indagine, rimandiamo ai passaggi e ai riferimenti normativi ivi presenti per i dovuti ulteriori approfondimenti.
Sul mero piano definitorio la locuzione BD viene usata dalle Autorità Indipendenti principalmente con l’accezione di mole di dati raccolti tramite Internet (p. 10). Dopodiché le Autorità ricomprendono nei BD le “attività degli utenti” di tipo online e offline, intendendo per quest’ultime le attività svolte in «assenza di interazione diretta con un dispositivo elettronico» (p. 11).
Facciamo subito una precisazione sulla descrizione di BD che, nella definizione proposta dalle Autorità, è monca.
Se i BD comprendessero solo dati generati nel contesto di internet oppure offline nell’accezione sopra riportata si sarebbe dovuto tenere fuori dall’Indagine – cosa che non sembra che le Autorità abbiano fatto – gran parte della materia prima dei BD.
Ci riferiamo, in particolare, ai dati personali e non che non sono prodotti nel contesto di internet e/o che sono generati in assenza - non solo di interazione ma anche - di una connessione a una rete dati o Wi-Fi o a servizi di geolocalizzazione. Tra questi rientrano i dati derivanti dalle attività di ricerca medico-scientifica o da sistemi di monitoraggio del traffico aereo, spaziale e stradale, da sistemi di sorveglianza o registrati in black box o ancora relativi a transazioni, generati, per esempio, in ambito finanziario o assicurativo2. Tali dati sono il core dei BD e proprio a questi dati va prestata particolare attenzione, considerato il forte impatto che potrebbero produrre sugli interessati.
Senza dubbio al documento vanno riconosciuti alcuni pregi: da un lato, 1) quello di associare per la prima volta (il GDPR non parla mai di BD) l’espressione BD a quella di “dati personali”, come definiti dall’art. 4 del Regolamento Europeo 2016/679 (noto come “GDPR” o “Regolamento”); dall’altro 2) quello di riconoscere al Regolamento un’impostazione obsoleta.
In tal senso, sul primo punto, pur in assenza di una definizione normativamente vincolante, i dati personali vengono riconosciuti parte della matassa dei BD insieme ai dati “non personali”, per i quali trova applicazione il Regolamento Europeo 2018/1807.
Sul secondo punto, le Autorità ammettono che il Regolamento è legato a una impostazione giuridica ereditata dalla previgente direttiva che deve fare i conti con un fenomeno nuovo rispetto ai tempi della sua stesura, che ha visto un iter lungo e travagliato. L’acquisizione massiva di dati richiede, infatti, un ripensamento3 della tradizionale impostazione di gestione del dato.
Si riportano a seguire i punti di maggiore interesse con alcune considerazioni critiche.
a) Profilazione, anonimizzazione del dato e algoritmi
Le Autorità chiariscono che non sono trascurabili i rischi per gli interessati correlati al profiling, seppure alle imprese interessino ai fini di profilazione più i “tipi ideali” che le informazioni sull’identità personale dei soggetti. Difatti, a determinate condizioni è tecnicamente possibile risalire all’identità degli interessati4, anche in presenza di dati anonimizzati o partendo da dati generici o addirittura da metadati.
Anzi, aumentano i dataset disponibili - anche in un momento successivo alla prima raccolta - e proporzionalmente aumentano le possibilità di re-identificazione del singolo. Oltre a ciò, le Autorità forniscono una definizione dei tipi di algoritmi attraverso i quali i dati vengono trattati in modo automatizzato. Essi sono suddivisi in due tipologie: analytics e di machine learning, i primi organizzano informazioni e anticipano scelte; i secondi abilitano un apprendimento automatico da parte di un sistema informatico.
Tali algoritmi, a cui sono dati in pasto i BD, possono provocare valutazioni pregiudizievoli per diffuse categorie di interessati, per esempio, prevedendo un comportamento sbagliato.
Inoltre, essi possono incidere su alcuni istituti giuridici come l’autonomia contrattuale delle parti negoziali, nel contesto di pratiche basate sul profiling, per esempio, modificando il profilo economico dell’accordo (price discrimination), variabile quest’ultima che oggi è fuori dal raggio di analisi del legislatore e del giudice ma che andrebbe opportunamente riconsiderata.
b) Consenso
La soluzione che le Autorità individuano per far fronte all’acquisizione massiva di dati personali e dei “parametri d’uso”, tramite le app e il loro sistema di permessi (operazione non direttamente trattata dal GDPR), è un dynamic consent. Tale strumento prevedrebbe un’informazione progressiva e una stratificazione di consensi, man mano che i Titolari del trattamento chiariscono a loro stessi le finalità del trattamento, non conoscibili ex ante, ma solo successivamente alla raccolta dei BD. Qui, il limite della soluzione è individuato dalle stesse Autorità nelle continue sollecitazioni che indurrebbero l’interessato alla disattenzione. Dobbiamo aggiungere che il problema andrebbe individuato a monte e cioè nell’inadeguatezza del “consenso” al terreno di gioco5. In questo senso, «l’antica tutela della privacy, consent based, assistita dalle garanzie dell’autonomia e della consapevolezza, non è più utilmente invocabile»6.
Se il Titolare non conosce tutte le possibili finalità per le quali tratterà i dati, ancor meno potrà individuare previsioni dannose nelle sue valutazioni7, condotte ancor prima di iniziare un trattamento. Esse potrebbero tradursi in motivi giuridici di doglianza, ignote prima che inizi il trattamento.
Soluzioni alternative sono solo accennate nell’Indagine e per questo poco chiare: le Autorità si limitano ad anticipare che esse andrebbero basate «sulla correlazione fra il rilascio del consenso per il trattamento dei dati ed i rischi che tale trattamento prevede» (p. 26).
c) Portabilità e open data
La portabilità intesa come trasferimento dei data set da una piattaforma a un’altra incontra i limiti degli effetti di lock-in tecnologici e sociali, dovuti all’assenza di implementazione di uno standard condiviso e al disinteresse del singolo a spostarsi da una piattaforma a un’altra. Questo anche perché la manipolazione effettuata sui dati resterebbe fuori dalla richiesta di portabilità. Il concetto di open data è trattato incidentalmente. Le Autorità riconoscono che la portabilità è collegata al fenomeno degli open data cioè di «dati prodotti dagli organismi pubblici e per definizione liberamente accessibili a tutti». Si legge, inoltre, nell’Indagine che «Per quanto riguarda l’accesso ai dati grezzi (dati non strutturati), durante le audizioni è stato riferito che per i data set detenuti dalla pubblica amministrazione sono state introdotte norme che prevedono un preciso percorso di messa a disposizione del pubblico di quantità importanti di dati, al fine di consentirne il riuso. Mentre, per i data set detenuti da poche imprese, il RGPD prevede il diritto di accesso ai dati personali e la loro portabilità, ai fini del trasferimento dei data set da una piattaforma a un’altra e della possibilità di accedere anche ai metadati». Quest’argomentazione delle Autorità non va avanti, né chiarisce l’intento dell’avversativa e cioè, se si voglia evidenziare la chiusura da parte degli organismi pubblici rispetto alle aperture del diritto alla portabilità - introdotto dal GDPR - o viceversa. In tale ultimo caso, andrebbe chiarito in che modo ciò sia possibile, considerato che l’opera di openness in Italia è naufragata a favore di un diritto di accesso generalizzato (d. lgs. 97/2016), il quale resta sempre concesso8 dalle amministrazioni a taluni cittadini operosi (salvo rare ipotesi di obblighi di disclosure, dettati da leggi)9. Da quello che ci risulta, la P.a. - oltre a essere gelosa - è anche una cattiva custode, se consideriamo che dal Rapporto dell’Osservatorio FederPrivacy emerge che il 17% delle sanzioni sono state comminate in tutta Europa proprio al settore pubblico10.
d) Il potere degli Over the Top
Nell’utilizzo di dati tecnici (es. geolocalizzazione), i big player (Facebook, Apple, Google, etc. noti come Over the Top, a seguire “OTT”) non conoscono i limiti cui soggiacciono gli operatori TLC, ai quali si applicano i divieti della Direttiva e-Privacy (la Proposta di Regolamento che la sostituirà è al vaglio del Parlamento Europeo e del Consiglio dell’Unione Europea). Ancora, gli OTT hanno invaso il settore dell’informazione e alimentato un sistema di fake news che ha lo scopo di attirare investimenti pubblicitari grazie al traffico generato. Gli effetti di rete delle piattaforme multi-versante, cioè che operano su più mercati, permettono, inoltre, agli OTT di entrare in mercati nuovi e dominarli in breve tempo.
Per ovvie ragioni di spazio, tralasciamo qui sia le considerazioni dell’AGCom sui fallimenti dei mercati dal lato della domanda, nonché sugli sviluppi della nozione di comunicazioni elettroniche (capitolo 3), sia quelle dell’AGCM che individuano nei dati una barriera all’ingresso di nuovi competitor e un vantaggio competitivo all’abuso di posizioni di dominanza11 (capitolo 5). Tali osservazioni meritano una trattazione a parte.
Sia consentito però riportare brevemente due soli passaggi delle considerazioni dell’AGCM (pp. 96 e 96) che prendono in esame: il fenomeno del “free effect”12 e il tema della proprietà del dato13. Secondo l’Autorità, anche nel caso in cui i servizi si differenziassero sulla base del diverso livello di tutela della privacy, di fatto, il prezzo rimarrebbe il principale driver nelle scelte di consumo dell’utente. Nonostante ciò, «la prospettiva della commodification dei dati personali non trova spazio nella cornice normativa eurounitaria: e non solo muovendo dall’assunto (che pure da più parti si vorrebbe svalutare) della natura di diritto fondamentale del diritto alla protezione dei dati personali, ma perché puntuali indici normativi escludono la logica puramente appropriativa in relazione allo statuto giuridico dei dati personali».
Allora, nell’unirci all’auspicio di un intervento normativo sul punto, aggiungiamo qualcosa in più. Stante l’architettura di gestione accentrata nelle mani del Titolare dei dati - l’unico forse ad avere una visione chiara dei trattamenti - e l’incapacità dell’utente di attribuire valore ai suoi dati, non è sufficiente riconoscere in capo agli individui una proprietà che difficilmente è esercitabile. Per questo motivo i dati personali andrebbero acquisiti al concetto di bene comune14.
Ci concentriamo, ora in larga misura sulle considerazioni ratione materiae del Garante (capitolo 4).
A fronte dei rischi legati alla profilazione e al sistema delle tutele dei diritti presidiati dalle Autorità, il Garante propone un approccio win win, quali l’adozione di misure tecniche e organizzative adeguate «anche percorrendo, ove possibile e fruttuoso, la via dei codici di condotta» di cui all’art. 40 del GDPR; improntate ai principi di privacy by design e by default (art. 25 del GDPR), e individuate a seguito di una valutazione di impatto e, se necessario, della consultazione dell’autorità di controllo.
Qui il Garante sembra conservare, come fa il GDPR un «atteggiamento nostalgico verso la privacy»15, per cui si ostina a prestare omaggio a un terreno di gioco ante Internet.
Chiarifichiamo con un esempio i limiti della normativa citata sopra e approvati dal Garante: seppure il Titolare di un trattamento automatizzato di dati personali, in ossequio ai principi del GDPR, conducesse una pedissequa e attenta valutazione di impatto sulla protezione dei dati ex art. 35 del GDPR e improntasse un trattamento ab initio al principio di privacy by design, non riuscirebbe comunque a circoscrivere i rischi da previsione comportamentale. Questo perché è inimmaginabile, prima dell’effettivo accadimento, l’ubi consistam del pericolo.
D’altra parte, il rischio di reidentificazione di dati comunemente ritenuti anonimi, secondo il Garante, va affrontato con policy che comprendano valutazioni etiche su quali siano le garanzie di correttezza e sulle possibilità di disclosure presenti nei dati. Considerato il trade off tra anonimizzazione e utilità del dato, secondo il Garante l’obiettivo principale è impedire che un soggetto sia individuabile, utilizzando mezzi ragionevoli a partire dai BD.
Il Garante, allora, suggerisce tecniche di randomizzazione (shuffling, generalizzazione, crowding), offre esempi di pseudonimizzazione (hashing come SHA-256) e ripete cose già dette: per esempio, come l’operazione di anonimizzazione debba essere oggetto di riesame periodico richiamando il parere 5/2014 dell’ex Gruppo Articolo 29 (oggi “European Data Protection Board”). Inoltre, individua la differential privacy come “tecnica promettente”, guardando all’esempio di un OTT, cioè Apple (sistema operativo di IoS 10): essa prevedrebbe un accesso ai dati basato su interrogazioni e non sulla pubblicazione di dati aggregati o randomizzati. Non è, tuttavia, chiaro come funzioni esattamente questa tecnica e in che modo offra garanzie adeguate. Infine, il Garante riafferma i principi di finalità, qualità e minimizzazione nel trattamento dei dati senza spingersi oltre.
Alla luce di quanto sopra, le tre Autorità concentrano nei seguenti undici punti le loro raccomandazioni al Governo e al Parlamento sulla necessità di:
1) Promuovere un appropriato quadro normativo che affronti la questione della trasparenza nell’uso delle informazioni.
2) Rafforzare la cooperazione internazionale per la definizione di una policy di governo dei BD.
3) Promuovere una policy unica a livello europeo per l’utilizzo di dati pubblici.
4) Ridurre le asimmetrie informative tra utenti e operatori digitali.
5) Prima delle operazioni di trattamenti, verificare la natura dei dati e la possibilità di identificare l’interessato anche se anonimizzati.
6) Introdurre nuovi strumenti per la promozione del pluralismo online.
7) Tutelare il benessere dei consumatori mediante gli strumenti del diritto antitrust.
8) Riformare il controllo delle operazioni di concentrazione con nuovi standard più adatti alle sfide dell’economia digitale (SIEC Substantial impediment to effective competition).
9) Agevolare la portabilità e mobilità dei dati tramite l’adozione di standard aperti e interoperabili.
10) Rafforzare i poteri di acquisizione delle informazioni da parte di AGCM e AGCom e aumentare al massimo edittale le sanzioni.
11) Istituire un coordinamento permanente tra le Autorità.
In conclusione, è sicuramente apprezzabile lo sforzo congiunto delle Autorità di concepire il diritto «non più come una realtà divisibile in rigidi compartimenti stagni, incomunicabili tra loro, ma come composizione scomposta di sfere giuridiche che si possono mescolare»16. Tuttavia, è ancora carente l’individuazione da parte delle Autorità di settore di una cassetta di attrezzi adatta al nuovo scenario, da proporre al legislatore sovranazionale. I BD richiedono – come le stesse Autorità riconoscono - nuovi strumenti di tutela degli individui, ma è importante che essi superino le debolezze del GDPR. E, allora, bene avrebbero fatto le Autorità a indicare possibili soluzioni pratiche; invece di indicazioni di principio o del mantenimento di quei “placet”17 previsti proprio dal GDPR che confermano una immunità giuridica dei Titolari, siano essi indistintamente OTT, piccole medie imprese, associazioni di beneficenza o enti non profit18.
In sintesi e a mero titolo esemplificativo, le Autorità avrebbero potuto suggerire la tipizzazione di un obbligo di leggibilità del codice dell’algoritmo in modo da rendere trasparenti le analisi previsionali dei comportamenti e le logiche ad esse sottese, con lo scopo ultimo di controllare gli esiti rischiosi sulla collettività e ricondurli all’alveo dell’art. 2050 c.c.19. Questo significherebbe responsabilizzare gli imprenditori nell’assumere decisioni, suggerite dagli algoritmi e potenzialmente lesive di posizioni giuridiche; e giustiziarle al pari di un atto autoritativo adottato in base a un algoritmo20.
Oltre tutto, l’Indagine sconta il limite di essere figlia di un tempo già passato (2017/2018) e non prende proprio in considerazione il tema relativo all’utilizzo di sistemi di riconoscimento facciale21 - già ampiamente sperimentato in alcuni aeroporti italiani - oggetto di attenta analisi da parte della Commissione Europea nel Libro Bianco sull’Intelligenza Artificiale22. La Commissione richiede tra i «types of requirement» nella «documentation on the programming»23 proprio quella leggibilità del codice dell’algoritmo invocata sopra e che le Autorità forse sottovalutano.
È evidente che servono in fretta regole chiare e condivise per proteggersi dall’impatto negativo che potrebbe derivare sui singoli dall’utilizzo dei BD. Serve anche solerzia a giocare su un terreno nuovo, che poco si confà a un regime di prorogatio del Garante - il cui Collegio è scaduto il 19 giugno scorso - che permette di operare solo su atti di ordinaria amministrazione, indifferibili e urgenti.
1 E. MOSTACCI, La soft law nel sistema delle fonti: uno studio comparato, Padova, Cedam, 2008, pp. 20 ss.
2 Suddette contraddizioni sono state rilevate dal prof. Giuseppe Attardi nella Lista pubblica del Centro NEXA su Internet & Società del Politecnico di Torino, in Nexa Digest, Vol 130, Issue 24 del 14/02/2020.
3 G. DE MINICO, Does the European Commission's decision on Google open new scenarios for the Legislator?, in Blog of the International Association of Constitutional Law, in http://wp.me/p5sPRr-Ce, 2017.
4 L. SWEENEY, Simply Demographics Often Identify People Uniquely, Carnegie Mellon University, Data Privacy Working Paper 3. Pittsburgh 2000.
5 G. DE MINICO, L’Amministrazione e la sfida dei big data, in Scritti in onore di Vincenzo Cerulli Irelli, 2020, p. 309 (in corso di pubblicazione).
6 ID., Big Data e la debole resistenza delle categorie giuridiche. Privacy e lex mercatoria, in Diritto Pubblico, Bologna, 2019.
7 Ci riferiamo per esempio alla Valutazione d’impatto sulla protezione dei dati personali ex art. 35 del GDPR, nota anche come DPIA.
8 ID., La trasparenza della PA costruita sull’asimmetria, in il Sole 24 ore, 21 maggio 2017, p. 13: « […] Il tempo di internet ha suggerito agli americani la filosofia più avanzata dell'open data. Con essa l'informazione, creata dall'amministrazione con i dati forniti dai cittadini, è acquisita al concetto di bene comune: un asset condiviso e condivisibile tra cittadini e amministrazione. Pertanto, il suo regime giuridico non segue più il modello del Foia, e quindi non ripropone l'inconveniente di un'informazione tirannica e singolarmente privilegiata. Si risolve nel semplice obbligo per l'amministrazione di pubblicare ex se ogni dato in suo possesso, e a questo dovere generalizzato per oggetto e destinatario corrisponde un vero e proprio diritto di chiunque alla conoscenza del patrimonio informativo del soggetto pubblico, con eccezione dei vari segreti di Stato e simili».
9 ID., L’Amministrazione e la sfida dei big data, p. 303.
10 A.C.MESSINA, Dati, la p.a. è cattiva custode, in ItaliaOggi, 20 gennaio 2020, p. 6.
11 Sia consentito richiamare le stesse considerazioni espresse dalla scrivente in M. OREFICE, I Big Data e gli effetti su privacy, trasparenza e iniziativa economica, Roma, Aracne, 2018, p. 141 ss.
12 Secondo il free effect gli utenti sarebbero disposti a fornire dati o contenuti in cambio della gratuità di un servizio.
13 Si riportano le osservazioni condivise dal prof. Giuseppe Attardi nella Lista pubblica del Centro NEXA su Internet & Società del Politecnico di Torino, in Nexa Digest, Vol 130, Issue 24 del 14/02/2020.
14 Seppure in riferimento agli Open Data si cfr. G. DE MINICO, La trasparenza della PA costruita sull’asimmetria, cit., supra.
15 G. DE MINICO, Big Data e la debole resistenza delle categorie giuridiche. Privacy e lex mercatoria, in Diritto Pubblico, Bologna, 2019, p. 94, cit.
16 Ivi, 104.
17 Ci riferiamo per esempio ai casi in cui è richiesta la consultazione preventiva del Garante (art. 36 GDPR).
18 Sulle incombenze che mettono in difficoltà PMI e enti no profit si rimanda all’articolo di D. FULCO, GDPR verso il primo “tagliando”: PMI ed enti no profit sperano nelle semplificazioni, in Agenda Digitale, 20 febbraio 2020.
19 Ibidem.
20 Consiglio di Stato, sez. VI, 8 aprile 2019. N. 2270.
21 J. VALERO, Vestager: Facial recognition tech breaches EU data protection rules, in euractiv.com, February, 17, 2020.
22 COM(2020) 65 final, White paper on Artificial Intelligence - A European approach to excellence and trust, del 19/02/2020, in https://ec.europa.eu/info/sites/info/files/commission-white-paper-artificial-intelligence-feb2020_en.pdf, pp. 21 ss.
23 documentation on the algorithm including what the model shall optimise for, which weights are designed to certain parameters at the outset etc.