Garante per la Protezione dei Dati Personali (1/2023)

Stampa

Periodo di riferimento: novembre 2022 – febbraio 2023

1. Premessa

Nel periodo di riferimento considerato (novembre 2022 – febbraio 2023) non si registrano atti normativi ovvero provvedimenti di carattere generale del Garante per la protezione dei dati personali (“Garante”).

Nonostante ciò, si ritiene di dare conto del provvedimento collegiale di carattere particolare del Garante, n. 9852214 del 2 febbraio 2023[1], con cui lo stesso ha disposto con effetto immediato, nei confronti della società statunitense Luka Inc. che sviluppa e gestisce l’applicazione Replika, la limitazione provvisoria del trattamento dei dati personali degli utenti stabiliti in Italia.

 

Questo provvedimento, pur essendo estraneo agli atti normativi binding, si può ritenere a questi ultimi strumentale perché utile a guidare i prossimi passi del legislatore sull’utilizzo di chatbot, intelligenze artificiali che simulano ed elaborano le conversazioni umane scritte e parlate, consentendo agli utenti che le utilizzano di interagire con esse come se stessero comunicando con una persona reale.

L’analisi di questo provvedimento sarà altresì utile a fornire immediate indicazioni di compliance ai titolari del trattamento dei dati personali in casi analoghi.

2. Il caso Replika

Replika è una chatbot, dotata di una interfaccia scritta e vocale che basandosi sull’intelligenza artificiale genera un “amico virtuale”, che gli utenti possono decidere di configurare come amico, partner romantico o mentore e che utilizza per il suo funzionamento dati personali (anche di utenti italiani).

Il software di intelligenza artificiale è stato presentato dai suoi sviluppatori come strumento in grado di migliorare il benessere emotivo dell’utente, di aiutarlo, da un lato, a comprendere i propri pensieri e calmare l'ansia e, dall’altro, a lavorare verso obiettivi come il pensiero positivo, la gestione dello stress, la socializzazione e la ricerca dell'amore. Questo è avvenuto almeno fino a quando gli organi di stampa hanno diffuso la notizia di concreti rischi per i minori d’età legati all’utilizzo del software e, più in generale, per le persone in stato di fragilità emotiva, evidenziati da alcune prove svolte sull’app.

Replika, interrogata dagli utenti, in assenza di filtri per i minori o di qualsivoglia procedura di controllo dell’età o di blocco e interdizione (per i soggetti che avessero esplicitato la loro minore età successivamente all’iscrizione e durante l’utilizzo dell’app), avrebbe fornito ai potenziali utenti minorenni risposte inidonee (compresi contenuti sessualmente inopportuni) rispetto al loro grado di sviluppo e autoconsapevolezza.

3. Le violazioni di Replika nel provvedimento del Garante

Il Garante accertava che nella privacy policy, pubblicata nel sito web della chatbot, il fornitore del servizio non aveva dichiarato la raccolta di dati personali di minori di età inferiore ai 13 anni, ma incoraggiato i genitori e i tutori legali a monitorare l’utilizzo di Internet da parte dei propri figli e invitandoli a contattare la piattaforma nell’ipotesi in cui avessero motivo di ritenere che un bambino di età inferiore ai 13 anni avesse fornito dati personali affinché questi venissero eliminati dai database.

Inoltre, negli App store l’applicazione veniva classificata come idonea a utenti maggiori di 17 anni, mentre, nei termini di servizio veniva indicato un divieto di utilizzo per i minori di 13 anni e l’esigenza che i minori di 18 anni fossero previamente autorizzati da un genitore o da un tutore.

In prima battuta, il Garante rilevava la violazione dell’articolo 13 del Regolamento (UE) 2016/679 (“GDPR”)[2], non riteneva, difatti la privacy policy conforme ai principi e agli obblighi previsti dal GDPR in tema di trasparenza, con particolare riguardo all’utilizzo dei dati personali dei minori e quindi degli articoli artt. 5[3], 6[4], 8[5], 9[6] e 25[7] del GDPR.

A dire del Garante, dalla violazione dell’art. 13 derivava l’impossibilità di individuare la stessa base giuridica delle varie operazioni di trattamento effettuate dalla chatbot.

Il Garante escludeva che, con riguardo in particolare ai minori, il fondamento di liceità del trattamento potesse – anche solo implicitamente – rinvenirsi nel contratto, attesa la riconosciuta incapacità dei minori nell’ordinamento italiano a concludere contratti per la fruizione di servizi quale quello in oggetto che comportano una rilevante messa a disposizione di propri dati personali.

Invero, l’ordinamento italiano recependo la clausola di salvaguardia contenuta nell’art. 8 del GDPR (che riconduce la validità del consenso al sedicenne lasciando agli Stati Membri la facoltà di stabilire per legge un’età inferiore) stabilisce che il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all'offerta diretta di servizi della società dell'informazione. Tuttavia, posto che non è il consenso la base giuridica prescelta in questo caso dal titolare, seppure considerassimo i servizi di Replika come servizi della società dell'informazione, resterebbe in piedi il divieto di profilazione dei minori, che rappresenta il core del funzionamento di chatbot come Replika.

Il Garante disponeva così, ai sensi dell’art. 58, par. 2, lett. f), del GDPR, la misura della limitazione provvisoria, del trattamento dei dati personali degli utenti stabiliti nel territorio italiano.

Inoltre, ai sensi dell’art. 58, par. 1, del GDPR, invitava il titolare del trattamento destinatario del provvedimento, entro 20 giorni dalla data di ricezione dello stesso, a comunicare le iniziative intraprese al fine di dare attuazione a quanto prescritto e a fornire ogni elemento ritenuto utile a giustificare le violazioni sopra evidenziate, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.

4. Riflessioni critiche a margine del provvedimento del Garante

Il Garante ha dichiarato l’illiceità del trattamento svolto da Replika.

La principale censura mossa dal Garante ha riguardato l’assenza di una base giuridica valida, non potendo la stessa essere rappresentata per i minori dalla esecuzione del contratto stante che la disciplina civilistica non riconosce al minore la capacità di agire, per cui anche laddove il minorenne concludesse un contratto in nome proprio, il contratto stesso dovrebbe ritenersi annullabile in quanto concluso da un incapace.

4.1. Il vero nodo della questione nell’ “oscurità” dell’algoritmo

La violazione del principio di trasparenza, ad avviso di chi scrive, non riguarda solo il trattamento dei dati personali dei minori.

In altre parole, il Garante si è interrogato sui problemi di un utilizzo “illecito” del software nei confronti dei minori, senza concentrarsi sulle caratteristiche del trattamento e sulle sue conseguenze sugli utenti maggiorenni che utilizzano la chatbot, tantomeno sul modello di Intelligenza Artificiale, sul suo impatto e sui potenziali errori (bias), suscettibili di provocare valutazioni pregiudizievoli per diffuse categorie di soggetti.

Al di là dei problemi connessi alla portata extraterritoriale[8] di applicazioni di questo tipo (si pensi anche alla popolarissima chatGPT) - che non è possibile dipanare in questa sede – e alla particolare vulnerabilità del minore è la vastità del potenziale a disposizione ovvero la poca chiarezza sul funzionamento dell’algoritmo a rappresentare la questione principale da affrontare.

La carenza di trasparenza rende solo apparente la consapevolezza della scelta di utilizzare i servizi offerti dal software e quindi non controllabile l’app da parte dell’utente e forse neanche da parte del titolare perché, talvolta, non è possibile delimitare le finalità di trattamento ma solo ipotizzare i possibili utilizzi a prescindere dalla minore o maggiore età del suo utilizzatore.

Gli scopi «determinati, espliciti e legittimi» richiesti al titolare dall’art. 5, par. 1, lett. b del GDPR per i quali i dati dovrebbero essere raccolti si scontrano spessissimo, compreso in questo caso, con finalità «ignote o cangianti»[9] nascoste nel proposito di offrire all’utente una spalla amica o di migliorare la gestione dello stress.

4.2. I limiti di una regolazione nazionale ed europea fuori tempo

Ad avviso di chi scrive neanche una informazione generica ex ante di portata ambigua[10] come quella richiesta al Titolare dal GDPR sarebbe sufficiente a coprire l’onere di trasparenza posta in capo al fornitore del servizio perché la regola europea non fornisce criteri utili di contenuto concreto né indicazioni sul design tecnico più adatto a garantire le tutela legate alla possibilità di «esprimere la propria opinione o di contestare la decisione» e porre oneri specifici sui «requisiti minimi di spiegabilità delle tecnologie adottate»[11]

È necessario avere un’adeguata comprensione dell’algoritmo per confidare nell’affidabilità della macchina[12]. Da un punto di vista pratico solo una reale conoscenza dell’Intelligenza Artificiale può rendere effettivi gli standard di tutela e i livelli di trasparenza. È qui che si innesta il right to explanation cioè il tema della “spiegabilità” degli algoritmi che, tuttavia, non coinciderebbe con il mero diritto a ottenere informazioni significative sulla logica utilizzata nei casi di sistemi di «profilazione» o di un «processo decisionale automatizzato» che nel GDPR sono le uniche due nozioni[13] più vicine al tema complesso dell’Intelligenza Artificiale. Il limite si rinviene nella fatica del regolatore anche europeo a stare al passo con l’evoluzione tecnologica.

Si pensi che un “right to explanation” è stato previsto anche nella proposta di Regolamento sull’Intelligenza Artificiale[14] presentata dalla Commissione Europea che dedica un intero titolo sezione agli “Obblighi di trasparenza per determinati sistemi di IA”; ma è stato previsto un regime del rischio senza responsabilità e valutazioni di sicurezza e conformità e senza che siano previste norme di carattere giurisdizionale sui diritti azionabili da parte degli interessati[15].

Regole monche o inadeguate al contesto perché non in grado «di esplicare in tempo utile effetti rilevanti e di lunga durata nella competizione globale e, allo stesso tempo, consentano di adottare tecniche di enforcement efficaci, trasparenti e prevedibili, oltre che uniformi, e uniformemente applicate, su tutto il territorio della Unione»[16].

4.3. Il ruolo mancato del Garante e delle Autorità di controllo nazionali

Proprio al Garante, «vigilatore e produttore di regole e prescrizioni adatte all’evoluzione tecnologica e sociale», in sinergia con le altre Autorità di controllo è richiesto di contribuire - mediante il ricorso a strumenti di cooperazione e coerenza attribuitigli dalle norme - alla definizione condivisa e reciprocamente vincolante, dei meccanismi, anche tecnologici, da adottare per garantire il rispetto del principio di trasparenza dei soggetti che operano nella società digitale.

Il Garante ha perso l’occasione di riconoscere nella explainability dell’algoritmo l’elemento necessario della trasparenza del trattamento a prescindere dalla età degli utenti perché funzionale alla sua giustiziabilità fornendo - perché no - criteri utili di contenuto concreto e indicazioni sul design tecnico più adatto a garantire le tutela legate alla possibilità per l’utente profilato di «esprimere la propria opinione o di contestare la decisione» e porre oneri specifici sui «requisiti minimi di spiegabilità delle tecnologie adottate»[17].

Al di là del provvedimento in esame, il Garante non ha nemmeno adempiuto in altra forma e sostanza al compito che gli è demandato di sviluppare linee di indirizzo e di guida degli stakeholders[18], cui pure avrebbe potuto guidare la valutazione del caso in discussione.

In questo nuovo scenario europeo, che paradossalmente ha visto ampliarsi i poteri delle Autorità di controllo defettano Linee Guida e provvedimenti di carattere generale vincolanti dell’Autorità, sia singolarmente sia, meglio, collegialmente nel quadro dello European Data Protection Board, in grado di orientare gli operatori rispetto alle prassi da adottare e alle tecnologie da porre in essere.

La nostra Autorità, domina del settore della protezione dei dati personali, si è limitata e si limita a valutare progetti e trattamenti segnalati dalla cronaca o oggetto di reclami, segnalazioni o del suo stesso piano di ispezione semestrale. Gli ammonimenti e soprattutto le sanzioni che hanno mera natura afflittiva nei confronti di titolari “non responsabilizzati” a sufficienza esprimono l’abdicazione del ruolo di governo dell’“evoluzione della regolazione”, demandato al Garante nel panorama tecnologico.

D’altro canto, le Autorità di regolazione sono nate proprio come «alternativa all’affidamento al giudice di talune funzioni diverse da quelle normalmente proprie dei giudici e caratterizzate da un così pronunciato grado di tecnicismo da richiedere attitudini e preparazione specializzate»[19].

Se non ora, quando?

 

[1] Garante per la protezione dei dati personali, provvedimento del 2 febbraio 2023, doc. web n. 9852214, registro dei provvedimenti n. 39 del 2 febbraio 2023, disponibile al seguente url: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9852214.

[2] relativo alle informazioni da fornire qualora i dati personali siano raccolti presso l'interessato.

[3] attinente i principi applicabili al trattamento di dati personali.

[4] riguardante la liceità del trattamento.

[5] relativo alle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione

[6] relativo al trattamento di categorie particolari di dati persone.

[7] relativo alla protezione dei dati fin dalla progettazione e protezione per impostazione predefinita.

[8] Gli attori principali in ambito software e sviluppo di intelligenza artificiale sono USA e Cina.

[9] G. De Minico, Big Data e la debole resistenza delle categorie giuridiche. Privacy e lex mercatoria, in Dir. Pubbl., 1/2019, p. 95, cit.

[10] E. Spiller, Il diritto di comprendere, il dovere di spiegare. Expainability e intelligenza artificiale costituzionalmente orientata, in Bio Law Journal, 2/2021, 424.

[11] Id., ivi, 425.

[12] Si cfr. seppure con riferimento alla base giuridica del consenso l’ordinanza della Corte di Cassazione, del 25 maggio 2021 n. 14381/2021.

[13] Si richiama l’articolo 22 del Regolamento UE 2016/679. Analogo discorso vale per l’informativa cui accenna il Cons. 71 del Regolamento citato che si rammenta non avere una natura prescrittiva ma meramente interpretativa.

[14] Il testo è consultabile al seguente url: https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A52021PC0206.

[15] G. De Minico, Big Data e la debole resistenza delle categorie giuridiche. Privacy e lex mercatoria, in Dir. Pubbl., 1/2019, p. 92.

[16] F. Pizzetti, Pizzetti: “Le sfide della nuova privacy nella società digitale e dell’IA, in Agenda digitale, 27 febbraio 2023. Il testo riproduce il contenuto dell’intervento dell’A. al Convegno di Presentazione del volume “La Privacy nell’era digitale. Le Relazioni dei Presidenti dell’Autorità Garante 1997-2022” tenutosi il 22 febbraio 2022 nella Sala della Autorità di protezione dei dati personali, che ha anche curato la pubblicazione del volume.

[17] Ci riferiamo ai due soli strumenti che l’utente profilato può utilizzare per difendersi dagli abusi del titolare (art. 22, par. 3 del GDPR).

[18] Ibidem.

[19] R. Giovagnoli, Autorità indipendenti e tecniche di sindacato giurisdizionale, in giurdanella.it, 2013, cit..