occasione di riflessione: lo scenario relativo a dati personali, etica, AI, robotica
La giornata europea della protezione dei dati personali (Data Protection Day), che si celebra il 28 gennaio di ogni anno (in Italia il Garante ha organizzato un evento che si terrà a Roma il 29 gennaio), offre lo spunto per alcune riflessioni.
Il tema della protezione dei dati personali è di estremo rilievo e non va affatto sottovalutato. Le tecnologie sono utilizzate quotidianamente soprattutto attraverso computer, smartphone, tablet e altri device. Forniamo i nostri dati personali per fruire di beni e/o servizi e il titolare del trattamento è tenuto al rispetto delle norme del GDPR e del codice privacy, così come modificato dal D.Lgs. 101/2018. Peraltro, assume ulteriore rilievo il tema del trasferimento dei dati personali all’estero o verso organizzazioni internazionali, soprattutto nell’utilizzo di servizi o tecnologie le cui infrastrutture non sono ubicate all’interno dell’Unione Europea.
Il principio della responsabilizzazione (“accountability”) impone al titolare del trattamento non solo il rispetto dei principi contenuti nell’art. 5, par. 1, del GDPR ma anche di essere in grado di comprovarlo.
Al di là di questi aspetti, non si può prescindere dai fenomeni emergenti come Intelligenza Artificiale (IA - Artificial Intelligence AI), Blockchain e Robotica che hanno un impatto notevole sui dati personali. La rilevanza dei predetti temi ha sollecitato, già da qualche tempo, l’attenzione del Garante per la protezione dei dati personali, dell’European Data Protection Supervisor (EDPS) e del Comitato Europeo per la Protezione dei Dati (EDPB). Infatti, sebbene si registri una produzione degli Organi istituzionali già da qualche anno, proprio nel 2018 si è avuto un incremento dei documenti su questi temi:
- il 9 marzo 2018 il Gruppo europeo sull’Etica nelle Scienze e Nuove Tecnologie della Commissione europea ha pubblicato lo “Statement on Artificial Intelligence, Robotics and ‘Autonomous’ Systems”;
- il 25 aprile 2018 la Commissione Europea ha pubblicato la “Communication from the Commission to the European Parliament, the European Council, the Council, the European Economic and Social Committee and the Committee of the Regions - Artificial Intelligence for Europe - COM(2018) 237 final”;
- la 40ma Conferenza internazionale dei Garanti privacy tenuta a Brussels dal 22 al 26 ottobre 2018, ha pubblicato un documento dal titolo “Declaration on Ethics and Data Protection in Artificial Intelligence”;
- il 3 dicembre 2018 la European Commission for the Efficiency of Justice (CEPEJ) del Consiglio d’Europa ha pubblicato la “Carta Etica Europea sull’uso dell’Intelligenza Artificiale nei sistemi giudiziari e nel loro contesto (European Ethical Charter on the Use of Artificial Intelligence in Judicial Systems and their environment)”;
- Il 18 dicembre 2018 il Gruppo di esperti sull’Intelligenza Artificiale della Commissione europea (European Commission’s High-Level Expert Group on Artificial Intelligence - AI HLEG) ha pubblicato il documento dal titolo “Draft Ethics Guidelines for trustworthy AI”.
È evidente come, soprattutto il tema dell’Intelligenza Artificiale (IA) abbia suscitato particolare attenzione proprio con riguardo alla protezione dei dati personali. Inoltre, recentemente, il Garante è intervenuto su “La nuova emergenza per la privacy mondiale si chiama app economy”, tema altrettanto delicato ed attuale in considerazione dei dati personali forniti per l’utilizzo di app. Non va dimenticato che in Europa il diritto alla protezione dei dati personali e il diritto alla riservatezza sono diritti fondamentali.
Il dato personale è un valore in termini assoluti per la sua stretta correlazione con la persona umana e, al contempo, non si può prescindere dall’etica anche con riguardo alla dignità umana. Non possono essere consentiti usi impropri di dati personali che non siano aderenti alle finalità dichiarate dal titolare del trattamento alla persona interessata.
Il tema dell’etica assume oggigiorno rilievo primario e, sebbene il suo riferimento non sia espressamente contenuto nelle norme, è possibile comunque utilizzare i principi contenuti nel GDPR, e specificamente previsti all’art. 5, par. 1, («liceità, correttezza e trasparenza», «limitazione della finalità», «minimizzazione dei dati», «esattezza», «limitazione della conservazione», «integrità e riservatezza», «responsabilizzazione»), per una lettura eticamente orientata del trattamento dei dati personali. È chiaro che - ad esempio, il principio di «liceità, correttezza e trasparenza» (art. 5, par. 1, lett. a) del GDPR) non possa prescindere da un approccio che comporta delle valutazioni etiche.
Allo stesso modo, non può prescindersi dall’etica nel rispetto del principio di «integrità e riservatezza» che impone al titolare del trattamento l’adozione di “misure tecniche e organizzative adeguate” per “garantire un’adeguata sicurezza dei dati personali”. Al di là del riferimento strettamente normativo, è fondamentale acquisire un approccio etico al tema dei dati personali e del relativo trattamento. Non è necessaria soltanto l’attività di sensibilizzazione al tema dell’etica ma ancor più l’acquisizione di una concreta consapevolezza dell’etica che deve diventare una reale “coscienza etica”.
Una coscienza etica implica il rispetto della legge sulla protezione dei dati personali (GDPR e codice privacy), ma potrebbe non essere vero il contrario, ossia rispettare la legge non significa necessariamente avere una “coscienza etica”.
Rivesto la carica di presidente di UNIDPO - Unione Nazionale Italiana Data Protection Officer, associazione costituita a maggio del 2018.
L’associazione si caratterizza per la compagine associativa multi-professionale, posto che gli associati sono Avvocati e Ingegneri, le cui professionalità sono complementari per lo svolgimento del ruolo di Responsabile della Protezione dei Dati (RPD/DPO). Il livello di elevata professionalità contraddistingue ogni associato. UNIDPO è sensibile a tutte le tematiche che riguardano il trattamento e la protezione dei dati personali e, quindi, alle occasioni, come quella della giornata europea della protezione dei dati personali, utili per accrescere il confronto e la condivisione delle esperienze professionali su questi temi.
Ringrazio il Direttivo e tutti gli associati per il lavoro egregiamente svolto e per le energie profuse per il raggiungimento degli scopi associativi. Auguro a UNIDPO di celebrare la giornata europea della protezione dei dati personali quale occasione per continuare a coltivare l’interesse per la materia nello spirito che ha animato la costituzione dell’associazione e la condivisione della sua mission.