In Europa, la protezione dei dati personali è un diritto fondamentale. All’interno di questo quadro, la relazione tra robotica, Intelligenza Artificiale (AI), Machine Learning (ML), protezione dei dati e privacy ha ricevuto particolare attenzione, recentemente, essendo i temi più importanti relativi alla protezione dei dati e alla privacy quelli dei Big Data, Internet of Things (IoT), Responsabilità ed Etica. Il presente articolo descrive le principali questioni legali relative alla privacy e alla protezione dei dati evidenziando la relazione tra Big Data, Robotica, Etica e protezione dei dati, cercando di affrontare correttamente la soluzione attraverso i principi del Regolamento generale europeo sulla protezione dei dati (GDPR).

1. Il diritto europeo sul trattamento dei dati personali

In Europa, la protezione delle persone fisiche in relazione al trattamento dei dati personali è un diritto fondamentale. Infatti, l’articolo 8 della Carta dei diritti fondamentali dell’Unione europea (la Carta) è relativo alla protezione delle persone fisiche in relazione al trattamento dei dati personali. Inoltre, la Carta considera anche il rispetto della vita privata e familiare come un aspetto cruciale della privacy.

Inoltre, il Trattato sul funzionamento dell’Unione europea (TFUE) considera il diritto alla protezione dei dati personali. Questo è il quadro giuridico generale e la protezione dei dati personali è disciplinata dalla Direttiva 95/46/CE. Tuttavia, nel 2016 è stato pubblicato il Regolamento europeo numero 679/2016 che è entrato in vigore il 25 maggio 2016, ma si applica dal 25 maggio 2018. Secondo l’articolo 94, questo Regolamento abroga la Direttiva 95/46/CE con effetti dal 25 maggio 2018. Pertanto, la Direttiva 95/46/CE sarà applicabile fino al 25 maggio 2018. Il GDPR ovviamente menziona la Carta dei diritti fondamentali dell’Unione europea nel primo Considerando. L’obiettivo primario è armonizzare la legislazione di ciascuno Stato membro: il GDPR sarà direttamente applicabile in ogni Stato europeo, evitando possibili confusioni tra il diritto interno. Il GDPR introduce numerose modifiche, come la Valutazione d’impatto sulla protezione dei dati (DPIA), la Protezione dei dati fin dalla progettazione e per impostazione predefinita (DPbDbD), la notifica delle violazioni dei dati, il Responsabile della protezione dei dati (DPO), le sanzioni amministrative molto elevate in caso di violazioni del Regolamento, e così via. Per quanto riguarda la protezione dei dati personali, oltre al suddetto GDPR, esiste anche la Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. Infatti, secondo l’articolo 95 del GDPR esiste una relazione con questa Direttiva. La Direttiva 2002/58/CE ha l’obiettivo di “garantire un livello equivalente di protezione dei diritti e delle libertà fondamentali, e in particolare del diritto alla vita privata, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche e garantire la libera circolazione di tali dati e di apparecchiature e servizi di comunicazione elettronica nella Comunità”.

In questo panorama giuridico, è chiaro che tecnologia e diritto non sono allo stesso livello perché la prima (tecnologia) è sempre avanti rispetto al secondo (diritto). Le azioni da parte del legislatore hanno sempre seguito le soluzioni tecnologiche, e quindi le norme devono essere in grado di considerare l’evoluzione tecnologica. Nonostante possa sembrare che ci voglia molto tempo fino al 25 maggio 2018, è cruciale analizzare ora il GDPR per essere pronti e conformarsi al nuovo Regolamento sulla protezione dei dati. Infatti, il Regolamento generale sulla protezione dei dati (GDPR) rappresenta un innovativo quadro giuridico sulla protezione dei dati, a causa di diversi scopi su cui si basa.

2. Robotica e protezione dei dati

La relazione tra robotica, Intelligenza Artificiale (AI), Machine Learning (ML), protezione dei dati e privacy ha ricevuto specifica attenzione negli ultimi tempi. Questi argomenti sono stati affrontati nel 2016 alla 38a Conferenza Internazionale dei Commissari per la Protezione dei Dati e della Privacy, producendo un “Room document” intitolato “Artificial Intelligence, Robotics, Privacy and Data Protection”. Recentemente, l’Information Commissioner’s Office (ICO) ha prodotto un documento di discussione intitolato “Big data, artificial intelligence, machine learning and data protection”. I temi più importanti relativi alla protezione dei dati e alla privacy sono Big Data, Internet of Things (IoT), Responsabilità ed Etica. Il tema dei Big Data è anche correlato al fenomeno dell’Internet of Things (IoT) che fa nascere diverse applicazioni in vari settori (Personale, Casa, Veicoli, Impresa, Internet industriale). L’IoT è un sistema in continua evoluzione che può essere considerato come un ecosistema. I campi dei Big Data e della Blockchain sono, in realtà, i principali fenomeni emergenti nell’ecosistema IoT, ma le persone hanno prestato maggiore attenzione agli aspetti tecnici e di sicurezza rispetto a quelli sulla privacy e sulla protezione dei dati personali. Certamente, gli aspetti di sicurezza sono rilevanti per evitare o ridurre i rischi per la privacy dei dati. Tuttavia, non possiamo ignorare l’approccio giusto, secondo i principi del GDPR. L’ecosistema IoT consente di sviluppare diverse applicazioni per diversi settori come, negli ultimi anni, quello “smart”. Infatti, parliamo di smart city, smart grid, smart car, smart home, ecc. In ciascuno di questi campi si stanno sviluppando applicazioni che consentono di far interagire gli oggetti tra loro, trasferendo informazioni in tempo reale, elaborando Big Data. Da un punto di vista tecnico, queste applicazioni devono essere sviluppate garantendo un alto livello di sicurezza per evitare qualsiasi alterazione. Man mano che la tecnologia si sviluppa, crescono anche gli attacchi ai sistemi. Tuttavia, non possiamo ignorare le diverse minacce su questi sistemi. Il concetto di IoT è ampio e può riguardare anche infrastrutture critiche: che dire su questo punto cruciale? È chiaro che l’evoluzione tecnologica è un valore, ma allo stesso tempo è importante prevenire qualsiasi tentativo di frode sia utilizzando misure di alta sicurezza, sia soluzioni per la privacy e la protezione dei dati personali.

2.1 Big Data e protezione dei dati

I Big Data sono stati definiti da Gartner come segue:

I Big Data sono risorse informative ad alto volume, ad alta velocità e/o ad alta varietà che richiedono forme innovative ed economiche di elaborazione delle informazioni che consentono una maggiore comprensione, processo decisionale e automazione dei processi.

Quindi, i Big Data sono un fenomeno che consiste nella crescita rapida ed esponenziale dei dati e del traffico dati, richiede procedure di analisi dei dati e data mining. Quindi, implica valori di big data (sono ben note le quattro V dei Big Data: Volume, Velocità, Varietà e Veridicità - IBM) ma considerando i dati come un valore è possibile estendere l’approccio a cinque V, ultima V come valore). È molto semplice sviluppare applicazioni che, avendo accesso ai dati, possono eseguire attività di data mining con ogni conseguenza immaginabile. In questo contesto, l’obiettivo principale è proteggere i dati personali a causa del loro valore più elevato. Oggi stiamo assistendo a un crescente interesse per la rapida evoluzione di Internet e ora, sempre più spesso, sentiamo parlare di Big Data, Intelligenza Artificiale (AI) e Machine Learning (ML). Che dire? Infatti, AI e ML sono due argomenti diversi ma strettamente correlati tra loro. L’argomento principale è l’agente razionale che è “uno che agisce in modo da ottenere il miglior risultato o, quando c’è incertezza, il miglior risultato atteso”. Inoltre, secondo Tom M. Mitchell

Il Machine Learning è una naturale conseguenza dell’intersezione tra Informatica e Statistica. Mentre l’Informatica si è concentrata principalmente su come programmare manualmente i computer, il Machine Learning si concentra sulla questione di come far programmare i computer da soli (dall’esperienza più una struttura iniziale). Mentre la Statistica si è concentrata principalmente su quali conclusioni possono essere dedotte dai dati, il Machine Learning incorpora ulteriori questioni su quali architetture computazionali e algoritmi possono essere utilizzati per catturare, archiviare, indicizzare, recuperare e unire questi dati in modo più efficace, come più sottocompiti di apprendimento possono essere orchestrati in un sistema più ampio e questioni di trattabilità computazionale.

Detto questo, è certamente chiaro che questi argomenti riguardano l’area dell’informatica. Tuttavia, come gli addetti ai lavori certamente concorderanno, è sorprendente il contesto distorto esistente sul web sull’AI, perché è sufficiente leggere gli articoli e i contributi che sono su Internet per avere un’idea di tale fenomeno. Cercando sul web, è possibile trovare molte risorse sull’AI, come se rappresentasse la scoperta del secolo. In questo modo potrebbe sembrare che l’Intelligenza Artificiale (AI) sia una scoperta attuale, anche notizia del 2017. Infatti, questo è un approccio molto restrittivo per descrivere e presentare l’argomento, perché chi si occupa di informatica sa davvero che non è così. Quindi, a causa del progresso tecnologico e soprattutto dell’evoluzione sociale, l’AI e il machine learning sono stati visti come risorse innovative per lo sviluppo futuro. In generale, i dati vengono raccolti, archiviati e utilizzati: che dire del trattamento dei dati personali? Da una prospettiva legale è obbligatorio conformarsi ai principi del GDPR secondo l’articolo 5 e specificamente: Liceità, correttezza e trasparenza (5.1a), Limitazione delle finalità (5.1b), Minimizzazione dei dati (5.1c), Esattezza (5.1d), Limitazione della conservazione (5.1e), Integrità e riservatezza (5.1f), Responsabilizzazione (5.2). Inoltre, non possiamo ignorare il “consenso dell’interessato” (articolo 7) e la sicurezza (articolo 32). Qualcuno sostiene, nonostante i principi sopra menzionati, che il GDPR è incompatibile con i Big Data e c’è la necessità di implementarlo.

2.2. Etica, protezione dei dati e privacy

I dati raccolti e utilizzati implicano anche un approccio etico alla Robotica, all’Intelligenza Artificiale, ai Big Data e all’ecosistema IoT. In generale, l’etica potrebbe apparire un argomento poco importante ma, invece, è un aspetto molto importante, soprattutto parlando di protezione dei dati e privacy. Il Garante europeo della protezione dei dati (EDPS) ha prodotto il Parere 4/2015. In questo Parere l’EDPS, parlando di Big Data, ha evidenziato il tracciamento dell’attività online. Sullo stesso punto è l’ICO nel sopra menzionato documento di discussione dove ci sono dichiarazioni specifiche sull’Etica. In Europa, è possibile affrontare qualsiasi questione relativa all’Etica e alla Robotica (inclusi Big Data, AI, IoT, ML) attraverso il GDPR. Fuori dall’Europa, invece, a causa della mancanza di uno standard etico internazionale, la questione dovrebbe essere affrontata attraverso politiche o altre soluzioni contrattuali. L’interesse per l’Etica sta crescendo così tanto che industrie e enti pubblici stanno prestando attenzione a questo argomento con politiche e iniziative per evidenziare come affrontare correttamente la dimensione etica. Questo scenario dimostra che l’Etica è un profilo emergente relativo ai Big Data, alla protezione dei dati e alla privacy e alla consapevolezza al riguardo. Aumentare la consapevolezza sull’Etica è senza dubbio un passo significativo verso l’approccio giusto. Il GDPR propone (articolo 32) alcune soluzioni di sicurezza per proteggere i dati personali e gestire i rischi. A parte le possibili soluzioni (tra l’altro, pseudonimizzazione e crittografia dei dati personali), il punto focale etico è proteggere i dati personali garantendo la dignità di ogni persona fisica. In Europa, come l’EDPS ha chiarito, non esiste una protezione giuridica per la dignità come diritto fondamentale, ma deve essere derivata dal quadro giuridico sulla protezione dei dati e specificamente dal GDPR. È necessario un approccio etico, non solo teorizzato e sviluppato da Enti Pubblici (come il Comitato Etico Consultivo Europeo) ma principalmente praticato dal settore privato. I principi previsti dall’articolo 5 del GDPR sono i riferimenti primari per l’Etica, ma non possiamo ignorare le altre norme dello stesso Regolamento. La gestione del rischio richiede il riferimento necessario alle norme del GDPR. Quindi, un aspetto etico è la trasparenza, considerando la protezione dei dati e la privacy come un valore e non come un mero costo. Le industrie e le organizzazioni, spesso, sembrano avere un approccio sbagliato alla privacy e alla protezione dei dati, valutandoli solo come un costo. La protezione dei dati e la privacy sono, infatti, “processi” e la loro valutazione per conformarsi alla legge è il modo giusto per affrontarli. L’interessato deve essere al centro del trattamento dei dati, considerando i suoi diritti e il potere di controllare i suoi dati personali. La questione principale, quindi, è che gli individui devono avere il pieno controllo dei loro dati personali. Alcune questioni etiche emergono dall’uso dei dati personali da parte di industrie o organizzazioni. Sarebbe auspicabile considerare un approccio di etica aziendale per trattare correttamente i dati personali, secondo il GDPR (o, in generale, le leggi). È evidente che alcune regole etiche possono essere fornite dalla legge, ma in certi casi potrebbero risultare in politiche o accordi. Sappiamo che il GDPR riguarda la protezione dei dati personali in Europa e una questione è relativa al trattamento al di fuori dell’Europa. La giurisdizione del GDPR potrebbe essere un limite per qualsiasi azienda da o al di fuori dell’Europa; in questo caso, possono sopperire politiche o accordi come detto.

2.3. Protezione dei dati fin dalla progettazione e per impostazione predefinita

A parte il riferimento ai principi del GDPR come mostrato, c’è un’altra chiave fondamentale prevista dall’articolo 25 che è la Protezione dei dati fin dalla progettazione e per impostazione predefinita (DPbDbD) e specificamente, il paragrafo 1 è relativo alla Protezione dei dati fin dalla progettazione, mentre la Protezione dei dati per impostazione predefinita è nel paragrafo 2. Nell’ottobre 2010, la 32a Conferenza Internazionale dei Commissari per la Protezione dei Dati e della Privacy ha adottato una risoluzione sulla Privacy by Design (PbD) che è un punto di riferimento e rappresenta un punto di svolta per il futuro della privacy.

Questa Risoluzione propone i seguenti sette principi fondamentali: Proattivo non Reattivo; Preventivo non Correttivo, Privacy come impostazione predefinita, Privacy Incorporata nella Progettazione, Piena Funzionalità: Somma positiva, non Somma zero, Protezione del ciclo di vita end-to-end, Visibilità e trasparenza, Rispetto per la privacy dell’utente.

L’obiettivo principale è elaborare due concetti: a) protezione dei dati e b) utente. Per sviluppare un approccio efficace alla protezione dei dati e alla privacy, dobbiamo iniziare qualsiasi processo con l’utente la persona che deve essere protetta mettendolo al centro. Ciò significa che durante il processo di progettazione, l’organizzazione deve sempre pensare a come proteggerà la privacy degli utenti.

Rendendo l’utente il punto di partenza nello sviluppo di qualsiasi progetto (o processo), realizziamo un approccio PbD. Il Garante europeo della protezione dei dati (EDPS) ha promosso la PbD, sostenendo il concetto nel suo Parere del marzo 2010 del Garante europeo della protezione dei dati sulla Promozione della fiducia nella società dell’informazione promuovendo la protezione dei dati e la privacy. Non molto tempo dopo questo endorsement, anche la 32a Conferenza Internazionale dei Commissari per la Protezione dei Dati e della Privacy ha adottato il concetto di PbD. Nel Regolamento UE 679/2016 questo approccio è diventato “Protezione dei dati fin dalla progettazione e per impostazione predefinita” (DPbDabD).

Tra “Privacy by Design” (PbD) e “Protezione dei dati fin dalla progettazione e per impostazione predefinita” ci sono differenze in termini di approccio metodologico, ma l’obiettivo principale è evidenziare come sia necessario partire dall’utente in qualsiasi progetto sulla privacy. Secondo l’articolo 25, quindi, è possibile affrontare correttamente ogni progetto, applicando queste regole.