Privacy weekly | Il guest post di Guido Scorza, avvocato e componente del Collegio del Garante per la Protezione dei dati personali. Un viaggio intorno al mondo su tutela della privacy e digitale
Si scrive web scraping, si legge pesca a strascico, un tecno-sport praticato, non da oggi, da tanti nell’agone digitale per le finalità più diverse. Tra gli ultimi a cimentarvisi ci sono gli strumenti di raccolta di dati e informazioni dei leader dell’intelligenza artificiale globale che hanno bisogno di quantità enormi di dati per addestrare i loro algoritmi provando a renderli diversamente intelligente. Naturalmente tra le maglie delle reti utilizzate per rastrellare il web restano imprigionati anche miliardi di dati personali di miliardi di persone. Accade così che frammenti della nostra identità personale e tessere rappresentative di un diritto personalissimo come il diritto alla privacy finiscano, nella sostanza, per essere trasformati in un asset tecno-commerciale di una manciata di big tech. Perché se è vero che le persone sono quello che mangiano, allora è anche vero che gli algoritmi e le intelligenze artificiali alle quali danno vita sono i dati dei quali si cibano. Non è particolarmente lusinghiero pensare di essere cibo destinato a soddisfare i voraci appetiti degli algoritmi di una manciata di giganti tecnologici, né pensare di essere letteralmente sfruttati nelle linee di produzione di servizi privati che, poi, in un modo o nell’altro ci ritroviamo a “comprare” sui mercati globali. Ma tant’è.
È una verità incontrovertibile. E quello che forse è più grave è che, almeno sin qui, questa autentica forma di espropriazione coatta dei nostri dati personali a tutto vantaggio di un ristrettissimo numero di soggetti privati si consuma quotidianamente senza che nessuno ci dica nulla e ci chieda permesso. È tutto legittimo? Una parte della risposta è facile, l’altra più complicata. La parte facile è che non è certamente legittimo pescare a strascico i dati personali di chicchessia senza dire alcunché alle persone alle quali i dati in questione si trasferiscono. Gli obblighi di trasparenza che la disciplina europea sulla privacy pone a carico di tutti i titolari del trattamento ammettono pochissime deroghe o eccezioni, nessuna delle quali sembra poter venire in rilievo in questo caso. La parte difficile è quella relativa alla possibilità di considerare lecita questa pesca a strascico ammesso, naturalmente, che gli interessati – ovvero le persone alle quali i dati personali si riferiscono – ne siano informati e che sia data loro la possibilità di sottrarsi al destino di finire in pasto a un algoritmo. Qui si tratta di sciogliere un nodo: il legittimo interesse – una delle basi giuridiche che la disciplina europea prevede come utili a legittimare un trattamento di dati personali e che per dirla con formula sintetica presuppone l’esistenza di un interesse del titolare del trattamento prevalente rispetto a quello dell’interessato e insuscettibile di comprimere oltre il sostenibile il diritto alla privacy del singolo – può essere o no utilizzato come base giuridica per il trattamento dei dati necessari all’addestramento degli algoritmi. Ne stiamo discutendo, tra Autorità di protezione dei dati personali, in tutta Europa e bisognerà avere ancora un po’ di pazienza per arrivare a una conclusione. Ma frattanto c’è una questione che, sin qui, è emersa meno di quanto forse meriterebbe. I dati personali destinati a essere fagocitati dagli algoritmi, online, si trovano all’interno di contenitori digitali gestiti da una serie di soggetti che, tra l’altro, possono decidere autonomamente se impedire o meno l’accesso alle reti da pesca della più parte dei grandi “produttori” di Intelligenza artificiale.
Ora il punto è: farlo o non farlo è solo una loro scelta o è un vero e proprio obbligo? Disciplina europea sulla protezione dei dati personali alla mano, la risposta più corretta sembrerebbe la seconda perché impedire alle reti da pesca di trasformare i nostri dati personali in cibo per gli algoritmi è, verosimilmente, un obbligo loro facente capo in quanto titolari dei trattamenti dei dati personali dei quali stiamo parlando e, in particolare, un obbligo rientrante in quello di adozione di misure di sicurezza idonee a scongiurare il rischio di trattamenti illeciti da parte di terzi. E, d’altra parte, difficile, almeno allo stato, pensare al gestore di un sito internet – che si tratti di un editore di giornale, di un fornitore di servizi di social network, di un blogger o del gestore di una piattaforma di e-commerce o di una pubblica amministrazione – che abbia una valida base giuridica per pubblicare altrui dati personali mettendoli a disposizione di chi voglia utilizzarli per l’addestramento degli algoritmi. Sembra, quindi, che il gestore del sito o della piattaforma che non faccia del suo meglio per sottrarre i dati personali che pubblica o che consente di pubblicare allo scraping finalizzato all’addestramento degli algoritmi violi le regole della disciplina europea (GDPR). Non ci sono solo gli interessi economici e il copyright, quindi, a poter spingere il gestore di un sito – come ha appena fatto il New York Timese ad esempio – a sbattere la porta in faccia ai pescatori a strascico di dati ma anche la necessità di rispettare il diritto alla privacy, almeno da questa parte del mondo.
Come sempre se volete saperne di più su quello che è accaduto in settimana in giro per il mondo su dati, privacy e dintorni, potete leggere qui le notizie quotidiane di PrivacyDaily o iscrivervi alla newsletter di #cosedagarante.
