Home>News>Approfondimenti>Big data e processi decisionali automatizzati

Big data e processi decisionali automatizzati

avv. Davide Cautela – Consulente Privacy.it

Pubblicato in data 24-05-2017

Comprendere appieno cosa debba intendersi per “big data” e le ripercussioni di questa innovativa tecnologia sulla vita degli individui è più complesso di quanto possa apparire, perchè complessa (nel senso di composita) è la categoria che si vuole ridurre ad unità.

In realtà il riferimento, mi si perdoni una certa approssimazione funzionale ad una maggiore comprensibilità, è ad insiemi vastissimi di dati riferibili ai singoli individui. Ma i profili caratterizzanti vanno ben oltre questa prima insufficiente definizione e si estendono alla circostanza per cui le informazioni in cui i big data si sostanziano, oltre ad essere innumerevoli, sono di diversa natura e provenienti da diverse fonti. In un immenso database (o insieme di database) confluiscono milioni (o miliardi) di informazioni raccolte attraverso svariate modalità da persone, da computer, da sensori, da satelliti, da telecamere, da carte magnetiche e da ogni genere di strumento idoneo per poi essere sottoposti a trattamenti automatizzati.

E possono riguardare caratteristiche individuali, attitudini, abitudini di comportamento, patologie, propensioni, inclinazioni, ed ogni altro aspetto o manifestazione della personalità di un individuo. Più tale raccolta avviene in modo non consapevole, cioè meno l’interessato ha consapevolezza dell’utilizzo a cui il dato che lo riguarda sarà destinato (o addirittura del fatto stesso che il dato sarà raccolto e processato), più le informazioni acquisite risulteranno “genuine”.

E’ evidente, infatti, che se tali informazioni vengono rilasciate inconsapevolmente dal normale manifestarsi della personalità durante lo svolgimento delle azioni quotidiane del cittadino, tanto nel mondo virtuale quanto in quello reale, viene a mancare quel filtro che, più o meno inconsciamente, ognuno di noi è portato ad interporre tra la propria sfera personale o intima e la rappresentazione che di questa hanno soggetti terzi.

Tutto questo, unito alle rilevantissime capacità di calcolo che il grado evolutivo raggiunto dal progresso tecnologico mette a disposizione delle big data companies ed al continuo sviluppo di software, formulazione di algoritmi sempre più sofisticati e complessi, sistemi informatici in grado di operare confronti, di accoppiare, allineare, associare informazioni di diversa natura, sposta in là considerevolmente i limiti finora posti alla conoscenza della sfera personale altrui, con conseguente facoltà di intromissione negli ambiti individuali che solo fino a pochissimo tempo fa non era ipotizzabile.

Bastano queste poche considerazioni perchè non sfugga la portata del fenomeno. Non solo l’uso dei big data fornisce informazioni particolarmente complesse e dettagliate dei soggetti cui dette informazioni si riferiscono, ma va ben oltre. L’uso di detta nuova tecnologia permette di spingersi fin dentro il campo, finora inesplorato, della “predizione”.

La capacità di verifica e monitoraggio di abitudini (già vero e proprio patrimonio con chiaro valore economico per chi detiene dette informazioni), lascia il campo ad una reale capacità di previsione di comportamenti o addirittura di eventi.

Studi condotti da organizzazioni specializzate hanno già reso chiaro come il confronto rapido di milioni (o miliardi) di informazioni provenienti da fonti diverse fornisca evidenze rilevanti anche sul piano sociale e di interesse primario collettivo. Ad esempio, l’analisi di big data ha fornito informazioni più rapidamente, in modo più preciso ed anticipato riguardo al diffondersi di patologie infettive in alcune aree geografiche di qualunque altra analisi di report forniti da ospedali, strutture di ricovero, operatori del settore, etc.

Tra gli altri, nel 2014 un lavoro congiunto tra il Politecnico di Milano e la Stanford University ha sviluppato un modello su larga scala per definire lo schema di diffusione della schistosomiasi in alcune regioni africane ed individuare le aree maggiormente interessate, incrociando dati sanitari e dati anonimi relativi al traffico di telefonia cellulare forniti da un diffuso operatore.

E’ chiaro che la disponibilità di così ingenti informazioni ed il possibile utilizzo di risorse tecnologiche capaci di sviluppare non solo modelli ma addirittura processi decisionali automatizzati basati su di esse, pone l’accento su tematiche particolarmente sensibili: si tratta dello sviluppo di quelli che vengono definiti dagli addetti ai lavori “sistemi di supporto alle decisioni basati sui big data”.

Ma quali implicazioni negative possono prodursi da un uso non corretto o comunque non “governato” delle tecnologie descritte? La questione non è di poco momento, e neanche tanto lontana dall’essere concretamente prospettata. Basti pensare che il recente Regolamento Europeo n. 679/16 in materia di protezione dei dati personali prevede già al suo interno una specifica norma che, seppur concepita come riferibile ai trattamenti di dati personali in genere, in qualche modo attiene al tema posto dalle nostre considerazioni.

L’art. 22 rubricato “Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione” stabilisce espressamente che “l’interessato (cioè il soggetto a cui i dati personali si riferiscono [ndr]) ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

E’ chiaro quindi il riferimento implicito a processi decisionali che possano comportare provvedimenti autoritativi, impositivi di ogni genere, che comportino valutazioni relative alla sfera professionale, a quella economica, allo stato di salute o alle propensioni personali.

Ognuna delle ipotesi solo esemplificativamente richiamate potrebbe comportare, tra gli altri, effetti pratici discriminatori rilevanti nella sfera giuridica di singoli soggetti: ad esempio, l’esclusione dal mondo del lavoro o la riduzione delle chance di occupazione, la limitazione della facoltà di accesso al credito, la richiesta di prestazioni più onerose per servizi analoghi a quelli prestati ad altri soggetti a condizioni più vantaggiose. Addirittura, estremizzando, la riduzione della libertà personale e/o di partecipazione alla vita democratica.

In realtà, la stessa previsione normativa prevede la possibilità di superamento del divieto generale attraverso il riconoscimento di specifici presupposti legittimanti (tra questi la previsione di legge, l’esecuzione di un contratto, il consenso dell’interessato al dato, la specifica autorizzazione da parte del diritto dell’Unione o di uno Stato membro). Unico contrappeso è la richiesta applicazione di “misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato” (cfr. art. 22 par. 1 lett. b).

Il riferimento alla “adeguatezza” delle misure richieste a tutela dell’individuo (in altre parti della disposizione si parla di “appropriatezza” delle misure) rimanda ad altri principi che informano l’intero sistema normativo della materia: la responsabilizzazione del titolare del trattamento è uno di questi. Misure – è ancora la norma a richiederlo – che mettano in condizione l’interessato al dato di richiedere l’intervento umano (del titolare) nel processo decisionale, o che permettano allo stesso di esprimere la propria opinione e di potere contestare la decisione eventualmente adottata.

Ciò vale ad esclusione del caso in cui il processo decisionale automatizzato utilizzi dati appartenenti alle particolari categorie di cui all’art. 9 del citato regolamento UE, cioè quelle categorie di dati che finora siamo stati abituati a definire “sensibili”. In questo caso, il preminente bisogno di tutelare la sfera dei diritti personali e la libertà degli individui ha fatto propendere per un divieto generale specificamente espresso, con la sola eccezione del caso di consenso dell’interessato per una o più finalità specifiche o del caso di sussistenza di un interesse pubblico rilevante e proporzionato alla finalità perseguita.

Val la pena di evidenziare che il tentativo di arginare il pericolo di abuso di sistemi atti a processi decisionali automatizzati attraverso l’analisi di ingenti quantità di dati è spesso goffo, e apparentemente non sempre idoneo a raggiungere lo scopo.

Talmente preponderante è l’esigenza riconosciuta sul piano internazionale di “governare” lo sviluppo delle nuove tecnologie e la loro crescente capacità di raccogliere e processare dati personali per le più disparate finalità (si pensi all’ IoT, alla robotica etc.), che un ulteriore provvedimento comunitario è tornato ad esprimersi sul tema della tutela della sfera personale individuale.

Mi riferisco al PROV(2017)0051 rubricato “Norme di diritto civile sulla robotica – Risoluzione del Parlamento europeo del 16 febbraio 2017 recante raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica (2015/2103(INL)”.

Alla lettera H dei considerando è riconosciuto come “[…] l’apprendimento automatico […]  ponga nel contempo alcune sfide legate alla necessità di garantire la non discriminazione, il giusto processo, la trasparenza e la comprensibilità dei processi decisionali;”; o alla lettera N è riferito che “ […] potrebbero ancora sorgere preoccupazioni in materia di privacy per quanto riguarda le applicazioni e gli apparecchi che comunicano tra di loro e con le banche dati senza l’intervento umano”. Nello stesso documento comunitario all’art. 19 espressamente si “invita la Commissione e gli Stati membri a garantire che le norme di diritto civile nel settore della robotica siano coerenti al regolamento generale sulla protezione dei dati e in linea con i principi della necessità e della proporzionalità” ed all’art. 20 si “invita la Commissione a garantire che siano rispettati i principi della protezione dei dati, come la tutela della vita privata fin dalla progettazione e per impostazione predefinita, la minimizzazione dei dati e la limitazione delle finalità, così come meccanismi di controllo trasparenti per i titolari dei dati e misure correttive adeguate conformi alla legislazione dell’Unione in materia di protezione dei dati e che siano promosse adeguate raccomandazioni e norme da integrare nelle politiche dell’Unione”.

Alla luce di quanto finora discusso, risulta evidente il particolare rilievo che deve essere attribuito all’obbligo di chiara ed esaustiva informativa e all’espressione specifica del consenso per la lecita utilizzazione di dati in relazione a singole finalità. E’ solo comprendendo a fondo il vero potenziale “offensivo” di pratiche scorrette nell’utilizzo di dati personali (soprattutto su larga scala) che sarà possibile incrementare il grado di consapevolezza e di accettazione di obblighi autorizzativi che al momento – a parere di chi scrive superficialmente – vengono colti come pratiche inutili e gravose. Ed ancor di più, come chiaramente denunciato dalla Commissione per le libertà civili, la giustizia e gli affari interni del Parlamento Europeo nella “Relazione sulle implicazioni dei Big Data per i diritti fondamentali: privacy, protezione dei dati, non discriminazione, sicurezza e attività di contrasto (2016/2225(INI)” del 20 febbraio 2017”, sarà possibile “godere appieno delle prospettive e delle opportunità offerte dai Big Data, solo se la fiducia pubblica in tali tecnologie è garantita da una rigorosa applicazione dei diritti fondamentali, dalla conformità alla vigente legislazione dell’UE in materia di protezione dei dati nonché dalla certezza giuridica per tutti i soggetti coinvolti ”.

Prevedere, anticipare, preconfezionare bisogni o interessi, determinare tendenze e modelli in modo automatizzato, pone concretamente il rischio di incidere negativamente su caratteristiche peculiari degli individui mortificandole o addirittura atrofizzandole (autodeterminazione, capacità critica, spinta innata verso il nuovo e verso la sperimentazione, libera manifestazione del pensiero) o di comprimere l’esercizio dei diritti fondamentali.

Forse parliamo di scenari ancora lontani, futuribili, ma attenzione a non commettere l’errore di considerarli solo scenari di fantasia.

2017-05-31T08:09:16+00:00 24 maggio 2017|Approfondimenti|