Possibili violazioni della privacy a causa dell’utilizzo dell’intelligenza artificiale

La tutela della privacy a fronte dello sviluppo e dell’adozione delle applicazioni di tracciamento per il contenimento della diffusione della pandemia globale da covid-19 è stata al centro di un ampio dibattito sia in Europa che in Italia.

Il dibattito si è sviluppato in due fasi: la prima concernente sulla possibilità e necessità della stessa adozione di tale app, anche alla luce delle esperienze orientali, la seconda fase, invece, una volta accertata la necessità di adozione di tali app, concernente le modalità di sviluppo delle stesse al fine di comprimere il meno possibile il diritto alla riservatezza degli utenti.

In particolare, le informazioni di cui necessitano le applicazioni comportano l’utilizzo e lo scambio di un elevato quantitativo di dati personali che se da un lato potrebbero comportare notevoli benefici in termini sia di progresso scientifico, che medico, d’altro canto potrebbero essere particolarmente lesive per il diritto alla riservatezza dell’individuo.

Da un lato si potrebbe affermare – e di fatto ciò è stato sostenuto a fondamento della legittimità e della necessità delle app di tracciamento – che la tutela della salute pubblica, essendo un diritto-dovere dell’individuo, potrebbe comportare il “sacrificio” costituito dalla messa a disposizione delle autorità i propri dati, sebbene strettamente inerenti alla salute.

Ciò al fine di consentire una tutela maggiormente efficace ed efficiente.

Al contempo, infatti, affinché la scienza e la medicina progrediscano, l’acquisizione di tali dati si rende assolutamente imprescindibile e dunque si pone inevitabilmente il problema di bilanciamento tra l’utilizzo dell’intelligenza artificiale e la tutela della privacy.

In altri termini, l’acquisizione e l’uso dei dati inerenti alla salute dell’individuo vengono in tali casi ancorati all’art. 32 Cost., nonché alle disposizioni vigenti in ambito sanitario.

Alla luce di ciò, ben si comprende come nel periodo dell’emergenza pandemica, le criticità relative al bilanciamento di tali due interessi fondamentali dell’individuo si siano notevolmente acuite.

In tale contesto, pertanto, ha acquisito un’importanza fondamentale il G.D.P.R. il cui art. 9 lett. i) ha stabilito che il divieto concernente genericamente il trattamento dei dati concernenti la salute deve essere escluso nei casi in cui risulti necessario “per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”.

Tale esclusione, alla luce dei considerando 52 e 54 del Regolamento è peraltro valevole anche quando si tratti della necessaria tutela dei diritti fondamentali dell’individuo in ambito sanitario.

A tal proposito, in taluni casi addirittura non si richiede neanche l’acquisizione del previo consenso dell’interessato.

Un’attenuazione a tale deroga è data ad ogni modo dal rispetto dei principi di proporzionalità, necessità e trasparenza.

Tuttavia, non si possono sottacere le criticità legate al fatto che un sistema che potenzialmente sarebbe idoneo a contrastare e contenere la diffusione del virus, in realtà si tradurrebbe in una invasiva e dannosa lesione della riservatezza degli individui, mediante la raccolta e la trasmissione di dati particolarmente sensibili.

Per tale ragione, si rende necessaria una valutazione concreta e specifica dell’impatto che l’intelligenza artificiale ha sulla sfera personale dell’individuo.

In altri termini, ci si chiede se è realmente utile e necessario l’utilizzo di tecnologie innovative come strumenti di contrasto del Coronavirus, alla luce dei possibili effetti irreversibili sulla riservatezza degli utenti.

A tal proposito, è necessario non solo il rispetto dei principi già enunciati, ma anche garantire che l’adozione di tali strumenti sia limitata nel tempo.

Infatti, le applicazioni di tracciamento devono essere rispettose del principio di liceità, anzitutto, ma anche dei principi di stretta necessità, di anonimizzazione e di minimizzazione.

Procedendo per gradi, quando si parla di principio di stretta necessità o limitazione di finalità, ci si riferisce al fatto che la raccolta ed il trattamento dei dati devono avvenire solo ed esclusivamente in relazione a finalità esplicitate.

Nel caso dell’App Immuni, chiaramente, tale finalità è identificabile nel mero monitoraggio e contingentamento del virus in virtù della tutela della salute pubblica. Dunque, la raccolta e trasmissione dei dati ad opera dell’app non può mai avvenire per controllare e prevedere i comportamenti dell’individuo.

Ruolo cardine in tale contesto è ricoperto dall’art. 5 par. 1 lett. b) GDPR, secondo cui la raccolta dei dati sanitari deve avvenire in virtù di quello specifico scopo che deve essere non solo esplicito, ma anche determinato e legittimo.

Da ciò ne consegue che, una volta acquisiti, i dati non possono essere utilizzati per finalità divergenti o con modalità difformi. Tuttavia, particolari rischi potrebbero sorgere in riferimento al riutilizzo dei dati sensibili ai fini del progresso scientifico.

Nello specifico, la disposizione citata non esclude il riutilizzo dei dati ai fini della ricerca scientifica, tuttavia lo subordina alla previa autorizzazione del Garante per la Privacy.

Non solo; a tal fine devono peraltro essere utilizzate specifiche tecniche non solo di anonimizzazione, ma anche di minimizzazione.

Per quanto concerne prettamente il principio di minimizzazione, esso prevede la necessità di limitare quanto più possibile il trattamento dei dati mediante l’applicazione immuni.

In altre parole, i dati in questione devono essere esclusivamente quelli strettamente indispensabili e necessari ai fini del contrasto e del contenimento della diffusione della crisi emergenziale.

Dunque, inevitabilmente viene in tal senso in rilievo il periodo non solo di tracciamento, ma anche di conservazione delle informazioni acquisite.

Tale periodo dovrebbe essere infatti strettamente limitato in relazione al raggiungimento delle finalità esplicitate.

L’Autorità Garante, in particolare, ha individuato il termine finale per il tracciamento e la conservazione dei dati nella fine della crisi emergenziale.

Tuttavia, non si possono sottacere anche in tal caso i rischi sottesi ad una tale possibilità: in effetti, le difficoltà di gestione della diffusione della pandemia sono derivate anche dalla difficile previsione dell’andamento della stessa; ciò, a sua volta, rende alquanto complesso prevederne il termine.

Di conseguenza, il periodo di tracciamento e conservazione dei dati in virtù della fine della pandemia potrebbe estendersi notevolmente, causando un evidente quanto inevitabile pregiudizio per la tutela della riservatezza degli individui.

Proprio in virtù di ciò, l’Autorità ha ulteriormente specificato che il periodo di cui trattasi dovrebbe essere circoscritto in relazione alle esigenze reali derivanti dall’emergenza covid-19.

Terminato tale periodo, pertanto, i dati acquisiti dall’app Immuni dovrebbero essere definitivamente eliminati.

Alla luce di quanto finora rilevato, pertanto, ben si comprende come il principio di minimizzazione sia intimamente correlato al principio di necessità.

Tale relazione può essere peraltro declinata in un’ulteriore accezione: posto, infatti, che lo scopo dell’acquisizione dei dati mediante l’app Immuni è quello di contrastare e contenere la diffusione del virus, si deve concludere che gli unici dati che potrebbero e dovrebbero essere raccolti sono i dati sanitari e quelli strettamente necessari per il contenimento del contagio.

Pertanto, l’acquisizione ed il trattamento di altri tipi di dati senza l’espresso consenso dell’utente o senza un’ulteriore base giuridica, si paleserebbe contrastante non solo con il GDPR ma più specificamente anche con il principio di minimizzazione.

Ulteriore principio cardine che deve guidare l’operazione di bilanciamento tra la tutela della salute pubblica e la salvaguardia della riservatezza è l’anonimizzazione. Con tale termine ci si riferisce all’utilizzo delle tecniche di raccolta dati volte ad escludere la possibilità di ricondurre i dati personali ad una persona fisica con un ragionevole sforzo. A tal proposito, la ragionevolezza deve essere vagliata oggettivamente.

In realtà, l’App Immuni, alla luce delle considerazioni finora evidenziate, non dovrebbe acquisire i dati in grado di identificare gli utenti, in quanto, si ribadisce, le informazioni raccolte dall’applicazione risultano essere quelle strettamente sanitarie o comunque necessarie per il contrasto e il contenimento dei contagi.

In effetti, come precedentemente rilevato, l’applicazione non richiede ai fini del suo utilizzo la registrazione mediante nominativo, né dati anagrafici o ulteriori dati quali numero di telefono o indirizzi di posta elettronica.

Anche l’utilizzo della geolocalizzazione è limitato in quanto gli spostamenti non dovrebbero essere tracciabili. Infatti, l’unico dato che richiede l’applicazione è la Provincia o la Regione in cui l’utente si trova, nonché il codice BLE(Bluetooth Low Energy), che peraltro muta innumerevoli volte.

Alla luce di quanto finora evidenziato, dunque, ben si comprende come gli Stati in generale si trovino costantemente ad affrontare criticità che impongono delle valutazioni critiche e delicate in merito agli interessi che entrano in gioco.

Ciò risulta particolarmente accentuato quando si introduce una nuova tecnologia.

L’introduzione e lo sviluppo sempre crescente dell’intelligenza artificiale, infatti, ha comportato e comporta costantemente l’evoluzione della società, originando nuovi paradigmi.

A tal proposito, taluni hanno ipotizzato addirittura un mutamento spazio-temporale anche dei diritti costituzionali.

In altri termini, stante le profonde trasformazioni della società alla luce delle nuove tecnologie, è lecito domandarsi se tali trasformazioni abbiano in qualche modo inciso sull’assetto costituzionale e sui diritti fondamentali dell’individuo.

In effetti, proprio l’introduzione di nuove tecnologie ha spesso comportato una forte lesione o erosione vera e propria dei diritti dell’individuo, tra cui spicca certamente il diritto alla riservatezza.

Ciò si spiega con i sempre crescenti processi di acquisizione e utilizzo dei dati personali degli individui per fini differenti, che inevitabilmente vanno a ledere il cuore dei diritti della persona, sì come tutelati dalla Carta costituzionale.

In altre parole, l’intelligenza artificiale se da un lato è ritenuta una prerogativa imprescindibile per il progresso scientifico, medico e sociale, d’altro canto costituisce una seria minaccia alla compressione di taluni diritti fondamentali della persona.

Al fine di limitare quanto più possibile tali compressioni, pertanto, sono state suggerite talune misure specifiche quali una maggiore conoscenza dei cittadini rispetto alla tecnologia, nonché una maggiore regolamentazione giuridica dei processi tecnologici, in relazione alle esigenze di bilanciamento che vengono in rilievo caso per caso.