Il Consiglio d’Europa adotta le prime linee guide internazionali su Big Data e tutela dei dati personali

di Alessandro Mantelero [*] L’attuale dimensione assunta dai processi di trattamento dei dati nel contesto dei Big Data, la natura predittiva degli analytics ed il progressivo impiego di tali tecniche di analisi nei processi decisionali pongono nuove questioni in tema di tutela dei dati personali e, più in generale, di tutela dei diritti rispetto ai possibili impieghi delle informazioni [1].

In questo scenario, ed in attuazione dei principi della Convenzione 108 del Consiglio d'Europa, il Comitato consultivo della Convenzione ha recentemente adottato specifiche linee guida in materia di tutela delle persone con riguardo al trattamento dei dati personali nel contesto dei Big Data [2].

Sono queste le prime linee guida sulla protezione dei dati, emanate da un organismo internazionale, a dettare uno specifico set di previsioni incentrate sui Big Data. Va in proposito osservato come lo stesso Regolamento (UE) 2016/679, recentemente adottato dall’Unione Europea, non contenga disposizioni a tal riguardo, in linea con un approccio regolamentare tecnologicamente neutro. Approccio che però non consente di fornire soluzioni adeguate nell’affrontare le difficoltà che incontra l’applicazione degli elementi costitutivi del paradigma tradizionale della data protection nell’ambito dei Big Data (si pensi al principio di specificità, a quello di minimizzazione, o ancora ai limiti che affliggono il consenso informato) [3].

In termini generali, le linee guida fornite dal Consiglio d’Europa nei vari contesti applicativi della Convenzione 108 sono istruzioni pratiche ed operative fornite agli Stati membri e rivolte principalmente ai titolari e responsabili del trattamento, al fine di facilitare l'efficace attuazione dei principi della Convenzione 108 in determinati settori.

In questa  prospettiva, nel caso di specie, i principi della Convenzione vengono interpretati in modo da fornire risposte adeguate alle questioni sollevate dai Big Data e dall’impiego di algoritmi per fini decisionali. Nel far questo, le linee guida evidenziano la necessità di tener conto sia della specificità del “contesto sociale e tecnologico”, sia dell'attuale “mancanza di conoscenza da parte degli individui” circa il funzionamento e gli impieghi dei Big Data [4].

Il nucleo delle linee guida è costituito dalla procedura di valutazione del rischio, mediante la quale si realizza il tentativo di andare al di là della dimensione individuale della protezione dei dati e di far luce sulla dimensione collettiva dell’utilizzo degli stessi. In questa prospettiva, i potenziali pregiudizi presi in esame in termini di tutela non sono circoscritti ai tipici rischi che connotano la data protection. Le linee guida guardano, infatti, anche a pregiudizi di differente natura, in specie al potenziale conflitto fra impiego dei dati e valori etici e sociali – si pensi ai rischi di discriminazione sociale -, in linea con il modello PESIA (Privacy, Ethical and Social Impact Assessment) [5].

In tale ottica, il diritto del singolo “ad avere il controllo sui propri dati personali e sul relativo trattamento” [6], riconosciuto dalla Convenzione 108, evolve in una più ampia nozione di controllo, ove il controllo individuale trova completamento in un processo più complesso di valutazione del rischio concernente i molteplici impatti negativi che possono comportare l’impiego dei dati e la rappresentazione della nostra società attraverso gli algoritmi.

Condurre una valutazione dell'impatto dell'uso dei dati in termini etici e sociali è tuttavia ben più complicato di quanto non sia realizzare il tradizionale Privacy Impact Assessment. Punto cruciale e critico è infatti costituito dall’individuazione dei valori che dovrebbero ispirare l'utilizzo dei dati; valori che, quando riferiti agli aspetti etico-sociali, vanno necessariamente contestualizzati e rischiano altresì di essere di difficile definizione.

A tal fine, le linee guida delineano un’architettura a tre livelli. Il primo, più generale ed elevato, mira ad individuare i “valori etici guida comuni” che dovranno costituire la base della valutazione d’impatto. Valori che vengono ravvisati in quelli affermati dalle carte internazionali dei diritti umani e delle libertà fondamentali, quali la Convenzione europea per la salvaguardia dei diritti dell'uomo. In tali carte si trova, infatti, il minimo comun denominatore degli approcci seguiti nei diversi Paesi.

Un secondo livello, laddove trovano maggior specificazione i parametri valutativi di riferimento ora menzionati, tiene invece conto della natura dipendente dal contesto dell’impatto sociale ed etico dell’uso dei dati. In quest’ottica, nelle linee guida si afferma che l’impiego dei dati personali non deve essere in conflitto con i valori etici “commonly accepted in the relevant community or communities” e che il trattamento dati non deve pregiudicare “interessi sociali, valori e norme” [7].

Infine, le linee guida combinano questi suggerimenti di carattere generale con un'opzione maggiormente incentrata sulle specificità del singolo impiego dei dati e, a tal livello di dettaglio, ravvisano in comitati etici costituiti ad hoc lo strumento utile per identificare i valori specifici da salvaguardare nel caso concreto, fornendo una guida più dettagliata per la valutazione del rischio.

Data la complessità della valutazione prevista da queste linee guida e dei diversi aspetti che dovrebbero essere presi in considerazione, tal esame non potrà essere condotto solo da esperti di diritto di protezione dei dati, ma richiederà revisori esterni con competenze specifiche e multidisciplinari. In questo senso, le linee guida indicano che la valutazione dei rischi “dovrebbe essere effettuata da persone con adeguata qualificazione professionale e con le conoscenze per valutare i diversi impatti, tra cui le dimensioni legali, sociali, etiche e tecnologiche” [8]. Inoltre, la dimensione collettiva del potenziale impatto dell'uso dei dati dovrebbe indurre ad un approccio capace di coinvolgere i vari stakeholders, tale da dar voce ai diversi gruppi di persone che possono essere colpite da un determinato utilizzo dei dati [9].

A causa della complessità di tale valutazione e della continua evoluzione sia dei potenziali rischi che delle misure per affrontarli, anche le autorità di protezione dei dati possono svolgere un ruolo rilevante di supporto ai titolari del trattamento, fornendo informazioni sullo stato dell’arte con riguardo all’elaborazione dei dati ed ai metodi di sicurezza, nonché definendo linee guida dettagliate sul processo di valutazione del rischio [10].

Guardando al punto di vista delle persone interessate dal trattamento, una migliore comprensione delle finalità di quest’ultimo può venire proprio dall'analisi dell’impatto potenziale che l’uso dei dati può avere sugli individui e sulla società. In tal senso, l’adozione del Privacy, Ethical and Social Impact Assessment e la divulgazione dei risultati relativi dovrebbero diventare parte dei doveri di trasparenza propri del trattamento dei dati. Verrebbe in tal modo accresciuta la consapevolezza degli individui circa le loro scelte in materia di dati personali [11].

Disposizioni minori delle linee guida qui brevemente esaminate riguardano, infine, l'approccio c.d. “by-design” [12] e il consenso della persona interessata. In merito a quest’ultimo ed alla natura “informata” dello stesso, le linee guida sottolineano come l'informativa dovrebbe essere comprensiva del risultato del processo di analisi dei rischi. Al fine di una maggior efficacia di detta informativa [13], essa “potrebbe anche essere fornita per mezzo di un'interfaccia che simula gli effetti dell'uso dei dati e il loro potenziale impatto sulla persona interessata” [14], secondo un approccio basato sull’apprendimento mediante esperienza diretta [15].

Sempre con riguardo al tema del consenso, le linee guida chiariscono poi che il consenso non può considerarsi come liberamente dato quando “c'è un chiaro squilibrio di potere tra la persona interessata ed i titolari o responsabili del trattamento, che incide sulle decisioni dell’interessato in merito al trattamento” [16].

In conclusione, guardando alle linee guida nel loro complesso, anche da questa breve disamina delle stesse, emerge come il Consiglio d’Europa abbia mirato ad offrire soluzioni interpretative ed operative originali. Nonostante, infatti, i vincoli posti da un quadro normativo (la Convenzione 108) non ancora aggiornato rispetto all’esistente contesto tecnologico[17], evidente è l'impegno del Comitato consultivo di andare oltre il paradigma tradizionale adottato nella protezione dei dati.

[*] Alessandro Mantelero è professore aggregato di Diritto Privato presso il Politecnico di Torino. L'autore di questo commento è stato nominato dal Consiglio d’Europa consulente esperto per la redazione del testo delle linee guida di cui si tratta.

[1] In ragione dell’economia del presente contributo, per una più ampia disamina del tema, si rinvia alle considerazioni espresse in A. Mantelero, Personal data for decisional purposes in the age of analytics: from an individual to a collective dimension of data protection, in Computer Law and Security Review, 2016, 32 (2), p. 238 ss.

[2] Le line guida in esame (Guidelines on the Protection of Individuals with Regard to the Processing of Personal Data in a World of Big Data, di seguito in nota Linee Guida) sono state adottate il 23 gennaio 2017 con il voto favorevole di 50 membri del Consiglio d’Europa, l’astensione di Danimarca, Liechtenstein e Lussemburgo, ed il voto contrario di Germania e Irlanda. Il testo ufficiale delle linee guida è consultabile al seguente indirizzo: https://rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=09000016806ebe7a (accesso: 2 febbraio 2017).

[3] Cfr. in tal senso V. Mayer-Schönberger e Y. Padova, Regime Change? Enabling Big Data through Europe’s Data Protection Regulation, in Colum. Sci. & Tech. L. Rev., 2016, XVII, p. 315 ss.

[4] Cfr. Linee Guida, Introduzione.

[5] In merito al modello PESIA si veda anche il progetto H2020 “VIRT-EU: Values and ethics in Innovation for Responsible Technology in Europe”, https://virt-eu.nexacenter.org/about (accesso: 8 febbraio 2017).

[6] Cfr. Draft modernised Convention for the Protection of Individuals with Regard to the Processing of Personal Data, September 2016 (“person’s right to control of his or her personal data and the processing of such data”). Con riguardo alla “Draft modernised Convention” ed al processo di aggiornamento della Convenzione 108, v. infra nota 15.

[7] Cfr. Linee Guida, IV.1.2.

[8] Così Linee Guida, IV.2.6 (traduzione non ufficiale).

[9] Cfr. Linee Guida, IV.2.7 (“With regard to the use of Big Data which may affect fundamental rights, the Parties should encourage the involvement of the different stakeholders (e.g. individuals or groups potentially affected by the use of Big Data) in this assessment process and in the design of data processing”).

[10] Cfr. Linee Guida, IV.2.8.

[11] Cfr. Linee Guida, IV.3.2 and 3.3.

[12] Cfr. Linee Guida, IV.4. Ampia la letteratura in materia di privacy by design; cfr., ex multis, A. Cavoukian, Privacy by Design: Leadership, Methods, and Results, in Gutwirth, Leenes, De Hert e Poullet (a cura di), European Data Protection: Coming of Age, Dordrecht, 2013, p. 175 ss.; I.S. Rubenstein, Regulating Privacy By Design, in Berkeley Tech. L. J., 2011, 26, p. 1409 ss.; P. Schaar, Privacy by Design, in Identity in the Information Society, 2010, 3(2), p. 267 ss.

[13] Con riguardo ai limiti del modello c.d. di “notice and consent”, si vedano L. Brandimarte, A. Acquisti e G. Loewenstein, Misplaced Confidences: Privacy and the Control Paradox, in Ninth Annual Workshop on the Economics of Information Security, 2010, consultabile al seguente indirizzo http://www.heinz.cmu.edu/~acquisti/papers/acquisti-SPPS.pdf (accesso 2 gennaio 2017); J. Turow, C.J. Hoofnagle, D.K. Mulligan e N. Good, The  Federal Trade Commission and Consumer Privacy in the Coming Decade, in ISJLP, 2007, 3, p. 723 ss.; D.J. Solove, Introduction: Privacy Self-management and The Consent Dilemma, in Harv. L. Rev., 2013, 126, p. 1883 ss. Per maggiori riferimenti bibliografici si rinvia a A. Mantelero, The future of consumer data protection in the E.U. Rethinking the “notice and consent” paradigm in the new era of predictive analytics, in Computer Law and Security Review, 2014, 30 (6), p. 643 ss.

[14] Cfr. Linee Guida, IV.5.1 (traduzione non ufficiale).

[15] Cfr. a tal proposito R.M. Calo, Against Notice Skepticism in Privacy (and Elsewhere), in Notre Dame L. Rev., 2013, 87(3), p. 1027 ss.

[16] Cfr. Linee Guida, IV.5.3 (traduzione non ufficiale).

[17] Si veda in proposito il processo di “modernizzazione” della Convenzione 108 attualmente in corso. I relativi documenti possono essere consultati al seguente indirizzo: http://www.coe.int/en/web/data-protection/modernisation-convention108 (accesso: 2 febbraio 2017).

Le linee guide internazionali su Big Data e tutela dei dati personali

21 febbraio 2017