skip to Main Content

Attuare il GDPR è necessario per l’innovazione di aziende e PA, ecco perché

(via agendadigitale.eu) di Franco Pizzetti* Colpisce l’atteggiamento che pare prevalere sia nella Pubblica Amministrazione che, soprattutto, nelle imprese verso la scadenza del 25 maggio per il GDPR.

Ancora una volta sembra che la protezione dei dati personali e gli obblighi che ne derivano siano visti essenzialmente come adempimenti burocratici, fonte di ulteriori costi per garantire la tutela di un diritto, quello alla privacy, che molti considerano ormai sempre più difficile da tutelare di fronte a uno sviluppo tecnologico che considera i dati delle persone sempre più come una merce scambiabile sul mercato e utilizzabile per le più diverse finalità.

Insomma, complici talvolta anche compiacenti esperti e strutture burocratiche e amministrative inadeguate, sembra prevalere l’idea che di fronte al nuovo GDPR l’obiettivo essenziale sia quello di contenere il più possibile i costi, limitando i rischi dei trattamenti solo al fine di evitare le sanzioni elevate che il GDPR prevede e che costituiscono per gli operatori economici la preoccupazione maggiore.

È necessario dire che un atteggiamento di questo genere è profondamente, anzi profondissimamente, sbagliato.

Perché il GDPR è (anche) un investimento

La PA e le imprese devono considerare l’attuazione del GDPR non come un costo ma come un investimento essenziale per la tutela stessa della loro attività istituzionale e, per le aziende, della loro capacità di reggere alle sfide del mercato, anche ben oltre il rispetto del diritto.

La nostra società vive sempre più grazie ai dati e ogni giorno di più non vi sarà ramo dell’attività produttiva e dei servizi che non sia coinvolto nelle attività di Big Data, di Data analysis, di machine learning e, infine nell’uso molteplice e poliforme dell’Intelligenza artificiale e dell’Internet delle cose.

Del resto non vi è convegno o workshop in cui ogni giorno non si faccia un uso smodato di queste espressioni per disegnare sempre nuovi orizzonti verso un mondo nel quale, ripetendo oggi una espressione vecchia di almeno dieci anni, i “dati sono il nuovo petrolio” e l’Internet delle cose, insieme all’automotive e alla domotica, cambierà il nostro modo di vivere, fornendo a imprese e società di servizi nuove sconfinate praterie di attività.

Ci troviamo dunque in una ben strana situazione. Da una parte atteggiamenti di chiusura pregiudiziale verso la protezione dei dati personali, considerata un costo burocratico che è bene cercare di contenere il più possibile.

Dall’altra parte grandi promesse di sviluppo delle nostre società e delle nostre attività economiche, grazie a usi sempre più sofisticati e complessi dei dati accumulati nelle grandi banche Big Data, analizzati a costi sempre più contenuti, grazie a tecnologie che sviluppano capacità di calcolo sempre più elevate.

Non solo: ovunque, e in qualunque settore, dai servizi alla persona alla produzione di beni collettivi, ogni giorno sogniamo a occhi aperti le magnifiche sorti e progressive di una umanità che grazie alla IA e all’Internet delle cose potrà avere una aspettativa di vita sempre più lunga e servizi sempre più tarati sulle esigenze di ciascuno.

Tutto questo fa intravedere una realtà fortemente schizofrenica, basata sul fatto che, per motivi anche storicamente legati alla non sempre felice storia della privacy europea, operatori, imprese e anche decisori pubblici non riescono a comprendere fino in fondo che proteggere i dati significa anche assicurarne la qualità, verificarne l’origine, controllare che la loro utilizzazione avvenga secondo regole che garantiscano il corretto raggiungimento delle finalità per le quali, spesso affrontando anche costi molto elevati, essi sono raccolti e utilizzati.

 

 Intelligenza artificiale e internet delle cose

Una situazione analoga si verifica quando si parla di robot, di Intelligenza artificiale, di algoritmi e di macchine intelligenti, capaci di raccogliere esse stesse dati dalla realtà in cui operano per metterli a confronto con quelli ricevuti in dotazione al fine di perseguire le finalità che i loro algoritmi prevedono.

Sembra che molti non comprendano che tutto questo può funzionare solo a condizione che la qualità dei dati forniti alle macchine per analizzare la realtà in cui devono operare sia considerata fondamentale per garantire il buon funzionamento delle macchine stesse e fare delle nuove tecnologie una risorsa e non un pericolo per gli esseri umani.

Dovrebbe essere invece chiaro a tutti che se una attività produttiva, o finalizzata all’erogazione di servizi, utilizza dati di cattiva qualità, sbagliati, non aggiornati, e, soprattutto, non adatti alle finalità per le quali si vogliono usare, tutta l’attività svolta è a rischio e i servizi forniti possono dimostrarsi scadenti, con tutte le conseguenze economiche che possono derivarne.

Passando poi all’Intelligenza artificiale e all’Internet delle cose dovrebbe essere chiaro a tutti che se gli algoritmi forniscono alle macchine “intelligenti” informazioni sbagliate, basate su dati inadeguati o non aggiornati, anche l’attività di analisi delle macchine rispetto alla realtà che le circonda può produrre effetti inadeguati o dannosi, con tutte le conseguenze economiche che possono derivarne per le persone e le imprese.

Per fare un esempio, meno assurdo di quanto può sembrare: se alla macchina vengono fornite informazioni finalizzate a catalogare gli esseri umani da un lato, e gli animali dall’altro, in modo impreciso o sbagliato, la macchina potrebbe essere indotta a scambiare una persona per un primate, o una ombra per un bambino, con conseguenze potenzialmente devastanti.

Pensate a un robot incaricato di aprire la porta e consentire o negare l’accesso a un locale che, per errori dovuti ai dati forniti e inglobati negli algoritmi, scambiasse un cittadino o una cittadina per una scimmia e li aggredisse. O pensate a una vettura a guida intelligente e senza partecipazione umana che, per un errore dei dati e degli algoritmi che li usano, fosse indotta a confondere una ombra con una persona, o un cane con un bambino o viceversa, e le conseguenze che ne potrebbero derivare.

Né gli esempi fatti sono casuali, ché anzi si riferiscono a fatti già verificatisi, sia pure per fortuna in sede sperimentale e senza conseguenze su terzi.

 Una società sempre più basata sui dati

È dunque assolutamente fondamentale garantire la qualità dei dati, il loro aggiornamento, la loro adeguatezza rispetto alle finalità da perseguire. Organizzare trattamenti e procedure basate sui dati per fornire, negare o organizzare servizi, richiede infatti una attenzione massima sia alla esattezza dei dati, che alla logica usata nel trattarli e ai rischi che i trattamenti possono comportare.

Infine, va ribadito con forza che organizzare trattamenti automatizzati di dati con effetti decisionali (esempio prenotazioni e liste di attesa di prestazioni sanitarie o di altre prestazioni di interesse vitale affidate a macchine intelligenti), e lasciare alle macchine di decidere chi può accedere a un luogo, a un servizio, a una prestazione e chi no, comportano trattamenti ad altro rischio. Proprio per questo, del resto, il GDPR impone che sia sempre possibile all’ interessato conoscere la logica con la quale questi trattamenti avvengono e chiederne, se necessario, il controllo umano.

 

Potremmo continuare a lungo ma anche i pochi esempi fatti sono sufficienti a far comprendere quanto sia importante già oggi, e sempre più lo sarà in futuro, proteggere i dati, assicurarsi della loro qualità rispetto alle finalità che si vogliono perseguire, analizzare i rischi che i loro trattamenti possono comportare, adottare le misure preventive necessarie per diminuire tali rischi.

Non sarà difficile, per chi conosce il GDPR, ritrovare in tutti questi aspetti il contenuto più innovativo e più importante della nuova normativa europea.

Per questo non si ripeterà mai abbastanza che rispettare il GDPR, e anzi applicarlo in modo proattivo, guardando anche oltre la stretta applicazione delle norme, è oggi per le imprese, e anche per la PA, l’investimento più importante da fare.

In una società che sempre più vive e vivrà di dati e dei loro trattamenti è chiaro che il dato e la sua qualità sono il centro di tutto il sistema, quali che siano gli algoritmi che ne definiscono i programmi e quali che siano le applicazioni che le nuove tecnologie potranno fare.

Un dato in sé non è quasi mai esatto o sbagliato. Dipende sempre dall’uso che se ne vuol fare. Così come un orologio rotto segna sempre l’ora esatta due volte al giorno ma non è utilizzabile in alcun modo come strumento, un orologio che ritardi di due secondi è utilizzabilissimo per non perdere il treno, ma non per un appuntamento spaziale fra due vettori in orbita.

Questo significa che la qualità dei dati deve sempre essere definita sulla base delle finalità per le quali essi sono trattati. Allo stesso tempo le finalità sono alla base delle modalità con le quali i dati sono usati e quindi dei loro trattamenti.

Per questo attuare in modo proattivo il GDPR non è un costo ma un investimento, così come è evidente che lesinare sulla scelta degli esperti di protezione dei trattamenti dei dati di cui avvalersi è la scelta peggiore che possa fare oggi un imprenditore avveduto, un manager pubblico capace, un decisore che, a qualunque livello, debba assumersi la responsabilità di garantire il benessere dei suoi concittadini.

*Professore ordinario di Diritto Costituzionale – Facoltà di Giurisprudenza Università di Torino

 

Consulta anche:

Corso di perfezionamento e aggiornamento professionale in materia di trattamento dei dati personali per Data Protection Officer

“Il diritto alla protezione dei dati e la tutela della persona – Lezione Inaugurale del Corso di alta formazione sulla protezione dei dati personali” svolta dal Prof. Alberto Gambino, Pro Rettore dell’Università Europea di Roma, Presidente dell’Italian Academy of the Internet Code e Direttore Scientifico di Diritto Mercato Tecnologia

Back To Top