L’IoT delle vetture a guida autonoma: data protection e responsabilità civile, principali problematiche. Intervista alla Dott.ssa Maria Cristina Gaeta.

La Dott.ssa Maria Cristina Gaeta è ricercatore dal 2022 di diritto privato e Professore a contratto degli insegnamenti di Diritto e tutela del consumatore e Private Law of smart e-mobility and sustainability, all’Università degli Studi Suor Orsola Benincasa. Membro dell’Accademia dei Giusprivatisti Europei. Responsabile del comitato di redazione dell’ European Journal of Privacy Law and Technologies (EJPLT), e componente del comitato di redazione della Rivista Familia e della Rivista Diritto dell’Internet. Componente del corpo docente della cattedra Jean Monnet PROTECH e della cattedra Jean Monnet EUGREENEXT, nonchè Junior Fellow del centro di eccellenza Jean Monnet EURA.

Avvocato civilista, esperto in diritto delle nuove tecnologie. Autrice di molteplici pubblicazioni scientifiche sulla regolamentazione della robotica e dell’intelligenza artificiale, con particolare riguardo alla responsabilità civile, nonché sul profili privatistici della sostenibilità in relazione alla mobilità.

 

Ph.D. Avv. Maria Cristina Gaeta

 

L’estensione di internet al mondo degli oggetti avvenuta all’inizio del XXI sec. oggi è conosciuta come Internet of things (IoT), tra questi oggetti è rientrato lo sviluppo delle vetture a guida autonoma. Veicoli che hanno la necessità di scambiare informazioni, generandone nuove, andando così ad esprimere forme di intelligenza artificiale. A Suo avviso, alla luce della riforma europea sulla data protection impattante il settore automobilistico e l’IoT, quali sono le principali problematiche per cui si ritiene urgente l’approfondimento di una regolamentazione specifica?

L’Internet of things (IoT) rappresenta una nuova era di Internet che consente l’interconnessione di oggetti intelligenti, tipici della vita quotidiana. Al giorno d’oggi è così elevato il numero di oggetti connessi in rete che l’IoT si sta trasformando sempre più in Internet of everything (IoE). La pervasività di Internet è aumentata esponenzialmente ed è destinata ancora ad aumentare. Tra i settori in maggiore sviluppo va annoverato quello automobilistico, caratterizzato dall’evoluzione dei sistemi di guida e proiettato verso l’immissione su strada di veicoli completamente autonomi.

I veicoli autonomi, per comunicare tra loro devono essere connessi in rete (Connected and autonomous vehicles – CAVs) ed è da questa circostanza che scaturisce l’inclusione anche del settore automobilistico nel network dell’IoT. Per realizzare tali forme di connessione è necessario che i veicoli siano anche solo parzialmente automatizzati: il grado di comunicazione dei veicoli, infatti, è direttamente proporzionale al relativo livello di automazione di guida, anche se il sistema di connessione è solo uno dei presupposti necessari per raggiungere la completa automazione del veicolo.

I veicoli completamente autonomi sono già realtà, anche se attualmente in fase di sperimentazione: la loro realizzazione e immissione in commercio in tendenziale sicurezza richiede di implementare intelligenze artificiali sofisticate a tal punto da garantire scelte rapide ed eticamente accettabili anche in situazioni di pericolo. Le attuali tecnologie non risultano di per sé ancora sufficienti a garantire una modalità di guida completamente autonoma, corrispondente al livello 5 dello standard SAE J3016, mentre è molto più vicina nel tempo l’immissione in commercio di veicoli connessi, caratterizzati da un livello di automazione 3 e 4 del medesimo standard SAE J3016. Per raggiungere il livello 5 è necessario un forte cambio di passo, non solo per i produttori delle tecnologie di guida, ma anche a livello istituzionale e normativo: l’esistenza di una cornice normativa chiara, infatti, ne consentirebbe un concreto sviluppo, garantendo contemporaneamente la tutela degli individui.

Grazie allo sviluppo della guida autonoma e conseguentemente connessa, la mobilità è destinata a evolversi sempre più rapidamente, portando con sé notevoli benefici, che vanno dal miglioramento delle condizioni del traffico e della sicurezza stradale alla riduzione dell’inquinamento ambientale, dallo sviluppo della sharing economy anche nell’ambito della guida autonoma all’estensione della mobilità a favore di soggetti ai quali la guida è di regola preclusa (bambini, anziani e disabili), trasformando la mobilità in un vero e proprio servizio (mobility as a service). Il raggiungimento di tutti questi benefici è legato al raggiungimento di un quadro normativo efficace e alla risoluzione di alcune questioni giuridiche ancora aperte: dalla responsabilità civile in caso di incidente causato da un veicolo autonomo o (semi)autonomo alla tutela della sicurezza informatica, per giungere fino a profili etici di estrema rilevanza. Anche nell’ambito della data protection emergono problemi giuridici tutt’altro che secondari, che riguardano la tutela dei dati personali trasmessi o generati dai veicoli autonomi. Su questo tema ogni analisi deve tenere conto dell’entrata in vigore del GDPR (Reg. 2016/679/UE) e dei suoi primi anni di applicazione.

In particolare, sarà necessario soffermarsi sul trattamento dei dati personali tramite i software di guida, iniziando dall’identificazione dei soggetti coinvolti nel data processing ai sensi del GDPR, primi tra tutti il Titolare o i Titolari del trattamento ed eventuali Responsabili del trattamento, ma anche gli interessati del trattamento.

Allo stesso modo, risulta di fondamentale importanza verificare come l’utente, interessato del trattamento, possa essere realmente consapevole del trattamento dei suoi dati personali e far in modo che il trattamento stesso sia lecito, cioè fondato su una delle basi giuridiche del trattamento di cui all’art. 6 GDPR. In caso di trattamento di dati particolari – abbastanza frequente nell’ambito della guida autonomia e connessa, considerando che vengono ad esempio trattati i dati necessari per monitorare la salute del conducente/passeggero del veicolo – la questione è ancora più delicata. Per tali tipologie di dati, di regola il trattamento è vietato, salvo che in presenza di una delle fattispecie espressamente indicate dal secondo paragrafo dell’art. 9 GDPR.  Il trattamento dei dati particolari, poi, risulta ancor più rilevante quando è automatizzato, potendo comportare anche la profilazione dell’utente, per la quale si applica lo stesso principio del generale divieto del trattamento, previsto per il trattamento dei dati particolari, con le eccezioni di cui al secondo paragrafo dell’art. 22.  Con riguardo al consenso dell’interessato quale possibile base giuridica del trattamento, appare opportuno, poi, domandarsi se attualmente l’informativa sul trattamento dei dati personali sia adeguata e se il relativo consenso dell’interessato del trattamento sia prestato conformemente a quanto sancito dall’ art. 4, par. 1, n. 11, GDPR.

Inoltre, nell’ambito dei dati particolari vanno annoverati anche i dati emozionali e i dati menali, dati relativi agli aspetti più reconditi della personalità dell’utente, i quali dovrebbero essere sottoposti ad una disciplina ancor più stringente di quella di cui all’art. 9 GDPR. Si tratta di dati che in un prossimo futuro saranno trattati anche nell’ambito della guida autonoma utilizzando strumenti di extended reality (XR) e brain computer interface (BCI), per i quali appare auspicabile l’intervento del legislatore.

Infine, ai dati personali si aggiungono, poi, i dati non personali, attualmente oggetto della European data strategy. Si tratta di dati spesso generati direttamente dai sistema di guida (vehicle generated data), che non sono associati ad una persona fisica identificata o identificabile, ma sono comunque caratterizzati da una forte rilevanza economica. I dati non personali, essendo anonimi, non sono disciplinati dal GDPR, ma occorrerà una specifica disciplina normativa che individui la titolarità di tali dati (intesa come ownership) e i confini del loro relativo utilizzo e sfruttamento.

Appaiono quindi molteplici le principali problematiche per le quali si ritiene urgente non solo un intervento normativo, ma anche un approfondimento scientifico. In quest’ottica, il Centro di Ricerca di Diritto Privato Europeo (ReCEPL) – di cui io ho il privilegio di coordinare la segreteria scientifica in qualità di senior researcher – sviluppa itinerari di ricerca sul rapporto tra diritto e nuove tecnologie, indagando le possibili prospettive di regolamentazione, anche nel settore della guida autonoma, e focalizzando l’attenzione sull’individuazione del giusto bilanciamento tra innovazione e sostenibilità in ottica antropocentrica.

 

 

Quali conseguenze ha per l’utente che utilizza queste tecnologie la trasmissione di dati personali tra veicoli autonomi e la loro relativa profilazione? Effettivamente la libertà umana potrebbe essere condizionata dalla produzione e dal trattamento non responsabile dei dati prodotti dai veicoli autonomi?

La tutela dei dati personali è, almeno dall’inizio del secolo scorso, una questione che riveste grande rilevanza sociale, riproponendosi di epoca in epoca sotto differenti aspetti. Internet ha certamente cambiato il volto della data protection e l’impatto trasversale che l’IoT ha avuto anche nel settore automobilistico ha attirato l’attenzione di autorità pubbliche ed enti privati, sia a livello nazionale che europeo. Dagli studi di settore è emersa chiaramente la problematica relativa all’inconsapevolezza dell’utente in relazione al trattamento dei suoi dati personali, con particolare riguardo ad alcuni contesti, come quello del trattamento dei dati personali tramite i sistemi di guida. In questo ambito, l’inconsapevolezza dell’utente è ancora più evidente, soprattutto nei trattamenti automatizzati, in cui spesso lo stesso non risulta pienamente cosciente della sua profilazione e delle possibili conseguenze della stessa. Infatti, i dati personali consentono di elaborare profili dettagliati degli utenti basati, tra l’altro, sui comportamenti, sulle abitudini, sulla salute, sull’età e sull’orientamento sessuale, politico o religioso degli stessi. In questo modo viene a crearsi un monitoraggio particolarmente invasivo della vita privata come conseguenza dell’utilizzo delle tecnologie, che potrebbe persino produrre condizionamenti della libertà umana.

La libertà dell’utente, quindi, potrebbe essere condizionata in presenza di trattamenti automatizzati, operati anche tramite l’utilizzo di sistemi di guida automatizzati. A tal proposito è di estrema rilevanza il diritto di opposizione dell’interessato in qualsiasi momento al trattamento dei suoi dati personali, inclusa la profilazione (art. 21 GDPR). Tale tutela si affianca al diritto di essere informato dal Titolare del trattamento circa l’esistenza di un processo decisionale automatizzato, e al conseguente diritto di ricevere informazioni sulla logica utilizzata, l’importanza e le conseguenze di tale trattamento per l’interessato (art. 13, par. 2, lett. f. e art. 14, par. 2, lett. g, GDPR). Inoltre, considerato il rischio per i diritti e le libertà dell’utente, il Titolare del trattamento prima di procedere alla profilazione dell’utente, ha l’obbligo di effettuare la data protection impact assessment (DIPIA), in applicazione dell’art. 35, par. 2, GDPR.

In questo modo si possono prevedere specifiche tutele dell’utente in relazione alla profilazione senza però vietarla, dato che la stessa non comporta solo rischi per la liberà umana, ma può anche avere vantaggi tanto per il mercato quanto per gli individui stessi.  Di fatto, tramite la profilazione i produttori sono in grado di individuare con precisione quali sono i prodotti maggiormente richiesti e in quali quantità, riuscendo più facilmente a combinare la domanda con l’offerta. Allo stesso tempo, poi, la profilazione consentirebbe di mettere sul mercato prodotti più targettizzati e migliorati proprio grazie all’analisi dei dati personali degli utenti.

Per poter trovare il giusto equilibrio tra la tutela dell’interessato del trattamento e lo sviluppo del mercato è possibile adottare alcune policy conformi al GDPR, come la pseudonimizzazione o, addirittura, l’anonimizzazione dei dati, che comunque consentirebbe di poter individuare dei profili specifici senza però poterli associare ad un soggetto identificato o identificabile. Si tratta di strategie varate ben prima dell’entrata in vigore del GDPR e poi riprese e implementate nell’ambito della riforma sul trattamento dei dati personali, che hanno una certa importanza e vanno a sommarsi ai principi e alle procedure già menzionate nell’ottica della data protection.

La tutela dell’individuo in relazione alle nuove tecnologie è un tema di estrema rilevanza, che abbiamo avuto modo di approfondire in diversi progetti di ricerca nonché nell’ambito delle attività della cattedra Jean Monnet PROTECH – alla quale afferisco in qualità di componente del teaching staff – in cui uno dei focus è stato proprio dedicato alla tutela dell’interessato del trattamento in ambiente digitale.

 

Qual è l’impatto delle nuove tecnologie sulla regolamentazione dei modelli giuridici? Ad oggi è possibile l’introduzione di una normativa ad hoc in merito ai dati generati dall’IoT tra veicoli autonomi? E quale, a Suo avviso, l’impatto di queste tecnologie in merito alla responsabilità civile automobilistica, per quanto concerne i sistemi avanzati di assistenza alla guida?

Non c’è dubbio che l’impatto delle nuove tecnologie sui modelli giuridici sia esponenziale. È necessario, però, verificare fino a che punto sia possibile applicare in via estensiva o per analogia la normativa esistente, anche a fattispecie fortemente caratterizzate dall’applicazione delle nuove tecnologie, e quando, invece, sia più opportuno intervenire con una normativa specifica. Quando si tratta di fattispecie giuridiche già esistenti, anche se coinvolgono nuove tecnologie (ad esempio l’illecito trattamento dei dati personali tramite l’utilizzo delle tecnologie ovvero il danno provocato da un dispositivo intelligente), risulta comunque possibile applicare le categorie giuridiche tradizionali e la normativa in vigore (nel caso di specie, primi tra tutti, il General data protection regulation e la Product liability directive), senza la necessità di crearne di nuove, come si è proposto di fare ipotizzando la personalità elettronica del robot. Al contrario, però, se si è difronte a un’evoluzione tecnologica tale da prevedere la modifica dei soggetti e delle fattispecie coinvolte, allora sarà inevitabile propendere per l’intervento del legislatore.

In quest’ultima prospettiva di regolamentazione, però, si pone la necessità di prevedere un intervento di un legislatore realmente al passo con lo sviluppo tecnologico e conscio del funzionamento di tali tecnologie. Considerando la complessità delle tematiche da trattare e l’irrimediabile necessità di comprenderne prima il funzionamento, così come la poca elasticità che le norme di diritto cogente hanno all’interno del nostro ordinamento giuridico, risultano estremamente rilevati anche gli atti di soft law (dalle linee guida ai codici etici), nonché gli standard tecnici, applicabili anche tramite rinvii operati da norme di hard law. Inoltre, gli interventi di tecno-regolamentazione (techno-regulation) potrebbero giocare un ruolo importante, in cui la tecnologia non sarebbe solo oggetto di regolamentazione ma costituirebbe essa stessa strumento di regolamentazione. Nell’ambito della tecno-regolamentazione due sono i principi cardine: il principio del c.d. by design e il principio del c.d. by default, applicabili sicuramente all’ambito della privacy, come espressamente previsto all’art. 25 del GDPR, ma di fatto applicabili anche alla sicurezza (informatica e non) e all’etica, consentendo che tecnologia sia in grado di garantire un livello minimo di tutela dell’individuo, fin dalla fase di progettazione e per impostazione predefinita.

Quando si tratta di vehicle generated data, se i dati sono personali, è abbastanza agevole il collegamento con il soggetto che appare essere l’interessato del trattamento, risultando applicabile il GDPR. Quando, invece, i vehicle generated data non sono dati personali ma meri dati tecnici, non risulta assolutamente facile individuarne il Titolare dei dati (nella logica del sistema proprietario), né la normativa applicabile. In questa seconda ipotesi, si potrebbe ipotizzare l’introduzione di una normativa specifica per i dati non personali generati dall’IoT, che sono caratterizzati dal requisito della novelty (nuovi dati). In questa direzione sembrerebbero andare anche le istituzioni europee in particolare con la già menzionata strategia in materia di dati.

L’impatto delle tecnologie di guida sulla responsabilità civile automobilistica meriterebbe un discorso a sé stante, considerando la complessità e la rilevanza della materia. Ad ogni modo in questa sede preme sottolineare che in caso di incidente causato da un veicolo completamente autonomo, appare difficile ipotizzare di poter applicare solo la normativa attualmente esistente, ovvero l’art. 2054 del codice civile sulla responsabilità del conducente e del proprietario del veicolo, la normativa sulla responsabilità del produttore di cui al codice del consumo, nonché il codice sulle assicurazioni private. In particolare, nel caso della guida completamente autonoma non sarebbe più ravvisabile il conducente del veicolo in quanto quest’ultimo sarebbe autoguidato e, quindi, al massimo rientrerebbe in tale definizione il software di guida che, appunto, condurrebbe il veicolo. Al contrario, la normativa sulla responsabilità del produttore, potrebbe eventualmente essere applicata in via estensiva, in quanto – seppure risalente nel tempo – contiene norme applicabili a un produttore tanto di un veicolo tradizionale quanto di un veicolo intelligente. La questione, piuttosto, resta quella dell’imputabilità del danno in capo al proprietario ovvero al produttore del veicolo (due ipotesi di responsabilità oggettiva), decisione che conseguirà a scelte non solo giuridiche, ma anche di analisi economica del diritto. Ad ogni modo, nell’individuazione del soggetto responsabile, di primaria importanza risulta essere la logica statunitense del deep pocket, secondo la quale il rischio dovrebbe essere supportato da chi realmente può sostenere il costo del risarcimento del danno, il quale potrebbe essere il proprietario del veicolo o, ancor di più e ancor meglio, il suo produttore. In ogni caso ciò che realmente rileva non è chi è considerato responsabile ma piuttosto chi può risarcire il danno e, in quest’ottica, il sistema assicurativo ci fornisce la soluzione, potendosi applicare estensivamente la normativa esistente e prevendo, poi, l’introduzione di linee guida specifiche per il caso dell’assicurazione automobilista del veicolo autonomo. In questo modo, la normativa di soft law potrebbe in concreto orientare gli stakeholder verso la previsione di una più efficace copertura assicurativa per i soggetti responsabili – che potrebbero trovarsi a dover risarcire una minore quantità di danni ma di maggiore entità – e, inoltre, disciplinare adeguatamente la costituzione di fondo ad hoc per il risarcimento di quei danni per i quali non sia possibile individuare nessun soggetto responsabile sulla cui assicurazione potersi rivalere. Infine, quando si tratta di veicoli autonomi è che si tratta di particolare tipologia di robot dotati di un elevato livello di intelligenza artificiale, per cui si attendono con ansia gli sviluppi della proposta di Artificial Intelligence Act del 21 aprile 2021.

Concludendo, alla luce dello sviluppo delle nuove tecnologie, non è semplice comprendere il confine tra la possibilità di applicare estensivamente la normativa esistente e la necessità di introdurre una nuova. In un settore specifico come quello dei veicoli autonomi, cambiando in parte anche i soggetti coinvolti, sicuramente la necessità di un framework di regole ad hoc risulta evidente e in questa direzione sembrano propendere le istituzioni a livello europeo, le quali, dopo un primo atteggiamento di chiusura nei confronti della regolamentazione della robotica e dell’intelligenza artificiale, a partire dal 2017 hanno progressivamente avallato tale esigenza di regolamentazione. Ciò che difficilmente potrà essere ipotizzabile è la previsione di una sola disciplina normativa generale sulla robotica e l’IA, essendo preferibile la previsione di determinate regolamentazioni di settore in alcuni ambiti. Nel caso vicoli autonomi, come attualmente esiste un quadro normativo specifico per i veicoli tradizionali, è auspicabile che ciò venga previsto anche per i veicoli completamente autonomi.

 

 

 

 

Approfondimenti:

• GAETA M.C., Liability rules and self-driving cars: The evolution of tort law in the light of new technologies, Napoli, 2019, ES, ISBN: 978-88-9391-536-6.
• GAETA M. C., La protezione dei dati personali nell’Internet of Things: l’esempio dei veicoli autonomi, in Diritto dell’informazione e dell’informatica, 2018, I, pp. 147 – 179, ISSN: 1593-5795.
• GAETA M. C., Automazione e responsabilità civile automobilistica, in Responsabilità civile e previdenza, 2016, V, pp. 1718-1750, ISSN: 0391-187X.
• GAETA M. C., The issue of data protection in the Internet of Things with particular regard to self-driving cars, in Diritto Mercato Tecnologia, 2017, pp. 1 – 20, ISSN (Online Edition): 2239-7442.

 

 

 

a cura di

Valeria Montani