Il 20 gennaio 2025, presso la prestigiosa Sala Consiliare del Palazzo Valentini a Roma, si…
XI Convegno scientifico Centro Studi Diritto Nuove Tecnologie. “Persona, dati personali, algoritmi tra GDPR e AI Act”
Firenze, Fondazione Cesifin – 17 giugno 2024
http://www.dirittonuovetecnologie.it
Il 17 giugno scorso a Firenze Palazzo Incontri si è svolto l’undicesimo Convegno DNT che ha offerto ai giuristi un’occasione di riflessione e approfondimento su temi di grande rilevanza economica e sociale prima ancora che giuridica: le intersezioni tra disciplina europea dei dati personali e intelligenza artificiale.
Come noto il 21 maggio scorso, dopo il passaggio parlamentare, il Consiglio dell’Unione europea ha definitivamente approvato il Regolamento sull’intelligenza artificiale dell’Unione Europea (“AI Act”). Il Regolamento in parola – dopo essere stato firmato il 13 giugno 2024 dai presidenti del Parlamento europeo e del Consiglio UE – è in attesa di pubblicazione nella Gazzetta ufficiale dell’Unione europea a breve, verosimilmente tra fine giugno e primi di luglio, ed entrerà in vigore venti giorni dopo la sua pubblicazione, ma sarà pienamente applicativo solo dopo due lunghi anni, con diverse eccezioni, fra cui gli utilizzi vietati che diverranno applicativi dopo soli 6 mesi dall’entrata in vigore.
In occasione dei rituali saluti introduttivi ha preso la parola la Magnifica Rettrice dell’Università di Firenze Prof.ssa Alessandra Petrucci che si è rallegrata per l’interessante iniziativa scientifica ed ha espresso apprezzamento per l’attività ultradecennale del Centro Studi Centro Studi Diritto Nuove Tecnologie DNT® animato dal Suo Direttore Scientifico Prof. Emilio Tosi Associato di Diritto Privato nell’Università di Milano Bicocca.
Il Prof. Guido Alpa – illustre Maestro dei civilisti – ha onorato il Convegno “Persona, dati personali, algoritmi tra GDPR e AI Act” Presiedendo i lavori e formulando le conclusioni. Il Prof. Alpa ha evidenziato inanzitutto che il legislatore europeo ha dedicato particolare attenzione alla tutela della persona e della dignità personale, temi cari anche al compianto Prof. Stefano Rodotà fra gli studiosi più sensibili in relazione alle interferenze tra persona, diritto e tecnologie, ponendo tali valori al centro di due strumenti normativi rilevantissimi: il Regolamento europeo per la protezione dei dati personali (“GDPR”) e il Regolamento europeo sull’intelligenza artificiale (AI Act”). Particolare attenzione è stata posta in relazione al ruolo centrale della disciplina della responsabilità delle nuove entità artificiali e richiamando nelle battute conclusive le parole sempre attuali del Prof. Giovanni Tarello ricordando che i giuristi amano complicare le cose per giustificare la propria importanza e auspicando che – a dispetto della complessità della disciplina dell’artificial intelligence in corso di pubblicazione in GUUE – si riesca a trovare un fil rouge interpretativo razionale e sistematico.
Il Prof. Emilio Tosi, Direttore scientifico del Centro Studi Diritto Nuove Tecnologie DNT® e Associato di Diritto Privato nell’Università di Milano Bicocca ha aperto i lavori con la relazione introduttiva dal titolo suggestivo: “Tutela della persona, dati e asimmetrie di potere: profili civilistici tra GDPR e AI Act” osservando che l’AI Act si pone in continuità con gli interventi normativi dell’Unione Europea – accomunati dallo sforzo di bilanciare protezione della persona e sviluppo dei mercati digitali, libertà e responsabilità – in primis il GDPR ormai divenuto legal benchmark globale sulla protezione dei dati personali.
L’AI Act tuttavia rispetto al GDPR pare porre maggiore attenzione al tema dell’innovazione rispetto a quello della protezione dei diritti fondamentali pur certamente presente.
Si pensi alle numerose deroghe e in particolare con riferimento all’uso di sistemi di IA per scopi militari, di difesa o di sicurezza nazionale in relazione ai quali non si applica nemmeno il principio human in the loop statuito dall’art. 14 dell’AI Act. Inoltre per la sua struttura complessa, 180 considerando, 113 articoli, XIII Allegati per un totale complessivo di circa 400 pagine, è e sarà fonte di numerosi problemi interpretativi.
La relazione si sofferma sui profili civilistici delle asimmetrie di potere e sui necessari rimedi protettivi per ripristinare un giusto equilibrio tra soggetto forte e soggetto debole, anche oltre le dinamiche relazionali propriamente contrattuali. Si suggerisce pertanto una rilettura della funzione del consenso individuale al trattamento dei dati personali, sempre più recessivo e inidoneo a tutelare, di per sè, il soggetto debole, la persona vulnerabile, in contesto tecnologico fortemente asimmetrico e condizionante.
A maggior ragione in contesto digitale prospetticamente agito da nuove entità artificiali, espressioni di “intelligenza” per lo più statisticamente rilevanti, tendenzialmente attendibili ma mai assolutamente attendibili, in ogni caso non certamente consapevoli né coscienti nonostante la vulgata corrente, decettiva, della dominante antropomorfizzazione voglia lasciar intendere. Appare auspicabile – secondo il prof. Tosi – valorizzare una lettura assiologica protettiva della persona mediante conformazione contrattuale, sempre più stringente, imposta dalle regole digitali europee e più in generale, anche in assenza di un rapporto contrattuale, mediante rafforzamento dei precetti conformativi centrati su responsabilizzazione ex ante, il ben noto principio di accountability già statuito dal GDPR, responsabilità, tendenzialmente oggettiva, ex post e infine sanzioni dissuasive e proporzionate alla gravità dei precetti violati.
La Prof.ssa Ginevra Cerrina Ferroni, Vice Presidente dell’Autorità Garante per la Protezione dei Dati personali e Vice Presidente della Fondazione Cesifin ha tenuto una relazione sul tema “GDPR e AI Act: dignità della persona e profili costituzionali oltre l’autoregolazione” ha concentrato la Sua riflessione su due temi significativi: la dignità della persona e i relativi profili di rilevanza costituzionale.
A livello europeo, la Carta dei Diritti fondamentali muove dal presupposto irrinunciabile dell’immanenza della dignità umana a ciascun individuo. L’Unione europea pone la persona al centro della sua azione regolatoria. In un mondo sempre più datificato, in cui le nostre identità personali sono “fatte di dati”, la protezione dei dati personali diventa strumentale alla difesa irrinunciabile della dignità personale. Mantenere l’uomo al centro dello sviluppo tecnologico, promuovere l’umanesimo digitale e incoraggiare uno sviluppo antropocentrico.
Infine è auspicabile che il legislatore italiano provveda a istituire un’autorità di controllo dell’IA come previsto dall’art. 70 AI Act, con attribuzioni di tali funzioni all’Autorità Garante per la Protezione dei Dati Personali, anche per non disperdere il know-how accumulato in questi anni di prezioso lavoro a tutela della persona e dei dati personali.
L’Avv. Guido Scorza, Membro Autorità Garante per la Protezione dei Dati personali, è intervenuto con una Relazione dal titolo “Intelligenze artificiali, dati personali e algoritmo alla luce del GDPR”.
Secondo l’Avv. Scorza la strada della protezione dei dati personali incrocia più volte quella della disciplina dell’intelligenza artificiale. Uno degli incroci più significativi è relativo al trattamento dei dati personali strumentale all’addestramento degli algoritmi. Il processo che, ormai da qualche anno, si registra in questa fase evoca la tragedia dei beni comuni ma in un’edizione moderna e aggiornata che, forse, potrebbe essere definita come tragedia dei diritti fondamentali e dei personalissimi. Tessere rappresentative di una serie di diritti fondamentali, a cominciare proprio dal diritto alla privacy, infatti, vengono pescate a strascico online e convertite in asset commerciali e tecnologici dei padroni delle grandi fabbriche di intelligenze artificiali. Sotto il profilo della disciplina della protezione dei dati personali, tale insostenibilità, si traduce nella difficoltà di ricondurre questo trattamento alla base giuridica del legittimo interesse. La sensazione è che siamo davanti a un problema che avrebbe dovuto – e dovrà – essere risolto dal legislatore più che dalle autorità di protezione dei dati personali.
Il Prof. Fabrizio Criscuolo, Professore Ordinario di Diritto Privato nell’Università Sapienza di Roma ha tenuto una interessante Relazione dal titolo “Diritti sul corpo e dati sanitari” rileva che il pensiero tecnico e le tecnologie hanno rivoluzionato anche le categorie e il linguaggio riferibili al corpo umano che hanno perso così una significazione univoca, altro essendo il corpo per la medicina, altro per il diritto, altro ancora per la biologia e per la filosofia. In questo contesto anche il concetto stesso di persona, quello di bene giuridico, di oggetto del diritto, di autonomia individuale esigono una profonda rimodulazione. La disciplina e la riflessione giuridica sul corpo nascono infatti in un’era in cui la relazione tra diritto e scienza era totalmente diversa, come diversa era la stessa concezione di persona, concezione vincolata irrimediabilmente alla fisicità. Si spiega in questo modo l’approccio, in sé comunque discutibile, secondo il quale la valorizzazione della dimensione materiale, quindi la riconduzione del corpo o di parti di esso alla categoria dei beni, imporrebbe l’attrazione di queste entità (si pensi per esempio ai cosiddetti ‘campioni biologici’) al regime dell’appartenenza di tipo dominicale. Questo approccio si mostra tuttavia inadeguato, essendo palese che l’opzione del sistema per la circolazione dei dati personali mantiene l’informazione nell’ambito giuridico della protezione della sfera personale ed è in quest’ambito che vanno ricercati tecniche e strumenti della tutela. Così si giustifica il differente approccio che riconduce la relazione tra persona e materiale biologico o dato sanitario al modello identitario dei diritti relativi al corpo, con la conseguenza di rendere ineludibile una più compiuta riflessione in ordine al pervasivo diritto di controllo spettante al titolare in materia di conservazione e riutilizzo di questi dati. Questo scenario può essere messo in discussione laddove il consenso, attenuando, per così dire, la propria funzione regolamentare, favorisca il perseguimento di interessi generali o collettivi (qui l’esempio può essere quello del soggetto che decida spontaneamente di partecipare a un progetto di ricerca, “donando”, attraverso il consenso informato, i propri campioni a un ente o istituzione di ricerca pubblica o privata). L’attenuazione di cui si discorre si giustifica in tali casi in ragione della meritevolezza che l’ordinamento riconosce alla stessa finalità acquisitiva, attraverso adeguato bilanciamento tra il diritto della persona e l’interesse, anche generale, alla circolazione dell’informazione nel quadro del rapporto tra principio personalistico e doveri di solidarietà sociale. In questi casi il rapporto, lungi dall’essere caratterizzato dalle logiche dello scambio, è semmai connotato dalla comunanza dello scopo, dalla cooperazione, sul modello delle relazioni in cui si assume come determinante l’interesse al conseguimento di una finalità condivisa.
La Prof.ssa Anna Carla Nazzaro, Professore Ordinario di Diritto Privato nell’Università Internazionale degli Studi di Roma ha tenuto un’interessante Relazione dal titolo “Dati biometrici, webscraping e valutazione d’impatto” tratta tre argomenti principali: i dati biometrici, il webscraping e la valutazione d’impatto. I dati biometrici sono definiti come dati personali derivati da trattamenti tecnici specifici relativi a caratteristiche fisiche, fisiologiche o comportamentali di una persona, come le immagini facciali o i dati dattiloscopici. Nella relazione si sottolinea l’importanza dell’AI Act che regola l’uso dei dati biometrici e l’intelligenza artificiale. Questo regolamento europeo differenzia i dati biometrici dai dati personali e stabilisce che solo i dati sottoposti a specifici trattamenti tecnici possono essere considerati biometrici.
Il webscraping, soprattutto se usato per creare database di riconoscimento facciale, viene discusso in relazione alle sue implicazioni legali e etiche. Viene analizzato il caso di Clearview AI per illustrare come le immagini raccolte dal web diventano dati biometrici solo dopo essere state processate tecnicamente per creare modelli vettoriali. L’AI Act impone alcune restrizioni sull’uso dei dati biometrici raccolti tramite webscraping, in tali casi la finalità del trattamento è cruciale per determinarne la liceità.
Si pensi all’art. 5 dell’AI Act vieta opportunamente diverse pratiche di utilizzo dell’AI pericolose per la tutela dei diritti fondamentali della persona fra cui alla lett. e) “l’immissione sul mercato, la messa in servizio per tale finalità specifica o l’uso di sistemi di IA che creano o ampliano le banche dati di riconoscimento facciale mediante scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso”.
La Prof.ssa Nazzaro conclude sottolineando la necessità di una valutazione d’impatto per i sistemi di intelligenza artificiale considerati ad alto rischio, come previsto dall’AI Act. Emerge l’importanza dell’accountability, ovvero la responsabilizzazione degli operatori nel trattamento dei dati biometrici, per prevenire discriminazioni e bias nei sistemi di AI. La regolamentazione si focalizza sulla protezione dei diritti e delle libertà delle persone, soprattutto riguardo all’uso dei dati biometrici per identificazione e categorizzazione.
In sintesi, dati biometrici, webscraping e valutazione d’impatto si interconnettono nel contesto delle normative europee recenti, ponendo particolare attenzione sulla protezione dei dati personali e sui rischi associati all’uso improprio dell’intelligenza artificiale.
L’Avv. Carmelo Fontana, Legal Counsel Emea di Google è intervenuto sul tema “AI responsabile e affidabile: il principio di accountability” osservando che nuovo Regolamento europeo dispone che le aziende che mettono nel mercato europeo sistemi di IA o ne offrono il servizio o l’uso, hanno l’obbligo di predisporre una struttura di accountability in modo che per l’intera value chain ogni “anello” della struttura aziendale sia reso responsabile dello sviluppo di sistemi di IA compliant con i doveri previsti dall’AI Act.
Il Prof. Alberto Maria Gambino, Ordinario di Diritto Privato nell’Università Europea di Roma, ha approfondito il tema “Obbligo di trasparenza e dati di addestramento tra proprietà intellettuale e industriale” rilevando che non si può parlare propriamente di proprietà industriale in relazione ai modelli e sistemi di intelligenza artificiale, perché le grandi aziende tech sfruttano semmai il segreto industriale per proteggere i propri modelli e sistemi di IA proprio per evitare la pubblicazione di quanto oggetto del diritto di privativa in caso di brevetto.
Inoltre, stigmatizza l’antropomorfizzazione delle AI. Non è corretto usare il termine “intelligenza” con riferimento a un sofisticato modello statistico certo ma privo di consapevolezza né “addestramento” riguardo ai sistemi di IA, perché è un’attività riferibile alle sole res animatae.
In tema di proprietà intellettuale si registra inoltre la tendenza della nostra Cassazione a riconoscere la titolarità dell’opera anche a soggetti che non l’hanno propriamente creata, ma hanno usato un sistema di IA.
Il Prof. Salvatore Orlando, Professore Ordinario di Diritto Privato nell’Università Sapienza di Roma “Decisioni algoritmiche, diritto alla spiegazione e tutela dei consumatori” stigmatizzando da subito la tendenza decettiva delle big tech a forzatamente antropomorfizzare le nuove entità artificiali – parlando di addestramento, creazione, decisioni che tali non sono in senso giuridico ma solo informatico – in verità sofisticati algoritmi privi di qualsiasi consapevolezza.
La relazione propone tre basi per avviare la riflessione su ciascuno dei tre blocchi tematici compresi nel suo titolo, indicandole come certezze da cui procedere tra i tanti dubbi sollevati dalla lettura dell’AI Act.
Relativamente alle ‘decisioni algoritmiche’, si è osservato che i sistemi di IA non hanno personalità giuridica, per cui quando l’AI Act si riferisce all’output dei sistemi di IA come ‘decisioni’ non può certo intendere decisioni in senso giuridico.
Si è dunque sottolineata la necessità di precisione terminologica nel linguaggio giuridico e il carattere fuorviante del linguaggio antropomorfo della scienza informatica, spesso recepito inconsapevolmente dai giuristi.
Relativamente al ‘diritto alla spiegazione’, si è sottolineato che l’AI Act deve essere interpretato alla luce del diritto dell’Unione e dei diritti nazionali, più o meno armonizzati, individuando il posto che esso occupa, in particolare comprendendo che l’AI Act è essenzialmente una disciplina di prodotto e che questa disciplina comprende, per la particolarità dei sistemi di IA, il loro uso.
La disciplina dell’uso dei sistemi di IA contenuta nell’AI Act è diversa dalle discipline – estranee all’AI Act – delle molteplici ed innumerevoli attività dei soggetti di diritto, che sono o possono essere interessate dall’utilizzo degli output dei sistemi di IA: alla luce di questa distinzione deve essere inteso il campo di applicazione della norma introdotta dall’AI Act sul diritto alla spiegazione.
Infine, quanto alla ‘tutela dei consumatori’ si è osservato che il diritto dell’Unione ha ormai segnato la strada del passaggio dalla protezione del consumatore online a quella dell’utente online, e che al centro delle nuove norme vi è la considerazione delle vulnerabilità delle persone fisiche e dei possibili sacrifici impliciti nei rischi di abuso e di errore delle tecnologie. Si è infine evidenziata, quanto agli specifici e molteplici problemi di coordinamento ed applicazione delle molte norme aventi ad oggetto le attività incise dalle applicazioni delle tecnologie digitali, la necessità di promuovere un approccio ermeneutico consapevole della multiplanarietà dell’ordinamento giuridico.
Giovanni Maria Tosi
Cultore della materia di Diritto Privato
Università Statale di Milano