Google Glass & Legal: come affrontare gli aspetti legali dell’internet delle ...
Talk Agostino IHC Padova, 03.08.2018
1. CYBER SECURITY ED
INTELLIGENZA ARTIFICIALE:
L’OCCHIO VIGILE DEL GDPR
SULLE NUOVE SFIDE PER LA
PRIVACY
Realizzato dal Dott. Agostino Pedone
2. IL DIRITTO ALLA PRIVACY:
L’ORIGINE
«The Right to Privacy»: saggio scritto dagli avvocati Samuel Warren e Loius Brandeis e pubblicato dalla Harvard Law Review il 15 dicembre
1890. – RIPRODUZIONE PER FINI NON COMMERCIALI
3. DALLA DIRETTIVA 95/46/CE AL
REGOLAMENTO UE 2016/679
La Direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei
dati personali, nonché alla libera circolazione di tali dati, è nata agli inizi degli anni 90 del secolo
scorso non riuscendo a coprire fenomeni tecnologici comparsi o sviluppatisi solo dopo come
quelli di internet, delle app, dei dispositivi portatili, del cloud e dei social network, sino agli
attuali scenari dell’Internet of Things, dell’informatica indossabile o, persino, ingeribile.
Il GENERAL DATA PROTECTION REGULATION (Regolamento generale sulla protezione
dei dati) ha colmato alcune di queste lacune.
4. GENERAL DATA PROTECTION
REGULATION (GDPR)
Con l’adozione del nuovo Regolamento generale sulla protezione dei dati (c.d.
GDPR), adottato dal Parlamento Europeo e dal Consiglio il 27 aprile 2016, l’UE ha
compiuto un passo decisivo nel senso del rafforzamento della protezione dei dati delle
persone fisiche nonché dell’agevolazione della libera circolazione dei dati personali nel
mercato unico digitale.
DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI: diritto fondamentale ed
inviolabile dei cittadini europei (artt. 8, par. 1 della Carta di Nizza e 16 del TFUE).
5. LE PRINCIPALI NOVITÀ CONTENUTE
NEL REGOLAMENTO
• ACCOUNTABILITY (o principio di «responsabilizzazione»);
• PRIVACY BY DESIGN E BY DEFAULT (anche conosciuta come
Data Protection by Design e by Default);
• REGISTRO DEI TRATTAMENTI;
• VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI
(DATA PROTECTION IMPACT ASSESSMENT);
• DATA PROTECTION OFFICER (DPO).
6. CONCETTO DI SICUREZZA NEL GDPR
Concetto molto ampio di sicurezza che è possibile cogliere nella duplice
accezione inglese di «security» e «safety».
• SECURITY: insieme di misure volte a prevenire e contrastare atti di
interferenza illecita esterna nei confronti di un sistema;
• SAFETY: progettazione, costruzione e manutenzione di un sistema
affinché il sistema stesso non pregiudichi l’incolumità o la salute delle
persone.
7. I0T E GDPR: CRITICITÁ E RIMEDI
Internet of Things (IoT): capacità di oggetti, di dispositivi, sensori ed altri oggetti
che normalmente non sono considerati dei computer, di alloggiare capacità
elaborativa di connettersi alla rete internet (definizione data dalla Internet Society nel
2015).
Lo sviluppo di sistemi IoT presenta due principali tipologie di rischio:
• RISCHI LEGATI ALLA SICUREZZA;
• RISCHI LEGATI ALLA PRIVACY.
8. SICUREZZA E I0T
La natura interconnessa dei dispositivi IoT implica che ogni dispositivo non adeguatamente protetto, connesso
online, può potenzialmente indebolire la sicurezza e la resilienza di Internet a livello globale.
È infatti evidente che dispositivi e servizi IoT non adeguatamente protetti possono servire come potenziali punti di
ingresso per attacchi informatici, esporre l’utente a furti di dati o, peggio, comprometterne la sicurezza e la salute.
Esempi di noti attacchi cyber nell’Internet delle cose:
- Nel mese di luglio 2015, la rivista WIRED ha riportato la notizia di un dirottamento perpetrato a Jeep
Cherokee. Infatti, i due hacker sono stati capaci di regolare a distanza l’aria condizionata, controllare la radio e i
tergicristalli, e addirittura guidare l’automobile al posto del conducente. Gli hacker hanno sfruttato la
connessione Internet del sistema di infotainment U-Connect del veicolo, attraverso il quale il produttore
dell’auto può aggiornare il software via etere.
- l’attacco DDoS (distributed denial of service) subìto nell’ottobre 2016 da Dyn, fornitore di servizi DNS
(domain name server). Il danno si è tradotto nell’impossibilità per molti utenti nel mondo di accedere a siti web
popolari, come Twitter, Spotify, Reddit;
Con l’avanzare degli IoT, dunque, il tema della sicurezza si espande dall’immaterialità dei dati alla materialità della
vita fisica, reale.
9. RISCHI PRIVACY E I0T
L’adozione di tecnologie IoT accresce le preoccupazioni circa la possibilità di una maggiore
sorveglianza e monitoraggio dei cittadini, oppure quelle circa la possibilità di tracciare dei
dettagliati «ritratti digitali», contenenti oltre ai dati personali, anche abitudini di vita e di
consumo, dati sanitari, spostamenti e stili di vita.
Il GDPR detta per la prima volta in sede comunitaria una disciplina di tutela applicabile
anche ai dati eventualmente raccolti e trasmessi dagli IoT:
- pseudonimizzazione e cifratura dei dati (art. 32 GDPR);
- Principio della minimizzazione dei dati (considerando n. 39 e art. 5, lett. c
GDPR).
Sul fronte della ricerca teorica, è interessante citare il progetto SPECIAL, oggetto di studio
da parte della Commissione Europea, relativo alle «Sticky Policies» (politiche adesive).
10. INTELLIGENZA ARTIFICIALE
« L'intelligenza artificiale (IA) è una disciplina appartenente all'informatica che studia i fondamenti teorici, le
metodologie e le tecniche che consentono la progettazione di sistemi hardware e sistemi di programmi software
capaci di fornire all’elaboratore elettronico prestazioni che, a un osservatore comune, sembrerebbero essere di
pertinenza esclusiva dell’intelligenza umana.» (Marco Somalvico)
Breve ricostruzione storica dell’Intelligenza Artificiale:
- TEST DI TURING, 1950;
- Dartmouth Summer Research Project on Artificial Intelligence (1956), universalmente considerato
come l’evento che diede origine all’Intelligenza Artificiale;
- ELIZA, creato tra il 1964 e il 1966 da Joseph Weizenbaum (elaborazione del linguaggio naturale);
- La STANZA CINESE di John Searle, 1980;
- IL PARADOSSO DI MORAVEC, 1988;
11. IA E TRATTAMENTO DEI DATI
Trattamenti decisionali effettuati in via automatizzata:
- art. 22 GDPR: «l’interessato ha diritto a non essere sottoposto ad una decisione basata
unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti
giuridici che lo riguardano o che incida in modo significativo sulla sua persona».
Qualunque macchina robotica o apparecchio che opera nell’ambito dell’Intelligenza Artificiale
(strumenti biometrici, elaboratori di linguaggio naturale-antispam-phishing,
machine e deep learning e automazione) è destinata ad assumere decisioni automatizzate
che possono incidere non solo sui trattamenti dei dati personali dell’interessato, ma sulla sua
stessa persona.
VISIONE QUASI PROPRIETARIA DEL DATO all’interessato viene attribuito un
duplice potere: potere di controllo dei propri dati accanto a quello del consenso (par. 2 e 3, art.
22).
12. RAPPORTO TRA L’AGIRE UMANO E LE
MOLTEPLICI FORME DI IA
Le «tre leggi della robotica» di Isaac Asimov:
1. Un robot non può recare danno ad un essere umano né può permettere che, a causa del proprio mancato
intervento, un essere umano subisca un danno;
2. Un robot deve obbedire agli ordini impartiti dagli essere umani, purché tali ordini non contravvengano alla
Prima Legge;
3. Un robot deve proteggere la propria esistenza, purché questa autodifesa non contrasti con la Prima o con la
Seconda Legge.
Legge Suprema, c.d. «Legge Zero»: un robot non può recare danno all’umanità, né può permettere che, a causa
del proprio mancato intervento, l’umanità riceva danno.
Tentativi di ricostruzione della responsabilità per i danni causati dall’utilizzo dell’Intelligenza Artificiale:
- In campo civilistico RESPONSABILITÁ PER I VIZI DELLA COSA o ESISTENZA DI UNA
POSIZIONE DI GARANZIA;
- In campo penalistico MODELLI DI HALLEVY: riconoscimento di un’autonoma personalità giuridica in
capo alle forme di Intelligenza Artificiale.
13. IL DIRITTO AL CONTROLLO DELLE
PERSONE SUI DATI CHE LI RIGUARDANO
Considerando 7 del GDPR: «è opportuno che le persone fisiche abbiano il
controllo dei dati che li riguardano».
Cambiamento di prospettiva del Regolamento 2016/679 rispetto alla Direttiva
95/46 e al Codice privacy italiano (d. lgs. 196/2003) dal principio, di matrice
tedesca, dell’autodeterminazione informativa (dati personali oggetto di un
diritto proprietario della persona) al principio del controllo delle persone sui
propri dati personali.
Rimane una visione proprietaria del dato per tutti i trattamenti dei dati personali
basati sul consenso dell’interessato (artt. 6.1, 7, 8, 9 GDPR).
14. LA PERSONA FISICA COME CENTRO E
PERNO DEL REGOLAMENTO
Il Regolamento UE 2016/679 abbandona l’impostazione tradizionale che
mette al centro del sistema regolatorio i due concetti di dato personale e di
trattamento.
Nuova impostazione, nell’evoluzione in atto della società digitale, basata sui
Big Data, sulla Data Analysis e sull’Intelligenza Artificiale centro e perno del
Regolamento è la PERSONA FISICA e la tutela dei propri dati personali
intesi come «oggetto» e come «prodotto» di un trattamento.
VISIONE «DINAMICA» DELLA TUTELA, legata ai RISCHI per i diritti e
le libertà delle persone.
15. RIFLESSIONI CONCLUSIVE
• La nostra vita digitale entra sempre più anche in quella reale;
• Cammino verso una maggiore consapevolezza da parte degli individui,
considerati l’anello debole della catena della sicurezza, relativamente
all’importanza dei dati e delle proprie azioni digitali;
• Ricerca di un giusto equilibrio tra le promesse ed i rischi di un
trattamento automatizzato su larga scala dei dati;
• Rendere le nuove tecnologie una risorsa e non un pericolo per le
libertà ed i diritti degli individui.