Con l’esplosione dell’Internet degli Oggetti (IoT), il numero di dispositivi connessi che raccolgono dati e li inoltrano attraverso la Internet è cresciuto considerevolmente. Una gran parte di questi dispositivi, dagli smartphone ai termostati, raccolgono dati personali sugli utenti a cui appartengono. Negli ultimi anni è pertanto cresciuta l’attenzione nei confronti dei potenziali rischi relativi alla privacy e alla cybersecurity che la diffusione di questi dati in rete può comportare. Ciò ha fatto emergere l’esigenza di intervenire sulla normativa e introdurre leggi specifiche che salvaguardino la sicurezza e la privacy degli utenti. Abbiamo parlato di queste tematiche, in costante evoluzione, col Prof. Massimo Farina, docente di Diritto dell’Informatica per i corsi di Laurea Magistrale in Ingegneria delle Tecnologie per Internet e in Computer Engineering, Cybersecurity and Artificial Intelligence dell’Università di Cagliari.
Si parla tanto di protezione dei dati personali, soprattutto ora che c’è una diffusione massiccia di oggetti intelligenti e connessi che in maniera più o meno diretta raccolgono informazioni su di noi: quali sono le principali implicazioni giuridiche?
La grande espansione della Rete, che oggi veicola un flusso enorme di informazioni generate in automatico dalle macchine sta, via via, contribuendo alla creazione di un indice mondiale, che diventerà un’immensa enciclopedia vivente, consultabile attraverso device mobili che potranno interrogare in ogni momento qualunque oggetto: ad esempio, la locandina di un cinema, un monumento, una chiesa ovvero rintracciare la posizione di una “cosa” in movimento come può essere un autobus, un tram o una metropolitana.
Le cose stanno diventando tracciabili e dotate, sempre più, di un’intelligenza propria, che è continuamente alimentata dal software e che viene trasmesso agli oggetti attraverso la Rete. Le cose possono già, ad oggi, agire con la vita quotidiana dell’uomo (dal sonno, all’attività sportiva) e possono misurarla e migliorarla.
Tutto questo impone un’approfondita analisi delle implicazioni di natura giuridica e, in particolare, di tutela dei diritti fondamentali dell’individuo. L’Internet degli Oggetti, come ogni nuova realtà, necessità di regole chiare e precise che tutelino la persona umana da rischi di qualsivoglia natura e che delimitino il confine tra liceità ed illiceità di determinati comportamenti.
Avere una Internet degli oggetti, identificabili e localizzabili, solleva, in primo luogo, delle problematiche afferenti al trattamento dei dati personali ed alla tutela dei soggetti ai quali le informazioni si riferiscono. Dagli oggetti è possibile risalire alle persone e, in particolare, alla posizione di queste ultime. Si tratta di un vero e proprio tracciamento degli individui: quell’oggetto oltrepassa una barriera che lo rileva e, dunque, si acquisisce l’informazione che l’oggetto (e, dunque, la persona) è in un certo luogo. Se, ad esempio, all’ingresso della metropolitana un sensore rilevasse la presenza del cellulare di Tizio (già possibile quando il Bluetooth è acceso e il cellulare è “visibile”) si potrebbe sapere che egli (o, meglio, il suo cellulare) a quell’ora era presente in quel dato luogo; che, poi, successivamente è salito sull’autobus per poi dirigersi verso il supermercato e così via. I diritti degli utenti potrebbero risultare ancor più compressi se si pensa allo sviluppo di sistemi di monitoraggio della salute.
A livello Europeo già da tempo si è cominciato ad affrontare il problema. Nel 2009 è stata pubblicata una Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni, intitolata “L’internet degli oggetti – Un piano d’azione per l’Europa” e nel 2010, con una Risoluzione, il Parlamento Europeo ha sottolineato che il futuro dell’”Internet delle cose” debba viaggiare in parallelo con la tutela della privacy degli utenti, oltre che con un generale stato di sicurezza sui possibili effetti negativi sulla salute.
Nel 2014, il Gruppo di lavoro articolo 29 ha analizzato le problematiche relative all’IoT nel parere intitolato “Recent Developments on the Internet of Things”, fornendo una serie di raccomandazioni, anche pratiche, per gli operatori del settore, tra cui l’importanza di identificare i ruoli (titolare, responsabile, autorizzato) dei vari soggetti che operano nell’ambito dell’IoT al fine di applicare correttamente la normativa in materia.
Con l’entrata in vigore del Regolamento europeo per la protezione dei dati personali (n. 206/679 meglio noto con l’acronimo inglese GDPR) sono state introdotte una serie di prescrizioni applicabili anche al mondo IoT, la cui principale è quella contenuta nell’art. 25 GDPR), nota come principio del “data protection by design e by default”. In base a questa regola, la protezione dei dati personali deve iniziare già nella fase della progettazione dell’oggetto o del servizio. È, in primo luogo, il progettista (costruttore o sviluppatore) che deve valutare il rischio intrinseco al servizio o all’oggetto e progettarlo, tenendo conto delle prescrizioni della normativa così da minimizzare il trattamento dei dati che l’oggetto è destinato a trattare e, al contempo, massimizzare la tutela dei diritti delle persone.
Il GDPR, governato dal principio di accountability (che nella versione italiana si chiama principio di responsabilizzazione) non impone specifiche misure di sicurezza, non prevede un “decalogo” da rispettare pedissequamente, ma una concreta valutazione dell’ambito di trattamento. In esso si parla esclusivamente di misure tecniche e organizzative “adeguate” (e non più di misure minime, come nella disciplina pregressa), la cui individuazione deriva da un controllo continuo dell’oggetto o del servizio per garantire un livello di sicurezza costantemente adeguato al progredire della tecnologia.
Nel caso in cui attraverso uno specifico oggetto o servizio si ponga in essere un trattamento di dati che può presentare rischi elevati per i diritti e le libertà degli utenti, il titolare del trattamento deve eseguire, prima di iniziare il trattamento, un ulteriore adempimento, che si chiama valutazione di impatto (meglio noto con l’acronimo inglese DPIA) finalizzato a identificare e ridurre al minimo i rischi.
Ci sono però dei casi in cui il trattamento di dati personali deve essere eseguito per la tutela di diritti fondamentali di primaria importanza, come ad esempio la tutela della salute. In casi come questi, prevale la protezione del dato o quella della salute (o della vita)? Qual è la linea di confine? E nel caso di trattamento elettronico di dati sanitari, quali sono le principali regole da seguire?
Il bilanciamento tra diritto alla protezione dei dati personali e altri diritti fondamentali della persona (come quello della salute) è una tematica “calda” perché non può essere facilmente schematizzata. Il concetto di bilanciamento richiede sempre una valutazione “caso per caso”, che spesso comporta notevoli difficoltà.
In ragione delle predette difficoltà, l’Autorità Garante, il 7 marzo 2019 ha emesso il provvedimento n. 55 (doc. web n. 9091942) per fornire “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”.
Nel GDPR i dati relativi alla salute sono stati inseriti tra le “categorie particolari di dati personali” del quale in linea di massima è vietato il trattamento ai sensi dell’art. 9, salvo una serie di deroghe previste nella medesima disposizione, tra cui la cosiddetta “finalità di cura”.
Rinviando ad altra sede, la specifica analisi delle deroghe contenute nell’art. 9, credo che in questa occasione sia di particolare interesse il trattamento di dati relativi alla salute, che non sia strettamente necessario per la finalità di cura, anche se effettuati da professionisti della sanità.
In tal caso, prima di procedere al trattamento, sarà necessario verificare se, tra le altre deroghe dell’art. 9, sia presente la specifica finalità che si vuole perseguire, in caso contrario dovrà essere richiesto il consenso alla persona interessata. Il Garante, nel sopraccitato Provvedimento del marzo 2019, ha indicato, a titolo esemplificativo, alcune ipotesi che non rientrano in trattamenti basati su finalità necessarie e, per i quali, appunto, è necessario il consenso dell’interessato.
Tra i casi elencati, di interesse per questa sede, vi sono i trattamenti eseguiti mediante App mediche, per mezzo delle quali vengono raccolti i dati “relativi alla salute” degli utenti per finalità diverse dalla telemedicina o ancora quando, indipendentemente dalla necessità o meno della finalità del trattamento, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale.
Un esempio potrebbe essere il trattamento effettuato dalle farmacie mediante le fidelity card oppure per i trattamenti da soggetti privati in ambito sanitario per finalità promozionali o commerciali (promozioni su programmi di screening, fornitura di servizi alberghieri di degenza, ecc.). In casi come questi è necessario raccogliere preventivamente il consenso esplicito dell’utente.
Un ulteriore caso specifico di consenso necessario per il trattamento di dati sanitari on-line è quello eseguito mediante il Fascicolo Sanitario Elettronico. In questo caso, però, l’acquisizione del consenso è prevista da specifica normativa precedente al GDPR (d.l. 18 ottobre 2012, n. 179, art. 12, comma 5) il cui rispetto è espressamente previsto dall’art. 75 del D.lgs. n. 196/03 (così come modificato nel 2018). Una regola che, probabilmente dovrebbe essere rivista, alla luce delle regole contenute nel GDPR per il trattamento di dati sanitari, tenuto conto delle finalità, anche di cura, perseguite con il Fascicolo Sanitario Elettronico.
Si inizia a parlare di diritto dei robot. Il pensiero va immediatamente ai racconti di Isaac Asimov, ma cosa si intende esattamente e qual è il confine fra fantascienza e realtà? Le attività dei Robot producono effetti giuridici, in attesa di una disciplina specifica quali regole applichiamo?
Se nel 1942, quando lo scrittore russo Isaac Asimov ha elaborato le “Tre Leggi della Robotica”, il tutto era confinato nel mondo fantascientifico, oggi, credo si possa affermare, che il richiamo a quei postulati sia più che reale. Ma la cosa che più sorprende è che l’evoluzione dell’intelligenza artificiale, possa far diventare presto realtà anche la legge zero (la più importante) coniata, in un memento successivo, dall’automa umanoide R. Daneel Olivaw. Nell’affermare ciò, penso alle macchine che imparano da sole e così sofisticate da spingere il Parlamento europeo all’idea di riconoscere loro lo status “persone elettroniche”. L’esempio per eccellenza è iCub (ideato da Giorgio Metta, ricercatore al MIT di Boston e costruito all’IIT di Genova): il primo robot in grado di apprendere autonomamente adattandosi al contesto e imparando dagli errori.
Questo notevole progresso ha portato nella nostra società dei nuovi “individui” (diversi dalle persone fisiche) che con il loro agire compiono operazioni che possono avere un valore giuridico.
Nei tempi più recenti, la tematica del rapporto tra diritto e robotica si è notevolmente sviluppata. Nel 2014, grazie ad un progetto finanziato dall’Unione Europea denominato “RoboLaw” (www.robolaw.eu), si è dato un seguito moderno alla regolamentazione fantascientifica di Asimov attraverso la realizzazione della “Carta dei Diritti e dei Doveri dei robot” composta da 19 articoli.
Successivamente, nel 2016, fu avanzata una prima proposta (da parte dell’europarlamentare Mady Delvaux) di regolamentare il mondo dei robot, per lo meno in quegli aspetti di maggiore necessità, come la responsabilità in caso di danni a cose e/o persone. La proposta arrivava fino al riconoscimento dell’identità elettronica dei robot e alla vigilanza sul loro operato da parte di un’agenzia europea creata ad hoc.
Quella proposta rimase tale (forse perché troppo pionieristica?), ma in breve tempo il problema dei danni causati dai Robot tornò alla ribalta a causa del progressivo sviluppo di “auto senza pilota” ed ecco che nel 2018 l’Unione Europea ha emanato una prima cornice legislativa per regolare la robotica, i suoi utilizzi e le sue finalità. Continuano ad essere presenti problematiche di sicurezza e ampie riflessioni etiche che dovrebbero, in primo luogo, essere rivolti ai progettisti, ai fabbricanti e agli utilizzatori di robot, ma anche agli automi aventi capacità di autonomia e di autoapprendimento.
Il percorso, dal punto di vista della produzione normativa specifica, è ancora molto lungo. Oggi, tenuto conto dello sviluppo repentino della tecnologia, che probabilmente ci presenterà molte fattispecie concrete da risolvere prima che il “diritto dei robot” veda la luce, non rimane che ragionare sulle norme esistenti e capire se possa esservi applicazione analogica (laddove è consentita dall’ordinamento). D’altronde lo abbiamo fatto anche con il software, prima che, all’inizio degli anni 90, fosse novellata la Legge sul diritto d’Autore. Dobbiamo, quindi, cercare di capire in quali termini il comportamento del robot può essere imputato all’uomo e poi chiederci a quale uomo: al progettista, al costruttore, all’utilizzatore oppure ad altri. Si tratta di un’impresa tutt’altro che semplice, che genera molta incertezza tra i consociati e che può addirittura rallentare l’applicazione del frutto del progresso tecnologico nella realtà quotidiana fino a confinarla a perenne sperimentazione.