Sorveglianza e regolamentazione globale, questione di privacy

Diritto e tecnologia

Ubi societas ibi ius, ubi ius ibi societas. Il diritto è parte integrante di ogni società e, in quanto tale, con essa si evolve e ad essa è preordinato. La cd. quarta rivoluzione industriale ha portato interessanti innovazioni che impongono all’ordinamento ad un rapido adeguamento. Le tecnologie informatiche hanno dato origine a nuove esigenze, comportando una necessaria sovraesposizione dell’individuo, in una continua crasi tra identità digitale e identità reale. In questo contesto il diritto non può che offrire nuove forme di tutele ai consociati, individuare regole, principi e valori per orientare i comportamenti e disciplinare la convivenza collettiva, le modalità di risoluzione dei conflitti che possono scaturire dalle attività influenzate dal progresso scientifico e l’individuazione delle responsabilità legate alla realtà digitale dell’individuo. Quella odierna è definita data society^[1] dove un ruolo cruciale è occupato dai dati, dalle informazioni e dalla conoscenza, intesa come accesso alle risorse essenziali per lo sviluppo economico, sociale e culturale. L’Internet of Things ha integrato la rete con gli oggetti e generato nuovi soggetti come l’I.A. per poi evolversi nell’Internet of Everything che sviluppa le potenzialità del mondo digitale fino ad arrivare a creare algoritmi e tecnologie che si sostituiscono all’uomo nei suoi compiti.

L’Internet of Things ha aperto la strada a nuove problematiche, dal valore probatorio della firma digitale alla sanzione per il reato di frode informatica, oppure all’acquisizione della prova digitale. D’altro canto, preziose sono le opportunità che si sono presentate grazie alla proliferazione di queste tecnologie, come le banche dati giuridiche a disposizione degli operatori del diritto o anche alle novità introdotte dal processo telematico di cui ampio uso si è fatto in ambito civile durante il lockdown. Inoltre, questa evoluzione tecnologica ha subito un’impennata a seguito della diffusione del Covid-19 nel mondo; la pandemia ha fatto sì che anche le relazioni sociali – oltre al lavoro e ai servizi^[2] - e gli affetti della persona fossero coltivati esclusivamente online, mutando le forme di interazione e socialità. Il diritto si è trovato, così, dinanzi a nuove questioni da risolvere con una normativa alquanto frammentaria. Il rapporto tra diritto e tecnologia è particolare perché la tecnologia evolve con estrema velocità e dinamicità, mentre il diritto è frutto di scelte e bilanciamenti tipici del processo democratico, quindi inevitabilmente lento e quasi statico. Non solo dal punto di vista del tempo, ma anche spazialmente si distinguono diritto e tecnologia: il diritto regola la vita dei consociati in un determinato ordinamento, quindi entro confini territoriali definiti; la tecnologia crea un mondo privo di frontiere e di sovrani, sfruttando il linguaggio informatico che è recepito con le medesime convenzioni e medesimi moduli in tutto il globo, abbattendo le barriere geografiche. Pertanto, si presenta come necessaria una disciplina sovranazionale che dia una connotazione globale delle fattispecie e che non sia strettamente connessa a confini nazionali.

Nella realtà digitale le barriere nazionali non esistono, non si conoscono passaporti o visti, unico requisito è la connessione che permette l’accesso tramite login e il ritorno alla realtà analogica tramite logout. Questa dimensione non può, però, essere una dimensione totalmente priva di regole sociali, un mare internazionale dove nessun ordinamento ha autoritas. L’esigenza primaria della data society sembra essere quella di garantire una tutela efficacie ed effettiva ai dati personali, il bene più prezioso in circolazione, che sono sempre più difficili da distinguere dai dati non personali. Il progresso determinato dallo sviluppo delle tecnologie informatiche e dalla centralità assunta dai dati investe complessi equilibri contrapposti, il rapporto tra poteri e la tenuta dei principi democratici fondamentali, influenzando le regole etiche e culturali del futuro.^[3]

La nuova era digitale ha apportato novità interessanti anche in campo democratico e politico, soprattutto in riferimento al rapporto tra il processo democratico e le tecnologie informatiche. Il concetto di e-democracy fa riferimento all’utilizzo di tecnologie informatiche nelle diverse fasi del processo democratico e per garantire e favorire la partecipazione alla sfera pubblica. Si parla anche di e-partecipation per indicare l’utilizzo tecnologie digitali per prendere parte ai processi decisionali e alla definizione delle scelte politiche. Ne è stata un esempio la raccolta di firme organizzata dall’associazione Luca Coscioni, durante l’estate 2021, per proporre un referendum di iniziativa popolare sull’eutanasia^[4]. La democrazia elettronica, d’altronde, è prevista dall’art. 9 del d.lgs. n. 82/2005, poi modificato dal d.lgs. n. 179/2016 che ne ha ampliato l’ambito soggettivo ei destinatari.

Tecnologia di riconoscimento facciale e sorveglianza

Lo sviluppo delle nuove tecnologie ha anche esteso il controllo a tutta la popolazione globale. Non il semplice controllo della versione del Panopticon, ma si sviluppa il fenomeno della sorveglianza in cui gli stessi sorvegliati sono, al contempo, oggetti che forniscono contenuti e soggetti che generano nuove forme di sorveglianza^[5].

Le tecnologie di riconoscimento facciale (di seguito “TRF”) consentono di identificare una persona a partire dall’immagine del suo volto, basandosi su complessi procedimenti algoritmici. Il ricorso a queste tecnologie risulta sempre più diffuso grazie all’utilizzo di strumenti di rilevazione poco invasivi che consentono di raccogliere le immagini anche senza che l’interessato ne sia consapevole^[6]. Tra i prodotti dell’Internet of Things, cioè tra gli oggetti che possono essere messi in rete, quelli dotati di TRF sono, sicuramente, i più dediti alla sorveglianza rispetto ad ogni altra tecnologia attualmente disponibile. La raccolta ed elaborazione dei dati personali può avere diverse finalità positive - quale quella di proteggere o garantire il benessere di un soggetto, es. sul luogo di lavoro – ma, anche aspetti lesivi di diritti fondamentali attraverso il controllo e l’imposizione di limiti^[7]. Negli ultimi anni numerosi sono stati gli scandali che hanno portato alla luce sistemi di sorveglianza, non solo ad opera di soggetti pubblici – basti pensare a WikiLeaks^[8] o al Datagate^[9] che hanno svelato le pratiche di sorveglianza digitale di massa operate dai governi democratici - ma anche da parte di soggetti privati, i c.d. Big Tech – GAFAM^[10] o BAT^[11] – che operano una sorveglianza pervasiva e rispondente a finalità puramente economiche^[12].

Nella ricerca e nello sviluppo delle TRF i Big Tech occupano, inevitabilmente una posizione privilegiata date le quantità di dati a loro disposizione. La costante sorveglianza a cui gli utenti sono soggetti non è più opinabile, ma le finalità, ormai, sono ben lontane dall’imposizione della disciplina di cui parlava Foucault. Nonostante già diversi governi inizino a prendere posizione nei confronti dei rischi che sorgono da una gestione indiscriminata dei dati personali degli utenti, queste tecnologie sono diffuse anche tra le forze di polizia e le altre autorità pubbliche. Anche la Commissione europea nel White paper del 2020, dedicato all’I.A., ha manifestato preoccupazioni di natura giuridica ed etica per l’impiego dell’IA nell’identificazione tramite riconoscimento facciale negli spazi pubblici, la quale comporterebbe un vulnus ai diritti fondamentali della persona. Attraverso queste tecnologie è possibile attuare un monitoraggio, un controllo e un tracciamento estremamente invasivo capace di ricostruire lo stile di vita, le abitudini, l’orientamento sessuale, sindacale, religioso o politico dell’individuo e le relazioni interpersonali dello stesso.

Tutto questo non può lasciare il legislatore indifferente. Eppure, lo scorso 9 febbraio la Ministra dell’Interno Lamorgese ha annunciato che in Italia le forze di polizia saranno dotate di bodycam a seguito degli eventi delle ultime settimane che ha visto alcune manifestazioni studentesche trasformarsi in scontri fisici con la Polizia. La Ministra ha precisato che l’utilizzo delle suddette apparecchiature avverrà nel pieno rispetto delle direttive impartite dal Garante della privacy^[13]. Quest’ultimo ha autorizzato l’utilizzo dei dispositivi per documentare situazioni critiche di ordine pubblico in occasione di eventi o manifestazioni, a condizione che si rispetti la normativa sulla protezione dei dati personali trattati a fini di prevenzione e accertamento dei reati ex d.lgs. n. 51/2018, in attuazione della Direttiva UE 680/2016. In particolare, i dispositivi non potranno consentire l’identificazione univoca o il facial recognition e le telecamere potranno essere attivate solo in caso di concrete e reali situazioni di pericolo di turbamento dell’ordine pubblico o di fatti di reato. I dati raccolti, inoltre, essendo i rischi molto elevati - spaziando dalla discriminazione alla sostituzione d’identità, al pregiudizio per la reputazione, alla ingiusta privazione di diritti e di libertà – possono essere conservati per un periodo non superiore a sei mesi, essendo prevista la loro cancellazione automatica trascorso tale termine in osservazione del principio della privacy by default.

I maggiori rischi connessi all’utilizzo di TRF sono legati al fatto che le valutazioni dei dati acquisiti avvengono attraverso algoritmi che effettuano calcoli probabilistici circa la corrispondenza tra l’immagine di una persona e la sua presenza in un database. Il riconoscimento facciale, dunque, è sempre associato ad una percentuale variabile di errore perché influenzato da vari elementi^[14]. Inoltre, l’I.A. processa i dati utilizzando algoritmi, ovvero delle sequenze di istruzioni che indicano ad una macchina o ad un software quali operazioni effettuare per ottenere un determinato risultato. Tuttavia, l’uomo possiede qualità – coscienza, dignità, creatività, emozione - che non essendo pienamente comprensibili neppure all’uomo, non possono essere tradotte in istruzioni da impartire alla macchina o al software. Grazie all’evoluzione e alla diffusione dei big data, però, non è più l’uomo a scrivere gli algoritmi che istruiscono le macchine, ma sono le macchine che vengono allenate a riconoscere, mettendo a disposizioni enormi database di immagini, le features dei volti che si ritengono più ricorrenti. Questa nuova modalità è chiamata apprendimento automatico o machine learning, attraverso il quale non si elaborano più le istruzioni, ma gli algoritmi imparano a svolgere il proprio compito basandosi sui dati e sull’esperienza. È sufficiente, così, avere a disposizione molti dati per avere delle predizioni statisticamente sempre più accurate.

La capacità dei sistemi di machine learning di imparare in modo autonomo senza l’intervento dell’uomo e, inoltre, senza che l’uomo sia in grado di ricostruire il ragionamento seguito dalla macchina, rende più difficile esercitare un controllo su queste tecnologie. Questo controllo è, però, essenziale dato che in gioco ci sono diritti fondamentali degli individui. Si pensi all’impatto sul diritto alla riservatezza, alla privacy e alla protezione dei dati personali, ai diritti della personalità e al diritto all’identità personale. Identità personale che sempre più si confonde con l’identità digitale e che può essere oggetto di cyber-attacco volto a sostituirsi ad altra persona e che ha spinto il legislatore ad introdurre una nuova circostanza aggravante del reato di frode informatica all’art. 640-ter c.p.^[15]

Una volta crollato il confine tra realtà digitale e analogica l’I.A. si sostituisce all’utente^[16] e lo stesso corpo - attraverso device indossabili che monitorano la condizione fisica, ad esempio – diventa elettronico. Ed ecco che anche qui si manifestano dei problemi che il diritto deve prontamente affrontare: si faccia riferimento ai casi di molestie sessuali denunciati da alcuni utenti di Meta, il nuovo mondo virtuale prodotto da Zuckerberg. Allora ritorna essenziale l’azione dei controllori del pedaggio per l’accesso alle autostrade digitali che i colossi del web devono mettere in atto, necessariamente: una forma di sorveglianza. D’altronde sono essi i detentori della maggior parte dei dati sensibili globali, ma questo non può rendere lecita una mercificazione indiscriminata degli stessi.

È proprio sui dati custoditi da Zuckerberg che si è scatenata una delle ultime diatribe sui dati personali. Il patron di Facebook, infatti, in seguito all’applicazione del GDPR ha minacciato la chiusura di alcune attività in Europa se non fosse stato concesso a Meta l’opzione di trasferire, conservare e usare i dati dei suoi utenti europei sui server americani. Purtroppo, i colossi del web, nel porre le condizioni generali di servizio e i termini di accesso e utilizzo, di fatto producono regole guidate solo dal profitto economico. Queste regole sono capaci di incidere sulla vita quotidiana delle persone e sulle loro attività.

La libertà degli utenti è solo apparente, dato che controllano l’accesso alla vita digitale; come solo apparente è la gratuità dell’accesso concesso, dato che questo è pagato con la messa a disposizione dei propri dati personali. Il problema, purtroppo, è globale e culturale. Non può essere trattato come statale predisponendo una regolamentazione nazionale che finisce per minare la certezza del diritto offrendo frammentarietà della disciplina. Non si può negare che la regolamentazione è complessa e necessariamente in continuo divenire, seguendo passo dopo passo l’evoluzione della tecnologia, ma questa deve essere globale.

[1] Sebbene, il concetto di “società dell’informazione” si collochi già alla fine degli anni ’50, quando l’economista Fritz Machlup pone in particolare rilievo la conoscenza nell’economia americana, è nel 1973 che il professore di sociologia presso l’Università di Harvard, Daniel Bell, parla di società dell’informazione. Nella documentazione dell’Unione Europea, invece, compare solo nel 1993 nel Libro Bianco «Crescita, competitività, occupazione – Le sfide e le vie da percorrere per entrare nel XXI secolo» dove l’informazione è declinata quale chiave di sviluppo e crescita dei mercati.

[2] Si pensi allo smart-working, alla didattica a distanza o anche all’home-delivery.

[3] Cfr. Fernanda Faini, Data society. Governo dei dati e tutela dei diritti nell’era digitale, Giuffrè Francis Lefebvre, Milano, 2019, 5.

[4] Raccolte firme organizzata nelle piazze e online con l’autentificazione digitale.

[5] Cfr. Giuseppe Mobilio, Tecnologie di riconoscimento facciale. Rischi per i diritti fondamentali e sfide regolative, Editoriale scientifica, 2021, 15.

[6] Le TRF possono essere inserite in dispositivi di uso comune come smartphone o sistemi di videosorveglianza.

[7] Cfr. David Lyon, La società sorvegliata. Tecnologie di controllo della vita quotidiana, Feltrinelli, Milano, 2002, 71 ss.

[8] Wikileaks è un’organizzazione senza scopo di lucro, fondata da Julian Assange, che raccoglie in modo anonimo documenti riservati su governi e aziende, messi in circolo a seguito di fughe di notizie.

[9] Lo scandalo nasce a seguito delle rivelazioni di un ex analista della NSA degli Stati Uniti, Edward Snowden, che ha svelato come lo Stato abbia attuato una politica di sorveglianza indiscriminata all’interno del Paese e all’estero, a seguito degli episodi dell’11 Settembre 2001.

[10] Acronimo utilizzato per indicare le 5 maggiori multinazionali occidentali che dominano il mercato della tecnologia: Google, Apple, Facebook, Amazon e Microsoft.

[11] Acronimo utilizzato per indicare i 3 colossi cinesi in materia di tecnologia: Baidu, Alibaba, Tencent.

[12] Cfr. David Lyon, La cultura della sorveglianza. Come la società del controllo ci ha resi tutti controllori, Luiss University Press, Roma, 2020.

[13] Con due distinti pareri del 22 luglio 2021 il Garante per la privacy ha autorizzato il Dipartimento della pubblica sicurezza del Ministero dell’Interno e il Comando generale dell’Arma dei Carabinieri all’uso dei dispositivi bodycam per documentare situazioni critiche di ordine pubblico durante eventi o manifestazioni.

[14] La percentuale di errore varia a seconda della qualità dell’immagine, del riflesso della luce, del movimento o persino dal colore della pelle della persona, nonché dall’ambiente entro cui viene acquisita l’immagine.

[15] Ovvero che il fatto sia commesso con furto o indebito utilizzo dell’identità digitale.

[16] Utente che da consumatore è divenuto produttore di informazioni, pagando il servizio con i propri dati personali, che ne sia conscio o meno.

Bibliografia

Fernanda Faini, Data society. Governo dei dati e tutela dei diritti nell’era digitale, Giuffrè Francis Lefebvre, Milano, 2019.

Fernanda Faini, Stefano Pietropaoli, Scienza giuridica e tecnologie informatiche. Temi e problemi, Giappichelli, 2021.

Giuseppe Mobilio, Tecnologie di riconoscimento facciale. Rischi per i diritti fondamentali e sfide regolative, Editoriale scientifica, 2021.

David Lyon, La società sorvegliata. Tecnologie di controllo della vita quotidiana, Feltrinelli, Milano, 2002.

David Lyon, La cultura della sorveglianza. Come la società del controllo ci ha resi tutti controllori, Luiss University Press, Roma, 2020.