L’accelerata trasformazione digitale di gran parte delle attività quotidiane nell’attuale contesto pandemico ha portato a formulare varie ipotesi di sperimentazione ed applicazione dell’intelligenza artificiale e del machine learning. Certamente, gli intenti di avanzamento tecnologico sono pregevoli, ma forse l’entusiasmo è diventato anche un amplificatore di una neanche troppo celata volontà di controllo.
Un esempio su tutti: adottare, nella didattica a distanza, metodi di riconoscimento facciale per monitorare la soglia di attenzione degli studenti e per verificare la condotta in sede di esame. Banalmente: se lo studente si distrae, scatta un alert; se l’esaminando tenta di copiare, ecco che viene prontamente segnalato al docente.
L’ambito scolastico non è l’unico che sta vivendo le tentazioni del controllo automatizzato, dal momento che si ipotizza anche l’applicazione strumenti analoghi nel contesto lavorativo per il monitoraggio dell’attività svolta dal dipendente in remoto o in regime di lavoro agile. In tutti questi ambiti ciò che rileva è soprattutto lo squilibrio di potere nel rapporto fra titolare e interessato, e dunque emerge un dubbio: fino a che punto l’impiego può dirsi lecito, oltre che auspicabile?
Circa la liceità di impiego, trattandosi di strumenti di controllo, questi possono interferire con la dignità dell’interessato ancor prima che con i suoi diritti garantiti dal GDPR. In tal senso è intesa ad esempio la tutela dei lavoratori all’interno della L. 300/1970: ancor prima del diritto alla protezione dei dati personali, trova tutela la dignità del lavoratore stesso il quale non può essere soggetto a controlli. La tutela del dato personale va a collocarsi, per una mera motivazione di logica applicativa, in un momento successivo. Una volta determinato se si può essere soggetti a taluni monitoraggi, sarà poi (anche) la normativa sul trattamento dei dati personali ad indicare come tali attività possono essere svolte (ad esempio: garantendo la minimizzazione).
È opportuno sfatare il mito della presentazione di un tool come “Privacy compliant”. Uno strumento può essere sicuro (presentare certificazioni di sicurezza), ma per essere conforme al GDPR e alla normativa in materia di protezione dei dati personali occorre un quid pluris ovverosia l’analisi della sua effettiva applicazione (modalità di impiego, minimizzazione dei dati raccolti, base giuridica, finalità perseguite, trasparenza, garanzie per i diritti degli interessati etc.). In breve: sono le modalità d’impiego a rendere full compliant uno strumento. Vero è che tale strumento deve seguire standard di progettazione per essere in grado di garantire la tutela dei dati personali, secondo i principi di privacy by design e privacy by default, ma tale condizione è necessaria ma non sufficiente per garantire la conformità al GDPR e l’accountability del titolare.
Dalle indicazioni fornite dall’art. 29WP (ora EDPB) circa i criteri di determinazione di rischio elevato dei trattamenti[1], la maggior parte dei monitoraggi collegati al comportamento degli interessati svolta tramite strumenti innovativi comporta l’obbligo per il titolare di svolgere una valutazione d’impatto con l’assistenza dei responsabili coinvolti (ai sensi dell’art. 28.3 lett. f) GDPR).
Infine, è bene ricordare che l’art. 22 GDPR riconosce un diritto di protezione per l’interessato nei confronti di trattamenti totalmente automatizzati che producono una decisione che incide sulla sua persona, producendo effetti giuridici o impatti analogamente significativi. Questo è il principale limite applicativo di gran parte delle applicazioni del machine learning destinate al monitoraggio dei comportamenti degli interessati, ed è superabile solo nelle ipotesi in cui il trattamento sia necessario (da interpretarsi in senso stretto) per una relazione contrattuale, vi sia una norma autorizzativa che precisi misure di garanzia o altrimenti l’interessato abbia prestato il proprio consenso esplicito. Nell’ipotesi di dati biometrici, dal momento che rientrano nelle particolari categorie di dati, inoltre, il trattamento può essere svolto solamente sulla base del consenso esplicito (art. 9.2 lett. a) GDPR) o il perseguimento di un interesse pubblico rilevante (art. 9.2 lett. g) GDPR).
L’auspicio è che ogni mezzo innovativo sia adottato conformemente alla norma e consapevolmente, oltre che nella migliore tutela degli interessati, dal momento che la protezione dei dati personali rappresenta un regime di garanzia e non un ostacolo al progresso.
[1] Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” (WP 248)
