Privacy by design e by default nell’era dell’IA: considerazioni utili per la PA del futuro

Di privacy by design e privacy by default avevamo parlato in questo articolo anticipando il seminario organizzato per il 24 novembre a Roma dal Network dei Responsabili della protezione dei dati (di seguito: RPD o DPO) delle Autorità indipendenti, nella sede dell’Autorità Antitrust. Un seminario che ha quindi messo al centro i principi della privacy by design e by default, declinati nei diversi ambiti di applicazione e integrati nei procedimenti come corretta modalità di lavoro. Ne hanno parlato molti dei protagonisti di questo cambiamento insieme al Garante per la protezione dei dati personali, all’Autorità nazionale anticorruzione, all’Agenzia per la cybersicurezza nazionale, all’Istat. Con un focus particolare sul tema dell’Intelligenza Artificiale (AI).

Una PA che si scrolla di dosso il “ma si è sempre fatto così” e pianifica con visione nuova e piena consapevolezza della complessità dello scenario, organizza strutture e procedure aprendosi alle contaminazioni e, soprattutto, al confronto con la realtà digitale in un processo continuo di monitoraggio e miglioramento. È proprio questo modo di lavorare emblema del principio della privacy by design e by default (uno dei pilastri del Regolamento 2016/679) che ci conduce, prima di agire, a conoscere, progettare e pianificare le attività analizzando e valutando ogni aspetto correlato e connesso, attuando i principi di protezione dei dati personali (minimizzazione, necessità e proporzionalità dei dati raccolti e attenzione alle finalità) e che – per eterogenesi dei fini – portano a evidenti vantaggi per la stessa efficienza, efficacia ed economicità dell’azione amministrativa. È un metodo di lavoro: i processi vanno analizzati a tavolino e vanno valutati tutti gli aspetti correlati, i diritti e gli interessi coinvolti.

Nella privacy by design e by default il Regolamento 679/2016 realizza l’equilibrio tra l’esigenza di normare (necessariamente cristallizzando la fattispecie) e l’esigenza di flessibilità. Da un lato occorre anticipare i temi privacy fin dagli albori dei nostri processi, integrandoli nelle scelte di base e riempiendoli dei contenuti che lo stato dell’arte suggerisce. Dall’altro ci ricorda che dobbiamo applicare “di default” (senza che l’interessato faccia alcunché) la migliore delle soluzioni possibili in termini di tutela del dato.

Anche la 45° Global Privacy Assembly che lo scorso ottobre ha riunito a Hamilton le Autorità di protezione dati a livello mondiale, i cui panel sono stati dedicati all’intelligenza artificiale e alle tecnologie emergenti, hanno richiamato tutti proprio al rispetto dei principi della protezione dei dati by design e by default, con garanzie previste fin dalla progettazione e per impostazione predefinita, che limitino al minimo l’uso dei dati e gli scopi per i quali sono trattati.

Da tutti gli interventi che si sono succeduti, si possono trarre alcune considerazioni utili per la PA del futuro: la privacy by design e by default deve sempre più essere considerata una modalità di lavoro che rafforza la trasparenza e la legittimazione dell’azione amministrativa, incrementando la fiducia verso i prodotti e i servizi e, soprattutto, verso coloro che sono protagonisti del mercato. La PA

1. deve porsi in frontline[1], necessariamente deve essere esempio virtuoso, modello e stimolo per vincere la sfida e generare fiducia nel suo corretto operare nell’interesse comune;
2. l’esigenza di bilanciamento tra i diritti fondamentali – tra cui rientra il diritto alla protezione dei dati personali – ne può legittimare la compressione ma mai può consentire la cancellazione di uno in nome di altri;
3. l’Intelligenza Artificiale va considerato uno strumento utile per migliorare il nostro lavoro nell’interesse di tutti. Occorre conoscerne e governarne i meccanismi ponendo sempre l’uomo al centro: una IA antropocentrica, rispettosa della persona;
4. gli algoritmi vanno alimentati in maniera corretta: occorre prestare massima attenzione alla qualità del dato. Il principio di correttezza è l’architrave dello strumento, che va costruito ed alimentato in base ad informazioni corrette ed eticamente inattaccabili per il suo corretto funzionamento;
5. la PA deve porre attenzione al suo ruolo nei confronti dei Fornitori, quali responsabili del trattamento dei dati: in particolare nei confronti dei grandi vendor internazionali occorre individuare dei correttivi alle asimmetrie informative e tecnologiche che comprimono il suo potere negoziale. Anche qui la PA (categoria che riunisce una pluralità di soggetti, molti anche di media e grande entità) lavorando insieme in un gioco di squadra, può costituire quella “massa critica” in grado di riequilibrare le asimmetrie;
6. occorre, è evidente, intervenire ex ante elaborando clausole contrattuali comuni da inserire e/o rendere note già nella fase precontrattuale che possano indurre i grandi fornitori a comportamenti virtuosi;
7. la sicurezza deve essere totalizzante: occorre coinvolgere e sensibilizzare tutti i soggetti che intervengono, a vario titolo, nel trattamento e in tutto il ciclo di vita e anche oltre, disciplinando a monte anche cosa accade, dei dati conferiti, al termine del contratto. Occorre un monitoraggio continuo delle attività, ove necessario, una rivalutazione e un aggiornamento delle scelte effettuate e, soprattutto, prendere atto e imparare dagli errori;
8. soprattutto dobbiamo essere consapevoli che un obiettivo così complesso, ambizioso e sfidante si può raggiungere solo collaborando: occorre lavorare insieme e fare rete.

Ben sintetizzano le conclusioni del seminario le parole pubblicate su Linkedin da Guido Scorza:

“Non c’è ragione per rappresentare il diritto alla privacy e il diritto a un’amministrazione efficiente come antagonisti perché non lo sono, non possono e non devono esserlo. I cittadini hanno il sacrosanto diritto a non dover scegliere tra diritti e l’amministrazione e le istituzioni tutte hanno il dovere di garantire loro questo diritto. La PA può e deve essere digitale, moderna e capace di usare i dati, inclusi quelli personali, senza travolgere i diritti e le libertà fondamentali delle persone. Bisogna dire no a un’amministrazione che improvvisi la trasformazione digitale e lasci dettare ai fornitori di prodotti o servizi come gestire la cosa pubblica e si a una amministrazione che viva nel presente, guardando al futuro senza trasformarsi in un laboratorio per la sperimentazione di progettare e pianificare l’introduzione anche dell’intelligenza artificiale nella propria azione in una logica, innanzitutto, di privacy by design e by default”.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] Lo auspicava nel 2018 il Garante europeo nelle sue linee guida sulla privacy by design e by default EDPS Opinion 5/2018, p. 8: «Public administrations are called be in the frontline”. Analogamente ENISA (cfr. ENISA 2015 Report, p. 50 ss.), secondo cui i servizi pubblici devono fungere da modello aumentando la domanda di soluzioni coerenti col principio di privacy by design, anche al fine di creare un mercato di servizi privacy-friendly.