Google deve rimuovere i contenuti diffamatori anche in mancanza di accertamento giudiziale

Di che parla la nuova normativa DSA-DMA e che cosa ha stabilito di recente la Corte di giustizia, sentenza C-460/20, in merito alla rimozione di contenuti diffamatori?

Partiamo con ordine. Le piattaforme social, es. Twitter, Instagram, Facebook, TikTok, i motori di ricerca (il pensiero va innanzitutto a Google), i marketplace sono tecnicamente “intermediari della società dell’informazione”. Non sono gli unici esponenti della categoria, ne sono certamente i più rappresentativi, quelli cioè che determinano in concreto la forma dei flussi di informazioni e incidono sulla comunicazione e sul successo di attività imprenditoriali online, ma anche semplicemente sulla formazione culturale del Paese. Perché?

Perché l’intermediario è così determinante?

Bloccare una pagina per un’impresa o un professionista ha ripercussioni evidenti sulla capacità di stare sul mercato. Collocare un sito in una posizione sfavorevole nella lista dei risultati di un motore vuol dire sottrargli visibilità e potenziali clienti. Incidere sulla presenza di notizie in rete, favorire una determinata tipologia di contenuti, indurre le persone a cedere dati personali e dare dunque visibilità a spazi privati, talvolta intimi, tutto questo vuol dire esercitare una profonda influenza sociale, plasmante dei modi di pensare, di esprimersi, di prestare o non prestare attenzione a stimoli. Mettere a disposizione dati personali per rendere micro-mirate (micro-targeting) campagne politiche, come si è visto (ma solo per citare uno dei tantissimi esempi) nello scandalo Cambridge Analytica, ha effetti di dirottamento delle scelte elettorali, pertanto conseguenze dirompenti sulla tenuta stessa dell’assetto democratico.

L’intermediario è dunque chi sta in mezzo tra coloro che immettono contenuti e coloro che ne fruiscono (ruoli spesso interscambiabili), è chi regola il flusso delle informazioni, chi decide attraverso decisioni automatizzate quali informazioni vanno promosse e come estrarre intelligenza dalle informazioni, determinando per esempio l’incentivazione o la disincentivazione di contenuti, si pensi ai sistemi cd. di “raccomandazione” algoritmica.

Disciplinare gli intermediari: il DSA e il DMA

Il grande protagonistica dell’era dell’informazione è dunque l’intermediario, è nell’intermediario che si concentra il potere.

Finora questo potere è stato ampiamente lasciato all’autoregolamentazione, alle condizioni generali di servizio, dunque all’autodeterminazione privatistica, e a una manciata di articoli nella direttiva 2000/31.

Oggi il quadro giuridico cambia, almeno in parte, e il diritto interviene in maniera più pregnante a stabilire regole, disciplinare gli intermediari e i loro doveri di diligenza. Il corpo principale della nuova normativa è costituito, com’è noto, dalla coppia DSA (Digital Services Act) e DMA (Digital Markets Act). Il primo è maggiormente focalizzato sulla libertà di espressione, sulla trasparenza, sui reclami, su profili limitrofi alla protezione dei dati personali, sulle regole di due diligence da osservare per limitare i contenuti illeciti, il secondo è diretto alla costruzione di un sistema di regole di mercato, alla tutela della concorrenza, alla protezione delle parti deboli, alla limitazione dei poteri dei gatekeeper, alla lettera “guardiani dei cancelli”, ossia le grandi società che dominano il mercato, stabilendo chi sta dentro e chi sta fuori.

La sentenza CGUE C-460/20

Non bisogna però attendere il 17 febbraio 2024 e il 2 maggio 2023-25 giugno 2023,ossia le date in cui rispettivamente il DSA e il DMA avranno piena e completa applicabilità. Strumenti giuridici di rilevante efficacia sono già forniti dal GDPR. Prendiamo il caso di cui si è occupata la Corte di giustizia dell’Unione (CGUE) nella vicenda Google, C-460/20, decisa con sentenza dell’8 dicembre 2022.

Due interessati si dolevano del fatto che Google proponesse contenuti lesivi della loro reputazione, il diritto alla protezione dei dati personali è infatti legato (come tutela dell’immagine) anche al diritto alla reputazione e all’onore. Si trattava di notizie che presentavano, secondo gli interessati, elementi di inesattezza, ne chiedevano pertanto al motore di ricerca la rimozione dalla lista dei risultati ai sensi dell’art. 17 GDPR.

Questa norma infatti, di regola associata al diritto all’oblio, riconosce in senso più ampio il diritto alla cancellazione di dati che non appaiano conformi alla normativa.

Google rifiutava di procedere all’eliminazione dei link, sul presupposto che mancava una pronuncia giudiziale di accertamento dell’illiceità dei contenuti. La Corte ha invece ritenuto che non si possa far carico all’interessato dei tempi e degli oneri necessari all’ottenimento di una pronuncia giudiziale. L’intermediario (la pronuncia è evidentemente esportabile all’intera categoria) è invece chiamato a una valutazione di massima sulla verosimiglianza delle allegazioni dell’interessato ed è tenuto ad applicare l’articolo 17 citato, pur senza essere tenuto a un ruolo attivo di indagine.

Certo, osserva la Corte, occorre esercitare particolare prudenza nella rimozione di contenuti dalla società dell’informazione e occorre evitare che scelte eccessivamente cautelative degli intermediari possano determinare una rimozione troppo facile di informazioni. Per approfondire questi temi, la diramazione concettuale che aprono e alcuni passaggi centrali della sentenza citata, mi permetto di rimandare al mio contributo dal titolo “La custodia dei contenuti nella società dell’informazione: osservazioni sulla sentenza CGUE C‑460/20” pubblicato sul numero 1-2023 della Rivista elettronica di diritto, economia, management, pp. 99-105.

La regola dell’alternatività viola il GDPR. Finalmente!

La Corte di giustizia dell’Unione europea (CGUE) ferma un principio dirompente per la normativa italiana: l’interessato può esperire in maniera parallela il reclamo ai sensi dell’art. 77 GDPR e il ricorso giurisdizionale ex art. 79 GDPR.

Perché la sentenza CGUE è così importante?

La pronuncia (ved. più sotto) ha enormi ricadute concrete nel sistema italiano.

Vige infatti all’art. 140-bis cod. privacy (d.lgs. 196/03) una preclusione fortemente limitante per i diritti dell’interessato, nota come “regola dell’alternatività”.

La regola, a pena di improponibilità, impone di scegliere tra due strade alternative: ricorso al Giudice ordinario oppure reclamo al Garante per la protezione dei dati personali.

Vale insomma il meccanismo electa una via non datur recusus ad alteram (scelta una strada non è consentito attivare l’altra), fermo restando che la decisione amministrativa del Garante sarà poi sempre impugnabile avanti all’Autorità giudiziaria.

Quanti danni la regola dell’alternatività ha prodotto nel sistema italiano?

Numerosi. La regola dell’alternatività riduce infatti drasticamente i mezzi di tutela, invece molto ampi, che il GDPR ha inteso in modo espresso riconoscere all’interessato.

Ciò determina una compressione significativa del diritto a una tutela effettiva, e non esiste un diritto alla protezione dei dati personali senza tutela effettiva.

Per apprezzare i danni in concreto, si pensi al contenzioso giuslavoristico che riguardi anche un trattamento di dati personali. Ad es., al caso sempre più frequente di licenziamenti basati su un trattamento di dati personali (un filmato di videosorveglianza, una registrazione, gli esiti di un sistema di valutazione algoritmico, altro).

Il dipendente ha precisi termini processuali per l’impugnazione del licenziamento ed è costretto a trattare le questioni di protezione dei dati personali in quel contesto, rinunciando a giovarsi del rilevante apporto che potrebbe fornire il Garante, Autorità specializzata nella valutazione dei profili “privacy”.

Ma gli esempi che potrebbero farsi sono innumerevoli.

E ora?

Fissiamo un punto. La regola dell’alternatività è abusiva. Ed è sempre stato evidente che lo fosse, dal momento che il GDPR indica chiaramente che reclamo dell’interessato e ricorso giurisdizionale sono proponibili con salvezza reciproca.

Sia permesso ricordare che lo scrivente si è sempre espresso per la macroscopica contrarietà al GDPR dell’art. 140-bis cod. priv.. Ad esempio, nel commentario Bolognini-Pelino (direttori), “Codice della Disciplina Privacy”, ed. Giuffrè, indicavo:

La disciplina europea, lungi dal prevedere la regola dell’alternatività dei rimedi, appare semmai orientata al principio della coesistenza dei mezzi di tutela. E’ infatti precisato dagli artt. 77 e 79 GDPR che i rimedi amministrativi e giurisdizionali non si escludono a vicenda, ma sono esperibili senza mutuo pregiudizio, “without prejudice of”, passaggio reso in italiano [nel testo del GDPR, n.d.r.] con la clausola di salvezza “fatto salvo”.

E’ esattamente quanto ha precisato la Corte di giustizia con sentenza 12 gennaio 2023, causa Budapesti Elektromos Művek, C-132/21.

Era difficile pervenire a una pronuncia su questo tema specifico in Italia, per ovvie ragioni: nessuno rischia l’improcedibilità per affermare un principio che verosimilmente dovrà attendere fino al (non scontato) rinvio pregiudiziale ex art. 267 TFUE alla Corte di Giustizia per essere esaminato.

Dunque è provvidenziale che la questione sia stata sollevata da un’autorità giudiziaria ungherese a meri fini di chiarimento interpretativo (la normativa locale è diversa da quella italiana) e che la Corte l’abbia trattata.

Adesso in Italia sarebbe necessaria una modifica urgente dell’art. 140-bis cod. priv., altrimenti l’alternativa, ingiustamente penalizzante per gli interessati, è quella di chiedere di volta in volta al Giudice (ma anche al Garante, perché anche questo, benché poco noto, può essere fatto) la disapplicazione della norma nazionale in contrasto con il diritto europeo, attraverso argomenti giuridici ben strutturati e con l’alea sempre presente di incomprensioni.

Lo scrivente continuerà a battersi per la riconduzione del codice nazionale al regolamento eurounitario.

Corre l’obbligo di segnalare che quella in esame non è, peraltro, l’unica disposizione del codice privacy in palese violazione del GDPR.

l’avv. Enrico Pelino alla Global Data Conference

L’avv. Enrico Pelino è stato invitato come panelist alla prima edizione della Global Data Conference, il 9 febbraio 2023 a Milano.

Global data conference

L’evento, organizzato da Officine Dati e dall’Information Society Law Center dell’Università degli Studi di Milano, avrà luogo a partire dalle ore 9:00 presso la struttura dell’Ateneo in via S. Antonio, n. 5 – Aula Pio XII, e vedrà la partecipazione di numerosi esperti del settore.

In particolare, saranno oltre ottanta gli invitati, provenienti dal mondo professionale del diritto digitale/protezione dei dati personali, dalle Istituzioni, dall’ambito accademico e dal settore BigTech.

La Conferenza si articolerà in una sessione di lavoro nella mattinata e in un secondo momento di confronto con il pubblico. Sarà seguita dalla pubblicazione dei rapporti emersi dalla giornata di lavoro.

L’avvocato è coinvolto nel panel incaricato di tracciare un profilo critico, con taglio operativo e fattuale, dell’indipendenza delle Autorità di controllo, in particolare di quella Garante per la protezione dei dati personali.

L’indipendenza è la chiave stessa dell’Autorità. E’ cioè insieme una condizione necessaria di funzionamento corretto nel sistema delle garanzie e dei bilanciamenti, anche a livello di diritto eurounitario, ma pone allo stesso tempo una sfida complessa, poiché postula, se possibile, un maggiorato rispetto delle regole e una rigorosa autodisciplina.

I tavoli di lavoro complessivamente riguarderanno i seguenti macro-temi di forte attualità:

  1. Strategia digitale dell’UE;
  2. Ruolo e poteri delle Autorità indipendenti nazionali;
  3. Soggetti vulnerabili ed effettività delle tutele;
  4. Monetizzazione del dato.

L’auspicio è che i lavori del tavolo di esperti possano aprire a un dibattito costruttivo e sereno e fornire un contributo spendibile sul piano operativo, poiché maturato a partire dall’esperienza professionale quotidiana.

L’evento è patrocinato dall’Autorità Garante per la Protezione dei Dati Personali, dal Comune di Milano, dall’Ordine degli Avvocati di Milano, dall’Ordine dei Commercialisti e degli Esperti Contabili di Milano.

Sorveglianza algoritmica e diritti dei lavoratori

Prevede l’art. 1-bis del d.lgs. 152/1997, al primo comma: “Il datore di lavoro o il committente pubblico e privato è tenuto a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori. Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300“.

La norma è stata introdotta dal cd. “decreto trasparenza” (d.lgs. 104/2022), ed è in vigore dal 13 agosto 2022.

E’ una disposizione che presenta evidenti criticità. Da un lato non aggiunge nulla al sistema di tutele, essendo l’informativa già prevista dall’art. 13 GDPR, dall’altro sembra legittimare surrettiziamente sistemi di sorveglianza algoritmica.

Finalmente, con provvedimento pubblicato il 24.1.2023, il Garante per la protezione dei dati personali ha preso posizione sulla novella, contestualizzandola nel sistema delle fonti, dove occupa posizione evidentemente recessiva non solo rispetto al GDPR, ma anche rispetto a una serie di norme nazionali primarie, tra le quali sia l’art. 4 Statuto lavoratori sia l’art. 8 della stessa legge e l’art. 10 d.lgs. 276/2003.

In sostanza, il complessivo quadro di regole (e di divieti) resta immutato, gli unici apporti del decreto trasparenza in materia algoritmi nel contesto lavorativo riguardano semmai integrazioni a quanto già dovuto in tema di informativa. Dovranno per esempio essere specificate al lavoratore:

  • le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
  • le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  • il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Per un approfondimento sul tema e sulla posizione espressa dal Garante, si rimanda al dettagliato commento dell’avv. Enrico Pelino pubblicato sulla rivista Cybersecurity360: Algoritmi di sorveglianza e diritti dei lavoratori: i chiarimenti del Garante.

La Corte di Giustizia torna sul diritto di accesso ai dati personali

Con la recentissima sentenza RW contro Österreichische Post AG, C‑154/21, del 12 gennaio 2023, la Corte di Giustizia chiarisce un aspetto essenziale del diritto di accesso ai dati personali: l’interessato ha il diritto di conoscere i destinatari specifici delle trasmissioni di dati, non solo le categorie degli stessi.

Ma procediamo con ordine, anche per apprezzare il rilievo sistematico e le implicazioni per i titolari del trattamento

Da che cosa nasce la questione giuridica?

Il problema dei limiti del diritto di accesso si era posto perché l’art. 15.1.c) GDPR presenta una formulazione ambigua. L’interessato ha infatti titolo di apprendere dal titolare del trattamento “i destinatari o le categorie di destinatari”. Abbiamo cioè una “o”, una disgiuntiva che apparentemente pone un’equivalenza tra due possibilità di riscontro: destinatari specifici oppure semplici categorie (es.: aziende del marketing, dell’editoria, del turismo, ecc.).

La Corte non a caso osserva che “i termini «destinatari» e «categorie di destinatari» che figurano in tale disposizione sono utilizzati in successione, senza che sia possibile dedurre un ordine di priorità tra di essi”.

Ma allora chi ha titolo di scegliere tra l’una e l’altra possibilità di riscontro, l’interessato o il titolare del trattamento?

L’accesso è espressione del potere di scelta dell’interessato sui propri dati

Il Giudice europeo scioglie l’ambiguità facendo richiamo all’obiettivo a cui è sotteso l’istituto dell’accesso, che è espressione del potere di controllo dell’interessato e presupposto per consentirgli l’esercizio degli altri diritti previsti dalla normativa.

Affinché l’interessato possa esercitare il proprio controllo sui dati, occorre che sia lui a scegliere il perimetro dell’accesso e non che questo passaggio essenziale sia discrezionalmente rimesso al titolare del trattamento.

In altre parole: se l’interesso chiede di conoscere a chi in particolare i suoi dati sono stati trasmessi, il titolare non può limitarsi al generico riferimento a categorie.

In definitiva, nota la Corte, sussiste “l’obbligo per il titolare del trattamento di fornire a detto interessato l’identità stessa di tali destinatari, a meno che sia impossibile identificare detti destinatari o che il suddetto titolare del trattamento dimostri che le richieste di accesso dell’interessato sono manifestamente infondate o eccessive”.

Ma come si arriva a tale conclusione?

La Corte articola il ragionamento in tre passaggi.

Innanzitutto, vanno valorizzati i considerando, a dispetto di coloro che tuttora ne revocano in dubbio il pieno valore normativo. Bene, il considerando 63, collegato all’art. 15 GDPR, non fa alcuna menzione delle categorie dei destinatari, in altre parole “non precisa che tale diritto possa essere limitato alle mere categorie di destinatari”.

Seconda osservazione. I diritti – prosegue la CGUE – vanno letti in conformità con l’art. 5 GDPR, e precisamente, con il principio di trasparenza, principio che sarebbe contraddetto ove l’interessato incontrasse opacità proprio nell’identificare i punti terminali dei flussi di dati personali che lo riguardano. E’ a ben vedere il cd. “diritto di seguito” su cui molto insisteva Rodotà. Conforta che trovi conferma.

Terzo e ultimo punto, il più importante, perché è di ordine sistematico. Se il diritto d’accesso ai dati è il presupposto per l’esercizio degli altri diritti, ad esempio quello di rettifica, di limitazione, di cancellazione, di opposizione, nei confronti di chi l’interessato può azionarli se gli è impedito di individuare costoro? E’ cioè la logica intrinseca all’impianto normativo a guidare la risposta.

Pertanto, al fine di garantire l’effetto utile di tutti i diritti menzionati al punto precedente della presente sentenza, l’interessato deve disporre, in particolare, di un diritto di essere informato riguardo all’identità dei destinatari concreti nel caso in cui i suoi dati personali siano già stati comunicati

Ciò è talmente vero che la Corte valorizza il dato testuale della formulazione di un altro articolo, il 19 GDPR, ampliandone l’ambito applicativo. La disposizione “conferisce espressamente all’interessato il diritto di essere informato dei destinatari concreti dei dati che lo riguardano da parte del titolare del trattamento, nell’ambito dell’obbligo di quest’ultimo di informare tutti i destinatari dell’esercizio dei diritti di cui l’interessato dispone”.

Conclusioni

Ancora una volta, la Corte di Giustizia si conferma un baluardo di garanzia per gli interessati del trattamento, e si trova a contrastare tendenze restrittive provenienti dall’interpretazione del giudice ordinario o delle autorità di controllo. La pronuncia ha un suo precedente notevole nella decisione Rijkeboer, C‑553/07, nella quale tuttavia non si trova precisata in modo così netto l’enunciazione che va assicurata all’interessato la scelta di conoscere con esattezza i destinatari specifici dei suoi dati personali.

Il recentissimo arresto qui brevemente commentato ha implicazioni evidenti per i titolari del trattamento, che sono tenuti a porre in essere quanto necessario per ricostruire i flussi di dati personali in uscita, col solo limite delle situazioni che pongano oneri impossibili o dei casi di abuso di diritto da parte dell’interessato.

Cause riunite WM e Sovim: una sentenza storica

Privacy e trasparenza: la Corte di Giustizia UE ne definisce il bilanciamento e i rispettivi confini, con la storica decisione cause riunite WM e Sovim, C‑37/20 e C‑601/20 del 22 novembre 2022.

In estrema sintesi, il Giudice europeo ha considerato in contrasto con il diritto dell’Unione l’accesso del grande pubblico a un registro dei titolari effettivi di società e altri enti giuridici, introdotto dalla quinta direttiva AML.

Non ha infatti ravvisato in questo accesso di massa alcuna finalità strettamente necessaria all’obiettivo di contrasto del riciclaggio e del finanziamento al terrorismo.

L’elemento di pregio sta propriamente nella ragionata costruzione che permette di pervenire a tale approdo. Perché dunque la sentenza è un landmark case? Almeno per le seguenti ragioni:

  • è una decisione scomoda, che abbatte (ancora una volta) una normativa di impatto emotivo marcato, fortemente voluta dagli attori politici;
  • si discosta, in passaggi decisivi, dall’opinione dell’avvocato generale;
  • ha evidente valore sistematico, offrendo l’occasione per precisazioni di ampio respiro sul metodo da seguire nella ponderazione di istituti fondamentali, costruendo a partire da precedenti noti e meno noti;
  • scioglie una malintesa nozione di trasparenza, ridefinendone il concetto. La trasparenza, evidenzia la Corte, è rimozione di ostacoli conoscitivi dei privati verso il settore pubblico e non dei privati verso i privati. Né può risolversi in un’arbitraria compressione della sfera personale da parte del potere pubblico.

I tre passaggi per il bilanciamento tra diritti fondamentali

In estrema sintesi, sono tre i passaggi da seguire in un bilanciamento:

  1. coerenza tra una determinata attività e l’obiettivo dichiarato;
  2. compressione di diritti antagonisti solo per ragioni di stretta necessità;
  3. proporzione: anche ove siano soddisfatti i due criteri precedenti, i vantaggi ottenuti dalla limitazione di un diritto devono essere superiori al pregiudizio.

Resta poi da tenere sempre presente il termine di escursione massima nella limitazione dei diritti, segnato dall’art. 52 della Carta dei diritti fondamentali dell’Unione, ossia quello del rispetto del “contenuto essenziale” del diritto che subisce limitazione.

Concentriamoci sul primo criterio: il principio di coerenza impone al legislatore una continenza inedita nel legiferare e costruisce, in particolare, un argine a derive di forte impatto propagandistico, ma disancorate dagli obiettivi ultimi. In ambito di protezione dei dati personali, lo stesso concetto è noto come principio di limitazione di finalità, riconosciuto dall’art. 5.1.b) GDPR.

Ugualmente decisivo è il criterio dello stretto necessario. Ciò che è solo utile non è strettamente necessario. Una trasparenza generalizzata, osserva la Corte, potrebbe anche avere una qualche utilità, ma non per questo essere strettamente necessaria. Tra più soluzioni, occorre scegliere quella a minore impatto possibile, non quella genericamente giovevole. E’ una riedizione, se si vuole, del metodo del rasoio di Occam.

Quanta normativa nazionale, in primis i trattamenti di dati personali in epoca Covid, sarebbero travolti dalla semplice applicazione dei due criteri appena enunciati?

Anche il terzo risulta fondamentale, perché applica un principio di ponderazione del beneficio, imponendo implicitamente al legislatore una valutazione d’impatto.

Sia permesso rimandare per maggiori e più ampie considerazioni all’articolo di commento scritto per Agenda Digitale: Trasparenza o privacy? La sentenza WM e Sovim è una vera svolta: ecco perché.

Clearview AI salva imputato da procedimento penale

Clearview AI, com’è noto, si occupa di raccolta di immagini di volti, che poi elabora con tecniche di intelligenza artificiale (AI), per estrarne i componenti biometrici. Una volta individuata, la persona può essere riconosciuta in altre foto o filmati, confrontando l’impronta biometrica presente nell’archivio di Clearview con quella presente nelle foto o nei filmati analizzati.

La raccolta dei volti avviene all’insaputa degli interessati, con tecniche cosiddette di web scraping, ossia di apprensione automatica di contenuti da Internet, prevalentemente da piattaforme social. Tale attività è illecita ai sensi del GDPR perché svolta senza consenso esplicito conforme all’art. 9.2.a( GDPR (i dati biometrici sono dati sensibili, o “particolari”) e senza informativa. Mancano poi una serie di condizioni ulteriori, come una DPIA conforme all’art. 35 GDPR.

Nonostante ciò, licenze di utilizzo del software sono state in passato sottoscritte da molte autorità di polizia e altre LEA (Law Enforcement Agency) dell’Unione europea. Per ovvi motivi: in fase di indagine, comprendere chi è una certa persona che compare in un filmato o in uno scatto fotografico può essere decisivo.

Riassumendo perciò:

  • la piattaforma in questione “si nutre” delle immagini pubblicate spontaneamente per ragioni relazionali e ricreative dagli stessi utenti o da loro amici e conoscenti su piattaforme social (es. Facebook, Instagram, LinkedIn). Si nutre all’insaputa dei soggetti fornitori, cioè;
  • tale attività è illecita ai sensi del GDPR (e nella misura in cui esso trova applicazione territoriale);
  • questo software illecito è (stato) utilizzato da forze di polizia per attività tuttavia commendevoli, in abstracto, quali l’indagine e il contrasto di attività criminali.

E’ chiaro che la piattaforma pone rilevanti problemi etici e soprattutto, per quanto ci riguarda, evidentissimi problemi giuridici. Non a caso il trattamento è stato considerato illecito da numerose autorità di controllo dell’Unione, tra le quali per l’Italia il Garante per la protezione dei dati personali, e sanzionata applicando lo scaglione più alto previsto dal GDPR.

In effetti, la piattaforma rappresenta un esempio perfetto del paradigma del “capitalismo della sorveglianza” di cui ha scritto Shoshana Zuboff nel saggio diventato ormai un classico per comprendere e definire concettualmente i modelli di potere ed economici del contesto digitale. La società estrae – alla lettera – da milioni di persone fisiche, considerate come materie prime (raw material) da sfruttare, informazioni che acquistano rilevante valore economico una volta elaborate e vendute a terzi sul mercato digitale. E’ esattamente questo il business model di Clearview AI.

Ma che cosa succede se la piattaforma permette a un avvocato difensore di individuare un testimone chiave e di far cadere un’imputazione per omicidio stradale a carico di un suo assistito? E’ esattamente quanto avvenuto recentemente negli Stati Uniti. La vicenda rappresenta insieme un tentativo del produttore di software di migliorare la sua immagine pubblica, fortemente compromessa da una serie di iniziative di contrasto giuridico, non solo europee, e anche un modo per apportare una nuova prospettiva di valutazione del suo prodotto e porre stimolanti sfide logiche. Ne ho parlato per Ius Law Web Radio – la radio dell’avvocatura, in un’intervista ascoltabile qui (link esterno). Qui invece la mia precedente intervista relativa alla sanzione venti milioni di euro comminata dal Garante alla società.

Algoritmi predittivi: l’avv. Pelino intervistato da IusLaw Web Radio

Si torna a parlare di algoritmi predittivi per il contrasto all’evasione fiscale. In particolare, del software sul quale l’Agenzia delle Entrate ha recentemente svolto la valutazione d’impatto (DPIA) e il Garante per la protezione dei dati personali si è espresso, non senza numerosi rilievi, in sede di consultazione preventiva. Ne abbiamo già parlato qui, invece per ascoltare l’intervista all’avv. Pelino su IusLaw Web Radio – La radio dell’avvocatura, si rimanda al seguente link: V.E.R.A – Agenzia delle Entrate – Intervista.

Nell’intervista si fa cenno all’esperienza negativa olandese di utilizzo di software predittivi in funzione antifrode. In quella vicenda, che ha dato luogo a un caso nazionale, noto come “toeslagenaffaire”, alcuni bias del sistema (occorrenza peraltro comune) hanno determinato effetti distorsivi e persecutori, anche su base etnica, nei confronti di un elevatissimo numero di persone, circa 26.000.

Si sono registrati anche danni gravissimi. Della vicenda si è interessata la locale autorità di controllo per la protezione dei dati personali, comminando sanzioni per € 3,7 milioni all’amministrazione titolare del trattamento.

Non deve automaticamente dedursene che anche il modello italiano sarà inficiato da bias, tuttavia il precedente citato rafforza la richiesta di trasparenza sul nuovo modello algoritmico di cui si chiede l’introduzione nel nostro Paese, affinché non sia una black box. Resta anche l’esigenza di valutare la corretta applicazione del principio di minimizzazione, previsto dall’art. 5 GDPR, oltre alle clausole generali di ragionevolezza, necessità e proporzionalità.

AI ed evasione fiscale: l’app VeRA

Ha suscitato notevole interesse l’annuncio di nuovi applicativi basati sull’intelligenza artificiale (AI), e in particolare su tecniche di machine learning, da parte dell’Agenzia delle Entrate e della Guardia di Finanza per il contrasto all’evasione.

Sappiamo da notizie di stampa che il software dell’Agenzia delle Entrate si chiama “VeRA”, e poco altro. Infatti, nonostante la notizia circoli da mesi, gli unici spiragli per cogliere veramente dimensioni e caratteristiche del trattamento vengono dall’Autorità garante per la protezione dei dati personali.

Perché i dati personali? Perché il trattamento si colloca in pieno GDPR, racconta moltissimo dell’attività relazionale di ciascuno, della vita privata, delle scelte, e richiede una DPIA, in quanto sussiste probabilità di rischio elevato per i diritti e le libertà. E’ questa la condizione che innesca appunto l’adempimento, ex art. 35 GDPR.

Intendiamoci: l’obiettivo ultimo, quello di contrastare l’evasione, è assolutamente necessario e commendevole, urgente. Va conseguito. Il punto è come, e soprattutto se i mezzi siano proporzionati nell’impatto sulla sfera privata e trasparenti nel funzionamento.

Si pone cioè il più classico dei dibattiti: stiamo introducendo un sistema di controllo proprio di uno Stato della sorveglianza, con il pretesto del conseguimento di una finalità di assoluto e preminente interesse pubblico, oppure stiamo soltanto facendo uso di quanto strettamente necessario?

Per più ampie riflessioni e per un approfondimento sulle banche dati che alimenteranno il sistema, sia permesso rimandare all’articolo dell’avv. Pelino “App ‘VeRA’ dell’Agenzia delle Entrate” pubblicato su Agenda Digitale

Paywall: un pericoloso ritorno al passato?

Ho parlato della liceità giuridica del paywall intervenendo (NB, collegamento a Youtube) all’interno di una nota rassegna di approfondimento curata da Matteo Flora, che ringrazio.

Paywall

Ma partiamo dall’inizio: innanzitutto che cos’è un paywall? E’ quel “banner cookie” che pone l’utente di fronte alla scelta tra pagare per la fruizione di un contenuto, per esempio un articolo di giornale, oppure accettare i cookie.

Letteralmente quindi un muro invalicabile, “wall”, che si può superare solo pagando, “pay”, o in denaro… o in dati personali. Bene, ma è consentito? Ad avviso di chi scrive, no. Vediamo insieme perché.

Possono essere usati i dati personali come strumenti di pagamento?

Proprio qui sta il punto: possono essere usati i dati personali come strumento di pagamento? Da sempre, la risposta, nella normativa sulla protezione dei dati personali*, è no. Pagare in dati personali è un avvilimento della persona, anche perché il consenso che viene richiesto è quello alla profilazione, all’uso cioè di cookie di tracciamento che cercano di comprendere le scelte dell’utente, le sue preferenze, i suoi bisogni per indirizzargli messaggi mirati.

A ben vedere, tutto il ragionamento, che è complesso, diventa più semplice se si tengono ben fermi due capi concettuali, ossia:

  1. il consenso è, per espressa previsione di legge (ved. qui sotto), la base giuridica esclusiva;
  2. la profilazione non ha alcuna coerenza con i contenuti fruiti.

Guardiamo rapidamente entrambi i punti, perché sono le leve che spostano la questione.

Unica base: il consenso

Eccoci davanti a una norma molto chiara, una volta tanto: l’art. 122, co. 1 codice privacy (d.lgs. 196/2003). La disposizione permette l’installazione di cookie (non tecnici) “unicamente a condizione che il contraente o l’utente abbia espresso il proprio consenso”. Si tratta dell’attuazione nazionale dell’art. 5, par. 3 direttiva 2002/58, più nota come direttiva “ePrivacy”, che stabilisce testualmente la stessa cosa.

Attenzione qui: parliamo di consenso, non di legittimo interesse. Qual è la differenza? Se la base è il legittimo interesse, a decidere di procedere o no al trattamento dei tuoi dati è il titolare del sito, previo test di bilanciamento (cd. “LIA”), che deve essere in grado di esibire. Se la base è il consenso, sei tu utente del sito a decidere. La differenza è sostanziale, perché sposta da un soggetto all’altro il fulcro del potere di innescare la profilazione. Questo ha previsto il legislatore, e andrebbe osservato.

Ora, il consenso “privacy” è una cosa seria. Per essere un consenso autentico e non un sì meccanico occorre – anche questo lo impone il legislatore – che sia informato, libero e incondizionato. Sono, insieme ad altri, i requisiti che leggiamo all’art. 7 GDPR, e sono parzialmente diversi da quelli prescritti dal diritto civile di tradizione romanistica, nel senso che il registro a cui attenersi in ambito “privacy” è molto più sensibile. Calando il tutto nella pratica: se negando il consenso perdo occasioni, il consenso è condizionato. Dunque: se non posso fruire del tuo sito, e perdo quindi (negando il consenso) un contenuto che vorrei, il consenso non è libero.

Ora, per mettere a fuoco il quid decisivo, spostiamoci sul secondo elemento della coppia che avevamo introdotto: la profilazione arbitraria, perché è con questo secondo elemento che divengono veramente chiari il significato, il peso e l’oggetto di questo consenso.

La profilazione

Ricordiamo una cosa: stiamo parlando di cookie non tecnici, ossia – semplificando – di cookie di profilazione. Ora, la domanda è semplice: che cosa c’entra la profilazione con la lettura di un articolo di giornale o la fruizione di un sito di avvocati o la consultazione del meteo? Nulla.

Questi siti vogliono farsi pagare – supponiamo – per i contenuti che offrono? Nessun problema: pongano allora l’alternativa secca tra il non fruire i loro contenuti o il fruirne a pagamento. Ma fornire la controprestazione con i dati personali che cosa c’entra?

La verità è che l’alternativa secca toglierebbe molto traffico ai siti, perché un numero (molto) limitato di utenti sarebbe disposto a pagare, anche per la semplice ragione di buon senso che non si può pagare qualsiasi proposta di servizio si incontra in rete, peraltro a scatola chiusa. Dunque, si conta sul fatto che l’utente alla fine pagherà in dati, non potendo/volendo farlo in denaro, e il sito monetizzerà sulla profilazione, ossia sul mercato di quei dati.

Per capire quanto sia avvilente il meccanismo, immaginiamo di trasporlo nel mondo reale: supponiamo che invece di pagare il biglietto del cinema ti venisse proposto di farti montare sulle spalle una serie di telecamere che ti seguono nei vari nodi dei tuoi spostamenti. Se lo scegli, deve essere in totale libertà, questo ti garantisce il legislatore. Ti garantisce di non farlo per una contropartita economica. La privacy non può divenire una tutela per soli abbienti, mentre il resto della popolazione girerà con telecamere montate sulle spalle (è solo un’immagine naturalmente).

Vogliamo davvero un mondo di paywall?

Immaginiamo ora che il paywall, oggi chiaramente vietato (vedasi art. 122 cod. priv. e Linee guida 5/2020 EDPB, §§ 38, 39), divenga libero. Immaginiamo cioè che oltre ad alcuni giornali online lo adottino tutti.

Perché no, in fondo? I cookie wall (di cui i paywall sono una declinazione) popolavano fino a poco tempo fa la rete, come tutti ricorderete. Ogni sito era un check point: o mi dai i dati oppure non entri. Col paywall, abbiamo solo aggiunto una terza ipotesi: “oppure paghi”. E’ un’ipotesi perfino peggiore, perché discrimina sul censo. Se, in questo scenario (verosimile) di diffusione a macchia d’olio dei paywall, ci verrà chiesto, a ogni passo nella rete, a ogni singolo sito visitato, di pagare una somma sia pur modesta (ma capite che il totale modesto non è), la navigazione diverrà per i più insostenibile.

Non solo economicamente, anche sotto il profilo dell’esperienza utente.

Dunque i più, per convenienza economica o per speditezza di navigazione, accetteranno di farsi montare telecamere sulle spalle (sempre, beninteso, virtualmente) e noi avremmo compiuto uno dei più grandi balzi indietro nella tutela dei diritti fondamentali.

* L’asterisco di cui sopra

Spieghiamo adesso l’asterisco all’inizio di questo articolo. La normativa sulla protezione dei dati personali a me pare molto chiara sul no al paywall. Alcune assai rispettabili posizioni giuridiche di segno diverso danno tuttavia speciale rilievo alla normativa consumeristica, che invece consentirebbe di pagare un servizio con dati personali. Ciò in particolare si evincerebbe dall’art. 138-octies, co, 4 cod. consumo.

Tuttavia, in quella disposizione non leggiamo assolutamente la parola “controprestazione”, che è stata infatti espressamente – e, sia permesso notarlo, non a caso – eliminata dalla fonte europea, a monte. Il codice del consumo opera nel suo settore di competenza, e terrà conto della libertà del consenso “privacy” dell’interessato consumatore.

Come mai non c’è scritto più “controprestazione”? Perché l’art. 138-octies costituisce la trasposizione nazionale dell’art. 3, par. 1 direttiva (UE) 2019/770. Ora, è avvenuto che l’EDPS, ossia l’omologo per la UE del nostro Garante, nell’opinione istituzionale 4/2017 aveva infatti chiesto espressamente di eliminarla dal testo inziale (tecnicamente “proposta di direttiva”): “The EDPS recommends avoiding the use of the notion of data as counter-performance in the Proposal” (§ 14).

Così infatti è stato e trattasi di scelta del legislatore di cui il giurista non può non tenere conto in ambito ermeneutico: non credo cioè sia consentito far rientrare in via interpretativa ciò che è stato espressamente eliminato in via normativa. A ben vedere, stiamo cioè parlando di un vecchio dibattito già risolto anni fa a seguito dell’intervento dell’EDPS e che oggi ci raggiunge semmai come la luce di una stella lontana che in realtà si è spenta da tempo.

Il parere dell’EDPS merita di essere letto a fondo per riportare la dialettica tra la normativa sui dati personali e quella consumeristica in un rapporto equilibrato. In chiusura, cito ancora dall’opinione menzionata questo passaggio, insolitamente forte nei toni (evidentemente ne abbiamo bisogno), ma efficace, § 17: “There might well be a market for personal data, just like there is, tragically, a market for live human organs, but that does not mean that we can or should give that market the blessing of legislation”. Ossia:

Può ben esistere un mercato dei dati personali, così come esiste, tragicamente, un mercato degli organi umani, ma questo non vuol dire che noi possiamo o dovremmo dare a tale mercato la benedizione della liceità normativa