Categoria: GDPR

Pubblicato il

Le allucinazioni dell’intelligenza artificiale

Allucinazioni dei modelli generativi_Intervento Avv Pelino al PrivacySymposium2023

Allucinazioni dell’intelligenza artificiale: una delle maggiori criticità dei modelli generativi, come GPT-4, sono le cd. “hallucination”, vale a dire la creazione di fatti in realtà inesistenti.

Prendiamo il caso del professore universitario Jonathan Turley, che secondo ChatGPT sarebbe stato accusato di molestie sessuali. La notizia, generata falsamente dal chatbot, costituisce un esempio molto preoccupante di allucinazione.

E’ evidente l’impatto reputazionale e sociale, ed è altrettanto chiaro che, una volta proiettata in rete la fake news da allucinazione, sarà estremamente complesso bloccarne la propagazione.

Quali tutele

Ma quali tutele fornisce la normativa in proposito? E’ questo il contenuto dell’intervento presentato dall’avvocato Enrico Pelino al Privacy Symposium 2023, nella splendida cornice dell’auditorium Santa Margherita di Venezia – Università Ca’ Foscari (foto qui in basso).

Si può leggerne qui, pubblicato da Agenda Digitale, il testo integrale, esposto in versione più sintetica durante il convegno.

Allucinazioni dei modelli generativi_Intervento Avv Pelino al PrivacySymposium2023

In tema di tutele, appaiono fondamentali due istituti del GDPR: il diritto a non essere sottoposti a una decisione unicamente basata su un trattamento automatizzato (art. 22) e il diritto alla trasparenza, declinato come diritto a una spiegazione.

Entrambi questi istituti presentano vulnerabilità, discusse dall’autore, e dunque andrebbero potenziati e adattati al contesto attuale, in modo da sintonizzarli sugli avanzamenti nel settore dell’AI.

Del resto, proprio l’interazione del sistema giuridico con i progressi della società digitale ha prodotto formulazioni giuridiche oggi fondamentali come il diritto all’oblio. Senza l’eterno presente delle informazioni su Internet, sarebbe cioè mancata l’esigenza di imporre la loro progressiva deindicizzazione. E’ dunque auspicabile che altrettanto accada nel settore dell’intelligenza artificiale.

Le lacune della proposta di AI Act

Non può non notarsi come costituisca invece una delusione il principale corpo normativo progettato dall’Unione europea nella materia in questione, il cd. AI Act. Più esattamente, la proposta di regolamento era subito apparsa molto deficitaria, sia nel senso di “catturare” le novità tecnologiche sia in quello di apprestare mezzi di ricorso.

Il testo aveva ad esempio sottovalutato la rilevanza dei large language model e dell’intelligenza generativa, ossia di quelle applicazioni di cui ChatGPT costituisce oggi uno dei principali esempi. Non prevedeva inoltre rimedi giuridici specifici per i soggetti vulnerati e neppure obblighi proattivi adeguati, quali valutazioni d’impatto sui diritti fondamentali.

Si è tuttavia recentemente intervenuti, sia pure frettolosamente e su un testo carente, a completare molte lacune, come rivela la bozza di compromesso divulgata proprio in data odierna. Il testo dovrà essere adottato tuttavia dal Parlamento europeo in sessione plenaria e quindi sottoposto alla procedura di “trilogo” con il Consiglio e la Commissione.

Pubblicato il

Google deve rimuovere i contenuti diffamatori anche in mancanza di accertamento giudiziale

Di che parla la nuova normativa DSA-DMA e che cosa ha stabilito di recente la Corte di giustizia, sentenza C-460/20, in merito alla rimozione di contenuti diffamatori?

Partiamo con ordine. Le piattaforme social, es. Twitter, Instagram, Facebook, TikTok, i motori di ricerca (il pensiero va innanzitutto a Google), i marketplace sono tecnicamente “intermediari della società dell’informazione”. Non sono gli unici esponenti della categoria, ne sono certamente i più rappresentativi, quelli cioè che determinano in concreto la forma dei flussi di informazioni e incidono sulla comunicazione e sul successo di attività imprenditoriali online, ma anche semplicemente sulla formazione culturale del Paese. Perché?

Perché l’intermediario è così determinante?

Bloccare una pagina per un’impresa o un professionista ha ripercussioni evidenti sulla capacità di stare sul mercato. Collocare un sito in una posizione sfavorevole nella lista dei risultati di un motore vuol dire sottrargli visibilità e potenziali clienti. Incidere sulla presenza di notizie in rete, favorire una determinata tipologia di contenuti, indurre le persone a cedere dati personali e dare dunque visibilità a spazi privati, talvolta intimi, tutto questo vuol dire esercitare una profonda influenza sociale, plasmante dei modi di pensare, di esprimersi, di prestare o non prestare attenzione a stimoli. Mettere a disposizione dati personali per rendere micro-mirate (micro-targeting) campagne politiche, come si è visto (ma solo per citare uno dei tantissimi esempi) nello scandalo Cambridge Analytica, ha effetti di dirottamento delle scelte elettorali, pertanto conseguenze dirompenti sulla tenuta stessa dell’assetto democratico.

L’intermediario è dunque chi sta in mezzo tra coloro che immettono contenuti e coloro che ne fruiscono (ruoli spesso interscambiabili), è chi regola il flusso delle informazioni, chi decide attraverso decisioni automatizzate quali informazioni vanno promosse e come estrarre intelligenza dalle informazioni, determinando per esempio l’incentivazione o la disincentivazione di contenuti, si pensi ai sistemi cd. di “raccomandazione” algoritmica.

Disciplinare gli intermediari: il DSA e il DMA

Il grande protagonistica dell’era dell’informazione è dunque l’intermediario, è nell’intermediario che si concentra il potere.

Finora questo potere è stato ampiamente lasciato all’autoregolamentazione, alle condizioni generali di servizio, dunque all’autodeterminazione privatistica, e a una manciata di articoli nella direttiva 2000/31.

Oggi il quadro giuridico cambia, almeno in parte, e il diritto interviene in maniera più pregnante a stabilire regole, disciplinare gli intermediari e i loro doveri di diligenza. Il corpo principale della nuova normativa è costituito, com’è noto, dalla coppia DSA (Digital Services Act) e DMA (Digital Markets Act). Il primo è maggiormente focalizzato sulla libertà di espressione, sulla trasparenza, sui reclami, su profili limitrofi alla protezione dei dati personali, sulle regole di due diligence da osservare per limitare i contenuti illeciti, il secondo è diretto alla costruzione di un sistema di regole di mercato, alla tutela della concorrenza, alla protezione delle parti deboli, alla limitazione dei poteri dei gatekeeper, alla lettera “guardiani dei cancelli”, ossia le grandi società che dominano il mercato, stabilendo chi sta dentro e chi sta fuori.

La sentenza CGUE C-460/20

Non bisogna però attendere il 17 febbraio 2024 e il 2 maggio 2023-25 giugno 2023,ossia le date in cui rispettivamente il DSA e il DMA avranno piena e completa applicabilità. Strumenti giuridici di rilevante efficacia sono già forniti dal GDPR. Prendiamo il caso di cui si è occupata la Corte di giustizia dell’Unione (CGUE) nella vicenda Google, C-460/20, decisa con sentenza dell’8 dicembre 2022.

Due interessati si dolevano del fatto che Google proponesse contenuti lesivi della loro reputazione, il diritto alla protezione dei dati personali è infatti legato (come tutela dell’immagine) anche al diritto alla reputazione e all’onore. Si trattava di notizie che presentavano, secondo gli interessati, elementi di inesattezza, ne chiedevano pertanto al motore di ricerca la rimozione dalla lista dei risultati ai sensi dell’art. 17 GDPR.

Questa norma infatti, di regola associata al diritto all’oblio, riconosce in senso più ampio il diritto alla cancellazione di dati che non appaiano conformi alla normativa.

Google rifiutava di procedere all’eliminazione dei link, sul presupposto che mancava una pronuncia giudiziale di accertamento dell’illiceità dei contenuti. La Corte ha invece ritenuto che non si possa far carico all’interessato dei tempi e degli oneri necessari all’ottenimento di una pronuncia giudiziale. L’intermediario (la pronuncia è evidentemente esportabile all’intera categoria) è invece chiamato a una valutazione di massima sulla verosimiglianza delle allegazioni dell’interessato ed è tenuto ad applicare l’articolo 17 citato, pur senza essere tenuto a un ruolo attivo di indagine.

Certo, osserva la Corte, occorre esercitare particolare prudenza nella rimozione di contenuti dalla società dell’informazione e occorre evitare che scelte eccessivamente cautelative degli intermediari possano determinare una rimozione troppo facile di informazioni. Per approfondire questi temi, la diramazione concettuale che aprono e alcuni passaggi centrali della sentenza citata, mi permetto di rimandare al mio contributo dal titolo “La custodia dei contenuti nella società dell’informazione: osservazioni sulla sentenza CGUE C‑460/20” pubblicato sul numero 1-2023 della Rivista elettronica di diritto, economia, management, pp. 99-105.

Pubblicato il

La regola dell’alternatività viola il GDPR. Finalmente!

La Corte di giustizia dell’Unione europea (CGUE) ferma un principio dirompente per la normativa italiana: l’interessato può esperire in maniera parallela il reclamo ai sensi dell’art. 77 GDPR e il ricorso giurisdizionale ex art. 79 GDPR.

Perché la sentenza CGUE è così importante?

La pronuncia (ved. più sotto) ha enormi ricadute concrete nel sistema italiano.

Vige infatti all’art. 140-bis cod. privacy (d.lgs. 196/03) una preclusione fortemente limitante per i diritti dell’interessato, nota come “regola dell’alternatività”.

La regola, a pena di improponibilità, impone di scegliere tra due strade alternative: ricorso al Giudice ordinario oppure reclamo al Garante per la protezione dei dati personali.

Vale insomma il meccanismo electa una via non datur recusus ad alteram (scelta una strada non è consentito attivare l’altra), fermo restando che la decisione amministrativa del Garante sarà poi sempre impugnabile avanti all’Autorità giudiziaria.

Quanti danni la regola dell’alternatività ha prodotto nel sistema italiano?

Numerosi. La regola dell’alternatività riduce infatti drasticamente i mezzi di tutela, invece molto ampi, che il GDPR ha inteso in modo espresso riconoscere all’interessato.

Ciò determina una compressione significativa del diritto a una tutela effettiva, e non esiste un diritto alla protezione dei dati personali senza tutela effettiva.

Per apprezzare i danni in concreto, si pensi al contenzioso giuslavoristico che riguardi anche un trattamento di dati personali. Ad es., al caso sempre più frequente di licenziamenti basati su un trattamento di dati personali (un filmato di videosorveglianza, una registrazione, gli esiti di un sistema di valutazione algoritmico, altro).

Il dipendente ha precisi termini processuali per l’impugnazione del licenziamento ed è costretto a trattare le questioni di protezione dei dati personali in quel contesto, rinunciando a giovarsi del rilevante apporto che potrebbe fornire il Garante, Autorità specializzata nella valutazione dei profili “privacy”.

Ma gli esempi che potrebbero farsi sono innumerevoli.

E ora?

Fissiamo un punto. La regola dell’alternatività è abusiva. Ed è sempre stato evidente che lo fosse, dal momento che il GDPR indica chiaramente che reclamo dell’interessato e ricorso giurisdizionale sono proponibili con salvezza reciproca.

Sia permesso ricordare che lo scrivente si è sempre espresso per la macroscopica contrarietà al GDPR dell’art. 140-bis cod. priv.. Ad esempio, nel commentario Bolognini-Pelino (direttori), “Codice della Disciplina Privacy”, ed. Giuffrè, indicavo:

La disciplina europea, lungi dal prevedere la regola dell’alternatività dei rimedi, appare semmai orientata al principio della coesistenza dei mezzi di tutela. E’ infatti precisato dagli artt. 77 e 79 GDPR che i rimedi amministrativi e giurisdizionali non si escludono a vicenda, ma sono esperibili senza mutuo pregiudizio, “without prejudice of”, passaggio reso in italiano [nel testo del GDPR, n.d.r.] con la clausola di salvezza “fatto salvo”.

E’ esattamente quanto ha precisato la Corte di giustizia con sentenza 12 gennaio 2023, causa Budapesti Elektromos Művek, C-132/21.

Era difficile pervenire a una pronuncia su questo tema specifico in Italia, per ovvie ragioni: nessuno rischia l’improcedibilità per affermare un principio che verosimilmente dovrà attendere fino al (non scontato) rinvio pregiudiziale ex art. 267 TFUE alla Corte di Giustizia per essere esaminato.

Dunque è provvidenziale che la questione sia stata sollevata da un’autorità giudiziaria ungherese a meri fini di chiarimento interpretativo (la normativa locale è diversa da quella italiana) e che la Corte l’abbia trattata.

Adesso in Italia sarebbe necessaria una modifica urgente dell’art. 140-bis cod. priv., altrimenti l’alternativa, ingiustamente penalizzante per gli interessati, è quella di chiedere di volta in volta al Giudice (ma anche al Garante, perché anche questo, benché poco noto, può essere fatto) la disapplicazione della norma nazionale in contrasto con il diritto europeo, attraverso argomenti giuridici ben strutturati e con l’alea sempre presente di incomprensioni.

Lo scrivente continuerà a battersi per la riconduzione del codice nazionale al regolamento eurounitario.

Corre l’obbligo di segnalare che quella in esame non è, peraltro, l’unica disposizione del codice privacy in palese violazione del GDPR.

Pubblicato il

Clearview AI salva imputato da procedimento penale

Clearview AI, com’è noto, si occupa di raccolta di immagini di volti, che poi elabora con tecniche di intelligenza artificiale (AI), per estrarne i componenti biometrici. Una volta individuata, la persona può essere riconosciuta in altre foto o filmati, confrontando l’impronta biometrica presente nell’archivio di Clearview con quella presente nelle foto o nei filmati analizzati.

La raccolta dei volti avviene all’insaputa degli interessati, con tecniche cosiddette di web scraping, ossia di apprensione automatica di contenuti da Internet, prevalentemente da piattaforme social. Tale attività è illecita ai sensi del GDPR perché svolta senza consenso esplicito conforme all’art. 9.2.a( GDPR (i dati biometrici sono dati sensibili, o “particolari”) e senza informativa. Mancano poi una serie di condizioni ulteriori, come una DPIA conforme all’art. 35 GDPR.

Nonostante ciò, licenze di utilizzo del software sono state in passato sottoscritte da molte autorità di polizia e altre LEA (Law Enforcement Agency) dell’Unione europea. Per ovvi motivi: in fase di indagine, comprendere chi è una certa persona che compare in un filmato o in uno scatto fotografico può essere decisivo.

Riassumendo perciò:

  • la piattaforma in questione “si nutre” delle immagini pubblicate spontaneamente per ragioni relazionali e ricreative dagli stessi utenti o da loro amici e conoscenti su piattaforme social (es. Facebook, Instagram, LinkedIn). Si nutre all’insaputa dei soggetti fornitori, cioè;
  • tale attività è illecita ai sensi del GDPR (e nella misura in cui esso trova applicazione territoriale);
  • questo software illecito è (stato) utilizzato da forze di polizia per attività tuttavia commendevoli, in abstracto, quali l’indagine e il contrasto di attività criminali.

E’ chiaro che la piattaforma pone rilevanti problemi etici e soprattutto, per quanto ci riguarda, evidentissimi problemi giuridici. Non a caso il trattamento è stato considerato illecito da numerose autorità di controllo dell’Unione, tra le quali per l’Italia il Garante per la protezione dei dati personali, e sanzionata applicando lo scaglione più alto previsto dal GDPR.

In effetti, la piattaforma rappresenta un esempio perfetto del paradigma del “capitalismo della sorveglianza” di cui ha scritto Shoshana Zuboff nel saggio diventato ormai un classico per comprendere e definire concettualmente i modelli di potere ed economici del contesto digitale. La società estrae – alla lettera – da milioni di persone fisiche, considerate come materie prime (raw material) da sfruttare, informazioni che acquistano rilevante valore economico una volta elaborate e vendute a terzi sul mercato digitale. E’ esattamente questo il business model di Clearview AI.

Ma che cosa succede se la piattaforma permette a un avvocato difensore di individuare un testimone chiave e di far cadere un’imputazione per omicidio stradale a carico di un suo assistito? E’ esattamente quanto avvenuto recentemente negli Stati Uniti. La vicenda rappresenta insieme un tentativo del produttore di software di migliorare la sua immagine pubblica, fortemente compromessa da una serie di iniziative di contrasto giuridico, non solo europee, e anche un modo per apportare una nuova prospettiva di valutazione del suo prodotto e porre stimolanti sfide logiche. Ne ho parlato per Ius Law Web Radio – la radio dell’avvocatura, in un’intervista ascoltabile qui (link esterno). Qui invece la mia precedente intervista relativa alla sanzione venti milioni di euro comminata dal Garante alla società.

Pubblicato il

Il green pass viola GDPR e Costituzione

Il green pass viola GDPR e Costituzione, vediamo perché. La Costituzione è il nucleo cellulare che contiene il DNA della Repubblica. Su questo semplice concetto dovremmo essere tutti d’accordo. La questione oggi non è vaccini sì, vaccini no. La questione è: possiamo usare un sotterfugio, una via traversa, ossia il green pass, per ottenere qualcosa che deve essere conseguito solo nel binario della Costituzione? Ovviamente no. Ciò è anzi eversivo, nel significato etimologico di evertĕre, ossia “abbattere”. Abbattere che cosa? Le garanzie poste expressis verbis, vale a dire in maniera espressa, dalla Costituzione

Che cosa impone l’art. 32 Cost.

E quali sono dunque queste garanzie? Sono due e sono indicate all’art. 32, norma di formulazione tanto breve quanto limpida. La vaccinazione è un trattamento sanitario perfettamente libero, questo indica l’art. 32: “Nessuno può essere obbligato”. Ma se lo Stato vuole renderlo obbligatorio, può farlo solo a patto che rispetti due regole non derogabili, ossia:

  1. Introduca l’obbligo di trattamento sanitario attraverso una “disposizione di legge”, nella specie una legge vaccinale, cd. garanzia della “riserva di legge”.
  2. Osservi i “limiti imposti dal rispetto della persona umana”, limiti essenziali questi perché distinguono uno Stato moderno e civile da formazioni barbare nelle quali si batte con la lancia sugli scudi.

Ripeto: sono due garanzie costituzionali, e non possono essere toccate. E infatti nella storia della Repubblica ogni vaccinazione obbligatoria è stata introdotta con una legge vaccinale. Sempre. Senza eccezioni. Oggi no: oggi, non esiste un t.s.o. vaccinale imposto per legge alla generalità della popolazione. Questo è un fatto nudo e crudo. Non è un’opinione, è un fatto.

Orbene, quando varie dichiarazioni provenienti dall’arco governativo, e documentabili, indicano che il green pass serve invece, proprio in mancanza di una legge vaccinale generalizzata che non si è voluto o potuto introdurre, quale strumento di coercizione e punizione verso chi sceglie liberamente (non c’è obbligo generalizzato, ricordiamolo) di non sottoporsi al trattamento sanitario o per chi, pur vaccinato, non accetta tutti gli update del farmaco, sono abbattute le due garanzie ricordate, poste dall’art. 32 Cost.

È infatti abbattuta la garanzia della riserva di legge, perché ove manchi una legge vaccinale, come infatti manca, la conseguenza è che “nessuno può essere obbligato”, men che meno obbligato togliendogli addirittura l’esercizio di diritti fondamentali, come quello al lavoro, alla retribuzione, allo spostamento e riducendolo sostanzialmente a un paria.

Viene abbattuta anche la garanzia dell’osservanza dei “limiti imposti dal rispetto della persona umana”, essendo la coercizione attraverso la punizione, o, come qualcuno ha addirittura dichiarato, attraverso l’inflizione di una sofferenza, per definizione contraria a quei limiti. È degradante e disumana, così come è degradante e disumano un permesso amministrativo per l’esercizio di diritti fondamentali di cui già si dispone, questo è infatti il green pass. È degradante, per intenderci, anche per coloro che ne fanno uso e sono tenuti a giustificare a ogni angolo di strada il loro titolo a fare cose perfettamente lecite e che hanno sempre fatto senza dover chiedere permessi.

Ragionevolezza, proporzionalità e necessità

Non basta l’osservanza delle due garanzie poste dall’art. 32 Cost. perché una legge vaccinale sia lecita. Occorre anche che tale legge rispetti il principio di ragionevolezza che ha sede nell’art. 3 Cost. e i principi di proporzionalità e necessità, ugualmente espressione della Costituzione e previsti altresì dall’art. 52 Carta dei diritti fondamentali dell’Unione europea, o CDFUE. La CDFUE, giova rammentare a chi lo ha scordato, ha “lo stesso valore giuridico dei Trattati“, come espressamente indica l’art. 6.1 TUE.

Facciamo qualche esempio: un obbligo vaccinale per gli ultracinquantenni è palesemente irragionevole, sproporzionato e non necessario, tanto più in fase di regresso della pandemia. Si è scelto 50 per fare cifra tonda, come al mercato quando ci dicono “Signore, che faccio aggiungo una fetta e andiamo a 200 grammi precisi?”. Bisognerebbe inorridire per essere precipitati così in basso nell’esercizio del potere normativo.

Le violazioni del GDPR

E il GDPR che cosa c’entra? C’entra perché le leggi sono collocate in una gerarchia e capita che il DL 52/2021 e le varie appendici normative collegate stiano sotto in questa gerarchia, mentre il GDPR stia sopra. Ciò che sta sotto, nel sistema giuridico, non può entrare in contrasto con i piani superiori. Stesso ragionamento si applica al Reg. (UE) 2021/953. Ricordo a me stesso che disapplicare la normativa nazionale che contrasta con norme eurounitarie sovraordinate non è una scelta, è un obbligo, e lo anche per le autorità amministrative, come ha più volte ricordato la Corte di Giustizia dell’Unione europea.

Le violazioni del GDPR sono innumerevoli. Rimando il lettore che ha avuto la pazienza di seguirmi fin qui a un articolo che espone il mio ragionamento in maniera più completa: Green pass e privacy, ecco perché sono violati GDPR e Costituzione – Cyber Security 360.

Il green pass viola GDPR e Costituzione, sul punto rimando anche alla segnalazione-esposto sottoscritta insieme a numerosi Colleghi, consultabile e scaricabile qui in basso. Chiunque può ovviamente fare ciò che crede con le argomentazioni contenute nella segnalazione-esposto, esempio utilizzarle in un qualsiasi contenzioso, se le ritiene opportune.

Segnalazione-esposto-GPDP_14-2-2022_def-al-22.2.2022Download
Pubblicato il

Che cos’è un trasferimento di dati personali extra UE?

È stato pubblicato in data odierna sulla rivista specialistica Cybersecurity 360 un nuovo articolo dell’avv. Enrico Pelino in materia di trasferimento dei dati personali extra UE.

Al tema sono state dedicate il 18 novembre scorso le recentissime linee guida 5/2021 del Comitato dei Garanti europei, o EDPB. Il documento, come di regola, è in pubblica consultazione e, considerata la rilevanza del tema, non sono da escludere modifiche sostanziali ad esito dell’apporto di contributi esterni.

Ma perché è così significativo? Vediamolo insieme

Il contesto

La ragione di rilevanza più evidente è che una definizione di “trasferimento extra UE” manca nell’elenco dell’art. 4 GDPR. E il quid concettuale non dipende, come il lettore avrà intuito, da soli elementi geografici.

Ora, determinare che cosa esattamente costituisca o non costituisca trasferimento di dati personali verso un Paese terzo è essenziale, perché ne derivano precise conseguenze giuridiche, previste dal GDPR. E responsabilità.

Ad esempio, dalla definizione dipende la scelta di utilizzare le standard contractual clause, o clausole contrattuali standard, come prescritto dall’art. 46 GDPR, vale a dire il principale e più diffuso strumento a disposizione di società, professionisti, enti pubblici e altri soggetti che trattano dati personali altrui.

Le nuove SCC del 4 giugno 2021

Giova ricordare che dal 4 giugno 2021 le clausole sono state del tutto rinnovate dalla Commissione europea, attraverso l’introduzione di un testo molto più strutturato che in passato, finalmente modulare e idoneo a coprire una pluralità di rapporti prima esclusi, ossia quelli che hanno come punto d’origine un responsabile del trattamento (processor) soggetto al GDPR.

Le nuove SCC sono obbligatorie per tutti i nuovi trattamenti a partire dal 27 settembre 2021, ed entro il 27 dicembre 2022, superata la fase di transizione, dovranno essere applicate anche a quelli già in essere.

Giova anche ricordare che a seguito della sentenza cd. “Schrems II“, causa C-311/18, della Corte di Giustizia dell’Unione europea, occorre, anche nel contesto delle SCC, valutare l’adozione di misure supplementari o supplementary measure.

C’è già bisogno di un ulteriore modulo di SCC?

Ebbene, la posizione dei Garanti europei guarda ancora più avanti e propone di ragionare su un ulteriore gruppo di clausole standard per l’estero. Quelle di giugno restano in vigore, ma sono percepite come insufficienti a coprire l’intero arco dei trasferimenti.

In particolare, l’EDPB chiede apertamente di valutare l’introduzione di clausole standard per data importer, ossia destinatari dei dati, che siano a loro volta soggetti al GDPR.

Per approfondimenti su quest’ultima posizione, sia permesso rimandare alla lettura dell’articolo.

Le radici degli sviluppi odierni

Quello che oggi ci occupa non è che l’ultimo dei cerchi concentrici formati da un evento di moltissimi anni fa. Dobbiamo infatti tornare alla struttura di supporto per giornalisti e whisteblower creata da Julian Assange e all’appoggio fornito a Edward Snowden. Sono state proprio le rivelazioni di Snowden a provvedere l’attivista austriaco Maximilian Schrems delle evidenze necessarie ad azionare il lungo procedimento giudiziario che ha poi registrato due momenti decisivi, appunto, nelle pronunce Schrems I del 2015 e Schrems II del 2020 della Corte di Giustizia.

Da qui hanno preso le mosse le dichiarazioni di invalidità prima del Safe Harbor poi del Privacy Schield e quindi la valutazione sull’efficacia delle clausole standard. I nuovi strumenti della Commissione tengono appunto conto di questo articolato percorso giuridico.

Pubblicato il

Proctoring, dati biometrici e violazioni

Ascolta l’intervista dell’avv. Enrico Pelino a Ius Law Web Radio.

Con un recente provvedimento (qui), il Garante per la protezione dei dati personali ha sanzionato l’Università Bocconi per € 200.000, in seguito a rilevate violazioni dei dati personali in un sistema di proctoring, utilizzato per lo svolgimento di prove d’esame.

Il proctoring è tecnicamente l’attività di vigilanza volta ad assicurare che il candidato rispetti le regole e non utilizzi ausili di vario genere per facilitarsi.

In ambito di didattica a distanza (DAD) esistono varie soluzioni software che permettono di riprodurre tale vigilanza in ambienti naturalmente sottratti a controllo, quali appunto i sistemi informatici utilizzati dall’esaminando e i luoghi fisici in cui essi si trovano. Tipicamente tali sistemi prevedono un’acquisizione visiva dell’ambiente, il blocco della navigazione dell’esaminando al fine di evitare consultazione di materiale non ammesso, e, per quello che qui maggiormente interessa, la rilevazione di comportamenti considerati sospetti, che potrebbero rivelare condotte elusive. Inoltre, c’è l’ovvia esigenza di comprendere se il candidato non venga sostituito da terzi durante la prova, esigenza che richiede la memorizzazione di informazioni per successivo raffronto.

Dati biometrici, profilazione, base giuridica

I dati personali raccolti sono dunque di regola per loro natura dati biometrici (cfr. artt. 4.14 e 9.1 GDPR), quantomeno in parte, poiché permettono di individuare soggetti in base all’elaborazione di caratteristiche fisiche e/o comportamentali. Viene inoltre in considerazione nella maggior parte dei casi una profilazione, che pone delicati rischi di discriminazione e più in generale attiva la necessaria disamina sull’osservanza dei principi del GDPR, innanzitutto in termini di proporzionalità.

Altra questione complessa è quella della base giuridica del trattamento, che al momento, almeno nella prospettazione che emerge dal provvedimento citato, non sembra mai sostenibile, tanto che la si individui nel consenso tanto che la si costruisca sull’interesse pubblico rilevante, ossia rispettivamente sugli artt. 9.2.a o 9.2.g GDPR in combinato disposto con l’art. 2-sexies Cod. priv.. Per approfondimenti su questi temi e molti altri sollevati dal provvedimento rimandiamo all’intervista.

Pubblicato il

Obbligo di green pass e diritti

A far data dal 22 settembre 2021 con modifica al DL 52/2021 è stato introdotto l’obbligo di green pass (certificazione verde) in maniera pressoché generalizzata per lo svolgimento di attività lavorativa. Ci occupiamo qui dell’applicazione al settore privato, definita dall’art. 9-septies del citato decreto.

La generalizzazione dell’obbligo rivela, a parere di chi scrive, forzature estreme. La novella normativa parifica infatti irragionevolmente situazioni disuguali, e questo già varrebbe a determinarne il contrasto con il principio di ragionevolezza e con l’art. 3 Cost.

I contesti di lavoro sono diversissimi tra loro e altrettanto irriducibili a unità vi appaiono le modalità e la frequenza di relazione interpersonale, dunque il rischio di contagio.

L’esclusione di una valutazione dei rischi in concreto

In maniera contraddittoria rispetto alla dichiarata ratio perseguita, la novella esclude ogni ragionevole forma di valutazione in concreto del rischio e il coinvolgimento, che dovrebbe essere invece necessario, del principale soggetto competente a valutarlo in azienda, ossia il medico del lavoro.

L’art. 9-septies sembra infatti applicarsi a prescindere dall’apprezzamento del medico e da una valutazione effettiva.

Neppure tiene conto dell’impiego dei dispositivi di protezione individuale, o DPI, che costituiscono altrove nella più generale normativa strumenti fisici idonei di contrasto alla diffusione del virus, e dunque di abbattimento del rischio connesso. Ciò appare irrazionale.

L’art. 32 Cost.

Le conseguenze per il lavoratore non munito di valido green pass sono invero gravissime e ne colpiscono in maniera che appare sproporzionata i diritti fondamentali, costituzionalmente garantiti. È appena il caso di notare che non appare richiamabile a supporto l’art. 32 Cost., non sussistendo al momento nel nostro Paese alcun generale obbligo vaccinale in relazione al Covid-19, fatte salve alcune specifiche categorie professionali.

Semmai l’art. 32 Cost. garantisce il diritto di non vaccinarsi, in mancanza appunto di disposizione di legge di segno opposto (ivi comma 2).

Se il Legislatore avesse ritenuto realmente necessaria ai fini della salute pubblica la vaccinazione globale, l’avrebbe disposta positivamente, nel dovuto rispetto dell’architettura costituzionale, che non può essere elusa.

Conseguenze per i lavoratori

Vediamo alcune di queste conseguenze. I lavoratori “che risultino privi della predetta certificazione al momento dell’accesso al luogo di lavoro, al fine di tutelare la salute e la sicurezza dei lavoratori nei luoghi di lavoro sono considerati assenti ingiustificati fino alla presentazione della predetta certificazione e, comunque, non oltre il 31 dicembre 2021”, comma 6 dell’art. 9-septies citato.

Per essere assenti ingiustificati occorre cioè essersi presentati sul luogo di lavoro. Formulata così, la disposizione è un esercizio di neolingua. Alla base appare esserci una confusione ontologica, che approda a scelte terminologiche paradossali.

Il lavoratore, assente ingiustificato nei termini (rovesciati) di cui sopra, non perderebbe comunque il lavoro ma il compenso. Non è poco. Sul punto la disposizione normativa di cui al comma 6 precisa: “Senza conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro”.

Non altrettanto prevede il comma 8, in base al quale “restano ferme le conseguenze disciplinari secondo i rispettivi ordinamenti di settore” per i lavoratori che accedano ai luoghi di lavoro senza possedere ed esibire, su richiesta, la certificazione verde. Il coordinamento, non ineccepibile, con il comma 6 sembra essere rimesso al momento in cui avvengono i controlli, e tutto sommato dunque anche alla casualità della loro effettuazione.

Il rischio del licenziamento e di sanzioni amministrative

Da notare che nell’ipotesi disciplinata dal comma 8, potrebbe non essere escluso perfino il licenziamento, come si è già ipotizzato in un primo studio di Confindustria (pdf). A chi scrive sembra che la sanzione massima mal si concili, per gravità, con la previsione del comma 6, che descrive una condotta oggettivamente limitrofa ma dichiaratamente priva di esito disciplinare.

Non sembra confortare la scelta della sanzione massima neppure la parificazione, invero apodittica, tra mancanza di certificato ed effettivo rischio sanitario per l’azienda, tanto più ove quest’ultimo sia inferito ex lege, dunque in astratto, omettendo le valutazioni che in concreto potrebbero invece smentirlo o ridimensionarlo da parte del medico competente, e prescindendo dalla sussistenza delle altre misure di effettivo contenimento come i DPI.

Appare cioè opportuno per l’imprenditore valutare con prudenza le conseguenze disciplinari, evitando eccessi che potrebbero non sempre risultare agevolmente difendibili in sede contenziosa.

Il lavoratore rischia altresì, nell’ipotesi del comma 8, di essere sanzionato amministrativamente da € 600,00 a € 1.500,00, e questo paradossalmente per avere esercitato il suo diritto di non vaccinarsi, ad oggi riconosciuto dall’art. 32 Cost., ved. sopra.

Distinzioni binarie e contraddizioni

Non c’è spazio qui per affrontare in dettaglio altri temi più tecnici quali il fondamento scientifico del rischio di diffusione del virus, che sembra riguardare purtroppo anche i vaccinati, i quali possono ben contrarre il patogeno, sviluppare carica virale e talvolta anche la malattia, cfr., ex multis, CDC, Outbreak of SARS-CoV-2 ecc., in particolare ivi parte sul “viral load”.

Tale evidenza fa cadere o mette quantomeno in serio dubbio le distinzioni binarie tra rischio e carenza di rischio sulle quali il Governo sembra avere edificato la normazione straordinaria.

Nessuna novità peraltro. Serie perplessità sulla coincidenza tra vaccinazione e immunità erano state espresse già nel febbraio 2021 dall’OMS e ritenute dirimenti in aprile dalle Autorità di controllo europee per la protezione dei dati personali rispetto alla certificazione comprovante la vaccinazione, da non assumere quale certificazione di immunità.

La tesi che il vaccinato sia immune al virus è peraltro ipso facto smentita dallo stesso Normatore laddove questi non solo non esclude per i vaccinati il pericolo posto dai consociati senza green pass, ma ne fa a ben vedere il principale pilastro logico della normazione straordinaria. Contraddittoriamente, cioè, i vaccinati sarebbero al tempo stesso immuni e non immuni. È il paradosso del gatto di Schrödinger e ha certamente effetto sulla tenuta giuridica della decretazione.

In realtà, nell’attuale assetto, i portatori di green pass (vaccinati e non vaccinati) possono ben essere contagiati dai loro omologhi, perché la certificazione, contrariamente agli assunti governativi, nulla di certo indica sull’effettivo stato di salute del singolo, che appare semmai determinabile, sia pure con approssimazione, solo attraverso un tampone.

Stigma sociale e riduzione di cittadini a paria

L’arbitraria equiparazione concettuale tra possesso del green pass e salute ha portato a velenose divisioni e allo stigma sociale nei confronti di migliaia di cittadini ridotti sostanzialmente a paria. Si sono registrati episodi di violazione di norme basiche e della dignità dell’uomo, come i casi di insegnanti invitati ad abbandonare la classe essendo intervenuta nelle more la scadenza oraria del green pass. Quasi che il termine della durata burocratica del certificato corrispondesse a contestuale compromissione dello stato di salute.

Ciò è potuto avvenire perché si è lavorato su “proxy”, ossia su grossolani succedanei degli oggetti che si intendeva disciplinare. Per questa via, il green pass è diventato la medesima cosa dello stato di salute e la scadenza oraria del primo compromissione del secondo.

In diritto andrebbe evitato il più possibile l’uso di proxy, essendo ben noto che quanto più si operano approssimazioni tanto maggiore è il rischio di distorsioni e applicazioni discriminatorie. Andava anche condotta preliminarmente alla decretazione quell’analisi del rischio che è pressoché sconosciuta al nostro Legislatore, ancorché vi sia tenuto.

La sostituzione dell’esercizio dei diritti costituzionali con un codice QR che legittimi a esercitarli (insidioso esperimento, comunque lo si guardi, e ancor più in seguito alla sua accettazione sociale), ossia l’idea, che deve essere apparsa ingegnosa, di aggirare il disposto del secondo comma dell’art. 32 Cost. creando un pervasivo sistema di certificazioni amministrative e un capillare e diffuso trattamento di dati altrui (peraltro facilmente esposti a inferenze) sembra porsi a chi scrive in contrasto con le basi stesse del diritto alla protezione dei dati personali.

Ciò già per il solo fatto di essere un aggiramento appunto, ossia una violazione dei principi di correttezza e di finalità, e a prescindere da più approfonditi esami dei criteri di liceità, necessità e proporzionalità. In realtà le violazioni del GDPR e del Codice privacy appaiono considerevoli.

Necessità e proporzionalità

Si sente domandare spesso dai non addetti ai lavori a che cosa serva la “privacy”. Bene, i nostri dati personali riflettono le nostre scelte. Conservarne il controllo e pretendere il rispetto di regole da parte dei soggetti privati e pubblici che li trattano, tanto più quando questi ultimi sono apicali e addirittura produttori di norme, dunque concentrano un enorme potere, offre un guscio protettivo a quelle scelte e alla sottostante libertà che le ha determinate. Far valere le regole vuol dire per esempio non essere discriminati nell’esercizio di diritti fondamentali per avere effettuato scelte individuali sulla propria salute che si aveva pieno titolo di esercitare, ved. sopra a proposito dell’art. 32 Cost.

Ecco a che cosa serve la “privacy”. Non è ovviamente una pretesa assoluta, ma neppure è assoluta la pretesa opposta, che deve essere giustificata innanzitutto in termini di necessità e proporzionalità. Necessità non equivale a opportunità e neppure a legittimo indirizzo politico perseguito. Necessità è proprio necessità: ossia, deve sussistere una sola strada e deve esserci ragione di percorrerla assolutamente. Il confronto con altri Stati membri UE, dove si sono operate scelte diverse, palesa senza ulteriore analisi che non sussiste alcuna necessità.

Visto che si è toccato il piano eurounitario, preme segnalare che la violazione, per esempio, dell’art. 52 della Carta dei diritti fondamentali dell’UE (CDFUE) integra violazione di disposizioni che hanno lo stesso valore giuridico dei Trattati. Così è dal 1° dicembre 2009.

Conclusioni

Resta ferma l’utilità e l’efficacia dei vaccini, supportati da ampia e solida evidenza scientifica, ma non esenti da un rischio individuale.

Tale rischio sembra, almeno a chi scrive, giuridicamente affrontabile solo sul piano della libera scelta del singolo, a meno di non voler considerare sacrificabile alla collettività un certo numero, sia pur ridotto, di cittadini. Cfr. Agenzia Europea per i Medicinali, COVID-19 vaccine safety update Cominarty BioNTech Manufacturing GmbH, July 2021: “As of 4 July 2021, a total of 206,668 cases of suspected side effects with Comirnaty were spontaneously reported to EudraVigilance from EU/EEA countries; 3,848 of these reported a fatal outcome”.

Del resto, il Legislatore mostra piena contezza della possibilità di effetti collaterali anche gravissimi ad esito della somministrazione dei nuovi vaccini, tanto da avere introdotto apposito scudo penale, con l’art. 3 DL 44/2021.

In letteratura medica sono emerse sindromi specifiche collegate, in casi assai rari, ad alcune tipologie di vaccino, note con gli l’acronimi “VITT” – vaccine induced thrombotic thrombocytopenia, “VIPIT” – vaccine-induced prothrombotic immune thrombocytopenia, “TTS” – thrombosis with thrombocytopenia syndrome (cfr. qui per un primo orientamento).

Per questo credo che la scelta vaccinale non possa che essere e restare libera e personale. In ambito italiano si è invece recentemente sperimentata una scorciatoia fortemente coercitiva, inedita per dimensioni nell’Unione, forzando l’autodeterminazione individuale attraverso la mortificazione della persona, la sospensione di diritti fondamentali, l’emarginazione dai consociati e l’esclusione da occasioni di vita.

Questa particolare modalità di rieducazione del cittadino, sia permesso osservare, ha un certo sapore pavloviano, strutturata su punizioni e ricompense.

Pubblicato il

Graduatorie dei docenti e (mal)trattamento dei dati personali

Si apprende da notizie di stampa che le prime graduatorie provinciali per le supplenze (GPS) registrano numerosi casi di attribuzione di punteggi fortemente anomali. Analoghe indicazioni allarmate provengono da associazioni sindacali.

Ebbene, se quanto esposto trovasse conferma – e sussiste ampia evidenza in senso positivo – saremmo ancora una volta dinanzi a un clamoroso e vasto caso di (mal)trattamento dei dati personali dei docenti da parte del Ministero.

Il lettore ricorderà infatti i recenti episodi di gestione delle procedure di mobilità del personale docente attraverso algoritmi interamente automatizzati, in contrasto con la normativa sulla protezione dei dati personali (per approfondimenti sia permesso rimandare a E. PELINO, Decisioni interamente automatizzate nella P.A.: lecite alla luce del GDPR?).

Certo, la vicenda attuale presenta differenze e non abbiamo indicazione (al momento) del ricorso a processi interamente automatizzati. Non c’è dubbio, tuttavia, che la formazione di graduatorie e l’attribuzione di punteggi a persone fisiche rientri, a pieno titolo, nell’alveo tutelato dalla normativa sulla protezione dei dati personali, dunque innanzitutto sia riconducibile al “GDPR” (reg. UE 2016/679) e al Codice privacy (d.lgs. 196/03).

Ebbene, quali sono i vantaggi di una lettura della caos graduatorie in chiave privacy?

Sono di natura strategica. Sovente infatti si tende a seguire solo la classica strada del processo amministrativo, non tenendo conto (anche all’interno di un disegno sinergico) dei notevoli strumenti di intervento offerti al docente anche dal GDPR e dal Codice privacy, come pure delle nette conseguenze giuridiche sostanziali connesse con il trattamento in violazione della suddetta normativa: l’inutilizzabilità dei dati personali, con tutti i necessari corollari.

Se ti trovi nella situazione descritta e vuoi saperne di più o se, da collega amministrativista, vuoi esplorare i vantaggi di una sinergia in chiave di protezione dei dati personali, puoi contattaci senza impegno ai recapiti di studio, saremo lieti di fornirti riscontro.

Pubblicato il

Covid e protezione dei dati personali: quali diritti puoi far valere

Una domanda che viene frequentemente posta è la seguente: “Mi sono sottoposto a tampone diagnostico per rilevare possibile infezione da Covid-19 o a test sierologico ma non ho ancora ricevuto il risultato. Come mi tutela la normativa?

Il quesito appare legato a una non sempre ottimale organizzazione a livello istituzionale delle attività di contrasto al coronavirus (Sars-CoV-2) e di gestione dei correlati test sanitari.

Ad esempio, ha avuto risonanza giornalistica il caso dei turisti rimasti bloccati per alcuni giorni nel resort Santo Stefano in Sardegna, in seguito all’emersione di un focolaio virale. Ebbene, nonostante il passaggio di un significativo lasso di tempo dall’effettuazione dei tamponi, alcuni turisti lamentano di non avere ancora ricevuto il risultato delle analisi.

Indicano anche che una sintesi degli esiti sarebbe stata invece comunicata dalle Autorità (secondo modalità e basi giuridiche tutte da verificare) ai titolari della struttura in cui hanno alloggiato.

Il caso del resort sardo rappresenta del resto solo un campione di una più vasta situazione di inefficienze che emerge “a macchia di leopardo” sul territorio nazionale ed è stata oggetto di segnalazioni o di servizi giornalistici.

Si ravvisa in definitiva un’esigenza fortemente avvertita da chi si è sottoposto a esami diagnostici di riappropriarsi del controllo delle proprie informazioni sanitarie, ossia di acquisire senza ritardo, in maniera completa e trasparente gli esiti di tamponi e degli esami sierologici, così come, parallelamente, di comprendere l’esatto ambito di circolazione delle informazioni che lo riguardano.

Da un lato, infatti, ritardi nella comunicazione degli esiti possono determinare gravi situazioni di frizione sociale e notevoli limitazioni nella libertà personale, costringendo chi è in attesa dei risultati o a periodi di quarantena che potrebbero non essere necessari o, in difetto, a esporre terzi a rischio. Dall’altro lato, la comunicazione illegittima dei risultati dei test o perfino la diffusione dei loro esiti può esporre il paziente a discriminazione, a stigma sociale, a danni lavorativi.

La legittima richiesta di rientrare nel pieno controllo delle informazioni che ci riguardano, tanto più quelle di carattere medico, è ben tutelata normativamente dal Reg. (UE) 2016/679, cd. “GDPR”, sulla protezione dei dati personali.

Si può aggiungere al quadro appena delineato che esiste anche un interesse pienamente tutelato di conoscere la sorte delle proprie autocertificazioni eventualmente consegnate alle Autorità durante il periodo di lockdown. Di conoscere, più esattamente, se i dati ivi contenuti siano stati effettivamente cancellati o, viceversa, le ragioni per cui vengano tuttora trattati.

Non è un punto da sottovalutare: le autocertificazioni presentano infatti un ricco campione di dati personali, anche di natura relazionale, e inoltre, proprio in quanto autocertificazioni, costituiscono fonte di responsabilità giuridica. È del tutto comprensibile perciò pretendere di capire che genere di gestione abbiano avuto.

La normativa sulla protezione dei dati personali costituisce, come si è detto, il principale e più efficace strumento giuridico per far valere i tuoi diritti e pretendere e ottenere informazioni precise e chiare sia sul contenuto completo degli esami sia sulla circolazione dei relativi esiti sia sulla gestione delle autocertificazioni rilasciate durante il lockdown.

Si tratta di tuoi diritti fondamentali, e possiamo aiutarti a esercitarli. Nel caso di violazioni che abbiano determinato un danno hai altresì titolo a ottenere risarcimento.