Il consenso al trattamento dei dati dei soggetti vulnerabili. Intervista al Prof. Antonio Gorgoni

Il Prof. Antonio Gorgoni è dal 2015 professore di diritto privato I e II nel Dipartimento di Scienze Giuridiche dell’Università degli Studi di Firenze. Dal 2022 è titolare dell’insegnamento “Persone e mercato: sicurezza e sostenibilità” nel nuovo Corso di Laurea Magistrale in “Diritto per la sostenibilità e per la sicurezza” offerto dalla Scuola di Giurisprudenza di Firenze, dove le interazioni tra IA e diritti fondamentali sono al centro del corso.

È stato delegato per l’Orientamento in itinere della Scuola di Giurisprudenza di Firenze e nel 2019 è stato nominato dal Rettore, e riconfermato nel 2023, Presidente della Commissione Biblioteche di Ateneo, organo di Governo del Sistema bibliotecario.

Ha presentato diversi progetti europei sulla promozione e protezione dei minori anche nell’ambiente digitale e, da ultimo, un progetto europeo sul neuromarketing intitolato “Users’ personal DATA, targeting, privacy and contractual consent on DIGItal platforms in EU Private Law”. È membro del comitato editoriale della rivista di Fascia A “Persona e Mercato”, Responsabile scientifico Prof. G. Vettori, e collabora all’aggiornamento dei contenuti giuridici del relativo sito “Persona e Mercato”. È membro dell’European Law Institute (ELI)

 

Il Prof. Antonio Gorgoni

 

 

Come viene definito il concetto di “vulnerabilità” dalle fonti europee?

Nelle fonti europee non vi è una vera e propria definizione di vulnerabilità, sebbene questa condizione umana sia espressamente nominata e contornata da disposizioni protettive della persona nell’ambiente digitale.

Almeno dal 2005 le fonti europee utilizzano il termine vulnerabile al fine di ampliare la tutela della persona oltre quella riconosciuta al “consumatore medio” quale parametro di riferimento ordinario della normativa sul consumo. Il campo semantico della vulnerabilità oltrepassa la disabilità, l’incapacità legale, l’incapacità naturale e lo status di consumatore per abbracciare la persona in quanto tale, la quale si scopre debole in contesti nuovi come nel mondo sconfinato di Internet. La vulnerabilità, sostantivo che evoca giustizia e dignità, ha pertanto un doppio carattere: universale in quanto connaturato a tutti gli esseri umani e situazionale rispetto a determinati contesti. Sul punto ricca e pregnante è l’analisi di Baldassarre Pastore, filosofo del diritto, svolta nel volume “Semantica della vulnerabilità, soggetto, cultura giuridica”.

È utile allora richiamare alcune disposizioni legislative che, sul presupposto della vulnerabilità, tutelano l’autodeterminazione soprattutto delle persone più deboli fisiologicamente (consumatore, minore di età) o in ragione di una patologia fisica o psichica (anziano, disabile). Nella direttiva 2005/29/CE sulle pratiche commerciali sleali tra imprese e consumatori, al considerando 18 si afferma espressamente che in essa vi sono “altresì disposizioni volte ad evitare lo sfruttamento dei consumatori che per le loro caratteristiche risultano particolarmente vulnerabili alle pratiche commerciali sleali. In questa tipologia rientrano i “bambini”, i quali devono essere tutelati dal divieto di ogni pratica pubblicitaria contenente una esortazione diretta ai medesimi all’acquisto o al convincimento dei genitori o di altri adulti [cfr. anche art. 26 lett. e) cod. cons.].

Anche nel regolamento (UE) 2016/679 sul trattamento dei dati personali (GDPR) vi sono significativi riferimenti alla vulnerabilità tra cui si segnalano i seguenti: il considerando 38  sottolinea la necessità di una “specifica protezione” dei minori quanto ai loro dati personali utilizzati a fini di marketing o di “creazione di profili di personalità o di utente” o raccolti “all’atto dell’utilizzo di servizi forniti direttamente a un minore”; il considerando 71 esclude che il trattamento automatizzato di aspetti personali – che comprende la profilazione – al fine di assumere una decisione (ad es.: credito on line, assunzione elettronica) possa riguardare il minore; il considerando 75, tra i trattamenti di dati personali suscettibili di cagionare un danno all’interessato, indica il trattamento dei “dati personali di persone fisiche vulnerabili in particolare minori”; l’art. 6 (sulla liceità del trattamento), al comma 1 lett. f), afferma che il “legittimo interesse” del titolare del trattamento dei dati, quale base giuridica del trattamento, incontra un limite nei diritti e nelle libertà fondamentali in particolare del minore.

Indubbiamente il minore, in quanto fisiologicamente vulnerabile, è particolarmente protetto dalla normativa europea, come si evince, ad esempio, dall’art. 8 GDPR sulle condizioni applicabili al consenso minorile all’offerta di servizi della società di informazione (Facebook, Instagram, Chatgtp e altro).

Va ricordata, più di recente, anche la Risoluzione del Parlamento europeo del 18 gennaio 2023 sulla “protezione dei consumatori nei videogiochi on line: un approccio a livello del mercato unico europeo”, in cui, rilevati i benefici apportati dai videogiochi (svago, inclusività, sviluppo di nuove tecnologie, posti di lavoro), ideati da un’industria culturale e creativa dall’elevato fatturato mondiale, se ne stigmatizzano i pericoli proponendo soluzioni. Tra i più diffusi si menzionano quelli scaturenti dalle “scatole premio”, dalla “progettazione manipolativa” e dal disturbo da gioco come definito dall’OMS. Ovviamente i più esposti a questi pericoli sono proprio i bambini e i minorenni.

Degna di particolare nota è la Proposta di Regolamento del Parlamento europeo e del Consiglio “che stabilisce regole armonizzate sull’intelligenza artificiale (legge sull’intelligenza artificiale) e modifica alcuni atti legislativi dell’Unione”, articolata in dodici titoli. Si segnala qui il titolo II sulle “Pratiche di intelligenza artificiale vietate” dove, all’art. 5 lett. b), si vieta “l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che sfrutta le vulnerabilità di uno specifico gruppo di persone, dovute all’età o alla disabilità fisica o mentale, al fine di distorcere materialmente il comportamento di una persona che appartiene a tale gruppo in modo che provochi o possa provocare a tale persona o a un’altra persona un danno fisico o psicologico”.

Come si può notare dai predetti richiami normativi (anche de jure condendo), l’UE, da un lato, ha accolto un concetto di vulnerabilità in senso ampio, si direbbe universale. Si è oltrepassata la figura egemonica del consumatore medio, aggiungendo il minore, il disabile, l’anziano e, in definitiva, ogni persona che si scopra debole nella rete Internet. Di fronte allo strapotere della tecnologia l’essere umano è vulnerabile e bisognoso di una protezione piuttosto articolata, come si evince dalla complessità delle fonti europee, che necessita anzitutto di misure preventive di responsabilizzazione delle piattaforme. Dall’altro lato, l’UE ha collegato la vulnerabilità al rischio presente in rete di incorrere in un’alterazione del proprio comportamento determinata dall’azione della tecnologia digitale, abilissima a sfruttare i dati personali, disseminati ovunque nello spazio virtuale, per fini economici e politici.

L’ambiente digitale, insomma, luogo, almeno negli auspici dei primordi, moltiplicatore dell’esercizio della democrazia e delle libertà, ha visto accrescere enormemente il pericolo di sfruttamento della persona; di conseguenza, sul piano giuridico europeo, la vulnerabilità è assurta a condizione soggettiva ontologica rilevante. Da questo angolo visuale, va sottolineato che, rispetto al codice civile italiano, si registra un avanzamento di tutela, poiché nel codice le condizioni di debolezza della persona rilevano più limitatamente, giacché circoscritte all’incapacità, ai vizi del consenso, alla rescissione e alla circonvenzione di incapace (art. 643 c.p.).

 

Il codice civile utilizza esplicitamente il termine “vulnerabili?

L’evoluzione della scienza e della tecnologia digitale, oltre a favorire un progresso in molti campi (medicina, ambiente, lavoro, sicurezza, giustizia) delinea spazi inediti di strumentalizzazione e discriminazione della persona. In questo fluire della storia dell’umanità, è naturale che il codice civile non offra più risposte soddisfacenti alle nuove istanze di tutela, impregnato com’è di policies del diritto divenute inadeguate rispetto ai cambiamenti sociali. Non stupisce, quindi, che il codice civile non contenga le parole “vulnerabilità”, “persona vulnerabile”; esse, negli anni quaranta del secolo scorso, erano reputate indeterminate nel delineare la condizione soggettiva rilevante e, di conseguenza, incontenibili rispetto alla contrapposta esigenza di tutela della certezza del traffico giuridico.

Un esempio emblematico dell’accorto bilanciamento tra tutela della volontà e tutela della circolazione è dato dalla normativa sui vizi del consenso (artt. 1427 ss. c.c.), che disegna una geometria dei rapporti tra le parti del contratto quasi impermeabile a interpretazioni evolutive. Si pensi agli ostacoli concettuali frapposti dalla giurisprudenza alla rilevanza del dolo omissivo, superati dalla direttiva europea sulle pratiche commerciali sleali (cfr. art. 7 “omissioni ingannevoli”). Tuttavia le forme di influenza della voluntas nel web sono diverse da quelle riconducibili alle categorie e agli istituti del codice civile. Incapacità legale, incapacità naturale e abuso di deficienza psichica nella circonvenzione penalistica hanno in comune l’esistenza di una condizione soggettiva patologica di debolezza, impeditiva dell’autodeterminazione, che giustifica la risposta rimediale. La quale è espressa, quanto all’incapacità, dall’annullabilità del contratto, quanto al reato di circonvenzione di incapace, dalla nullità del contratto concluso dal circonvenuto.

Nel mondo on line, invece, gli operatori economici ambiscono a conoscere la volontà delle persone, taluni tratti del carattere, le espressioni facciali, le preferenze al fine di indirizzare individualmente prodotti che, verosimilmente, interesseranno. In questi casi, tendenzialmente, non si sfrutta una debolezza psichica in assenza della quale il contratto non sarebbe stato concluso, ma, tramite la conoscenza dei dati personali, si desumono i desideri così da poter sollecitare all’acquisto nell’interesse dell’impresa.

Si pensi al fenomeno del targeting, definito come “l’atto di indirizzare o rivolgere qualcosa a un particolare gruppo di persone” o come “l’atto di tentare di attrarre una persona o un gruppo o di influenzarli in qualche modo” a partire dalla conoscenza di dati personali forniti, osservati o desunti. Il targeter, attraverso l’indirizzamento di messaggi ad personam, può minare l’autonomia e la libertà individuale, tanto nell’ambito commerciale quanto nella maturazione di un convincimento politico. In modo ancora più grave e subdolo l’impresa X, fruendo dei criteri di targeting di una piattaforma di social media, potrebbe rivolgersi a persone che probabilmente sono impulsive e a basso reddito, facendo loro pervenire pubblicità di siti di scommesse sportive (cfr. amplius Linee guida 8/2020 “sul targeting degli utenti di social media, adottate dall’EDPB il 13 aprile 2021).

In questi casi in cui vengono coinvolte persone capaci di intendere e di volere, ma vulnerabili, è più difficile ravvisare un’incapacità o un vizio classico del consenso. Alcuni Autori hanno affermato che il consenso informato e l’interesse legittimo, basi giuridiche del trattamento dei dati personali (art. 6 GDPR), non rendono di per sé lecito il trattamento dei medesimi né l’attività di targeting. La tesi è argomentata soprattutto da alcuni articoli del GDPR: 22 sul “processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”, 5 sui “principi applicabili al trattamento di dati personali” e 15 comma 1 lett. c) sul “diritto di accesso dell’interessato” ai dati personali e a certe informazioni tra cui i “destinatari o categorie di destinatari a cui i dati personali sono o saranno comunicati [(vi è, dunque, il diritto di conoscere il targeter), cfr. S. Orlando, Per un sindacato di liceità del consenso privacy, in Persona e mercato, 2022, 4, p. 527 ss.].

 

La tutela della volontà dà esplicito rilievo alla vulnerabilità?

Posto che, come si diceva, il codice civile riconosce soltanto alcune debolezze incidenti sulla volontà e sulla validità degli atti giuridici, occorreva una normativa europea che, nei limiti delle competenze e degli obiettivi dell’Unione, ampliasse l’ambito delle vulnerabilità per rafforzare l’effettività dell’autodeterminazione. Ma v’è di più: il fenomeno che più inquieta attiene alla manipolazione delle persone nella rete digitale, indotte a pensare e ad agire in un certo modo, l’unico possibile, mancando nella sfera cognitiva di ciascuno la possibilità di pervenire a verità alternative. Si cerca di precludere, pacificamente, la capacità di analisi e di critica degli avvenimenti. Ora se la persona agisce e si forma dei convincimenti in una condizione di apparente libertà, la vulnerabilità diventa una condizione connaturata a ogni persona che – è inevitabile – naviga e opera in Internet.

Quest’ultimo è un punto nodale: occorre, quale indirizzo politico, valorizzare la  formazione culturale, la maturazione di conoscenze vere, l’acquisizione della capacità di ragionamento e di critica, lo spirito di sacrificio, facendo comprendere che si usufruisce della tecnologia senza esserne il prodotto.

E allora tutelare la volontà del consumatore postula il rilievo giuridico della vulnerabilità, nella consapevolezza che il diritto europeo e degli stati membri deve garantire un impiego dell’IA compatibile con il valore della centralità della persona. Duplice è la strategia dell’UE: 1) regolare il comportamento della imprese affinché maturi un clima generale di “fiducia” – termine frequente nelle fonti europee – nei traffici anche transfrontalieri; 2) far sì che ogni cittadino europeo consideri la tecnologia come strumento ad adiuvandum e non sostitutivo delle  proprie capacità (in molti parlano di IA umano-centrica, non discriminatoria, equa e trasparente).

Il primo piano di intervento – rafforzamento dell’autodeterminazione del consumatore – è più arato. Solo alcuni esempi. La direttiva sulle pratiche commerciali sleali, già ricordata, tutela il consumatore da  pratiche tese a “falsare in misura rilevante il comportamento economico in relazione al prodotto” e riserva un’attenzione specifica al consumatore particolarmente vulnerabile (art. 5 comma 3). Ma già nella direttiva 93/13/CEE sulle clausole abusive lo scopo, oltre la tutela della concorrenza tra imprese, è di proteggere il consumatore dallo squilibrio contrattuale causato dalla mancanza di una trattativa tra le parti idonea a influire sul contenuto del contratto (art. 3 commi 1 e 2). Ancora: la direttiva 2011/83/UE sui diritti dei consumatori, nell’ultima versione consolidata del 28/05/2022, rafforza la formazione della volontà e della tutela del consumatore rispetto ai contenuti e ai servizi digitali e al mercato on line (artt. 2, 3-1 bis, 6 e-bis), 6 bis).

Il secondo piano di intervento normativo è più complesso perché si intende, da un lato, “favorire lo sviluppo di un ecosistema di fiducia nei confronti dell’IA in Europa” (così al punto 1.3 della proposta di regolamento sull’IA), dall’altro, applicare un principio di cautela e di responsabilizzazione di chi utilizza sistemi di IA ad alto rischio (cfr. artt. 6 ss. Proposta di Regolamento sull’IA). A ciò si aggiunga un elenco di pratiche vietate giacché distorsive del comportamento, sfruttatrici della vulnerabilità di uno specifico gruppo di persone o valutative dell’affidabilità (art. 5 proposta di regolamento sull’IA).

Rimanendo ancora su questo piano, il rischio più grande dell’uso dell’IA, segnalato da giuristi, psicologi e filosofi, è il condizionamento delle persone fin dalla più tenera età in tutti gli aspetti più rilevanti dell’esistenza, compreso l’indottrinamento politico, con conseguente pericolo per il corretto funzionamento della democrazia. Allora una delle principali sfide della politica e di tutte le componenti sociali è di avversare il c.d. “behaviorismo digitale” (id est: ritenere che il comportamento di un individuo possa essere previsto e guidato con esattezza), valorizzando l’imprevedibilità ragionata della decisione umana, assicurata dalla capacità critica e di analisi, appresa in un sistema scolastico e universitario all’altezza dei tempi.

 

Quali profili rientrano esattamente nella categoria “vulnerabili?

Come si accennava, nell’ambiente digitale e nel mercato on line, la vulnerabilità è una condizione connaturata a tutti i fruitori della rete. Non rileva solo la minore età, l’anzianità, la disabilità o una qualche forma di dipendenza; neppure la sola figura del consumatore, esposta al contenimento della propria capacità di autodeterminarsi, esaurisce la categoria dei soggetti deboli.

Nella consapevolezza che anche alcune imprese sono deboli nel tessuto economico digitale (cfr. sul punto il Regolamento (UE) 2022/1925 “relativo a mercati equi e contendibili nel settore digitale” (digital market act),  è sulla persona fisica chi ci concentriamo. Essa, disseminando nella rete dati personali, si espone a decisioni discriminatorie attraverso l’uso di sistemi di IA che forniscono un “punteggio sociale” (cfr. considerando 17 proposta di reg. IA) o altre risposte (considerando 35, 36, 37 proposta di reg. IA), alla sorveglianza e al condizionamento. Si pensi alle fake news, alle filter bubbles ai social bot (id est: falsi account automatizzati nei social media che si spacciano per persone e postano, twittano, pongono like contribuendo alla formazione di un’opinione pubblica inesistente inquinando l’ambiente elettorale), pratiche idonee a distorcere il comportamento di tutti soprattutto dei più giovani.

Opportunamente l’art. 5 lett. a) della proposta di regolamento sull’IA vieta tutte quelle pratiche il cui esito è di determinare un danno fisico o psicologico. Un giovane sistematicamente privato del suo diritto di ricevere un’informazione corretta e di non essere artatamente privato della pluralità di prospettive subisce un attacco radicale al suo diritto di formarsi. Il testo di questa disposizione afferma, più compiutamente, quanto segue: “Sono vietate le pratiche di intelligenza artificiale [che determinano] l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che utilizza tecniche subliminali che agiscono senza che una persona ne sia consapevole al fine di distorcerne materialmente il comportamento in un modo che provochi o possa provocare a tale persona o a un’altra persona un danno fisico o psicologico”.

Bisognerebbe riflettere maggiormente anche sulle conseguenze per uno studente dell’uso eccessivo della piattaforma chatgpt per svolgere i compiti scolastici e preparare discorsi. Ad ogni modo è comunque auspicabile la previsione obbligatoria nelle scuole di alcune ore dedicate all’educazione all’utilizzo della rete. La scuola dovrebbe essere deputata anche alla trattazione di tematiche contemporanee, così da unire il percorso di studi al proprio tempo. I ragazzi, anch’essi soggetti vulnerabili, hanno bisogno, oggi più che mai, di discorsi sul significato della loro presenza nel mondo e sul futuro.

 

Le forme più aggressive di neuromarketing delle artificial intelligence che conseguenze possono avere per le categorie più vulnerabili della nostra società?

La proposta di regolamento sull’IA si propone di stabilire regole di trasparenza armonizzate per i sistemi di IA destinati a interagire con le persone fisiche, i sistemi di riconoscimento delle emozioni, i sistemi di categorizzazione biometrica e i sistemi di IA utilizzati per generare o manipolare immagini o contenuti audio o video. In particolare il titolo IV disciplina quei sistemi di IA che: a) interagiscono con gli esseri umani; b) sono utilizzati per rilevare emozioni o stabilire un’associazione con determinate categorie sociali sulla base di dati biometrici; c) generano o manipolano contenuti (“deep fake”).

Nel paragrafo 5.2.4 della relazione a tale proposta si sottolinea che, rispetto ai predetti sistemi di IA, occorre anzitutto prevedere un obbligo informativo al fine di “consentire alle persone di compiere scelte informate o di compiere un passo indietro rispetto a una determinata situazione”. Dunque chi è oggetto di un rilevamento delle proprie emozioni da cui trarre dati utili a fini economici (vendite, campagne pubblicitarie, riorganizzazione di siti ai fini commerciali) o di un sistema di categorizzazione biometrica deve essere preventivamente informato attraverso una notifica. Si sottolinea, inoltre, nella proposta che le informazioni e le notifiche devono essere fornite in formati accessibili alle persone con disabilità.

Nel considerando 70 della stessa proposta si sottolinea il rischio di “impersonificazione o inganno” scaturente da alcuni sistemi di IA destinati all’interazione con le persone fisiche o alla generazione di contenuti. Nell’art. 3 n. 34 si definisce il “sistema di riconoscimento delle emozioni [come ] un sistema di IA finalizzato all’identificazione e alla deduzione di emozioni o intenzioni di persone fisiche sulla base dei loro dati biometrici”; questi ultimi sono, ai sensi del n. 33 dello stesso articolo, “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

Di fronte a questo possibile quadro normativo, una delle domande da porsi è non tanto se il sistema di identificazione e deduzione delle emozioni sia legittima, poiché a certe condizioni lo è secondo l’art. 52 della proposta di regolamento sull’IA (ma è dignitoso?), quanto piuttosto se il suo uso possa divenire illegittimo nonostante l’articolata informativa prevista (cfr. il comma 2 dell’art. 52 sul funzionamento dell’IA). Si dovrebbe risponde affermativamente se la conoscenza altrui di ciò che verosimilmente farà un utente o un gruppo di utenti è utilizzata per lucrare sfruttando una condizione di vulnerabilità. Si argomenta dal divieto posto dall’art. 5 lett. b) della proposta di regolamento IA di immettere sul mercato, mettere in servizio o usare un sistema di IA che sfrutti la vulnerabilità di uno gruppo specifico di persone qual è, a titolo esemplificativo e non tassativo, l’età o la disabilità fisica o mentale.

È certamente da apprezzare l’idea di policy del diritto di improntare la normativa dell’Unione europea alla protezione dei diritti fondamentali stabiliti dalla CDFUE (cfr. § 3.5 della relazione alla proposta di regolamento sull’IA) e, in particolare, delle persone vulnerabili. Non può che essere invalido l’atto compiuto nell’ambiente digitale dalla persona la cui debolezza sia stata carpita dall’IA e sfruttata da un’impresa. Un’invalidità possibile solo se sia stata assicurata la trasparenza e la tracciabilità dei sistemi di IA oltre ai controlli ex post (ciò che prevede la proposta di regolamento sull’IA).

 

Nella proposta di regolamento europeo Artificial Intelligence Act sono previsti aggiornamenti riguardo le tutele per le persone vulnerabili? Cosa cambia se si tratta di minore o disabile secondo la proposta di regolamento?

Quanto alla prima domanda, si dovrebbe rispondere affermativamente perché la proposta di regolamento sull’IA intende garantire un utilizzo dell’IA che non sia lesivo di diritti fondamentali, discriminatorio, né proteso a sfruttare le persone (gli “utenti”) soprattutto se vulnerabili.

Va rilevato che la proposta di regolamento, tra le diverse opzioni strategiche a disposizione, ha scelto di dettare un quadro normativo prescrittivo soltanto per i sistemi di IA ad alto rischio per la salute e la sicurezza o per i diritti fondamentali delle persone fisiche; invece, i fornitori di sistemi di IA non ad alto rischio possono seguire un codice di condotta in cui prevedere l’applicazione dei requisiti obbligatori previsti per i sistemi di IA ad alto rischio e altri impegni relativi alla sostenibilità ambientale, all’accessibilità dei disabili e alla partecipazione di portatori di interessi alla progettazione di sistemi di IA.

Quanto ai sistemi di IA ad alto rischio, oltre a una classificazione dei medesimi ai sensi dell’art. 6 e degli allegati II e III alla proposta, vi è un complesso di disposizioni piuttosto dettagliate in funzione preventiva e successiva all’immissione nel mercato dell’IA.

In sintesi si prevede: un sistema di gestione dei rischi, il cui grado di accuratezza cresce qualora il sistema di IA ad alto rischio “sia accessibile ai minori o abbia un impatto su essi (art. 9 comma 8); un’articolata pratica di governance dei set di dati di addestramento, convalida e prova sulla cui base vengono sviluppati sistemi di IA (tali set devono essere pertinenti, rappresentativi, esenti da errori e completi); l’obbligo di una documentazione tecnica da redigere prima dell’immissione sul mercato o della messa in servizio di un sistema di IA; un insieme dettagliato di informazioni da fornire agli utenti contenute nelle “istruzioni per l’uso in formato digitale”; la “sorveglianza umana” atta a correggere ove necessario l’output del sistema di IA; obblighi dei fornitori del sistema di IA ad alto rischio tra cui si segnala la garanzia che tale sistema sia stato sottoposto alla procedura di valutazione della conformità (alle norme armonizzate di cui al titolo III capo 2) prima della sua immissione sul mercato o messa in servizio (artt. 16, 40, 43 e allegati VI e VII) cui si aggiunge la redazione di una dichiarazione scritta  di conformità UE (art. 48) e l’apposizione della marcatura CE (art. 49).

Lo scopo è di garantire un utilizzo quanto più sicuro e controllato possibile del sistema di IA ad alto rischio in un clima di sempre maggiore fiducia da parte degli utenti. La fiducia nell’utilizzo delle tecnologie è una sfida aperta che meritoriamente ha assunto l’UE. Le regole giuridiche devono generare sicurezza nei destinatari.

Passando al piano più specifico del rilievo della vulnerabilità, la proposta vieta, come si diceva, talune partiche di IA: quelle volte a distorcere il comportamento di ogni persona fisica mediante l’uso di “tecniche subliminali”. Si noti che la rilevanza giuridica non si appunta tanto sul valore della libera scelta e sulla sua promozione, quanto piuttosto sul divieto di utilizzare una tecnologia per sfruttare le debolezze di una persona consapevole di ciò che voglia. In altri termini, il punto non è soltanto assicurare che la persona possa esprimere liberamente il proprio volere, quanto piuttosto evitare che le debolezze umane siano sollecitate a manifestarsi per soddisfare l’interesse economico o politico di qualcuno (persona come mezzo).

La conseguenza dell’uso vietato di un tale sistema di IA non potrà che essere la nullità dell’atto.

A fortiori sarà parimenti nullo l’atto compiuto con l’influenza di un sistema di IA che abbia consentito di sfruttare “le vulnerabilità di uno specifico gruppo di persone, dovute all’età o alla disabilità fisica o mentale, al fine di distorcere materialmente il comportamento di una persona appartenente a tale gruppo” con conseguente “danno fisico o psicologico”.

Si consideri che la persona è vulnerabile anche di fronte a sistemi di IA utilizzati per valutarne o classificarne l’affidabilità sulla base di comportamenti o di tratti del carattere, di dati disseminati nel web, con ricadute escludenti e discriminatorie [art. 5 lett. c) proposta di reg. IA]. Analogamente vale rispetto all’uso – vietato salvo che per il perseguimento di certi obiettivi e a determinate condizioni – di sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico a fini di attività di contrasto [art. 5 lett. d) proposta di reg. IA].

Al divieto di alcuni utilizzi di sistemi di IA si affiancano, ai sensi dell’art. 52 proposta di reg. IA, gli obblighi di trasparenza per quei sistemi di IA “destinati ad interagire con le persone fisiche” o in grado di riconoscere le emozioni o di “genera[re] o manipola[re] immagini o contenuti audio o video che assomigliano notevolmente a persone, oggetti, luoghi o altre entità o eventi esistenti e che potrebbero apparire falsamente autentici o veritieri per una persona (deep fake)”. Tuttavia, aver ricevuto l’informazione della interazione dell’IA con la persona o del riconoscimento delle emozioni non esclude la nullità dell’atto compiuto dal soggetto vulnerabile se vi sia stato sfruttamento della vulnerabilità – difficile da escludere rispetto a certe debolezze – o se i dati personali non siano stati trattati in modo lecito, corretto, trasparente e per una finalità determinata, esplicita e legittima (art. 5 GDPR).

Quanto alla seconda domanda sulla diversità di trattamento rimediale qualora sia stato un minore o un disabile ad aver operato nell’ambiente digitale, valgano le seguenti sintetiche considerazioni. Ci sono almeno due aspetti da considerare.

Da un lato, come già rilevato, l’età e la disabilità fisica o mentale sono accomunate dall’essere condizioni di vulnerabilità rispetto all’uso di un sistema di IA finalizzato a sfruttarle [art. 5, comma 1, lett. b) proposta di reg. IA]. L’atto compiuto dal minore sfruttato in rete ai sensi della normativa di riferimento dovrà essere ritenuto nullo per violazione di una norma imperativa – e non già annullabile secondo l’impostazione del codice civile – a prescindere dal raggiungimento dell’età richiesta dalla normativa per prestare il consenso in relazione ai servizi della società dell’informazione (art. 8 GDPR e art. 2-quinquies codice privacy).

Ugualmente si ammette con riguardo all’atto compiuto dal disabile la cui vulnerabilità è stata carpita dal fornitore di social media e dal targeter.

Dall’altro lato, sia il minore che il disabile devono poter partecipare, con il loro grado di autonomia, a tutti gli ambiti della vita compreso l’ambiente digitale. Ad esempio l’art. 9 della Convenzione sui diritti delle persone con disabilità (ratificata con legge n. 18/2009) impone agli Stati Parti di assicurare alle persone con disabilità “l’accesso all’informazione e alla comunicazione, compresi i sistemi e le tecnologie di informazione e comunicazione”. Se il disabile ha diritto a una vita (il più possibile) indipendente e ad essere incluso nella comunità (art. 19 Conv. disabilità, cit.), se l’accessibilità agli ambienti non solo fisici ma anche virtuali è uno dei punti della “Strategia per i diritti delle persone con disabilità 2021-2030”, è evidente come sia da respingere l’equazione disabilità=vulnerabilità=incapacità di agire.

Ci si pone, certo, su un terreno delicato tra autonomia privata e protezione, ma il disabile – e anche il minore – ha diritto di utilizzare la tecnologia, di intervenire nel mondo digitale senza essere  strumentalizzato. Nella Relazione alla proposta di regolamento sull’IA, il legislatore si propone di assicurare “l’inserimento delle persone con disabilità” (cfr. § 3.5) e l’ “accessibilità” (cfr, § 5.2.7.).

In definitiva l’iper-protezione del disabile  – come de resto è già accaduto con l’interdizione giudiziale – si risolve nella sua esclusione dall’ambiente digitale, ambito, questo, molto più frequentato rispetto a quello contrassegnato dalla presenza fisica delle persone.

La proposta di regolamento europeo effettua una reale distinzione tra dolo o raggiro nelle manifestazioni di volontà “lette” dal neuromarketing, dove la volontà viene dedotta dalle IA? In generale siamo dunque tutti vulnerabili?

La proposta di regolamento sull’IA non qualifica un certo utilizzo dei sistemi di IA come doloso, volto cioè a raggirare gli utenti inducendoli a compiere un atto che, altrimenti, non avrebbero compiuto (dolo determinante) o che avrebbero compiuto a condizioni diverse (dolo incidente).

Le tecniche di neuromarketing idonee ad ipotizzare la volontà futura e il comportamento della persona che naviga in rete, come pure il targeting conseguente all’elaborazione e analisi dei dati personali disseminati nello spazio virtuale non sono di per sé vietati. Il sistema di riconoscimento delle emozione è legittimo se chi vi è sottoposto è stato previamente informato (art. 52 proposta di reg. IA), come pure lo è il targeting se vi è una base giuridica del trattamento dei dati personali prevista dall’art. 6 GDPR.

La qualificazione negativa attiene all’utilizzo di “tecniche subliminali” operanti nell’inconsapevolezza di chi vi sia sottoposto e “al fine di distorcerne materialmente il comportamento” così da subire un “danno fisico o psicologico” [art. 5, comma 1, lett. a) proposta di reg. IA]; parimenti avversato è l’uso di un sistema di IA che “sfrutta le vulnerabilità di uno specifico gruppo di persone [art. 5, comma 1, lett. b) proposta di reg. IA].

In questi casi c’è qualcosa di più e di diverso dal raggiro. Agli operatori nel mercato digitale preme non già indurre gli utenti a effettuare atti non voluti, ma sapere cosa interessa loro per ottimizzare il profitto. Non c’è raggiro se si fornisce a un utente ciò che egli desidera; non solo: quest’attività di indirizzamento commerciale di per sé non è illecita, salvo che sia priva di una base giuridica o sia volta a trarre profitto da una condizione di vulnerabilità che non può essere circoscritta alla sola età, disabilità e vecchiaia. Anche certe inclinazioni negative o vizi che si riverberano sulla propria psiche e sul benessere o serenità della propria famiglia, artatamente sfruttate dagli operatori delle rete, dovrebbero essere considerate vulnerabilità della persona e come tali giustificative di un rimedio privatistico e anche di natura ammnistrativa (cfr. art. 59 proposta di reg. IA).

È senz’altro positivo che la proposta di regolamento sull’IA abbia finalizzato la normativa soprattutto alla protezione dei diritti fondamentali della persona tra cui spicca la salute e il diritto di autodeterminarsi (è definitivamente tramontata l’idea di una rete senza regole: Internet è regno di violazioni continue di diritti). In questo quadro si inserisce l’art. 59, comma 4, proposta di reg. IA secondo cui il personale dell’Autorità nazionale competente, che sarà deputa a garantire l’attuazione del regolamento, deve avere conoscenze e competenze approfondite sulle tecnologie, sui dati e il calcolo dei dati di intelligenza artificiale, sui diritti fondamentali, sui rischi per la salute e la sicurezza e altresì un’adeguata conoscenza della normativa esistente.

Va sottolineato, però, come il problema della vulnerabilità sia più ampio e più inquietante rispetto alla debolezza del singolo o del gruppo di persone strumentalizzate nell’ambiente digitale da un uso illegittimo di un sistema di IA. Il pericolo più grande è corso dai giovanissimi e dalle future generazioni i cui pensieri, desideri, interessi e ambizioni rischiano di essere modellati da un eccesso di navigazione on line. Il potere da sempre esercita un controllo sulle persone; nel tempo presente il controllo è esercitato fin dalla giovanissima età e durante l’intera esistenza, modellando la personalità e le attitudini “in modo gentile” (si pensi al fenomeno del nudge).

È un controllo pacifico e silenzioso, finalizzato a costruire un mondo popolato da persone apparentemente libere (il “docile oggetto di poteri altrui” di cui parlava S. Rodotà, Il diritto di avere diritti, p. 394), non inclini alla critica e incapaci di trovare da sé le risposte alle questioni che il vivere sociale solleva continuamente. Non è solo un problema di proteggere l’individuo vulnerabile dall’assumere decisioni sbagliate e indotte; occorre anche chiedersi se sia desiderabile un sistema politico e algoritmico che favorisca decisioni astrattamente giuste ma indotte (spinte gentilmente), privando così la persona del valore che lo sbaglio assume per la costruzione della propria personalità.

Stiamo assistendo, secondo molti osservatori, a un esito paradossale prodotto dall’avvento di Internet: la democrazia invece di rafforzarsi si affievolisce, perché essa si nutre della dialettica tra diverse posizioni dialoganti. La diversità di opinioni è, invece, schiacciata dall’algoritmo, il quale non solo nasconde altre posizioni, ma sostituisce il discorso promettente con la fede in banalità e semplificazioni. Così l’algoritmo conduce a tante polarizzazioni, a una “dittatura tribale dell’opinione e dell’identità” (B. C. Han, Infocrazia, p. 45).

Non si tratta certo di limitare l’accesso a Internet, rispetto al quale Stefano Rodotà proponeva di modificare l’art. 21 Cost. con l’introduzione del diritto di accedere alla rete Internet quale componente della cittadinanza e precondizione della democrazia; ma l’illustre giurista era ben consapevole delle derive causate dalle “tecnologie del controllo per imbrigliare dinamiche politiche, sociali e culturali”, condizionando la persona (“dittatura dell’algoritmo” o, secondo G. Teubner, Soggetti giuridici digitali? Sullo status privatistico degli agenti software autonomi, Napoli, 2019, algoritmi come “predatori pericolosi che penetrano negli ambiti del diritto civile” determinando “pericoli nuovi e impensati persino per gli esseri umani”). Ma allora se di fronte all’algoritmo tutte la persone sono vulnerabili, perché vittime delle proprie debolezze o addirittura plasmate nella (pseudo) conoscenza al fine di essere controllate e marginalizzate, quando non private dello sviluppo della loro personalità (valore costituzionale), occorre uno sforzo della politica e di tutte le componenti istituzionali (in primo luogo della scuola) nel trasmettere il (e soprattutto a far credere nel) valore dello studio e della formazione, educando all’utilizzo della rete (l’educazione del consumatore è un diritto fondamentale ai sensi dell’art. 2 e 4 del codice del consumo, come sottolinea Salvatore Orlando).

Anche la scuola, con la giusta misura, deve essere immersa nella contemporaneità, per far sì che gli studenti si interessino non solo di sé stessi, ma anche di alcune delle principali problematiche del tempo che vivono.

L’algoritmo è sì un formidabile strumento di calcolo e di razionalizzazione in tanti campi (sebbene G. Gigerenzer, Perché l’intelligenza umana batte ancora gli algoritmi, Milano 2023, rilevi come spesso i bias si annidino nei dati di cui si nutre l’algoritmo)  ma tale deve restare, senza debordare in un mezzo di controllo o funzionale a costruire, nell’inconsapevolezza dell’individuo, il migliore dei mondi possibili. In gioco c’è la salvaguardia dell’identità personale e del buon funzionamento della democrazia.

 

 

 

 a cura di Valeria Montani