Proteggere i dati per rafforzare la democrazia
Intervista a Ginevra Cerrina Feroni, Vice Presidente del Garante per la protezione dei dati personali
(National Security Magazine, 11 dicembre 2024)

I Large Language Model (LLM) pongono non pochi problemi riguardo alla protezione dei dati dei cittadini di un Paese e, di riflesso, alla sua sicurezza nazionale. Come tutelarli tramite il GDPR? Andrebbe implementato?

"I Large Language Model sono una tecnologia disruptive, come tale possono creare importanti benefici per la collettività e i singoli, così come possono tuttavia accrescere i rischi per la nostra democrazia e la tutela dei dati personali. Non a caso, come Autorità Garante siamo intervenuti su Chat-GPT con un provvedimento di limitazione provvisoria chiedendo al titolare, OpenAI, di implementare diverse misure di protezione dei dati e di rendere conto ai cittadini delle modalità di trattamento e raccolta dei dati personali e delle logiche di funzionamento degli algoritmi, applicando principi e norme del GDPR.

Normative come il GDPR sono essenziali per tutelare i cittadini dagli impatti di queste nuove tecnologie e devono essere implementate. A ciò dovrebbe corrispondere, a mio avviso, un rafforzamento delle competenze e un potenziamento delle strutture del Garante Privacy, per poter garantire un efficace presidio di vigilanza su queste tecnologie. Ci tengo, infatti, a sottolineare che la protezione dati è un diritto fondamentale, sancito a livello di Trattati europei (art. 1 6 TFUE e art. 8 CDFUE). Tuttavia, per essere effettivo, è necessario che le Autorità di vigilanza siano poste nelle condizioni materiali e strutturali di poter intervenire in maniera tempestiva ed efficace, soprattutto in via preventiva e non "a valle", quando ormai i rischi si sono realizzati."

Il GDPR, che nasce come strumento europeo, è stato completamente recepito in Italia? Viene rispettato nel nostro Paese?

"Il cd. GDPR, "General Data Protection Regulation", è un regolamento europeo adottato dall'UE nel 2016 ed entrato in vigore nel 2018. In Italia è seguito un importante adeguamento alle nuove regole europee con l'entrata in vigore del d.igs. 101 /2018, che ha novellato il d.igs. 196/2003 recante il cd. "Codice Privacy". Vicende come quelle di cui stiamo leggendo questi giorni, come il caso dei dossieraggi, di Striano, di Perugia e di Intesa Sanpaolo fanno comprendere come ancora oggi, purtroppo, non sia socialmente percepita l'importanza della privacy, rectius protezione dei dati personali. Si tratta di un diritto fondamentale, vitale per garantire l'essenza stessa della democrazia e la tenuta dell'ordinamento, eppure viene ancora concepita come un inutile ostacolo all'innovazione, un problema burocratico di cui sbarazzarsi, una "fisima" di pochi addetti ai lavori. Se ne comprende la crucialità soltanto quando viene violata. Credo che sia fondamentale invertire questa tendenza culturale e politica, attribuendo alla protezione dati - e alle competenti Autorità di controllo - la centralità che le spetta nel dibattito pubblico, nell'agenda degli interventi politici e nei progetti di riforma".

Qual è la differenza tra anonimizzazione e pseudonimizzazione dei dati? Come fare per renderli completamente anonimi?

Con "anonimizzazione" si fa riferimento a un insieme di tecniche con cui è possibile privare i dati personali dei loro attribuiti in modo tale da impedire di risalire all'identità degli interessati, delle persone fisiche cui si riferiscono. Ad esempio, una sentenza è anonimizzata quando è stata privata di tutte quelle informazioni che possono consentire di individuare l'identità del condannato anche a posteriori come nome. cognome, residenza, età. sesso, domicilio. Esistono diverse tecniche di anonimizzazione dei dati personali. come la randomizzazione o la generalizzazione. Qualunque sia la tecnica adottata, il rischio di reidentificazione deve essere attentamente valutato nel corso del tempo tenuto conto dell'incrocio con altre informazioni che potrebbero consentire, nonostante l'oscuramento, di rendere comunque identificabile l'interessato".

L'anonimizzazione non deve essere confusa con la pseudonimizzazione. Quest'ultima è una misura di protezione dei dati personali, in quanto ne riduce la correlabilità in un dataset. In pratica, consiste nel sostituire un attributo univoco di un dato con un altro. Come quando un cantante viene chiamato con il suo pseudonimo, così il dato personale come il numero di una carta di identità viene sostituito con uno pseudonimo, ad esempio un numero generato in maniera randomica. Chi è in possesso della chiave per decodificare il numero randomico riesce ancora a risalire all'identità del titolare della carta di identità. Questa è la differenza chiave tra dato anonimo e dato pseudonimizzati. il primo non è più un dato personale, mentre il secondo lo è ancora e, quindi, è soggetto a tutte le relative garanzie previste dalla normativa di settore."

L'immigrazione, un'altra sfida del nostro tempo. Il GDPR si estende solo ai cittadini e ai residenti in un determinato Stato o anche a chi è presente, magari non in maniera regolare o temporaneamente sul suolo di un Paese straniero. Come rapportarsi con la necessità di tutelare anche i dati di questi individui?

"Il GDPR si applica alle persone fisiche, a prescindere da nazionalità o luogo di residenza [v. cons. 14 GDPR]. La protezione dati è un diritto fondamentale della persona che tuttavia, non è "assoluto" ma deve essere bilanciato con altri interessi di rilevanza pubblica come la tutela dell'ordine e la sicurezza. Penso, ad esempio, al recente caso del cd. "decreto Flussi", ossia il decreto-legge n. 145/2024 che legittima ufficiali e agenti delle Forze dell'Ordine ad accedere in modo immediato ai dati identificativi delle SIM e e-SIM dei dispositivi elettronici in possesso ai migranti che non cooperano nelle procedure di verifica dell'identità. Il decreto-legge in questione non fa altro che recepire una normativa di rango europeo, il Regolamento n. 1348/2024 che rende possibile la perquisizione nel caso di mancata collaborazione dello straniero con riferimento ai suoi "effetti personali", tra i quali rientrano anche "dispositivi elettronici quali laptop, tablet o telefoni cellulari" al solo fine di acquisire informazioni su età, identità, cittadinanza, Paesi di soggiorno e di transito. Quindi a monte il legislatore europeo ha fatto una valutazione. ritenendo sacrificabile il diritto alla protezione dati dei migranti per esigenze di tutela dell'ordine pubblico e verifica dell'identità dei soggetti in ingresso nel territorio europeo."

Bio: Ginevra Cerrina Feroni, Professore ordinario di Diritto Costituzionale all'Università di Firenze e avvocato, è membro della Cabina di regia per i livelli essenziali delle prestazioni presso la Presidenza del Consiglio. Ha ricoperto ruoli direttivi nell'Associazione Italiana di Diritto Pubblico Comparato e nella Commissione per la riforma costituzionale del Governo Letta. È Fellow della University of Berkeley e ha coordinato progetti di ricerca europei e nazionali. Collabora con varie testate giornalistiche su temi giuridici