Scorza: “AI addestrate coi dati personali, ecco le responsabilità dei gestori dei siti”
Sottrarre i dati personali contenuti nelle proprie pagine web alle reti da pesca dei signori degli algoritmi è una facoltà o un vero e proprio obbligo giuridico? La questione non è secondaria, attenendo all’impatto dell’intelligenza artificiale sulla nostra società e sulle regole della protezione dei dati personali
Intervento di Guido Scorza, Componente del Garante per la protezione dei dati personali
(AgendaDigitale, 4 ottobre 2023)

Dopo OpenAI, ora, anche Google Bard consente all’editore-gestore di una pagina web di sottrarre i “propri” contenuti alle reti usate per la pesca a strascico a scopo di addestramento algoritmico e lo consente in maniera autonoma rispetto ai servizi di indicizzazione.

Un editore può, dunque, decidere di sottrarre le proprie pagine all’addestramento degli algoritmi senza dover necessariamente rinunciare al traffico garantitogli dall’indicizzazione dei propri contenuti da parte del motore di ricerca di casa Google.

Diritto d’autore e addestramento degli algoritmi: la scelta del New York Times

Nella prospettiva delle cose del diritto d’autore avvalersi o non avvalersi di tali soluzioni e, quindi, permettere o negare l’addestramento di un algoritmo sulla base di contenuti che si sono creati o, comunque, pubblicati, rappresenta un diritto che il singolo editore può liberamente scegliere di esercitare o non esercitare.

Ha, per esempio, scelto, di recente, di avvalersene – e la cosa ha fatto discutere e continua a far discutere – il New York Times dopo aver visto naufragare i tentativi di raggiungere un accordo economico con OpenAI.

E vedremo, ora, se deciderà di fare la stessa cosa con Google o se altri editori sceglieranno di seguire le orme.

Dati personali alla mercé degli algoritmi: il ruolo dei gestori dei siti web

C’è, però, un’altra questione sulla quale vale, forse, la pena avviare una riflessione e aprire un dibattito.

L’editore o, comunque, il gestore della pagina web – ma lo stesso vale naturalmente per il gestore di un social network – oltre a essere titolari o, almeno, licenziatari dei diritti d’autore sui contenuti che pubblicano sono, normalmente, titolari del trattamento dei dati personali presenti in tali contenuti.

Sono, più in particolare, titolari del trattamento che pubblicano e diffondono taluni dati personali per questa o quella finalità sulla base di questa o quella base giuridica.

Può trattarsi di finalità di trasparenza in esecuzione a un obbligo di legge, può trattarsi, di finalità di informazione o cronaca sulla base del legittimo interesse, può trattarsi di dati pubblicati su richiesta degli utenti.

Facoltà o obbligo giuridico?

E allora la questione che appare utile porsi è la seguente: giacché è oggi possibile – e dipende esclusivamente dall’editore o dal gestore della singola pagina web – sottrarre tutti i dati personali contenuti nella propria pagina web, quest’ultimo, sotto il diverso profilo della disciplina sulla protezione dei dati personali, ha semplicemente la facoltà o ha un vero e proprio obbligo giuridico di sottrarre i dati personali contenuti nelle proprie pagine web alle reti da pesca dei signori degli algoritmi?

Se si considera che non ricorrere agli strumenti in questione messi a disposizione delle società che addestrano i propri algoritmi significa, in sostanza, lasciare i dati personali dei quali si è titolari alla mercé di queste ultime, potrebbero non mancare validi argomenti a supporto della tesi secondo la quale sussiste un vero e proprio obbligo giuridico, per il gestore di una pagina web, di fare tutto quanto possibile, allo stato della tecnica, per sottrarre i dati che pubblica agli appetiti degli algoritmi.

Regole e principi ai quali il titolare del trattamento deve ispirarsi

Non farlo potrebbe considerarsi incompatibile con un lungo elenco di regole e principi ai quali ogni titolare del trattamento deve ispirarsi: da quello della privacy by design a quello della minimizzazione e dell’adozione delle necessarie misure di sicurezza.

Non tocca forse al titolare del trattamento proteggere i dati personali che tratta almeno rispetto a forme facilmente prevedibili e altrettanto facilmente evitabili di appropriazione da parte di terzi?

Può il titolare del trattamento accettare inerte il rischio che dati personali oggetto di un proprio trattamento siano fagocitati da soggetti terzi e per finalità altre rispetto a quelle oggetto del proprio trattamento?

Il principio di «integrità e riservatezza» di cui all’art. 5, par. 1, lett. f) del GDPR impone al titolare del trattamento di “garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”.

È adempiente a tale principio il gestore di una pagina web che pur potendo sottrarre – almeno in alcuni casi in maniera agevole – i dati personali eventualmente pubblicati alla raccolta da parte di terzi allo scopo di addestrare algoritmi di intelligenza artificiale non si preoccupa di farlo?

Sicurezza del trattamento

E analoga questione, probabilmente, si pone in relazione alla disposizione di cui all’art. 32 del GDPR, relativa, appunto, alla sicurezza del trattamento.

Quest’ultima, infatti, impone al titolare del trattamento di mettere in atto misure di sicurezza, a un livello che sia “adeguato al rischio”, tenendo conto oltreché della natura, dell’oggetto, del contesto e delle finalità del trattamento, anche “dello stato dell’arte e dei costi di attuazione”.

Il titolare, cioè, è tenuto a ricorrere alle misure che nel momento storico in cui effettua il trattamento rappresentano la migliore soluzione possibile per garantire la sicurezza del trattamento.

Sembra il caso dell’adozione delle misure delle quali stiamo parlando.

La questione dell’accountability

E, ancora, in una logica di accountability, il titolare del trattamento che ometta di porsi la questione della quale ci stiamo occupando o che pur ponendosela ritenga di superarla nel senso di non ritenere un suo dovere adottare le misure di sicurezza in questione può considerarsi “accountable” e, in questo senso, sottratto a eventuali contestazioni di violazione del Regolamento e/o azioni risarcitorie da parte degli interessati.

Sin qui, ovviamente, per parlare della sussistenza o insussistenza di taluni obblighi di protezione da parte di editori e gestori di pagine web e piattaforme di social network, fermo restando che il problema principale da porsi resta quello di capire se, a che titolo e, eventualmente, nel rispetto di quali condizioni, a prescindere da cosa l’editore o il gestore della pagina web, faccia o non faccia, il soggetto responsabile dell’addestramento degli algoritmi possa fare incetta, pescando a strascico, di altrui dati personali.

Ma questa è un’altra questione.

Conclusioni

Come è un’altra questione quella relativa all’esigenza – in ogni caso – di riconoscere ai singoli il diritto di sottrarre i propri dati personali a qualsivoglia forma di trattamento strumentale all’addestramento degli algoritmi non sembrando sussistere nessuna buona ragione per imporre al singolo di “subire” a tempo indeterminato e in deroga ai diritti a esso riconosciti dalla vigente disciplina, un trattamento come quello di cui si discute.

Come sempre quando si tratta di governare sfide nuove come quelle relative all’impatto dell’intelligenza artificiale sulla nostra società e sulle regole della protezione dei dati personali, il dubbio è un compagno di strada necessario e il dialogo e il confronto sono alleati preziosi.

Sbaglia solo chi si convince che la propria sia l’unica risposta giusta oltre ogni ragionevole dubbio.