La regolamentazione del mondo digitale non deve adottare nuove strategie di “foresight” per cercare di prevedere il futuro? Oppure è giusto che la regolamentazione rischi di arrivare a giochi fatti per non correre il rischio di normare una tecnologia prima che si comprenda che effetti avrà? L’intervento di Matteo Flora (tech partner) e Giuseppe Vaciago (partner) di 42 Law Firm
Con l’avvento del Gdpr è indiscutibile che abbiamo conosciuto una “nuova” privacy tutt’altro che esente da impatti – anche significativi – sul business, soprattutto su quelli che hanno il loro valore più importante nell’utilizzo di un significativo volume di dati personali. Questo ha portato a un lungo dibattito sul fatto che tale protezione abbia potuto compromettere altri diritti, come ad esempio l’uso dei dati per scopi commerciali o scopi di ricerca scientifica e medica.
Recentemente, la Commissione europea ha dimostrato di riconoscere le limitazioni dell’attuale situazione, soprattutto con la nuova Strategia europea per i dati. Attualmente, il mercato unico digitale europeo è ancora lontano dall’essere completamente realizzato, con molte aziende statunitensi che sfruttano i dati personali degli europei senza contribuire in modo significativo all’economia dei dati europea. Questa nuova strategia, che include proposte normative, cerca di sfruttare i dati personali per favorire lo sviluppo del mercato europeo dei dati, promuovendo il loro flusso, scambio ed utilizzo a fini economici. Tuttavia, è essenziale trovare un equilibrio tra l’utilizzo dei dati per scopi diversi e la protezione dei diritti delle persone coinvolte, soprattutto quando l’intero business model della Internet come la conosciamo è legata al concetto di “freemium” e di supporto economico da parte del mondo pubblicitario: un mondo che per riuscire ad avere margini significativi deve concentrarsi su una personalizzazione spinta.
Proprio il dibattito sulla monetizzazione del dato è stato molto in voga nel periodo pre-pandemico, specie con la Direttiva (Ue) 2019/770 che ha introdotto un tentativo di valorizzazione, in termini economici, dei dati personali per ragioni connesse alla difesa del consumatore (che qui coincide col ruolo di “interessato” ai sensi del Gdpr), con l’intento di attribuire un prezzo o, comunque, il valore di corrispettivo ai dati personali. La possibilità non farebbe altro che, in concreto, creare un nuovo modello che renda semplicemente esplicito il corrispettivo occulto che già dagli esordi della rete “freemium” è contemplato: i dati personali al fine di profilazione a fronte dei servizi. Una esplicitazione che renderebbe per lo meno chiara la valorizzazione di questi dati e che consentirebbe l’ingresso al mercato delle soluzioni online anche a soggetti che forniscano soluzioni senza la capacità di monetizzazione dei dati, una scelta sicuramente di apertura del mercato in ottica di normalizzazione e (più sana) concorrenza.
Il testo del Gdpr (ricordiamo che risale al 2016 il suo varo) già prefigurava in embrione questa possibilità, limitandosi ad affermare che nel valutare la libertà del consenso si deve “considerare” l’eventualità che l’esecuzione di un contratto o servizio sia condizionato a un consenso non essenziale per tale contratto o servizio. Quindi non un divieto tout court, ma un’ambigua statuizione che le autorità hanno visto sempre in maniera estremamente restrittiva e limitante. Però il testo della Direttiva (unito ad altre indicazioni analoghe, come per es. nel Regolamento “Platform-to-Business” 2019/1150) ha da un lato incoraggiato la possibilità, di fatto, di usare i dati come mezzo di scambio, dall’altro ha trovato ancora resistenze a causa di ulteriori ambiguità delle norme.
Ma il dibattito si è esteso. Negli anni successivi, infatti, è andato nella direzione di comprendere se la privacy sia un diritto fondamentale e pertanto inalienabile, oppure una potenziale merce di scambio. Come accaduto analogamente, in passato, al diritto di immagine, che ha lentamente trovato una sua collocazione giuridica anche nel mercato: inizialmente visto come un diritto della personalità non cedibile, non “mercificabile” per massima e integerrima tutela della dignità umana, si è arrivati a una giurisprudenza che ha ammesso la possibilità di autorizzarne l’uso parziale da parte altrui anche in cambio di un compenso, senza che oggi rappresenti un illecito né uno scandalo.
Tornando alla privacy, attualmente (si pensi ad esempio al tema cookie-paywall di molte testate giornalistiche) non è ben chiaro quale sarà l’esito finale di questa contrapposizione. È però plausibile che l’indirizzo normativo recente (che vuole incentivare i flussi, il riuso e lo scambio di dati anche personali, pensiamo al Data Governance Act) sia la spia di una strada ormai indirizzata ad ammettere, con limiti, un maggior e più libero impiego dei dati nell’Unione. Proprio per poter valorizzare le possibilità insite in essi, sia commerciali che sociali.
La posta in gioco è enorme, quasi letteralmente la “internet come la conosciamo”, che sul sillogismo dei dati – considerati gratuiti perché mai monetizzati – che vengono scambiati per pubblicità ha costruito un impero economico che altrimenti non avrebbe forse avuto nemmeno la possibilità di nascere, se fosse stato legato ad un corrispettivo economico da versarsi per l’accesso a servizi di cui l’utente medio nemmeno comprendeva di necessitare, come ad esempio i social network.
Ma non si parla solamente dei modelli di business legati alla pubblicità online: il grande “elefante nella stanza” è anche la conoscenza necessaria per alimentare l’addestramento delle intelligenze artificiali, che necessitano quantità astronomiche di dati per poter essere create: per questo Open AI (e non solo) ha preso tutti i dati che avevamo messo più o meno maldestramente in Rete (tramite la nota e “disinvolta” pratica del web-scraping) e li ha utilizzati tuttavia per fare training di un modello che potrebbe cambiare il mondo come lo conosciamo. I vantaggi e le potenzialità sono chiaramente immensi, per svariati ambiti, pubblici e privati, esattamente come lo sono, però, gli illeciti potenzialmente posti in essere. Non sarebbe stato possibile in qualche modo prevedere questo scenario, questi conflitti tra potenzialità e discipline vigenti – peraltro derivanti da criticità e violazioni noti da tempo, solo riuniti assieme e in una diversa scala – per intervenire con maggiore tempestività?
Solo ora, infatti, alcune autorità di controllo, a livello internazionale (di recente alcune si sono unite in un comunicato “globale” proprio su questo tema), stanno dando un giro di vite al problema del web-scraping, “minacciando” misure e controlli a carico dei siti web che avrebbero dovuto proteggere meglio i dati dei propri utenti: però il genio è già uscito dalla lampada. E sì che era noto come queste prassi fossero diffuse, come alimentassero enormi dataset illeciti e come potessero fornire così il materiale per “formare” i modelli algoritmici dell’AI.
La domanda fondamentale da porsi, allora, è in realtà la seguente: la regolamentazione del mondo digitale non deve adottare nuove strategie di “foresight” per cercare di prevedere il futuro? Oppure è giusto che la regolamentazione rischi di arrivare a giochi fatti, come successe sia per la pubblicità online che per l’addestramento delle AI, per non correre il rischio di normare una tecnologia prima che si comprenda che effetti avrà?
Il tema è – come già accaduto con il diritto di immagine di cui parlavamo sopra – l’equilibrio e la volontà di non rinunciare alle sfide della società e dei mercati: trovare forme di delicato, difficile ma fruttuoso compromesso tra le varie istanze di utilizzo che la società e il commercio stanno già imponendo, rispetto al mantenimento di una tutela minima ma rigorosa dei diritti fondamentali. Diritti della persona che, comunque sia, ricordiamo non essere assoluti in ambito privacy, e quindi ben possono entrare in gioco di bilanciamento con altri come quelli di impresa o di ricerca.
L’AI moltiplica esponenzialmente tematiche non nuove e presenta pertanto criticità elevate, rischi elevati, ma ci tenta a chiudere un occhio (anche due, a volte) per quanto di enorme può contribuire a creare e supportare. In futuro, un compromesso potrebbe essere la possibile concessione d’uso dei dati personali da parte degli utenti per “training” ed estrazione di valore da soluzioni di AI, in cambio di una qualche forma di corrispettivo: non necessariamente o solo denaro, si può vedere anche in un’ottica di miglioramento e personalizzazione di determinati servizi (anche di tipo sanitario, per esempio). Allentare le maglie dei limiti applicabili ai dati personali è una strada, ma va accompagnata con grande attenzione alla difesa dei diritti delle persone. Ciò richiede, per attuare un sensato equilibrio, il contributo di più visioni, un dialogo tra stakeholder anche per una visione futura del mondo che si desidera, così da cercare di governarla.
In conclusione, non stiamo solo parlando di creare nuovi modelli di business, ma anche di proteggere la privacy delle persone. L’IA ha la capacità di estrarre valore dai dati molto più efficacemente rispetto ai metodi tradizionali e può trovare delle soluzioni interessanti, peraltro, per tutelare proprio la privacy (per es. dei dipendenti o di altri soggetti deboli o maggiormente vulnerabili). Allo stesso modo, se mal governata, può incidere in modo davvero negativo nei confronti della popolazione e violare sia la privacy che altri, importanti diritti fondamentali.
Per questo, è fondamentale avere sistemi di governance dei dati che siano trasparenti e responsabili e lavorare cercando di “anticipare i futuri” ossia fare un esercizio di foresight, il più condiviso ed esteso possibile. L’obiettivo è quello di cercare di anticipare e guidare l’evoluzione, tramite il dialogo tra varie voci e attori coinvolti, cercando di immaginare quali strade abbiamo davanti a noi e quali vorremmo. Ammettere che l’uso dei dati personali possa essere autorizzato a terzi in cambio di qualcosa, in un bilanciamento con qualcos’altro, denaro o meno che sia, non è e non deve essere un tabù. Si veda anche ciò che sta accadendo con Meta che, dopo una pesante condanna della Corte di Giustizia dell’Unione europea, sembra stia seriamente valutando di prevedere un pagamento per i suoi social in alternativa al consenso di profilazione. Ciò che rappresenta la sfida più importante è, invece, riconoscere e stabilire i limiti a questa possibilità, ricordandoci che è in gioco la esistenza o meno di alternative che supportino economicamente l’avanzamento tecnologico e sociale: dobbiamo comprendere le proporzioni nei diritti in gioco, anche guardando a scenari futuri (ove il futuro è sempre più prossimo di quanto ci immaginiamo solitamente) che ci possano instradare in questa ricerca.