Homeland Security: AI e privacy nell’emergenza Covid

Marco Soffientini - Esperto di Privacy e Diritto delle Nuove Tecnologie; docente Ethos Academy

David Nabarro, inviato speciale dell’OMS per la pandemia, ha affermato che i lockdown, giustificati soltanto come misura di emergenza temporanea per riorganizzare la risposta sanitaria, non debbono essere usati come mezzo principale per sconfiggere il virus, soprattutto perché comportano effetti disastrosi sull’economia globale, con particolare riferimento alle nazioni più povere. Un’affermazione importante, se pensiamo che da tempo  le parole più gettonate nei titoli dei giornali nazionali sono “chiusura”, “coprifuoco” e “lockdown”. L’aspetto curioso è che se si naviga sui siti web di vari  quotidiani a livello mondiale, emerge come sia solo una parte del continente europeo a dedicare le prime pagine all’epidemia Covid, e questo non perché non esista la pandemia o non sia presa in considerazione, ma perché vi è la convinzione che si tratta diun problema serio da gestire senza allarmismi fini a se stessi e tanto meno con punte addirittura parossistiche.

In questo scenario, l’attuale dibattito sul controllo della pandemia ha riproposto il tema della gestione delle emergenze  e la necessità, secondo alcuni, di dotarsi di una homeland security nazionale simile al  dipartimento della sicurezza interna degli Stati Uniti d’America (United States Department of Homeland Security) avente lo scopo di proteggere la nazione da attacchi terroristici e disastri naturali. Tra gli strumenti di protezione, un ruolo dominante è svolto dalla tecnologia e in particolare dall’intelligenza artificiale, ossia quella disciplina informatica che studia se e in che modo si possano riprodurre i processi mentali più complessi mediante l’uso di un computer.  Si parla di intelligenza artificiale debole (c.d. weak AI) per riferirsi ad una tecnologia capace di simulare alcune funzionalità cognitive di base del cervello umano, quali, ad esempio, i programmi matematici c.d. di problem-solving. L’intelligenza artificiale forte (c.d. strong AI) si differenzia, invece, da quella debole, in quanto il sistema è in grado di sviluppare una propria intelligenza comunque pur sempre autonoma e distinta dall’intelletto umano. Questa classificazione è alla base della distinzione tra “machine learning” e “Deep Learning”.

Machine learning e deep learning

La “machine learning” (in italiano apprendimento automatico) consiste in una molteplicità di metodi finalizzati a consentire al software di adattarsi a diverse situazioni, permettendo così alla macchina di svolgere svariate funzioni. La “deep learning” consiste in metodologie finalizzate ad emulare la mente umana, che, oltre a basarsi su modelli matematici (come la machine learning), utilizza in aggiunta reti neurali artificiali (deep artificial neural networks), abbinate ad una potenza di calcolo enorme, dovendo simulare il comportamento dei neuroni del cervello umano.  

Riconoscimento facciale 

Un’applicazione dell’intelligenza artificiale nell’ambito della security sono i sistemi di videosorveglianza con riconoscimento facciale,  basati su algoritmi di face recognition. Si tratta di una tecnologia, che, in ambito di homeland security, può essere utilizzata dalle forze di polizia di cui alla legge n.121/81 (c.d. forze di polizia a competenza generale) per finalità di sicurezza pubblica. I profili di data protection sono regolati dall’applicazione del D.Lgs 51/2018, che ha recepito la Direttiva 680/2016 nell’ambito dei trattamenti c.d. di polizia. Secondo questa normativa, l’utilizzo dell’intelligenza artificiale richiede la conduzione di una valutazione di impatto privacy ai sensi dell’art. 23 D.Lgs 51/2018: Se il trattamento, per l’uso di nuove tecnologie e  per  la  sua natura, per l’ambito di  applicazione,  per  il  contesto  e  per  le finalità, presenta un rischio elevato per i diritti  e  le  libertà delle  persone  fisiche,  il  titolare  del  trattamento,  prima   di procedere al trattamento, effettua una valutazione  del  suo  impatto sulla protezione dei dati personali.

Impatto privacy

La valutazione di impatto privacy è di fondamentale importanza ai fini del principio di responsabilizzazione(c.d. accountability) di cui all’articolo 5 paragrafo 2 del Reg. UE 679/2016. Come noto, infatti, l’articolo 24 paragrafo 1 prescrive che: Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. Le brevi osservazioni svolte mettono in risalto il ruolo dominante dell’istituto della data protection impact assessment, sia che si implementino misure tecnologiche anti Covid o, più in generale si decida di progettare un vero e proprio sistema di homeland security.