Protezione dati personali e Intelligenza Artificiale: sempre più complessa l’attività dei Data Protection Officer

Da tempo le autorità garanti europee, EDPB e EDPS, si pongono il tema dei problemi connessi all’uso dell’Intelligenza Artificiale e al trattamento dei dati, in particolare dei dati personali. Non a caso tanto lo EDPS quanto lo EDPB hanno già ripetuto in più occasioni la illiceità della raccolta e del trattamento tramite AI di dati biometrici, considerando questi trattamenti vietati in ragione dei rischi che comportano per la tutela dei diritti delle persone nell’ambito della Carta dei diritti fondamentali della UE.

In questo quadro, finora costituito essenzialmente da linee guida delle autorità europee e pronunciamenti ed alert anche rispetto alla discussione in atto sulla proposta di Regolamento intitolata “Intelligence Act”, presentata nella versione finale dalla Commissione UE il 21 aprile 2021, assume ora specifico interesse la pronuncia adottata dalla Autorità ungherese l’8 febbraio 2022 nei confronti della Budapest Bank.

Sulla base di una specifica indagine svolta nell’ambito di una altra inchiesta la Autorità ungherese ha accertato che alcuni data controller svolgono un’attività sistematica di registrazione e di catalogazione delle chiamate telefoniche fatte dai clienti i cui contenuti-audio sono registrati.

Obiettivo, catalogare i clienti

Basandosi su tali registrazioni, ogni notte un software apposito sviluppa automaticamente una analisi dei dati raccolti, usando una tecnologia basata sulla Intelligenza Artificiale allo scopo di individuare le parole chiave per esplorare lo stato emotivo del cliente mentre stava facendo la telefonata. L’obiettivo ultimo ed essenziale è quello di catalogare i clienti anche per poterli successivamente far richiamare da appositi funzionari preparati a individuare, attraverso apposite tecniche, le ragioni dello stato emotivo manifestato dai clienti e rilevato dalla IA, ed evitare il rischio di una loro possibile disaffezione.

L'Autorità ungherese, verificando l’impact assesment fatto dal titolare ha altresì verificato che né la valutazione d’impatto. né altre misure basate sulla tutela del legittimo interesse dell’interessato sono state adottate a seguito di queste analisi, né esse sono state in alcun modo previste, mentre l’informativa data agli utenti era solo cartacea e del tutto insufficiente per consentire all’utente di comprendere i trattamenti dei dati posti in essere.

Questo constato, l’Autorità ungherese ha innanzitutto riaffermato il principio che, proprio perché le tecnologie di Intelligenza Artificiale difficilmente si sviluppano con modalità trasparenti e immediatamente intuibili dagli interessati, sono necessarie misure di salvaguardia degli interessati, partire dalla informativa, rafforzate, anche in considerazione del fatto che è difficile essere certi della esattezza dei risultati ottenuti con queste tecnologie.

Proprio per questo la Autorità ungherese ha ritenuto che il comportamento del titolare avesse determinato la violazione durevole nel tempo di molte norme del GDPR, e in particolare dell’art.5, paragrafo 1 lettera a del GDPR (regole generali su trattamento dei dati); dell’art.6, paragrafo 1 (condizioni di liceità dei trattamenti); dell’art. 6, paragrafo 4 (cambio di finalità dei trattamenti dei dati); art. 5, paragrafo 1, lettera b (divieto di trattamenti per finalità incompatibili con quelle per le quali i dati sono stati raccolti); art. 12, paragrafo 1 (obbligo di misure informative adeguate); art. 13 (informazioni rispetto a dati raccolti presso interessato); art. 21, paragrafo 1 (diritto di opposizione dell’interessato); art. 21, paragrafo 2 (dati trattati per finalità di marketing diretto e ampliamento diritto di opposizione dell’interessato; art. 24, paragrafo 1 (obbligo valutazione del rischio da parte del titolare); art. 25, paragrafo 1 (obbligo di adottare misure di privacy by design e privacy by defalut) e infine art. 25, paragrafo 2 (obbligo di tutela della privacy per impostazione predefinita e particolare tutela dell’acceso ai dati da parte di un numero elevato di persone.

I rischi legati all'impiego di tecnologie digitali

Il lungo elenco di articoli che secondo l’Autorità ungherese sono violati dai trattamenti oggetto del provvedimento indica l’estrema delicatezza che, anche in concreto, l’uso di tecnologie digitali presenta rispetto alla tutela dei dati personali.

In particolare, come dall’elenco delle norme violate risulta chiaramente, al centro della preoccupazione della Autorità ungherese è la scarsa, per non dire inadeguata, informativa data agli interessati del fatto che i loro dati sono sottoposti a trattamenti basati su tecnologie di IA. Non minore è, inoltre, la preoccupazione relativa al fatto che i trattamenti dei dati accertati implicano anche finalità diverse e mutevoli rispetto a quelle per le quali essi sono raccolti e che sono, queste sì, in conformità alle regole di protezione dei dati personali.

Entrambi questi profili sono particolarmente importanti perché dimostrano in concreto, e rispetto a un caso interessante ma non così rilevante come altri avrebbero potuto essere, che le tecnologie di intelligenza artificiale, così come quelle legate al riuso di dati, implicano quasi necessariamente mutamenti di finalità rispetto a quelle per le quali i dati sono originariamente raccolti e trattati e delle quali in linea generale l’interessato è al corrente tanto da poter svolgere su di esse il suo controllo.

Da questo punto di vista il provvedimento della Autorità ungherese, che ha alla fine comminato una sanzione pari a circa 650.000 euro, ci conferma in concreto che l’evoluzione delle nuove tecnologie digitali e in particolare l’utilizzazione di forme di tecnologia digitale di IA per il trattamento di dati personali sono destinate a rendere sempre più complessa e difficile l’attività dei Data Protection Officer e, rendono a mio parere, sempre più necessario che il DPO sia esperto anche di queste tecnologie o sia affiancato da figure di vigilanza sulle tecnologie di trattamento digitale dei dati che mettano al riparo i titolari dalle mille trappole che queste tecnologie nascondono o comunque portano con sé.

Per questo la pronuncia dell’Autorità ungherese presenta indiscutibili profili di ampio interesse e merita di essere segalata affinché chiunque operi in strutture di trattamento dati che fanno uso di tecnologie digitali avanzate ne possa venire a conoscenza.

(Articolo di Francesco Pizzetti, Presidente emerito del Garante per la protezione dei dati personali. Ha guidato l'Autorità dal 2005 al 2012)