Qual è il legame tra lo sviluppo sostenibile e la privacy?

Lo sviluppo è sostenibile nella misura in cui si fonda (anche) sul rispetto del diritto alla protezione dei dati personali. Il primo contributo di Giovanni Battista Gallus nel nuovo percorso da lui curato dedicato ad analizzare il rapporto tra la Privacy (Digitale) e gli SDG's

Foto distribuita con licenza CC BY-SA 3.0 - Nick Youngson

Una lettura distratta potrebbe far supporre che l’innalzamento del livello di tutela della privacy (a livello globale) non rientri, direttamente o indirettamente nel novero dei diciassette obiettivi per lo sviluppo sostenibile.

E allora perché dovremmo occuparcene?

La ragione appare evidente non appena si considera che l’Agenda 2030 pone al centro i diritti umani e la lotta alla discriminazione, fin dal preambolo, ed è espressamente fondata sui trattati internazionali sui diritti umani. E tra questi trova naturalmente posto il diritto alla privacy.

L’Agenda 2030 pone al centro i diritti umani e la lotta alla discriminazione, fin dal preambolo, ed è espressamente fondata sui trattati internazionali sui diritti umani. E tra questi trova naturalmente posto il diritto alla privacy

Ecco che si comprende perché sia un tema fondamentale, tanto che nella recente Risoluzione dell’Assemblea Generale dell’ONU, del 28 dicembre 2020, n. 175/176 – The right to privacy in the digital age, si sottolinea, al punto 1, la centralità del “right to privacy, according to which no one shall be subjected to arbitrary or unlawful interference with his or her privacy, family, home or correspondence” e dello strettamente connesso “right to the protection of the law against such interference, as set out in article 12 of the Universal Declaration of Human Rights and article 17 of the International Covenant on Civil and Political Right”.

La Risoluzione (che richiama e riprende altri precedenti documenti, tra cui il Report of the Special Rapporteur on the right to privacy del 24 marzo 2020) ha un respiro più ampio, comprendendo tutte le possibili interferenze illecite nell’ambito digitale, ma include espressamente la salvaguardia dell’individuo dai rischi collegati all’arbitrario o illegale trattamento di dati personali, inclusa la profilazione, i procedimenti automatizzati, il machine learning e l’intelligenza artificiale.

Non è quindi improprio ravvicinare questa prospettiva a quella della Carta dei diritti fondamentali dell’Unione europea, che riconosce espressamente, quale diritto fondamentale, all’art. 8, la protezione dei dati personali. E certamente la disciplina eurounitaria, consacrata del Regolamento generale sulla protezione dei dati personali 679/2016 (il “famigerato” GDPR) ha una influenza che non può essere limitata all’Unione europea, ma tende ad assumere, in maniera sempre più chiara, dimensione mondiale.

Raffrontando la dimensione globale e quella europea, spicca come la protezione dei dati personali diventi sempre più un presupposto imprescindibile per evitare (o ridurre) le discriminazioni, anche e soprattutto nell’ecosistema digitale.

La Risoluzione 175/176 (ancora una volta analogamente all’assetto normativo dell’Unione europea, sia quello attuale che quello futuro – si pensi alla proposta di Regolamento sull’intelligenza artificiale) sottolinea i grandissimi benefici delle tecnologie innovative, dalla AI ai trattamenti biometrici massivi, ma pone in guardia sui rischi, con particolare riguardo appunto alla possibilità di discriminazione, spesso sottile e strisciante, legata magari al genere, all’origine razziale o etnica, oppure allo stato di salute.

E proprio con riguardo allo stato di salute, si è diffusa la concezione (erronea e fuorviante) che le istanze di tutela della privacy siano un freno, quasi un inutile orpello burocratico, da spazzare via al fine di tutelare la salute collettiva, messa a rischio dalla pandemia, come se non fosse possibile un corretto bilanciamento, e che la lotta alla pandemia presupponga inevitabilmente l’abbandono di qualunque garanzia: anche su questo punto la Risoluzione è chiara, nell’indicare l’importanza del rispetto dei diritti fondamentali nella progettazione, sviluppo e implementazione delle misure tecnologiche in risposta a disastri, epidemie e pandemie.

Nella realtà globale interconnessa, lo sviluppo è sostenibile nella misura in cui si fonda (anche) sul rispetto del diritto alla protezione dei dati personali

Nella realtà globale interconnessa, nella “onlife”, per usare il neologismo creato da Luciano Floridi, per indicare come sia oramai insignificante distinguere tra condotte online e offline, lo sviluppo è sostenibile nella misura in cui si fonda (anche) sul rispetto del diritto alla protezione dei dati personali.

È questa la ragione per cui dedicheremo una serie di post all’analisi puntuale della relazione e del dialogo tra gli obiettivi di sviluppo sostenibile e la privacy, per individuare gli snodi cruciali, gli effetti positivi e i profili problematici.

È ovvio che non tutti gli obiettivi impattino allo stesso modo sulla tematica trattata: la conservazione e utilizzazione in modo durevole delle risorse marine per uno sviluppo sostenibile (obiettivo 14) ad esempio, difficilmente può porre problemi legati alla protezione dei dati personali, mentre evidenti profili problematici (o meglio di necessario contemperamento) si presentano nel raggiungimento dell’obiettivo 3 (salute e benessere), .

Agenda 2030, big data e trattamento di dati personali

C’è però un tema trasversale, che riguarda l’implementazione dell’Agenda 2030 nel suo complesso, ed è il trattamento dei big data, che sono un imprescindibile tassello nella costruzione delle strategie funzionali agli obiettivi, e nel controllo della loro effettività.

Come è sottolineato nell’Agenda, “dati disaggregati di qualità, accessibili, puntuali e attendibili saranno necessari per consentire la misurazione dei progressi e per garantire che nessuno venga lasciato indietro. Questi dati sono la chiave fondamentale per il processo decisionale.”

Il trattamento di grandi quantità di dati eterogenei, prodotti da molteplici tipi di fonti, a grande velocità è uno dei fondamenti per machine learning e AI, ma deve tener conto dei profili di protezione dei dati, non solo quando vengono direttamente processati dati personali, ma anche quando questi siano dati “inferiti”, vale a dire derivino dall’elaborazione dei dati stessi (in quanto riferibili a una persona fisica identificabile anche indirettamente).

La scelta corretta delle fonti di dati, dell’architettura delle informazioni, la “spiegabilità” dei processi e dei risultati e, più in generale, i principi fondamentali sul corretto trattamento di dati personali sono centrali, nell’ottica appunto di evitare discriminazioni e bias involontari.

La scelta corretta delle fonti di dati, dell’architettura delle informazioni, la “spiegabilità” dei processi e dei risultati e, più in generale, i principi fondamentali sul corretto trattamento di dati personali sono centrali, nell’ottica di evitare discriminazioni e bias involontari

Ecco perché, molto opportunamente, lo United Nations Development Group ha rilasciato una “Guidance note on big data for achievement of the 2030 Agenda”, intitolata “Data privacy, ethics and protection”.

Queste linee guida, dirette a indirizzare l’uso dei big data raccolti da soggetti privati e condivisi, nel contesto dell’Agenda 2030, con i membri del UNDG, possono ovviamente essere applicate anche ai dati raccolti direttamente da questi ultimi.

Le Linee guida hanno, in sintesi, tre finalità: stabilire principi comuni per l’uso dei big data al fine di raggiungere gli obiettivi di sviluppo sostenibile; fornire gli strumenti per la valutazione del rischio con riguardo ai diritti umani fondamentali, e infine individuare dei principi generali per la raccolta, il trattamento, la conservazione, l’uso e il controllo della qualità dei dati ottenuti dal settore privato.

Le definizioni, i principi e le misure individuate sono, significativamente, assai simili a quelli contenuti nel GDPR: legalità, correttezza, limitazione delle finalità, sicurezza (organizzativa e tecnica), privacy by design, pseudonimizzazione, cifratura, limitazione della conservazione, minimizzazione, esattezza e qualità dei dati, accountability, accordi con i soggetti esterni che trattino i dati.

C’è un punto particolarmente interessante: i principi e le misure prendono a riferimento non solo i rischi incombenti sugli individui, ma anche sui “gruppi di individui”.

Si pone l’accento sulla necessità di un’accurata analisi del rischio, basata sul contesto del trattamento, che tenga da conto le possibili conseguenze fisiche, emotive ed economiche, e anche la violazione dei diritti degli individui. Il rischio andrà poi valutato, sulla base della probabilità del suo accadimento, e dell’impatto (inteso come ampiezza e severità del danno), per individuare delle misure appropriate di mitigazione del rischio, in modo da evitare che gli individui (o, appunto, gruppi di individui) vengano lesi nella loro dignità o discriminati, in conseguenza dei trattamenti di dati posti in essere dai membri del UNDG.

È interessante che ai fini dell’analisi dei rischi si segnala l’opportunità di tenere da conto anche il livello di competenze digitali (digital literacy) sia di chi utilizza i dati, sia dei soggetti a cui i dati si riferiscono: il livello di competenze digitali (e di consapevolezza) incide sicuramente sui possibili rischi legati al trattamento.

Le Linee guida raccomandano poi che l’analisi sia svolta da un team multidisciplinare, capace di analizzare i profili legali, etici, di sicurezza, e specifici rispetto dal trattamento effettuato, includendo, ove possibile, una rappresentanza dei gruppi di individui che potrebbero essere interessati dal trattamento.

Le misure da adottare vanno (ovviamente) rafforzate laddove vengano trattati dati “sensibili”: la definizione delle Linee guida è ampia, e ricomprende sia alcuni dei dati ”particolari” ai sensi dell’art. 9 del GDPR (dati relativi all’origine razziale o etnica, alle opinioni politiche, all’appartenenza sindacale, al credo religioso, alle condizioni di salute, ai dati genetici, all’orientamento sessuale), sia i dati relativi a condanne penali e reati, che anche i dati finanziari, che infine quelli relativi ai minori e agli individui o a gruppi di individui in condizioni di possibile vulnerabilità, e pertanto esposti a rischio.

Particolare attenzione è posta ai trattamenti completamente automatizzati, senza intervento umano, che dovrebbero essere evitati quando il processo decisionale possa avere un impatto su individui o gruppi di individui, per evitare potenziali danni derivanti (anche) dalla scarsa qualità dei dati. Non solo: salvo specifiche eccezioni, gli algoritmi utilizzati per l’elaborazione dovrebbero essere pubblici, e descritti con un linguaggio chiaro e accessibile.

Le Linee guida sottolineano anche l’importanza degli open data, come motore dell’innovazione, della trasparenza e dell’accountability: i dati devono essere open ogni volta che sia possibile, con l’eccezione dei dati personali, la cui diffusione dovrebbe essere tendenzialmente vietata.

Trattamento di dati personali e raggiungimento degli obbiettivi di sviluppo sostenibile

In estrema sintesi, dunque, tutti i processi di raccolta ed elaborazione di dati personali finalizzati all’implementazione degli SDG, devono basarsi su una approfondita analisi del rischio e svolgersi all’interno di una cornice di principi che rispetti la dignità e eviti conseguenze pregiudizievoli a individui (o a gruppi di individui).

E questi principi, da applicare ai big data, valgono anche per i trattamenti che coinvolgano “small” data, il cui non corretto trattamento potrebbe comunque incidere pesantemente sui diritti e sulle libertà fondamentali (si pensi, ad esempio, alla erronea diffusione di dati relativi a situazioni di disagio economico-sociale, o dati inerenti la salute, di un gruppo anche ridotto di individui). E, d’altronde, le Nazioni Unite hanno adottato, nel 2018, dei “Principles on Personal Data Protection and Privacy”, volti a salvaguardare il rispetto dei diritti e delle libertà fondamentali, con particolare riguardo al diritto alla privacy.

La sostenibilità (anche) digitale passa imprescindibilmente per il rispetto della dignità delle persone e dei gruppi, che non possono essere ridotte a mere entità da misurare profilare analizzare in tutte le loro interazioni (anche le più personali).

D’altro canto, la disponibilità di dati (anche personali) di qualità è indispensabile per la attuazione degli SDG.

Come si afferma nel Manifesto per la sostenibilità digitale, è quindi fondamentale interrogarsi sui possibili impatti negativi per minimizzarli, ma bisogna concentrarsi sugli aspetti positivi per valorizzarli.

Ecco perché ragioneremo, nei prossimi approfondimenti, sui principali snodi del corretto trattamento di dati personali nel perseguimento dei singoli obbiettivi di sviluppo sostenibile.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here