RIFLESSIONI SULLA NATURA DI ESSENTIAL FACILITIES DEI DATI PERSONALI
A cura di Giovanni Crea
L’esperienza dell’offerta di servizi attraverso internet (comprese le app) ha messo in luce come il loro consumo venga inevitabilmente codificato in dati (es., google maps) e come tali dati siano oggetto di trattamenti effettuati per finalità sia ‘tecniche’ – legate, cioè, alla fornitura e fruizione del servizio – sia di interesse economico del titolare del trattamento.
Con riguardo a quest’ultimo profilo, la disponibilità di grandi masse di dati (big data) rende possibile costruire profili degli utenti-interessati su cui ritagliare i propri servizi ovvero – spostandoci sul versante della raccolta pubblicitaria – per vendere spazi pubblicitari agli inserzionisti consentendo a questi di proporre a livello individuale i loro prodotti e servizi.
I mercati dei servizi internet, dunque, sono data intensive, e le posizioni dominanti che in essi si formano trovano nei dati personali una lèva essenziale [1] la cui replicabilità non è scontata in quanto riguardano i clienti dei provider e che gli stessi provider tendono a non diffondere per ragioni di vantaggio competitivo [2].
Questa prospettiva apre all’ipotesi della natura di essential facilities dei dati personali raccolti nei mercati di internet; profilo che, secondo la dottrina antitrust, è un elemento qualificante della posizione dominante, e la cui inibizione a potenziali concorrenti, da parte dei titolari, prefigura un abuso di tale posizione vietato dall’art. 102 TFUE.
Nel caso Google-Hoda [3], in cui ricorre l’ipotesi di ostacoli, da parte del motore di ricerca, alla portabilità dei dati – e dunque, in definitiva, all’accesso/trasferimento a favore di Hoda – l’Agcm sottolinea la valenza pro-concorrenziale di tale istituto, lasciando intendere come tali dati possano essere inquadrati nella categoria delle “risorse essenziali”.
Se i dati personali, descrittivi delle abitudini di consumo di beni e servizi forniti da un’impresa, fossero facilmente replicabili, la violazione dell’art. 20 del GDPR rileverebbe per il solo profilo di mancato esercizio di un diritto degli interessati e non anche per gli aspetti antitrust.
[1] Cfr. Agcm, Provvedimento n. 28051, Big Data, in Boll., n. 9/2020, 13 ss.
[2] Cfr. Agcm, Provvedimento n. 19140, Sfruttamento di informazioni commerciali privilegiate, in Boll., n. 47/2008, 5 ss.
[3] Cfr. Agcm, Provvedimento n. 30215, Google-ostacoli alla portabilità dei dati, in Boll., n. 27/2022, 83 ss.
Per contenuti come questo e su tanti altri temi, Iscriviti alla nostra Newsletter!!
Giovanni Crea
Direttore del Centro di Ricerca e Formazione Integrata Selefor, responsabile scientifico e Presidente del Comitato Tecnico-Scientifico con delega Data Protection.
Economista, è professore incaricato di “Economia Aziendale e Processi di amministrazione del lavoro” presso l’Università Europea di Roma, dal 2014 insegna la materia di “Protezione dei dati personali” presso Master Universitari e Corsi specialistici.
Violazioni di dati personali, tra rischi e investimenti
A cura di Redazione Selefor CReFIS
La penetrazione delle tecnologie digitali nelle attività di famiglie, imprese e pubbliche amministrazioni implica la codifica di tali attività in dati che vengono elaborati per il perseguimento delle rispettive finalità. In questa prospettiva, i processi di funzionamento di un paese integrano trattamenti di grandi quantità di risorse informative, in tal modo delineando un nuovo modello socioeconomico di cui vengono esaltate, principalmente dagli economisti, l’efficacia e l’efficienza.
D’altro canto, la crescente dipendenza dalle tecnologie e dalle rappresentazioni informative che queste producono ha ampliato le occasioni di violazione per cui le organizzazioni e le persone sono esposte a rischi riguardanti diritti, libertà e legittimi interessi. Incidenti come quello che ha coinvolto la Regione Lazio nell’agosto 2021 sono chiari esempi di come una violazione della sicurezza informatica – nel caso specifico una indisponibilità di servizi e dati – possa produrre ricadute sugli interessati. Nel caso specifico l’indisponibilità ha riguardato dati relativi alle prenotazioni per la somministrazione dei vaccini con conseguenti disagi per le persone interessate rappresentati, tra gli altri, dall’inevitabile rinvio della somministrazione e del rilascio della relativa certificazione.
Questo e altri casi mettono in luce anche il mancato adeguamento delle organizzazioni alle norme previste dal regolamento europeo relativo alla protezione dei dati personali che contemplano, tra gli altri obblighi, l’adozione di misure tecnologiche e organizzative idonee a prevenire le minacce che possano determinare, ad esempio, la loro distruzione, perdita o divulgazione non autorizzata e, se del caso, anche misure correttive per porre rimedio alle violazioni che si sono comunque verificate.
I soggetti pubblici e privati sono pertanto chiamati a organizzarsi e ad investire nella sicurezza dei trattamenti di dati personali. Ma sono proprio gli investimenti a rappresentare la nota dolente delle politiche di sicurezza, specie nelle realtà di piccole dimensioni dove tali investimenti trovano poco spazio sia per ragioni di limitata disponibilità di risorse economiche sia perché i manager tendono a considerarli solo un un flusso di cassa in uscita senza una prospettiva di rendimento. Prospettiva che, invece, esiste ed è rappresentata dai “costi evitati” e da altri “benefici intangibili” (accessori, supplementari) che, nel medio-lungo periodo, sono superiori agli investimenti in sicurezza richiesti. Tuttavia, per comprendere il ritorno derivante dagli investimenti in sicurezza (return on security investment) c’è bisogno di formazione continua, comunicazione, sensibilizzazione, affinché la sicurezza e la protezione dei dati personali possano trovare spazio nella cultura organizzativa, andando oltre le norme giuridiche.
Per contenuti come questo e su tanti altri temi, Iscriviti alla nostra Newsletter!!
L’impatto dell’intelligenza artificiale (IA) sul mondo del lavoro: nuovi modelli organizzativi e nuovi compiti per l’HR
di Giuliana Cristiano
L’introduzione delle nuove tecnologie nel mondo del lavoro e delle organizzazioni è associabile, tra le altre cose, all’accelerazione tecnologica a cui si aggiunge una conseguente accelerazione dei cambiamenti sociali e dei ritmi di vita. Ci troviamo in quella fase storica che gli esperti hanno ribattezzato “era dell’industria 4.0” in cui le nuove tecnologie, sia nella produzione che nell’erogazione dei servizi, la fanno da padrona[1].
Nel mondo del lavoro, l’utilizzo di tecnologie sempre più sofisticate non sta andando a sostituire solo i processi che prima richiedevano uno sforzo fisico, come la produzione industriale, ma gradualmente sta invadendo anche un settore che fino a poco tempo fa era squisitamente umano, per esempio i processi aziendali di decision making e lo scambio di informazioni. La svolta decisiva in questo senso è avvenuta grazie (o a causa) della diffusione capillare di internet che è diventato una componente essenziale della vita quotidiana della quasi totalità della popolazione attiva mondiale. L’uso massiccio della rete ha determinato, come effetto collaterale, un costante e velocissimo accumulo di dati che, se usati con astuzia, sono uno strumento indispensabile per chi ha necessità di conoscere l’utente ultimo a cui va erogato il servizio o va offerto un prodotto. I big data infatti abbinati all’intelligenza artificiale, permettono il cosiddetto “learning machine” ovvero fanno sì che la macchina (il software) letteralmente impari dai dati che gli vengono messi a disposizione [2].
L’intelligenza artificiale d’altronde non è altro che un ramo dell’informatica, nato nel 1956, che permette di programmare le macchine affinché possano avere caratteristiche cognitive tipicamente umane [3]. L’IA ha un impatto decisivo su diversi livelli, da quello individuale a quello della società. Gli stessi modelli organizzativi hanno subito e subiranno notevoli cambiamenti: le principali sfide da affrontare sono legate alla necessità di acquisire sempre maggiori competenze da parte del personale per il suo utilizzo, capacità quindi di affrontare gli eventuali problemi tecnologici, la necessità di un continuo controllo e il bisogno di fiducia, nonché una ridefinizione della life-work balance. I rischi principali per i lavoratori e le aziende si traducono nella riduzione della privacy, nella possibilità di sviluppare una dipendenza da queste tecnologie e un forte stress lavoro correlato che potrebbe sfociare addirittura nel burnout. I vantaggi però, se l’IA viene usata bene, sono notevoli, in quanto si riducono i costi, vi sono maggiori e migliori feedback sul lavoro da parte della macchina, vi è un miglioramento della qualità dei servizi e prodotti offerti, e se si agisce adeguatamente sulla pianificazione dello smart working, va ad avere risvolti positivi anche sella qualità della vita dei dipendenti. Nonostante alcuni studi tra il 2016 e il 2017 stimarono una sostituzione della manodopera umana con quella artificiale che andava dal 10%[4] al 47%[5], dati molto più recenti hanno dimostrato che la cultura aziendale e l’intelligenza artificiale sono due aspetti organizzativi che si influenzano reciprocamente, tanto che è stato sviluppato un modello detto “CUE” (Culture-Use-Effectiveness Dynamic)che dimostra quanto la cultura migliora l’uso dell’IA che a sua volta migliora i rapporti del team. Questo circolo determina più efficienza e alte prestazioni. Traendo le somme, se utilizzata con astuzia e senza pregiudizio, l’intelligenza artificiale può essere una potente arma verso l’innovazione e il successo dell’azienda sia dal punto di vista produttivo che di benessere del lavoratore[6].
In questo contesto il lavoro degli HR è molto interessante in quanto oltre ad occuparsi della condizione di benessere del lavoratore già assunto, di cui abbiamo parlato poc’anzi, si occupano di acquisizione di nuovi profili. Se fino a qualche anno fa, il recruiter doveva scegliere tra una vasta gamma di offerenti che si proponevano attivamente, oggi, anche grazie alle nuove tecnologie, la cultura del lavoro è cambiata al punto che il potenziale lavoratore è fondamentalmente passivo, carica il suo cv su piattaforme ad hoc e aspetta che sia l’azienda a proporsi. L’HR, quindi, può lasciare l’onere dello screening al software per dedicarsi ad un’attività più lungimirante: la talent acquisition, cioè non semplicemente il processo di ricerca di un lavoratore, ma la ricerca del “talento” adatto all’azienda non soltanto nella risoluzione del problema odierno, ma anche in visione dell’evoluzione dell’azienda stessa e dei suoi problemi a lungo termine[7].
Anche per il recruiting però bisogna agire con cautela: sono diversi, infatti, i casi in cui l’utilizzo dell’IA ha avuto esiti negativi sull’azienda, in particolare un esempio clamoroso è stato quello della grande multinazionale Amazon che a partire dal 2014 ha iniziato ad utilizzare un software per la selezione dei nuovi dipendenti da assumere. A questo software “era stato insegnato” a selezionare i candidati basandosi sui dati estrapolati dei curriculum di dipendenti assunti nei 10 anni precedenti, prevalentemente uomini: si arrivò al punto che la macchina aveva imparato che assumere uomini fosse meglio prediligendo CV con parole come: “eseguito” o “acquisito” tipiche degli ingegneri maschi e scartando quelli in cui c’era scritto “delle donne” o simili. Il software era sessista. Nonostante diversi accorgimenti la situazione non migliorò così il progetto fallì nel 2017[8], lasciando un insegnamento che almeno per ora non può essere ignorato: quando si tratta di scelte sul versante etico e morale, l’uomo ha e deve avere ancora la meglio sulla macchina.
[1] Falcone, R., Capirci, O., Lucidi, F., Zoccolotti, P., Prospettive di intelligenza artificiale: mente, lavoro e società nel mondo del machine learning, in “Giornale italiano di psicologia”, n.1, pp.43-68, 2018.
[2] Ibidem
[3] www.Intelligenzaartificiale.it
[4] Arntz M.T., Gregory T., Zierahn U., The Risk Of Automation For Jobs In Oecd Countries: A Comparative Analysis, in “OECD Social, Employment And Migration Working Papers”, n. 189, 2016.
[5] Frey C.B., Osborne M.A, The Future Of Employment: How Susceptible Are Jobs To Computerization?, in “Technological Forecasting And Social Change”, n. 114, pp. 254-280, 2017.
[6] Ransbotham, S., Candelon, F., Kiron, D., LaFountain, B., Khodabandeh, S., The Cultural Benefits of Artificial Intelligence in the Enterprise, in “MIT Sloan Management Review and Boston Consulting Group”, novembre 2021.
[7] Alashmawy, A., Yazdanifard, R., A Review of the Role of Marketing in Recruitment and Talent Acquisition, in “International Journal of Management, Accounting and Economics”, n. 7, pp. 569-581, 2019.
[8] De Casco A. F., Amazon e l’intelligenza artificiale sessista: non assumeva donne, in “Corriere della Sera – Tecnologia”, 10 ottobre 2018 online: https://www.corriere.it/tecnologia/18_ottobre_10/amazon-intelligenza-artificiale-sessista-non-assumeva-donne-4de90542-cc89-11e8-a06b-75759bb4ca39.shtml
Per contenuti come questo e su tanti altri temi, Iscriviti alla nostra Newsletter!!
Giuliana Cristiano
Dottoressa in Psicologia applicata ai contesti istituzionali
Psicologa Tirocinante in Selefor srl
IL GARANTE PRIVACY SANZIONA CLEARVIEW
A cura di Redazione Selefor CReFIS
Il Garante per la protezione dei dati personali, dopo una complessa istruttoria ha inflitto una sanzione di 20 milioni di euro alla Società statunitense Clearview AI Inc. fornitrice di servizi di riconoscimento facciale. Tali servizi consistono in un monitoraggio del comportamento di persone che si trovano nell’Unione europea compreso il territorio dello Stato membro italiano. Sotto questo aspetto, il controllo del comportamento si caratterizza per la raccolta di immagini, effettuata attraverso tecniche di web scraping, da social network, blog e, in genere, da siti web in cui sono presenti foto pubblicamente accessibili, ma anche video resi disponibili da social media (es., Youtube). Le immagini raccolte vengono elaborate da Clearview con tecniche biometriche al fine di estrarre le caratteristiche identificative trasformate in “rappresentazioni vettoriali” (modelli biometrici).
La Società – che possiede un database di oltre 10 miliardi di immagini di volti di persone di tutto il mondo, estratte da internet – offre pertanto un servizio che, avvalendosi di sistemi di intelligenza artificiale, consente la creazione di profili biometrici ricavati dalle immagini integrati da altre informazioni (metadati), come titolo e geolocalizzazione della foto, pagina web di pubblicazione.
Dall’istruttoria del Garante, attivata anche a seguito di reclami e segnalazioni, è emerso che l’attività di Clearview soddisfa entrambi i presupposti di applicabilità dell’art. 3.2 del GDPR (c.d. targeting) , e dunque l’applicazione del regolamento a trattamenti di dati personali di interessati che si trovano nell’UE, effettuati da un titolare del trattamento (o da un responsabile del trattamento) che non è stabilito nell’Unione (come nel caso di Clearview).
In relazione all’applicabilità dell’art. 3.2, ai sensi dell’art. 27 del GDPR la Società, nel ruolo di titolare del trattamento, avrebbe dovuto designare, mediante mandato scritto, un rappresentante nel territorio dell’Unione europea, incaricandolo come interlocutore, in aggiunta o in sostituzione di Clearview, in particolare delle autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento.
Le risultanze istruttorie hanno altresì rivelato che i dati personali detenuti dalla società – dati comuni, biometrici e di geolocalizzazione – sono trattati in assenza di un’adeguata base giuridica che, alla luce delle caratteristiche del trattamento, del contesto in cui si svolge e della finalità (la libera iniziativa economica), va individuata nel consenso degli interessati, dovendosi escludere che il legittimo interesse della Società legato alla predetta finalità economica possa prevalere rispetto ai diritti e alle libertà degli interessati, in particolare al diritto alla riservatezza – messo in discussione da un trattamento particolarmente intrusivo nella sfera privata degli interessati – e al diritto alla non discriminazione insiti in un trattamento come quello effettuato da Clearview.
L’attività di Clearview AI, pertanto, si pone in violazione delle libertà degli interessati, tra cui la tutela della riservatezza e il diritto a non essere discriminati.
La società ha, inoltre, violato alcuni princìpi generali del GDPR, segnatamente i princìpi di liceità, correttezza e trasparenza (art. 5.1.a), GDPR), non avendo adeguatamente informato gli interessati, di limitazione delle finalità del trattamento (art. 5.1.b), GDPR), avendo utilizzato i dati degli interessati per scopi diversi rispetto a quelli per i quali erano stati pubblicati online (non ravvisandosi una “ragionevole aspettativa”, da parte degli interessati, di un utilizzo delle loro immagini per finalità di riconoscimento facciale, per giunta da parte di una piattaforma privata, non stabilita nell’Unione e della cui esistenza ed attività gli interessati sono ignari), e di limitazione della conservazione, non avendo stabilito i tempi di conservazione dei dati.
Alla luce delle violazioni riscontrate, il Garante ha comminato a Clearview AI una sanzione amministrativa di 20 milioni di euro. L’Autorità ha, inoltre, ordinato alla società di cancellare i dati relativi a persone che si trovano in Italia e ne ha vietato l’ulteriore raccolta e trattamento attraverso il suo sistema di riconoscimento facciale. Il Garante ha infine imposto a Clearview AI di designare un rappresentante nel territorio dell’Unione europea che possa svolgere le funzioni di interlocutore, al fine di agevolare l’esercizio dei diritti degli interessati.
Cfr. GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, Provv. n. 50/2022, Ordinanza ingiunzione nei confronti di Clearview AI, in Registro dei provvedimenti, 10 febbraio 2022, https://www.garanteprivacy.it
Cfr. EDPB, Liee guida 3/2018 sull’ambito di applicazione territoriale del RGPD (articolo 3), 12 novembre 2019.
Per contenuti come questo e su tanti altri temi, Iscriviti alla nostra Newsletter!!