Corpo elettronico ed investigazione algoritmica tra esigenze di giustizia e diritti della personalità.

Autore: Giuseppe Serafini

Il tema della digitalizzazione ed algoritmizzazione dell’attività investigativa (investigazione algoritmica), da intendersi con specifico riferimento alla disciplina prevista dalla Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, si pone, secondo chi scrive, nella sua attuale urgenza, con riferimento specifico alle previsioni di cui all’art. 11, rubricato “Processo decisionale automatizzato relativo alle persone fisiche”, in forza del cui disposto: “Gli Stati membri dispongono che una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione, che produca effetti giuridici negativi o incida significativamente sull’interessato sia vietata salvo che sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che preveda garanzie adeguate per i diritti e le libertà dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento. Le decisioni di cui al paragrafo 1 […] non si basano sulle categorie particolari di dati personali di cui all’articolo 10, a meno che non siano in vigore misure adeguate a salvaguardia dei diritti, delle libertà e dei legittimi interessi dell’interessato. La profilazione che porta alla discriminazione di persone fisiche sulla base di categorie particolari di dati personali di cui all’articolo 10 è vietata, […]”.

La materia, nel suo complesso considerata, trova disciplina in Italia, anche per effetto della applicazione dei principi, del Regolamento 2016/679/UE “relativo alla protezione dei dati delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (Regolamento generale sulla protezione dei dati personali), entrato in vigore il 25 maggio 2018, del d.lgs. 18 maggio 2018, n. 51, in vigore dall’8 giugno 2018, e, del d.lgs. 10 agosto 2018, n. 101, entrato in vigore il 19 settembre scorso, con cui il legislatore nazionale ha modificato il Codice in materia di protezione dei dati personali.

La dimensione applicativa, di maggiore interesse, della disposizione da ultimo ricordata, in ordine alle corrispondenti operazioni di trattamento, che possono essere svolte dai suoi destinatari, le cui caratteristiche, per altro, differiscono profondamente, sia all’interno del nostro Ordinamento, tra le varie funzioni della magistratura, sia nella comparazione delle disposizioni processual penalistiche degli altri ordinamenti comunitari, pure obbligati al suo recepimento, deve cogliersi, con specifico riferimento, alla estensione della portata interpretativa di quelle garanzie adeguate, richiamate nelle norme citate, in relazione all’impiego massivo, possibile, da parte di chi sia dotato dei necessari mezzi, di strumenti tecnologici, non solo pervasivi, ma anche dotati di logiche inferenziali, delle quali non sia più che trasparente il funzionamento.

La ratio della norma, da cui sembra appropriato muovere, appare essere quella di impedire, a vari livelli, in ragione della tipologia dei soggetti interessati e dei dati oggetto delle operazioni di trattamento, che siano attuate, in assenza di garanzie adeguate, operazioni di trattamento automatizzate, compresa la profilazione che portano alla discriminazione sulla base di categorie particolari di dati personali, ovvero che siano svolti trattamenti automatizzati, comprese operazioni di profilazione che producano effetti giuridici o vadano ad incidere significativamente sugli interessati, senza che questi abbiano almeno il diritto di richiedere l’intervento umano.

In una famosa sentenza del 2016 la Corte Suprema del Wisconsin (State o Wisconsin v. Eric L. Loomis, 13 Luglio 2016) si è pronunciata sull’appello ad una pena di sei anni di reclusione applicata dal Tribunale, poiché nel determinare la pena, i giudici avevano tenuto conto dei risultati elaborati dal programma COMPAS (Correctional offender management profiling for alternative sanctions), secondo cui Loomis era da identificarsi quale soggetto ad alto rischio di recidiva.

Nella stessa direzione, della necessità della verifica umana, sull’esito algoritmico, nei considerando della Risoluzione del Parlamento europeo sulla robotica del 16 febbraio 2017, si afferma, da una parte che è possibile che a lungo termine l’intelligenza artificiale superi la capacità intellettuale umana e, dall’altra, che l’apprendimento automatico offre enormi vantaggi economici e innovativi per la società migliorando notevolmente le capacità di analisi dei dati, sebbene ponga alcune sfide legate alla necessità di garantire la non discriminazione, il giusto processo, la trasparenza e la comprensibilità dei processi decisionali.

Ciò, anche poiché, come si legge nel documento, Orientamenti Etici Per un’IA Affidabile del Gruppo di esperti istituito nel 2018 dalla Commissione Europea, nei sistemi di IA, la distorsione (Bias) si può verificare in molti modi, ad esempio, nei sistemi basati sui dati, come quelli prodotti tramite l’apprendimento automatico, le distorsioni nella raccolta dei dati e nell’addestramento possono dar luogo a un sistema che presenta distorsioni.

Nei sistemi basati sulla logica, come i sistemi basati su regole, possono verificarsi distorsioni dovute al modo in cui un ingegnere della conoscenza interpreta le regole che si applicano in un particolare ambiente, a causa dell’apprendimento online e dell’adattamento tramite l’interazione, o derivare dalla personalizzazione in base alla quale gli utenti ricevono raccomandazioni o informazioni adattate a loro. Le distorsioni, infine, possono essere benevole o malevole, intenzionali o non intenzionali e, in alcuni casi, possono portare a risultati discriminatori e/o iniqui, che nel presente sono definiti distorsioni inique.

In questo ambito, il considerando nr. 38 della direttiva 680 citata, specifica, in primo luogo che l’interessato dovrebbe avere il diritto di non essere oggetto di una decisione che valuta aspetti personali che lo concernono basata esclusivamente su un trattamento automatizzato e che produca effetti giuridici negativi nei suoi confronti o incida significativamente sulla sua persona, in secondo luogo che, in ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, compresi il rilascio di specifiche informazioni all’interessato e il diritto di ottenere l’intervento umano, in particolare di esprimere la propria opinione, di ottenere una spiegazione della decisione raggiunta dopo tale valutazione e di impugnare la decisione, ed infine, che la profilazione che porti alla discriminazione di persone fisiche sulla base di dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali dovrebbe essere vietata alle condizioni stabilite negli articoli 21 e 52 della Carta.

Parimenti il considerando nr. 18, specifica che al fine di evitare che si possano correre gravi rischi di elusione, la protezione delle persone fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate e che la protezione delle persone fisiche dovrebbe applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati personali sono contenuti o destinati a essere contenuti in un archivio, ed infine che, non dovrebbero rientrare nell’ambito di applicazione della presente direttiva i fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le rispettive copertine.

Prima di svolgere sintetiche osservazioni, sul significato da attribuire al termine profilazione, nel contesto della direttiva, in funzione della individuazione di operazioni di trattamento, nel contesto dell’attività investigativa svolta, ad esempio dalla Polizia Giudiziaria, nei diversi momenti che caratterizzano il procedimento penale, su delega o meno dell’Autorità procedente, sembra opportuno considerare, come, dalla lettura delle norme citate, emerga la necessità di dare protezione alla persona umana, dai risultati dello svolgimento di attività di indagine, con effetti, ad esempio sulla libertà dell’interessato, fondati in tutto o in parte sull’applicazione di logiche algoritmiche, e quindi sull’impiego di software – l’espressione e qui da intendersi in senso lato – dedicati.

Tanto più che la direttiva, al considerando 44, consente agli Stati di adottare misure legislative intese a ritardare, limitare o escludere la comunicazione di informazioni all’interessato o a limitare, in tutto o in parte, l’accesso di questi ai suoi dati personali nella misura e per la durata in cui ciò costituisca una misura necessaria e proporzionata in una società democratica […] per non compromettere la prevenzione, l’indagine, l’accertamento e il perseguimento dei reati o l’esecuzione di sanzioni penali, per proteggere la sicurezza pubblica o la sicurezza nazionale o per tutelare i diritti e le libertà altrui.

Tornando ora al termine profilazione, nell’ambito delle disposizioni della Direttiva, che costituisce uno dei principali cardini interpretativi della materia, esso è definito al Paragrafo. 3, nr. 4. come segue: “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

L’ampiezza della definizione normativa, insieme alle possibili declinazioni dell’impiego di soluzioni tecnologiche in funzione valutativa, si coglie, nella sua fluida dimensione, preso atto del ruolo sempre più pregnante rivestito dalle tecnologie della Società dell’Informazione nella reingegnerizzazione dei principali processi giurisdizionali, dall’impiego di algoritmi di machine learning o deep learning, dallo sviluppo dei Big Data e dalla crescita esponenziale della capacità computazionale, o, sinteticamente, dalla “investigazione algoritmica” .

In tale ultima espressione si devono ricomprendere una molteplicità di opzioni e/o configurazioni che hanno quale tratto comune, distintivo e caratterizzante, l’impiego di tecnologie evolute con finalità, sia di carattere analitico/induttivo, per l’individuazione di ricorrenze decisionali o comportamentali mediante analisi ed elaborazione di dati attinti da casi e decisioni già verificatisi, sia prospettico-predittivo, per la determinazione inferenziale e la quantificazione matematica di propensioni, in relazione alle quali determinare, con approssimazione probabilistica, la prevedibilità di un determinato evento o che la decisione del giudice […] converga su un determinato punto della controversia.

Da alcuni anni, in effetti, in molti ordinamenti stranieri, come ad esempio quello statunitense, sono studiati ed utilizzati nella quotidiana amministrazione della giustizia, sistemi intelligenti per la determinazione quantitativa del rischio di recidiva con impatti significativi, in relazione alla possibilità di accedere ai benefici tipici di quegli ordinamenti quali, ad esempio la concessione o meno della libertà a fronte del versamento di una somma di denaro a titolo di cauzione, durante la fase delle indagini del procedimento, o determinare l’entità della pena o della misura alternativa alla detenzione, in fase di deliberazione.

Più recentemente, nell’ambito del programma di ricerca Horizon 2020 l’Unione Europea ha finanziato lo sviluppo di iBorderCtrl (Intelligent Portable Control System), un progetto di un sistema innovativo, che mira a consentire un controllo delle frontiere più accurato per i cittadini di paesi terzi che attraversano le frontiere terrestri degli Stati membri dell’UE, con tecnologie che vanno da lettori e scanner portatili, a vari sottosistemi per controlli automatici, reti wireless affidabili per controlli mobili, archiviazione ed elaborazione back-end sicure.

Ciò che desta particolare interesse è il Sistema di Rilevamento Automatico dell’inganno (ADDS – Automatic Deception Detection System) in grado di eseguire, controllare e valutare, un’intervista di pre-registrazione, ad un posto di controllo, sequenziando una serie di domande poste ai viaggiatori da un Avatar, in funzione della quantificazione della probabilità di inganno nelle interviste, analizzando le micro-espressioni non verbali degli intervistati.

Anche in Italia, sono in corso operazioni di polizia basate sull’impiego di strumenti algoritmici, ad esempio, in seguito alla stipula di una convenzione, il 6 aprile 2018, tra Corte di Appello di Brescia, Tribunale di Brescia e Università di Brescia di un progetto per una prima realizzazione della “Giustizia Predittiva”, o in relazione all’impiego, da parte della Polizia di Stato del software XLAW, un’intelligenza artificiale dotata di un algoritmo di tipo euristico che sulla base dell’ acquisizione di caratteristiche socio ambientali del territorio in esame e dei delitti quotidiani consumati e scoperti dalle denunce di cittadini o da altre informazioni di Polizia o di attività di prossimità, ricerca e mostra modelli criminali che si configurano sul territorio in maniera ciclica e stanziale, prevedendone la singola e regolare distribuzione spazio temporale.

Sotto altro profilo, tuttavia, è impossibile non rilevare come, in paesi in cui la protezione dei diritti fondamentali della persona umana, abbia soglie di tutela molto inferiori rispetto a quelle del vecchio continente, si stiano verificando operazioni massive di raccolta di dati personali, sia biometrici sia genetici, funzionali, anche solo in ipotesi, a smisurate operazioni di profilazione dirette a discriminare, su base razziale, gli individui che ne sono oggetto, che, il più delle volte, ne sono ignari.

Dal punto di vista delle tipologie di interessati, profilabili, soggetti all’ambito di applicazione delle disposizioni della direttiva, l’art. 6 rubricato «Distinzione tra diverse categorie di interessati», obbliga gli Stati membri affinché «se del caso e nella misura del possibile, operino una chiara distinzione tra i dati personali delle diverse categorie di interessati, quali: a) le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o stiano per commettere un reato; b) le persone condannate per un reato; c) le vittime di reato o le persone che alcuni fatti autorizzano a considerare potenziali vittime di reato; d) altre parti rispetto a un reato, quali le persone che potrebbero essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti, le persone che possono fornire informazioni su reati o le persone in contatto o collegate alle persone di cui alle lettere a) e b).

Tale formulazione, rende evidente il tentativo operato dal legislatore eurounitario di auspicare, con lo strumento della direttiva un bilanciamento proporzionale delle posizioni tra le opportunità, in termini di concreta capacità di elaborazione, anche computazionale, configurabili in capo alle Istituzioni Giudiziarie e di Pubblica sicurezza, di attingere algoritmicamente ad enormi basi di dati in vista del, solo eventuale, accertamento giurisdizionale e ad un sistema di prevenzione efficace, e la tutela dei diritti inviolabili e delle libertà individuali degli interessati, comuni cittadini che si trovano a dover essere compresi, o compressi, in una delle categorie riportate.

Lo stesso Garante per la Protezione dei dati Personali italiano ha ritenuto opportuno precisare, nella sua newsletter 451 del 25 marzo 2019, in relazione all’emanazione, lo scorso 25 gennaio 2019, ad opera del Comitato Consultivo (CD. T-PD) della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (Convenzione 108), delle Linee-guida in materia di Intelligenza Artificiale e protezione dei dati come, tra i punti cardine del documento si debbano evidenziare, la necessità di adottare un approccio fondato sulla preventiva valutazione dell’impatto che sistemi, software e dispositivi basati sull’intelligenza artificiale possono avere su diritti fondamentali, nonché sulla minimizzazione dei relativi rischi per le persone evitando, tra l’altro, potenziali pregiudizi (bias) ed altri effetti discriminatori, come quelli basati sulla differenza di genere o sulle minoranze etniche.

Inoltre il Comitato, da una parte, ha rimarcato l’opportunità di inserire nel processo di valutazione nuove “forme partecipatorie”, basate sul coinvolgimento di individui e di gruppi potenzialmente colpiti dagli effetti dell’AI e, dall’altra, ha fornito varie indicazioni anche per la pubblica amministrazione che dovrebbe, ad esempio, predisporre procedure di appalto pubblico dove si impongano a sviluppatori, produttori e fornitori di servizi di AI, specifici obblighi di trasparenza, la valutazione preliminare dell’impatto del trattamento dei dati sui diritti umani e sulle libertà fondamentali, e l’obbligo di “vigilanza sugli algoritmi”, in particolare sugli effetti negativi e sulle conseguenze derivanti dalle applicazioni AI.

In effetti, in un contesto, di profondo cambiamento dell’ordinamento, in cui la lotta al terrorismo, anche internazionale, ha connotato la trasformazione della sicurezza, intesa in senso ampio, da interesse pubblico diffuso a diritto fondamentale della persona, si è parimenti potuta constatare la modificazione dell’interazione necessaria tra il processo penale e quella fondamentale azione di acquisizione, elaborazione ed analisi di ogni contenuto informativo riferibile alla commissione di reati (c.d. Intelligence), che rivela una decisa modificazione delle scelte investigative che, supportate dalla capacità intrusiva e dalla straordinaria fluidità delle tecnologie della Società dell’Informazione, è andata vieppiù esprimendo scelte preventive, fondate sul monitoraggio, generalizzato, diffuso e pervasivo, dei cittadini e dei dati, anche solo potenzialmente, utili a proteggere la sicurezza dello Stato, delle Istituzioni e della collettività da minacce o aggressioni criminali o terroristiche.

Con il rischio, concreto, di ibridazione della separazione indispensabile tra le funzioni della repressione e, quindi, della giurisdizione penale, e le funzioni della prevenzione, proprie, invece, dei servizi di informazione per la sicurezza.

Il ruolo della data governance nella sostenibilità delle smart cities

Il ruolo dei cookie paywall ed il valore dei dati personali

Riconoscimento facciale e sorveglianza: raising awareness

Diritto di accesso ad internet: un requisito per lo sviluppo di una cultura digitale

Deepfake: “when seeing isn’t believing anymore”

ABOUT US

LINKS

Community

About

Privacy e cookie policy

Login

SOCIAL