Privacy&

2019/1

Gaetano Arnò

Tecnologia e diritto - Velocità e lentezza

Scarica articolo in PDF

L’inarrestabile corsa dell’evoluzione tecnologica

Analizzando i principali eventi avvenuti tra lo scoppio della prima guerra mondiale nel 1914 e il crollo dell’Unione sovietica nel 1991, lo storico inglese Eric J. Hobsbawm ha qualificato il 1900 come il “secolo breve”[1].

La ragione di questa definizione dipende essenzialmente dalla moltitudine di avvenimenti e dalla impressionante velocità dei progressi tecnologici, economici e sociali che hanno caratterizzato la storia del XX secolo rispetto ai periodi storici che lo hanno preceduto.

Senza andare troppo indietro nel tempo, la prima Rivoluzione industriale, iniziata nella seconda metà del 1700 con l’avvento della macchina a vapore (e della spoletta volante), è durata oltre un secolo sino a quando, a partire dal 1870, l’introduzione dell’elettricità, dei prodotti chimici e del petrolio ha avviato quella che viene convenzionalmente indicata come seconda Rivoluzione industriale, protrattasi a sua volta sino alla metà del XX secolo.

Le diverse opinioni in merito alla data di inizio e fine di questi periodi storici riguardano un lasso temporale di poche decine di anni e non inficiano la facile conclusione che tanto il XVIII quanto il XIX secolo siano stati estremamente “lunghi” rispetto ai cento anni che sono arrivati in seguito[2].

Nella seconda metà del 1900 il forte sviluppo dell’elettronica e delle telecomunicazioni, unito alla nascente scienza dell’informatica, hanno determinato una tale spinta all’innovazione tecnologica ed al contesto economico sociale da far ipotizzare una terza Rivoluzione Industriale.

La durata di questa fase storica è stata però nettamente più breve di quelle che l’hanno preceduta, tanto che già tra la fine degli anni ’80 e l’inizio degli anni ’90 si è iniziato a parlare di Rivoluzione informatica (senza più alcuna numerazione individualizzante), determinata dall’imperioso avvento delle tecnologie dell’informazione e della comunicazione[3].

I pochi anni mancanti alla fine del XX secolo hanno, come noto, confermato la correttezza della definizione, consolidando l’importanza dell’informatica quale elemento ineludibile dello sviluppo tecnologico in qualsiasi settore scientifico, oltre che fattore scatenante di molteplici significativi mutamenti economici e sociali.

Completato il passaggio dalla tecnologia meccanica a quella elettronica analogica, gli ultimi anni del XX secolo e i primi del XXI sono stati “in parte” caratterizzati dalla progressiva e inarrestabile ascesa della tecnologia del digitale; “in parte” perché, in parallelo, il sistema di interconnessione globale tra reti informatiche – oggi noto come internet[4] – ha avuto un progressivo e rapidissimo sviluppo, tanto da passare dai primi esperimenti di servizio world wide web aperto al pubblico della metà degli anni ’90 all’attuale capillare diffusione planetaria.

Ecco quindi che la Rivoluzione informatica, proclamata solo qualche decennio prima, cede il passo ad un nuovo periodo già classificato come Era digitale, dominato dal velocissimo e incessante sviluppo di sistemi di trasmissione, ricezione, analisi ed elaborazione di dati e informazioni di ogni genere e specie.

La parallela, coordinata evoluzione delle due anime della Information and Communication Technology (apparati digitali e programmi software per quanto riguarda la parte informatica; reti telematiche ad alta velocità con riferimento alla componente telecomunicazioni) ha profondamente e radicalmente trasformato, e continua a trasformare, il contesto sociale ed economico in ogni parte del globo.

Per rendersi conto della velocità e pervasività dello sviluppo delle nuove tecnologie digitali basta fare il gioco, quasi infantile, di provare ad elencare le principali innovazioni di cui si è stati spettatori e partecipi quali consumatori in questi primi diciotto anni del XXI secolo.

Gli strumenti digitali sono passati dai primi telefoni cellulari di fine 1900 agli attuali smart-phone e tablet con capacità di memoria ed elaborazione, oltre che modalità di utilizzo, assimilabili a veri e propri micro personal computer.

Complicatissimo per un non tecnico stare dietro al fiume in piena di sigle che hanno caratterizzato l’evoluzione del sistema delle reti di telecomunicazione mobile universale, passate in pochissimi anni dal GSM al GPRS, all’UMTS,[5] con le loro varie “declinazioni”, dal vecchio standard analogico 1G a quelli completamente digitali contraddistinti dalla numerazione 2G, 3G, 4G, con il 5G oggi in una prima fase di ricerca e sviluppo ma sicuramente tra poco tempo operativo e diffuso a livello planetario[6].

Parimenti, la comunicazione tra dispositivi elettronici è velocemente passata dalle connessioni cablate dette wired a quelle totalmente senza fili, per questo motivo denominate wireless, con capacità tecniche in espansione pressoché quotidiana.

Le applicazioni software create nel primo ventennio (non ancora concluso) del XXI secolo sono, a loro volta, impressionanti nel numero e nella tipologia. Impossibile fare un elenco anche per un “addetto ai lavori”; basti solo pensare che si spazia dai più semplici sistemi di domotica a quelli di trasporto automatizzato, dalle stampanti 3D a molteplici tipologie di Bot e Chatbot (o chatterbot), dai c.d. GIS-Geographic Information System (o sistemi di geolocalizzazione) alla FRT-Facial Recognition Technology, senza neppure tenere conto della moltitudine di sistemi di realtà virtuale o visione artificiale.

E ancora siamo in attesa di vivere la reale evoluzione dello IoT – Internet of Things, le cui potenzialità e ambiti di applicazione risultano veramente infiniti.

I passati limiti derivanti dalle capacità di memorizzazione, elaborazione ed archiviazione delle tradizionali apparecchiature hardware sono ormai da tempo dimenticati – o comunque in piena fase di superamento – tramite l’utilizzo di sistemi/servizi di Cloud computing, le cui memorie di massa on-line nella rete internet consentono la gestione di una quantità di dati ed informazioni potenzialmente incalcolabile.

Impossibile che una così massiccia evoluzione tecnologica non producesse (e non continui a produrre) rilevanti mutamenti del contesto economico e sociale.

È sotto gli occhi di tutti il cambiamento delle abitudini dei consumatori prodotto dalle sempre più sofisticate tecniche di digital marketing che accompagnano moltissime iniziative di commercio elettronico volte alla promozione e vendita on-line di pressoché qualsiasi bene o servizio[7].

Ancora più marcate sono le conseguenze dell’evoluzione tecnologica degli ultimi 18 anni sulle relazioni sociali, condizionate (quando non addirittura guidate) a tal punto da fenomeni assolutamente nuovi e sino a poco tempo fa inimmaginabili – quali social media[8], blogger, influencer, selfiemania – da determinare finanche mutamenti delle modalità e delle forme di espressione e comunicazione (basti pensare alla neonata forma di linguaggio adolescenziale, ormai adottata anche dagli adulti, che potrebbe denominarsi come “whatsappese”).

Ma non sono solo questi gli elementi caratterizzanti l’Era digitale, i cui effetti si espandono a qualsiasi aspetto del vivere sociale; è sufficiente ricordare, a mero titolo di esempio, i cambiamenti determinati nel mondo del lavoro dal significativo incremento del c.d. smartworking o la rivisitazione dei vari modelli organizzativi e gestionali che dovrebbero portare alla Industria 4.0, piuttosto che i nuovi criteri di pianificazione urbanistica e fruizione dei servizi pubblici delle c.d. smart city.

Volendo tornare a Eric J. Hobsbawm verrebbe da dire con un ossimoro che dopo il 1800 secolo “lungo” e il 1900 secolo “breve”, il 2000 si prospetta come un “secolo istantaneo”, composto da un’ininterrotta sequenza di nuove ere caratterizzate da specifiche tecnologie destinate a durare lo spazio di pochi anni per essere velocemente soppiantate dalla successiva innovazione.

Il “combustibile” dell’Era digitale

Provando ad azzardare una metafora in cui lo sviluppo tecnologico dei primi anni del XXI secolo (in continuità con quello del secolo precedente) è identificato in un enorme macchinario, è indubbio che il “combustibile” necessario al suo funzionamento sia costituito da dati e informazioni di qualunque genere e specie, selezionati a seconda del tipo di lavorazione (o risultato) si voglia (o si debba) ottenere.

Ritornando alla realtà, è altrettanto fuor di dubbio che nessuna applicazione informatica, quale che sia la sua finalità, avrebbe una ragione di esistere – o potrebbe concretamente funzionare ed essere utile – in mancanza di dati e informazioni da incorporare, assemblare, elaborare, archiviare, etc.[9]

La metafora poc’anzi citata non è, peraltro, particolarmente originale, trovando in parte ispirazione nel fatto che molti, nel sottolineare l’importanza (economica, ma non solo) dei dati nell’attuale contesto storico, li hanno qualificati come “nuovo petrolio”.

Similitudine sicuramente pertinente ma che non considera un importante elemento di differenziazione tra l’“oro nero” e i dati e le informazioni: il primo si consuma e viene meno appena usato, mentre i secondi sono astrattamente riutilizzabili infinite volte e ciascun utilizzo è potenzialmente idoneo ad “arricchirli” ove siano combinati con altri elementi.

È così che si passa man mano dalle tradizionali soluzioni di business intelligence[10] ai processi di Big Data Analytics[11], all’analisi predittiva[12], sino ad arrivare alla nuova frontiera dell’Intelligenza Artificiale [13] con le sue “articolazioni” che possono andare dai sistemi di apprendimento automatico (Machine Learning)[14] ai dati inferiti[15] sino alle reti neurali artificiali[16].

L’importanza assunta dai dati e dalle informazioni nel contesto moderno (e quindi anche prima dell’inizio del XXI secolo) è così significativa che si parla ormai da tempo – anche in ambito legislativo – di “Società dell’informazione”, preoccupandosi di identificare le principali caratteristiche strutturali e di dettare alcune basilari regole di comportamento volte, da un lato, a favorire il generale principio di libera circolazione dei servizi e, dall’altro lato, ad evitare potenziali violazioni dei diritti e delle libertà delle persone fisiche (e giuridiche)[17].

Il mare magnum dei dati oggetto di raccolta e analisi si divide  perlomeno sotto il profilo giuridico  in due oceani a tal punto contigui tra loro da risultare talvolta difficilmente distinguibili: l’insieme dei dati personali riguardanti le persone fisiche e quello di tutti gli altri dati di natura diversa, disciplinati da provvedimenti normativi differenti ma correlati fra loro[18].

Tralasciando per il momento il secondo oceano e occupandosi del primo, è ampiamente noto (lo si ribadisce) come l’obiettivo principale dei vari legislatori (in primis quello comunitario e a seguire quello nazionale) sia volto ad assicurare un’adeguata tutela dei diritti e delle libertà delle persone fisiche in relazione al trattamento dei loro dati personali[19].

È proprio in questo contesto che si innesta il ricorrente, costante dibattito riguardante l’ormai scontata (e talvolta ingiustificatamente banalizzata) necessità di trovare il giusto punto di equilibrio tra l’indiscussa esigenza di favorire lo sviluppo tecnologico ed economico, evitando (o comunque mitigando) i possibili effetti negativi che potrebbe avere sulle relazioni sociali in assenza di alcun controllo, salvaguardando al contempo in misura adeguata (ancorché senza tendenze “maccartistiche”) le legittime aspettative di tutela dei singoli individui i cui dati personali sono destinati a costituire oggetto di trattamento per le più svariate ragioni (a partire da quelle più semplici di natura commerciale, sino ad arrivare a quelle più complesse e “delicate” aventi finalità politiche o di condizionamento sociale).

In un mondo in cui i dati personali sono sempre più facilmente reperibili – grazie alla spontanea (ma talvolta ingenua e inconsapevole) messa a disposizione da parte degli stessi interessati[20], al libero accesso ad una moltitudine di banche dati pubbliche o private create per finalità legittime (sebbene con precisi limiti di utilizzo)[21], oppure ottenibili senza particolari difficoltà da chi li detiene in modo lecito (o talvolta anche contra legem) – è sin troppo facile comprendere il rischio di trattamenti potenzialmente lesivi degli interessi (quando non dei diritti e delle libertà) dei soggetti a cui tali dati personali fanno riferimento.

Anche prescindendo per un momento dall’utilizzo non corretto eventualmente posto in essere da chi è entrato legittimamente in possesso di dati personali di persone fisiche, è un fatto notorio che tali dati sono frequentemente oggetto di “aggressioni” finalizzate ad avviare trattamenti illeciti oppure alla loro distruzione o indebita divulgazione ad opera di una moltitudine di “delinquenti informatici” dediti con sistematicità alla violazione delle reti.

Termini come cyber risk, hacker, malware, cyber attack e similari sono ormai, purtroppo, entrati a far parte del linguaggio comune a causa del moltiplicarsi degli episodi c.d. di data breach ai danni di imprese ed istituzioni i cui sistemi informatici erano reputati sicuri sino al momento in cui non sono stati violati; basti pensare ai recenti episodi di cui si sono occupati tutti i mezzi di informazione che hanno riguardato la catena alberghiera Marriott o il social network Twitter, utilizzato all’inizio del 2019 da circa 330 milioni di utenti “attivi” nel mondo[22].

Finalmente, dopo molti anni, le imprese, gli enti e le istituzioni pubbliche stanno prendendo atto dell’enorme crescente importanza dei sistemi e delle procedure c.d. di cyber security, sino a poco tempo fa considerati ancillari rispetto alle applicazioni software e alle apparecchiature hardware sulle quali soltanto venivano concentrati gli investimenti informatici, trascurando in questo modo le esigenze di sicurezza delle ingenti quantità di dati ed informazioni raccolti, elaborati ed archiviati.

L’incremento delle misure di protezione dei sistemi informatici non è però di per sé stesso sufficiente a garantire un’adeguata tutela dei dati personali, riguardando soltanto la loro salvaguardia da “attacchi” di soggetti (terzi o anche interni all’organizzazione) che non potrebbero, e non dovrebbero, avervi accesso.

L’unica reale e completa forma di protezione non può che essere quella derivante da un corpus normativo adeguato e, come tale, idoneo ad assicurare una costante e precisa salvaguardia contro qualsiasi comportamento potenzialmente lesivo dei diritti delle persone fisiche i cui dati personali costituiscono oggetto di trattamento, tanto da parte di chi li ha illegittimamente ottenuti quanto di coloro che ne sono entrati in possesso in modo del tutto legittimo.

Perché questo risultato sia raggiungibile è però necessario che le norme applicabili siano sempre sistematicamente al passo con l’evoluzione tecnologica, disciplinando, se non in tempo reale (condizione impossibile) almeno tempestivamente, tutti i fenomeni nuovi che dovessero risultare potenzialmente al di fuori dell’ambito applicativo del sistema giuridico operante nel momento di riferimento.

I lunghi tempi del diritto

Qualunque sia la valutazione filosofica ritenuta più corretta in merito alla funzione, allo scopo o alla finalità del diritto, sono comunque in pochi a contestarne la natura concreta di strumento di controllo del comportamento umano operante attraverso disposizioni, a seconda dei casi, di impronta positiva o negativa (tendenti cioè ad imporre uno specifico agire oppure a vietarlo), correlate molto spesso (rectius: quasi sempre) ad un apparato sanzionatorio che svolge usualmente funzioni di scoraggiamento della violazione del precetto normativo ma che potrebbe anche avere una finalità di incoraggiamento del suo rispetto.

Fin dalla notte dei tempi sono stati molto rari i casi (ammesso e non concesso che ve ne siano) in cui il diritto ha regolato in anticipo specifici comportamenti umani non ancora verificatisi; di regola, la produzione normativa è l’effetto conseguente ad una causa scatenante costituita dall’emergere di condotte nuove che risulta necessario disciplinare in senso positivo o negativo.

Così essendo, la tempestività dell’intervento del legislatore risulta un elemento fondamentale per assicurare una sempre ottimale regolamentazione dei rapporti sociali la cui mutevolezza dipende da una moltitudine di fattori politici, economici o di altra natura. È però altrettanto ovvia, oltre ad essere ampiamente nota, la necessità che l’attività legislativa sia svolta avendo piena e chiara contezza dei fenomeni da disciplinare, tenendo conto delle opportune analisi in merito ai possibili benefici o svantaggi che potrebbero derivare dall’intervento normativo. Ciò comporta tempi del diritto inevitabilmente non fulminei o comunque nettamente più lenti dell’emergere e progredire dei comportamenti che dovrebbe regolamentare. Questa lentezza è tanto più evidente quanto più veloci risultano i cambiamenti ed i fenomeni di cui il diritto si dovrebbe occupare.

Sicuramente l’attività della magistratura in molte circostanze può fungere – e di fatto funge – da (improprio) elemento di “mediazione” tra evoluzione sociale e disciplina normativa mediante l’applicazione analogica ai nuovi contesti delle norme scritte per una specifica situazione pregressa; tuttavia, non sempre il ricorso all’analogia (legis o iuris che sia) risulta idoneo a colmare vuoti che spesso devono essere necessariamente regolati da un intervento legislativo ad hoc.

Senza andare troppo distante, la stessa storia della normativa comunitaria e nazionale in materia di data protection testimonia in qualche modo la necessità del diritto di rincorrere l’evoluzione tecnologica e i conseguenti effetti economici e sociali.

Peraltro, oggi stesso, a distanza di neppure un anno dall’avvio dell’applicazione concreta del GDPR, ci si domanda da più parti se non sia necessario un intervento normativo su specifici aspetti dello sviluppo tecnologico inerente la Società dell’informazione, quali (a titolo esemplificativo) alcuni profili peculiari riguardanti la Blockchain[23], i Big Data, lo IoT – Internet of Things, l’Intelligenza Artificiale o le reti neurali artificiali.

Per quanto la domanda sia lecita e probabilmente anche correttamente posta, non si può negare che allo stato attuale qualunque intervento rischierebbe però di risultare prematuro (e potenzialmente erroneo) a causa dell’ancora limitata conoscenza (e coscienza) da parte del legislatore di fenomeni in fase di formazione e sviluppo di cui non sono state sinora valutate in modo approfondito tutte le possibili implicazioni e “ricadute” di natura economica e sociale.

La necessità di avvicinare il passo

Confermata la maggiore velocità dello sviluppo tecnologico rispetto alla produzione normativa e ritenuto poco sensato (oltre che altamente improbabile) il verificarsi di circostanze in cui il diritto possa provare ad anticipare la tecnologia senza aver analizzato tutte le possibili conseguenze dell’eventuale nuova regolamentazione giuridica, rimane da stabilire dove sia un adeguato punto di equilibrio tra le diverse esigenze solo apparentemente contrapposte.

La risposta, a questo stadio del ragionamento, risulta scontata e persino troppo banale.

La tecnologia deve continuare il suo processo di incessante sviluppo e miglioramento con i tempi che gli sono propri mentre il diritto deve fare in modo di “accorciare le distanze” tra il momento in cui emerge la necessità di dare specifica regolamentazione ai fenomeni nuovi (cui non è possibile applicare analogicamente vecchi precetti normativi) e quello in cui il legislatore provvede davvero.

Per fare ciò, oggi molto più che in passato, è necessaria una profonda comprensione delle tendenze e degli sviluppi tecnologici da parte di tutti gli operatori del diritto, che può essere raggiunta esclusivamente attraverso l’instaurazione di un proficuo rapporto di collaborazione reciproca con gli esperti del settore di volta in volta interessato.

Solo un’approfondita e costante interazione può, infatti, consentire ad entrambi i soggetti (giuristi e tecnici) di comprendere adeguatamente il mondo dell’altro, arricchendo in questo modo l’ambito delle conoscenze che compongono il proprio.

Questo è di fatto il principale obiettivo che si pone la neonata Rivista Privacy&: costituire un luogo privilegiato di incontro, condivisione e dibattito tra tutti coloro che sono interessati a diverso titolo (avvocati, tecnici, ingegneri, DPO, magistrati, etc.) dalle tematiche della data protection, della tecnologia (soprattutto informatica), della cyber security e dei loro conseguenti effetti economici, politici e sociali.

In seconda battuta, auspicando di non risultare presuntuosi, sarebbe una bella cosa scoprire che l’approccio appena delineato risulterà condiviso da molti e, perché no, anche da coloro che sono incaricati di legiferare sui comportamenti indotti dal progresso tecnologico.

Per adesso, buona lettura a tutti.