Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

L'APPROFONDIMENTO

La responsabilità dei robot nei processi automatizzati: possibili scenari alla luce del GDPR

Il tema della responsabilità dei robot all’interno dei processi automatizzati, ma anche delle macchine e dei software in generale, deve essere affrontato anche e soprattutto in relazione al GDPR e alla protezione dei dati personali. Ecco alcune riflessioni pratiche e una breve analisi sull’attuale (e probabilmente inadeguato) quadro normativo

21 Nov 2019
D
Samuel De Fazio

Esperto in protezione dati, sistemi di controllo interno, internal auditing, risk management, compliance


Nei due congressi settembrini di RPA Italy, l’associazione italiana di riferimento per la Robotic Process Automation (RPA) e l’intelligenza artificiale, è stato affrontato il tema della responsabilità dei robot all’interno dei processi automatizzati.

La questione può e dovrebbe essere affrontata da diverse prospettive, una delle quali, chiaramente, parte dal piano del GDPR e della protezione dei dati.

Cos’è la responsabilità giuridica?

Per definire il concetto di “responsabilità giuridica” è bene, anzitutto, soffermarsi e comprendere cosa s’intenda per “responsabilità”.

Essa è una condizione soggettiva tipica di chi, nelle varie forme che può assumere (v.g. ente pubblico, persona fisica, persona giuridica…) attraverso un processo cognitivo autonomo assume delle decisioni in grado di influenzare, positivamente o negativamente, la realtà dei fatti attraverso il compimento o l’omissione di atti e azioni.

In altre parole, definiamo “responsabilità” quella condizione di qualcuno che, alla luce di ciò che accade in funzione della sua volontà attiva od omissiva, risponde alla società (inteso in senso lato) in cui vive di quanto avvenuto o non avvenuto, motivandolo.

Ancora più semplicisticamente, si ha “responsabilità” quando si è “responsabili” e si è “responsabili” quando bisogna rendere conto di ciò che accade e che dipende da noi.

La “responsabilità giuridica”, nelle società civilizzate e che hanno un concetto, anche minimo, di ordine sociale e diritto, è spesso definita come quella responsabilità che deriva da obbligazioni che ricadono su chi compie o dovrebbe compiere atti.

La responsabilità nel GDPR

Il GDPR [così come molte altre norme, nda] è imperniato sul concetto di responsabilità, parola che ricorre, con varie declinazioni, oltre trecento volte in un testo normativo composto da centosettantatré considerando e novantanove articoli; in pratica con una frequenza maggiore di uno sul totale dei considerando e degli articoli.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Sulla responsabilità nel GDPR rileva anzitutto l’art. 5, par. 2, che istituisce il principio di responsabilizzazione (accountability), inserendolo all’interno dei principii del trattamento, disponendo che “il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo”.

L’art. 24 torna sull’argomento, definendo in modo esplicito le responsabilità del titolare del trattamento, che “Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

Concetti che riprendono e approfondiscono quelli già espressi nelle definizioni con l’art. 4, par. 1, num. 7), che indicano come “titolare del trattamento” “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”.

È bene ricordare che le figure che in italiano definiamo “responsabili del trattamento” (in inglese “data processor”) fanno parte di quelle misure organizzative messe in atto proprio dal titolare.

Particolare rilievo, in questo caso, assume anche l’art. 82 del GDPR, che tratta in modo specifico il diritto al risarcimento e la ripartizione delle responsabilità tra gli attori coinvolti nel trattamento dei dati.

La responsabilità dei robot nei processi automatizzati

L’interrogativo, a questo punto, alla luce del galoppante sviluppo delle tecnologie di RPA e intelligenza artificiale, che sottintendono algoritmi sempre più sofisticati e in grado di permettere ciò che siamo abituati a chiamare come “machine learning”, ovvero la capacità delle macchine di apprendere da sole e comportarsi di conseguenza, diviene quello di determinare se, come, quando e quanto considerare “responsabili” i robot, le macchine, i calcolatori e i software in generale.

Oggi, molto probabilmente, la risposta non può essere data con puntualità e certezza.

Possiamo solo fermarci e rilevare che, giuridicamente, le responsabilità sono sempre allocate in capo agli esseri umani, anche in via indiretta quando si parla di responsabilità degli enti, perché, fattualmente, dietro a un ente c’è sempre almeno un essere umano.

Nel panorama giuridico italiano, potrebbero venirci incontro norme ormai consolidate da tempo come il codice del consumo (D.lgs. 206/2005) o il testo unico sulla sicurezza sul lavoro (D.lgs. 81/2008), che sostanzialmente concordano sul fatto che qualsiasi strumento (incluso informatico) finisca sul mercato debba essere sicuro (che nel linguaggio del GDPR significa essere conforme ai dettami dell’art. 25, ossia garantire la protezione dei dati sin dalla progettazione e per impostazione predefinita secondo i principi di data protection by design e by default).

Ma ciò potrebbe non essere sufficiente, perché la tendenza globale, soprattutto in ambito informatico, sta tendendo sempre più a una labilità dei confini giurisdizionali.

Non a caso, durante il congresso di RPA Italy si è portato l’esempio di uno stato americano che ammette la proprietà e la legale rappresentanza di aziende da parte di software; cosa che in Italia non potrebbe accadere per il semplice fatto che il titolare effettivo deve sempre essere una persona fisica, ai sensi delle norme in materia di antiriciclaggio.

Sull’argomento, a livello filosofico, potrebbero poi intervenire le leggi della robotica proposte dallo scrittore Asimov nel ‘900.

Ciò detto, con le attuali regole appare improbabile che una macchina possa concretamente assumersi delle responsabilità, poiché anche il più sofisticato e complesso degli algoritmi, è pur sempre frutto di passaggi logici più elementari e riconducibili a un’iniziale programmazione umana. In questi termini, l’uomo è e sarà sempre responsabile.

WHITEPAPER
Mobile security: come proteggere gli smartphone dai malware
Sicurezza

È indubbio, tuttavia, che una buona parte del mercato e della società si stia interrogando sulla questione, che meriterebbe una approfondita riflessione e una particolare attenzione da parte delle istituzioni, come è tipico di tutte le società civili.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5