Con due recenti provvedimenti la Corte europea blocca la conservazione dei dati biometrici da parte delle forze di polizia e il Garante dei dati personali l’uso dell’IA nella prevenzione del terrorismo. Anche la ricerca scientifica è fortemente limitata “in nome della privacy”. Ma è veramente possibile – o accettabile? di Andrea Monti – Inizialmente pubblicato su Strategikon – un blog di Italian Tech – La Repubblica
Cosa hanno in comune Henrietta Lacks, una signora statunitense morta di cancro nel 1951 e Domenico Attianese, poliziotto ucciso 38 anni fa durante una rapina il cui caso è stato da poco riaperto?
La risposta è che entrambe le loro storie, anche se in modo diverso, sono statecaratterizzate dalla conservazione ultradecennale di campioni biologici e dati biometrici, e della possibilità di continuare a utilizzarli.
Le cellule tumorali di Henrietta Lacks furono “immortalizzate” nella linea cellulare chiamata HeLa (dalle iniziali dell’inconsapevole “donatrice”) e costituiscono ancora un importante strumento per lotta contro il cancro. Mentre grazie alla conservazione ultradecennale dei dati biometrici rinvenuti sulla scena del crimine, oggi è stato possibile individuare due persone sospettate di avere commesso l’omicidio del sovrintendente della Polizia di Stato.
In un caso, i campioni biologici contribuirono e continuano a contribuire alla ricerca per sconfiggere l’imperatore del male, come fu efficacemente chiamato, da Siddartha Mukherjee, il cancro. Nell’altro caso – come in tanti altri, riaperti grazie al progresso tecnologico – i dati biometrici sono serviti a fare giustizia.
Queste due storie sono l’esempio paradigmatico di come l’uso dei campioni biologici – e in generale dei dati – siano fondamentali per salvare la vita e la dignità degli esseri umani e di come, al contrario, una visione ideologica, sbagliata, fuori dal tempo e dalla storia della “privacy” – e del suo sbagliato sinonimo, la “protezione dei dati personali” – li mettano a rischio per tutelare una fantomatica “persona”.
È vero, nessuno chiese a Henrietta Lacks il consenso al riutilizzo delle sue cellule, ma come affermò la Corte suprema USA in un caso simile, Moore vs Regents of the University of California, anche se il medico che utilizzò il campione biologico dal paziente non lo informò di volerlo usare per fare ricerca, dall’altro lato non è possibile limitare la ricerca imponendo che i ricercatori verifichino l’esistenza del consenso per l’utilizzo di ogni singola linea cellulare. Inoltre, ha stabilito la Corte, una volta che un tessuto è stato prelevato non sussiste un interesse postumo ad essere ricompensati se, a volte dopo anni, l’analisi del tessuto origina una scoperta.
Analogamente, solo l’imprescrittibilità dell’omicidio – il fatto che il colpevole di un reato così grave deve poter essere trovato e condannato anche a distanza di decenni – ha dato alla famiglia della vittima la speranza di poter “lasciar andare” lo spirito del loro caro, ancora trattenuto sulla terra dal bisogno di giustizia.
A fronte di questo, “in nome della privacy”, da anni assistiamo e continuiamo ad assistere ad assurde limitazioni alla ricerca medica e scientifica e ai metodi investigativi frutto di una interpretazione soggettiva e bizzarra di un regolamento comunitario, il famoso “GDPR”.
La storia incredibile dell’impossibilità di fare un contact tracing con strumenti tecnologici durante la pandemia (al contrario di quello che fu fatto, per esempio, in Corea del Sud) e la sanzione (poi sconfessata recentissimamente dal Tribunale di Udine con la sentenza 308/23) imposta dal Garante dei dati personali alla Azienda Sanitaria Friuli Centrale per avere usato i dati dei pazienti per gestire le liste dei fragili da vaccinare, stanno lì a testimoniare il paradosso.
Per tutelare un’astratta ed evanescente idea di persona e dei suoi “diritti e libertà fondamentali”, si preferisce ostacolare l’esercizio di attività pubbliche indispensabili per la tutela della salute degli esseri umani, di quelli fatti di carne e sangue e non di idee immateriali, e che la legge dovrebbe tutelare, non pregiudicare.
Allo stesso modo, l’opposizione “in nome della privacy” all’utilizzo di sistemi tecnologici per le indagini e la prevenzione criminale costringono la magistratura a salire sul ring per affrontare i delinquenti con un piede in secchio di cemento e un braccio legato dietro la schiena.
Paradigmatica, in questo senso, la sanzione irrogata l’undici gennaio 2024 dall’Autorità garante dei dati personali a un comune e a una fondazione scientifica per avere usato i dati del sistema di videosorveglianza comunale in un progetto di ricerca diretto a rilevare, grazie all’intelligenza artificiale, fenomeni di radicalizzazione in funzione antiterrorismo.
Nel merito, è corretta la decisione di sanzionare il comune (ma chissà perché, non anche gli altri soggetti che hanno partecipato alla ricerca) perché l’antiterrorismo e la prevenzione di criminale sono compiti che spettano all’autorità centrale di pubblica sicurezza e alla magistratura, non certo a un sindaco che deve occuparsi della ben più modesta e limitata “sicurezza urbana”. Ma il fatto che chi ha titolo giuridico per usare certi strumenti tecnologici per proteggere la collettività possa farlo dovrebbe essere fuori discussione.
Eppure, decidendo in modo analogo a quanto fece la Corte dei diritti umani nel caso Marper v UK, lo scorso 30 gennaio 2024 la Corte di giustizia europea ha stabilito che dati biometrici e campioni genetici dei condannati non possono essere conservati a tempo indeterminato. Anche in questo caso siamo di fronte a una decisione ideologica perché ignora completamente il dato criminologico della propensione a delinquere – tradotto giuridicamente nell’istituto della “recidiva” e della dichiarazione di abitualità nella delinquenza – e il dato scientifico della condivisione del patrimonio genetico fra consanguinei.
Ciò significa, quanto a recidiva e delinquenza abituale, che l’ordinamento ritiene di punire più duramente chi, dopo avere commesso un reato ne commette altri e chi “campa” di illegalità. Di conseguenza, è perfettamente comprensibile (e compatibile con la Costituzione) che lo Stato si doti degli strumenti per agevolare l’individuazione di criminali seriali.
E significa inoltre, quanto alla condivisione del patrimonio genetico fra consanguinei, che la possibilità di comparare profili genetici appartenenti a persone diverse consente di individuare, anche se indirettamente, possibili soggetti il cui profilo genetico è parzialmente sovrapponibile a quello presente nella banca dati nazionale del DNA.
Passando dalla teoria alla pratica, per capire l’impatto di questa decisione, se l’interpretazione del GDPR adottata dalla Corte europea fosse già stata applicata in Italia, forse le impronte digitali rilevate sulla scena del brutale omicidio di Domenico Attianese sarebbero state già distrutte e dunque non sarebbe stato possibile riaprirne il caso.
Il filo rosso che lega le decisioni dell’autorità nazionale per la protezione dei dati e quelle della Corte europea è il ricorso indiscriminato al principio di precauzione, in base al quale siccome abusi dei dati sono teoricamente possibili, allora bisogna preventivamente vietare qualsiasi loro impiego. Il principio, però, viene affermato senza elementi quantitativi, cioè “numeri” che consentano di valutare in concreto la reale probabilità che questi abusi accadano e dunque la fondatezza di questo approccio.
Detta in altre parole, senza dati che diano riscontro alle preoccupazioni della Corte e del Garante, parlare di “rischio per i diritti” legati alla disponibilità dei dati di qualsiasi tipo significa, in realtà, applicare un discrezionale e indimostrabile “secondo me”.
La difesa classica di fronte a questi argomenti è che “privacy” e sicurezza non sono alternative ma che si può avere l’una e l’altra grazie al GDPR ma questo, semplicemente, non è vero.
Tutela della salute, sicurezza e giustizia richiedono necessariamente che lo Stato adotti mezzi oggettivamente limitanti della sfera privata dell’individuo perché, in casi del genere, le tutele individuali devono cedere di fronte al superiore interesse della collettività. Questo non significa, tuttavia, che lo Stato debba essere libero di fare ciò che vuole senza alcuna forma di controllo, senza che al cittadino sia data la possibilità di difendersi.
Ed è proprio la parola “controllo” ad essere la chiave di volta di tutto il ragionamento svolto in questo articolo. Il GDPR, anche se nei suoi limitati ambiti di applicazione (che peraltro non includono ordine e sicurezza pubblica e tutela della salute), è stato emanato per favorire la circolazione dei dati, non per limitarla. Dovrebbe, di conseguenza, essere applicato sanzionando chi abusa della libertà garantita dalle norme e non, come invece accade, generando inerzia e burocrazia a carico di chi, in buona fede, si preoccupa della vita degli esseri umani e non della venerazione di una fantomatica ed evanescente “persona”.
Gli spazi per interpretare la legge in questo modo ci sono tutti, bisogna solo avere la “volontà politica”, il buon senso o la consapevolezza di comprendere che la legge serve per tutelare la vita delle persone, e non il contrario.
Possibly Related Posts:
- Qual è il significato geopolitico del sistema operativo Huawei Harmony OS Next
- TeamLab Planets: da Tokyo la fuga verso i mondi della mente
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?