Pubblichiamo il testo dell’intervento tenuto da Federico Cabitza, professore di Sistemi Informativi e Interazione Uomo-Macchina – Università degli Studi di Milano-Bicocca, al convegno “I Dati tra Sovranità Digitale e Interesse Nazionale. Le Persone, le Pubbliche Amministrazioni e le Imprese”, svoltosi all’Università Milano-Bicocca il 25 novembre scorso.
Quattro giorni fa, a Brussels, durante il Europe Data Protection Congress organizzata dalla International Association of Privacy Professionals (IAPP), Ivana Bartoletti, una nota attivista dei diritti umani nel cyberspazio, ha detto e poi scritto su Twitter: “Data is so much more than a commodity. Data is what we are, and controlling what happens to data is a fundamental part of human dignity.” “I dati sono più di un bene commerciale. I dati sono ciò che siamo, e controllare quello che capita ai dati è una parte fondamentale della dignità umana”. Sulla prima parte di questo argomento, nulla da dire. Quello che contesto in questa sede è “che noi siamo i dati che ci riguardano” (pensiero da cui discende il fatto che quindi, dobbiamo possedere o meglio essere proprietari dei dati che ci riguardano). Se i dati sono noi, parte di noi, non disporne è come essere separati da una parte di noi: è come se non potessimo disporre di quello che è o fa un nostro braccio o una gamba: ne va davvero della nostra dignità; autonomia; identità.
La critica all’art. 5 del GDPR
I dati dicono qualcosa di noi, non c’è dubbio. Ma non tutto. Anzi, anche quello che dicono è una riduzione di un fenomeno complesso che, per molti versi, è essenzialmente irriducibile, perché intrinsecamente incerto, ambiguo, instabile, volatile. Gli informatici chiamano questa riduzione “astrazione”, ma così facendo mi sembra la vogliano come nobilitare. Piuttosto che astrazione, io la chiamerei in modo simile ma diverso: castrazione, e in questo non voglio evocare metafore chirurgiche, bensì l’etimologia della parola, che qualcuno avvicina a casto, cadstus, purificato, mondato, lavato di ogni elemento irrilevante, o considerato tale. E poi, se il dato è impreciso e incompleto, non possiamo che riconoscere che la sua interpretazione, cioè ciò che noi chiamiamo informazione, dipende necessariamente dall’interprete, dalla sua cultura, dalle sue preferenze, aspettative e finalità, dal contesto in cui opera e agisce. Questa riflessione ci permette di riflettere criticamente su uno dei principi ontologici che sono enunciati dall’articolo 5 del GDPR (e che infatti inizia “i dati personali sono…”), e cioè il principio di esattezza: “i dati sono esatti e, se necessario, aggiornati”. E io dico: col cavolo che sono esatti! Piuttosto, si dovrebbe dire: i dati devono essere trattati affinché tendano all’esattezza. Qui sembra in gioco quel medesimo equivoco dei principi illuministi alla base della nostra società, in cui noi prendiamo il “diritto alla ricerca della felicità” e lo trasformiamo in un assurdo “diritto alla felicità”.
Il diritto ad essere “opachi all’algoritmo”
Detto questo, dove voglio andare a parare?
Il GDPR stabilisce norme relative alla protezione delle persone fisiche attraverso la protezione dei loro dati personali perché (a mio parere il fondamento è questo) “i dati sono ciò che siamo”. A mio parere è invece prioritario proteggere le persone, che dati non sono. E da cosa dovremmo proteggere le persone? Certo dall’uso improprio dei dati che li riguardano, ma innanzitutto dal “principio di esattezza” e dalla sua valenza simbolica: cioè deve essere loro riconosciuto il diritto di dire “quei dati non mi rappresentano, non sono io, non puoi inferire cose che mi riguardano da quei dati”. Allora, così come è sancito il diritto alla privacy, cioè, come è noto, il diritto all’essere lasciato in pace quando si è in privato, dovrebbe anche essere sancito e tutelato il diritto a “non essere oggetto di inferenza computazionale basata sui dati”, cioè il diritto ad essere “opachi all’algoritmo”: possiamo chiamare questo diritto alla non inferenza, il diritto alla data-indifferenza. Si noti che questo diritto è più forte e radicale di quello sancito dall’articolo 22 (e considerando 71) del GDPR; perché il diritto alla data-indifferenza è relativo anche alla decisione umana, ogni qualvolta questa è supportata dal giudizio o consiglio (advice) della macchina.
Il problema è la profilazione
L’informatica parla di modelli predittivi: il machine learning produce predizioni. Omen nomen, come sempre, ma in questo caso si tratta di una chiara impostura. Piuttosto che la previsione di una verità (come rappresentata da un dato accurato de iure), la predizione degli informatici non è che una interpretazione, volutamente imprecisa, di dati, molto probabilmente affetti da incompletezza radicale, e da una buona dose di inaccuratezza; un dato che è di qualcuno, certo, ma che non ci riguarda più, né ci deve riguardare a meno che non siamo d’accordo con quella che è la sua interpretazione più comune. Il problema è quindi la profilazione (profiling), che è quel particolare trattamento automatizzato, a cui l’art. 22 riconosce lo status di decisione (basata unicamente su processi meccanici) “per analizzare o prevedere aspetti” del soggetto, cioè creare nuovi dati che assumiamo “esatti” sul soggetto. Qui agisce quella che io ho chiamato la fallacia della legittimità algoritmica. E cioè il pensare che un algoritmo possa sempre dire il vero, se parte dal vero.
Insomma, per finire, da ingegnere informatico, dico che il dato non è che una traccia, un’ombra nella caverna. L’informazione è sempre di chi interpreta il dato, sotto la sua inalienabile responsabilità. Bisogna proteggere i cittadini e l’umanità dalla profilazione, e cioè dall’automazione che riconduce le persone a dei dati, o meglio dall’uso che qualcuno fa della profilazione, per nascondersi dietro il dito di una automazione oggettiva e irresponsabile (nel senso che non deve rendere conto e non è accountable) per cercare di condizionare le persone, in innumerevoli modi e per diversi scopi, che spesso sono più legati al profitto dei pochi che, per dirla come Geremia Bentham, “alla felicità dei più”.
Il videoservizio del convegno “I Dati tra Sovranità Digitale e Interesse Nazionale. Le Persone, le Pubbliche Amministrazioni e le Imprese”, svoltosi all’Università Milano-Bicocca il 25 novembre scorso.