La Commissione europea ha annunciato che il 19 febbraio verrà pubblicato il Libro bianco sull'Intelligenza artificiale, di cui una parte, quella riguardante la moratoria sul riconoscimento facciale, ha avuto ampia eco. Ma sono principalmente le questioni etiche dell'IA e quelle inerenti la protezione dei dati personali ad essere al centro dell'attenzione.

Le recenti notizie relative ad attività di phishing su utenze NoiPA ed alla effettiva rilevazione di limitati e circoscritti casi (15 su un totale di oltre due milioni di amministrati) di modifiche dell’IBAN non confermati dal dipendente beneficiario hanno indubbiamente generato un grande allarme sociale richiamando l’attenzione, ancora una volta, alle problematiche di sicurezza che nell’ambito informatico sono continue, specie con riferimento alla pubblica amministrazione.

Negli ultimi tempi la tecnologia ha fatto davvero passi da gigante ed ormai sta cambiando progressivamente il nostro modo di lavorare, di interagire e quindi di vivere nella nostra società grazie all’avvento di sofisticati dispositivi tecnologici che sfruttano le innumerevoli potenzialità che li contraddistinguono. Indubbiamente negli ultimi tempi il settore dei trasporti è tra i più interessati sul fronte dell’innovazione tecnologica, tant’è vero che si parla sempre di più di trasporto intelligente, obiettivo fondamentale anche dell’agenda digitale europea.

Per RPA (Robotic Process Automation) si intende l’insieme delle tecnologie software che permettono l’automazione di processi operativi che possono eseguire in modo automatico attività effettuate da operatori umani in base a regole definite imitandone il comportamento ed interagendo con gli applicativi informatici esattamente nello stesso modo degli operatori. Tale tecnologia permette di approcciare il tema dell’automazione e dell’integrazione dei sistemi in modo sicuramente più facile, meno costoso e meno invasivo rispetto allo sviluppo di applicazioni tradizionali.

Il termine big data ("grandi masse di dati" in inglese), o megadati, indica genericamente una raccolta di dati così estesa in termini di volume, velocità e varietà da richiedere tecnologie e metodi analitici specifici per l'estrazione di valore o conoscenza. Il termine è utilizzato in riferimento alla capacità di analizzare ovvero estrapolare e mettere in relazione un'enorme mole di dati eterogenei, strutturati e non strutturati, allo scopo di scoprire i legami tra fenomeni diversi (ad esempio correlazioni) e prevedere quelli futuri.

Nell’ambito della P.A. assume grande rilevanza la delicata problematica rappresentata dal possibile conflitto tra due interessi di rango primario che, in quanto tali, devono ritenersi entrambi meritevoli di costante ed adeguata tutela da parte dell’ordinamento giuridico:

La Corte di Giustizia dell’Unione Europea con la sentenza nella causa C-40/17 (scarica il testo in calce) sancisce il principio che il gestore di un sito Internet corredato del pulsante «Mi piace» di Facebook può essere congiuntamente responsabile con Facebook della raccolta e della trasmissione dei dati personali dei visitatori del suo sito, anche se non può essere considerato poi responsabile del trattamento successivo di tali dati effettuato esclusivamente da Facebook.

Il Regolamento comunitario sulla protezione dei dati personali n. 2016/679 non prevede una disciplina ad hoc per il trattamento dei dati personali effettuato dai soggetti pubblici al di là di riferimenti specifici relativi all’applicazione di alcune norme o istituti, talvolta anche in regime di eccezione rispetto a regole generali. IL GDPR, in realtà, non contiene una formale bipartizione tra titolari pubblici e privati e non contiene nemmeno norme specifiche dedicate al settore privato e pubblico, ma si occupa in generale delle condizioni di liceità del trattamento (v. art. 6 e art. 9, comma 2, per i dati particolari).

Il ricorso all’outsourcing è molto frequente nell’organizzazione di attività di impresa, ma quando ciò implica un flusso di dati personali, occorre che il committente e il fornitore esterno disciplinino i loro rapporti ai sensi della legislazione sulla privacy. Dal 25 maggio 2018 è scattato l’obbligo di stesura di un esteso numero di clausole. Si tratta di un’incombenza particolarmente rigorosa, considerato che l’incompleta o l’inadeguata stesura del contratto con il responsabile esterno del trattamento prevede sanzioni con un massimo edittale di 10 milioni di euro (o, se superiore il 2% del fatturato annuo). Di seguito uno approfondimento sulla figura del Responsabile del trattamento alla luce del GDPR, scritto dall'Avv. Michele Iaselli per Altalex, e la Circolare 3-2018 di Federprivacy, dedicata alle clausole contrattuali tra titolare del trattamento e responsabile esterno del trattamento.