Il Colorado Privacy Act, adottato nel 2021, è stato oggetto di recenti modifiche volte a estendere il diritto alla riservatezza dei cittadini ai dati neurali. L’innovazione normativa è di estrema importanza in quanto attinge al rapporto tra le neurotecnologie che integrano mente e macchina, che stanno avanzando rapidamente e che richiedono risposte soddisfacenti e soprattutto effettive, sul piano sociale e giuridico.
Nel contesto dell’evoluzione tecnologica e dell’aumento esponenziale dell’uso delle reti neurali, la protezione dei dati personali è diventata una priorità, per molti legislatori, da garantire per i consumatori. A tal proposito, il Colorado, ampliando la definizione di “dati sensibili” protetti dal Colorado Privacy Act – si tratta della legislazione statale sulla protezione dei dati personali dei consumatori entrata in vigore lo scorso anno e che dal 1 luglio prevede, tra l’altro, meccanismi di opt out – ha promulgato, il 17 aprile 2024, un provvedimento innovativo che estende i diritti alla privacy dei dati neurali, riconoscendo la necessità di salvaguardare le informazioni personali elaborate dalle reti neurali.
Si tratta di un provvedimento di estrema importanza che impatta in maniera notevole nel panorama giuridico, poiché le neurotecnologie che integrano mente e macchina stanno avanzando rapidamente, aprendo nuovi orizzonti e sollevando questioni giuridiche e sociali fondamentali, poiché, come è stato sostenuto, le neurotecnologie non sono più confinate al mondo della ricerca e della scienza medica, ragione per cui “this development brings both exciting promises ofinnovation and economic growth as well as new risks regarding thecollection, storage, and disclosure of highly sensitive data”. Con la capacità di facilitare la comunicazione diretta tra il cervello umano e i dispositivi informatici, tali tecnologie offrono potenzialità senza precedenti, ma al contempo generano preoccupazioni significative. Il loro rapido transito dalla sfera biomedica al mercato dei consumatori ha catalizzato l’attenzione, alimentando un vivace dibattito giuridico su privacy, sicurezza e impatto sociale, tenuto conto del fatto che “The people of Colorado regard their privacy as a fundamental right and an essential element of individual freedom”.
Tale provvedimento normativo non costituisce, invero, una novità assoluta nel panorama giuridico internazionale, tenuto conto del fatto che, l’8 agosto 2023, già la Corte costituzionale cilena ha pubblicato una sentenza sul confine tra tecnologie e tutela della privacy dell’individuo, affermando che anche i device destinati a tracciare l’attività celebrale delle persone per “uso privato” devono essere autorizzati dalle autorità sanitarie; se i dati degli utilizzatori, poi, sono trattati per uso scientifico, il consenso prestato dall’utilizzatore, allora, deve essere informato, espresso, specifico sulla ricerca e i suoi scopi e dinamico, ossia richiesto ogni volta che lo scopo della ricerca muta nel tempo.
Sono cinque i profili principiali sui quali si sofferma la nuova legge del Colorado, in una prospettiva funzionale certamente a garantire la protezione dei dati neurali: definizione di dati neurali, diritti dei consumatori, consenso informato, trasparenza e responsabilità, e sicurezza dei dati.
La legge del Colorado definisce in modo dettagliato i “dati neurali” come tutte le informazioni personali che una rete neurale raccoglie, elabora o utilizza. Questa definizione amplia la portata della tutela della privacy per includere sia i dati originari che i dati derivati, garantendo che tutte le forme di informazione personale trattate dalle reti neurali siano soggette a protezione. La ragione di una maggiore attenzione a tale aspetto si rinviene nel testo sottoscritto il 17 aprile 2024, all’interno del quale emerge come “the collection of neural data always involves involuntary disclosure of information. Even if individuals consent to the collection andprocessing of their data for a narrow use, they are unlikely to be fully awareof the content or quantity of information they are sharing”.
Altro punto estremamente interessante della nuova legge del Colorado riguarda l’estensione di una serie di diritti ai consumatori in relazione ai loro dati neurali. In primo luogo, i consumatori possono richiedere informazioni, attraverso il diritto di accesso, su quali dati neurali sono stati raccolti e come vengono utilizzati e, contestualmente, nei confronti delle aziende viene imposto un obbligo di fornire le medesime informazioni in modo trasparente e accessibile. In secondo luogo, l’ampliamento della tutela della privacy dei dati neurali emerge laddove la nuova legge dispone che i consumatori possono chiedere la correzione di eventuali errori nei loro dati neurali, attribuendo alle aziende un tempestivo onere di aggiornamento degli stessi. Ancora, ed in circostanze specifiche, i consumatori possono richiedere la cancellazione dei loro dati neurali, specialmente quando i dati non sono più necessari per gli scopi per cui sono stati raccolti, oppure se il trattamento è basato sul consenso che è stato successivamente revocato.
La normativa riformata del Colorado impone alle imprese l’obbligo di acquisire il consenso informato dagli utenti prima della raccolta o dell’utilizzo dei dati neurali (sulla centralità del consenso informato in Italia per il trattamento dei dati personali, si rimanda al post di Alessandro Di Martino, “Il consenso trasparente (e non solo informato) nell’età degli algoritmi”). Tale consenso deve essere chiaro e comprensibile, imponendo alle aziende di spiegare in termini semplici l’uso previsto dei dati, i potenziali rischi e benefici, e le finalità specifiche della raccolta. Inoltre, il consenso deve essere specifico, riguardando ogni applicazione distinta dei dati neurali, ed evitando consensi generici per utilizzi multipli, ed infine è altresì necessario che il consenso sia revocabile in qualsiasi momento, obbligando le aziende a disporre di meccanismi per cessare immediatamente l’uso dei dati in seguito alla revoca del consenso.
Altro passaggio fondamentale del nuovo Colorado Privacy Act riguarda il dovere, da parte delle aziende, di garantire trasparenza (per un approfondimento della trasparenza nei casi di intelligenza artificiale generativa, si rimanda ad un post di Michela Leggio, “An AI” for your thoughts?”, di questo Osservatorio) e responsabilità nel trattamento dei dati neurali mediante la documentazione e il reporting. A tal fine, è richiesta la conservazione di una documentazione dettagliata sui processi di raccolta e utilizzo dei dati neurali, con l’obbligo di fornire report periodici alle autorità di regolamentazione competenti, ed è richiesto alle aziende di sottoporsi a regolari audit indipendenti per verificare la conformità alle normative vigenti, dimostrando che i sistemi di intelligenza artificiale operano in modo trasparente e responsabile nei confronti dei consumatori che vedono utilizzare i propri dati neurali.
Tutto questo perchè, come si sostiene nel Colorado Bill House, reso esecutivo, come si è detto, il 17 aprile 2024, “Technology that collects data about the user’s bodily and mental functions are transforming the volume and sensitivity of personal data collected from individuals and stored by companies”.
Una delle principali sfide sottese alla messa in pratica della riforma del Colorado Privacy Act si rinviene nella circostanza che l’adozione delle nuove misure richieste dalla legge può essere complessa e costosa, richiedendo alle aziende di sviluppare nuove competenze e tecnologie per gestire efficacemente i dati neurali. In questo senso, anche la gestione dei bias nei dati e negli algoritmi rappresenta una sfida significativa, poiché le imprese dovranno garantire che i loro sistemi di intelligenza artificiale non esplichino decisioni discriminatorie e ingiuste (si rinvia al post di Gianluigi Delle Cave, “Chi controlla i ‘BIAS controllori’?” per un approfondimento sul controllo di bias algoritmici), così come l’informazione ai consumatori sui nuovi diritti e su come esercitarli rappresenta un obiettivo centrale che il Colorado, con questo provvedimento, intende perseguire, specialmente ove si considerino le complessità tecniche delle reti neurali.
Tali sfide, però, potrebbero condurre a raggiungere uno dei risultati più complessi che si interfacciano nel panorama giuridico ove si parli di intelligenza artificiale, vale a dire quello di promuovere e sviluppare un bilanciamento tra tecnica e potere nel senso dell’etica e della responsabilità, valorizzando, per un verso, le esigenze alla massimizzazione dei profitti delle imprese e, per altro verso, tutelando il diritto alla privacy dei consumatori. Con l’evoluzione continua delle tecnologie di intelligenza artificiale, è verosimile attendersi ulteriori sviluppi legislativi in questo campo, con il Colorado che potrebbe fungere da apripista per una gestione dell’intelligenza artificiale che faccia i conti, finalmente, con i diritti fondamentali della persona.
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0