Doctrina
Título:L'approccio con il Modello di relazioni sulla protezione dei dati e sulla privacy (DAPPREMO)
Autor:Fabiano, Nicola
País:
Italia
Publicación:Revista de Ciencia de la Legislación - Número 13 - Mayo 2023
Fecha:01-05-2023 Cita:IJ-IV-CCCII-117
Índice Voces Ultimos Artículos Archivos
Sumarios

Descriviamo il Modello di relazioni per la protezione dei dati e la privacy (DAPPREMO), che si basa sull'alta matematica e sulla teoria degli insiemi, considerando che la regolamentazione della protezione dei dati e della privacy e i principi etici in questi domini appartengono a un insieme. DAPPREMO è una soluzione nuova e innovativa per adottare un modello in tutte le attività di protezione dei dati e della privacy. Teorizziamo che DAPPREMO sia un approccio innovativo per avere un'ampia panoramica di tutti gli oggetti relativi a un caso specifico o a più casi dal punto di vista della protezione dei dati e della privacy. DAPPREMO è il risultato di un approccio multidisciplinare che combina la visione giuridica basata sulle leggi esistenti in materia di privacy e di protezione delle persone fisiche in relazione al trattamento dei dati personali e della matematica. Descriviamo DAPPREMO come una soluzione per un approccio multidisciplinare per affrontare qualsiasi problema di protezione dei dati e della privacy.


I. Introduzione
II. Applicazione della teoria degli insiemi
III.Le relazioni tra gli oggetti e quelle tra i sottoinsiemi
IV.Descrizione di un modello multidimensionale complesso
V. Conclusioni: Il modello e il ruolo dei soggetti
Bibliografia
Notas

L'approccio con il Modello di relazioni sulla protezione
dei dati e sulla privacy 
(DAPPREMO)*

Nicola Fabiano**

 

 

I. Introduzione [arriba] 

Il nostro confronto con la protezione del dato personale e con la privacy è una nota costante nella nostra quotidianità: non possiamo farne a meno (persino quando facciamo i conti con le eccezioni che escludono l’applicabilità della specifica normativa, basti pensare ad esempio all’ipotesi del segreto di Stato o altro ancora). Non c’è aspetto della nostra vita che non debba essere valutato sotto il profilo dell’impatto su privacy e data protection. Lo abbiamo visto durante il periodo dell’emergenza sanitaria della primavera 7/ estate 2020 che ha stravolto la nostra vita, e messo in discussione la nostra privacy e la protezione dei nostri dati personali.

La loro rilevanza è indubbia tanto da essere oggetto della normativa interna ed europea che ha il fine dichiarato di assicurare la primazia dei diritti fondamentali che afferiscono alla riservatezza e alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Va però osservato come alcuni contesti – in particolare quelli digitali – sembrano essere governati da dinamiche specifiche. Guardiamo, ad esempio un sistema Internet of Things (IoT): a ben vedere potrebbe essere qualificato unicamente attraverso il focus sull’architettura, sulle soluzioni tecnologiche adottate e, ovviamente, sui dispositivi utilizzati. In un sistema IoT la componente tecnologica e, in particolare la specificità costituita dalla comunicazione tra oggetti, parrebbe essere l’unico elemento dominante e qualificante. Come abbiamo evidenziato in apertura di questo capitolo, riteniamo che l’architettura IoT possa essere descritta come un “ecosistema” all’interno del quale coesistono diverse componenti tra cui quella relativa alla protezione dei dati personali e alla privacy.

In questo sistema IoT (e qui vogliamo richiamare in modo sintetico le nostre argomentazioni esposte in altre sedi scientifiche) ciò che rileva è la protezione dei dati personali (o privacy) che condiziona l’intero ecosistema, poiché è proprio quest’ultimo aspetto ad assumere particolare rilievo. Un ecosistema IoT privo della componente sulla protezione dei dati personali non esplica correttamente tutte le sue funzioni, e di conseguenza risulta imperfetto.

La stessa considerazione riguarda ogni contesto pubblico o privato: lo svolgimento delle ordinarie attività – con o senza l’ausilio di tecnologie – deve avvenire nel rispetto della disciplina sulla protezione dei dati personali e sulla privacy. Si pensi, per esempio, a un ufficio pubblico che deve svolgere attività burocratiche, oppure ad un ufficio privato che svolge attività di vendita, a prescindere dall’uso di strumenti informatici. È vero che il core è costituito dalle attività tipiche di ogni settore, ma in tutte e due le ipotesi (pubblico e privato), si possono realizzare anche relazioni con altri contesti, quali senz’altro il trattamento dei dati personali e la riservatezza. E’ chiaro che anche qui, riservatezza e protezione dei dati personali, continuano ad assumere un ruolo fondamentale, perché il titolare del trattamento deve rispettare le norme vigenti.

In sostanza, emerge che la riservatezza e la protezione dei dati personali assumono un rilievo tale da condizionare sensibilmente il contesto e risultare elementi fondamentali.

Date queste premesse è possibile riflettere sulla possibilità di ricorrere ad una analisi logico matematica per qualificare le singole aree o domini (con tale espressione intendiamo fare riferimento a uno specifico settore come, ad esempio, il core business di un’attività, ovvero il complesso di processi di un ufficio della PA, o ancora un singolo progetto di sviluppo software).

È possibile anche fare un salto e arrivare ad individuare un preciso modello che risulti utile per l’approfondimento e lo studio, da un lato, e per attività di previsioni, dall’altro.

Occorre procedere con logica matematica, osservando la realtà consistente in attività per ciascun settore e proponendone una lettura logico-matematica. Ciascun settore corrisponde all’insieme (dominio); dell’insieme fanno parte gli oggetti (elementi statici o dinamici come le attività che, quindi, costituiscono processi).

Ecco un esempio: un ufficio della pubblica amministrazione deve compiere le attività che sono proprie di quel settore e ciascuna di esse può essere considerata l’oggetto di un insieme.

Facciamo un altro esempio, analogo: in un’azienda privata nel singolo ambito di business ciascuna attività può essere considerata un oggetto che, unitamente agli altri (e cioè nel complesso, a tutte le attività), concorre a formare un insieme.

A questo punto possiamo chiudere il cerchio e sovrapporre questa osservazione logico-matematica alla considerazione dell’incidenza delle norme in materia di protezione dei dati personali in ciascun settore, che d’ora in poi possiamo catalogare come un insieme.

Il punto di partenza sta nel domandarsi se anche riservatezza e protezione delle persone fisiche con riguardo al trattamento dei dati personali possano costituire un ecosistema, un insieme. Riteniamo che la risposta sia affermativa, perché si fondano entrambi su norme giuridiche ed etiche, che possono costituire gli oggetti di un sistema, di un insieme. Tale insieme, però, non è fine a sé stesso e non può di per sé generare attività, ma la sua esistenza risulta necessaria e funzionale ad altri insiemi (vale a dire ad altri contesti) con i quali si deve relazionare. Ciò in quanto un insieme di norme giuridiche, sebbene di settore, autonomamente non comportano il compimento di attività se non attraverso la loro concreta applicazione. Riguardo alla protezione dei dati personali, le norme giuridiche del GDPR, quindi, autonomamente non comportano il compimento di attività ma in ciascuna fattispecie i soggetti, in funzione dei rispettivi ruoli, saranno tenuti alla osservanza di tale disciplina di settore.

La protezione dei dati personali, infatti, non consiste meramente nel rispetto e nella applicazione di norme (questa sarebbe una visione estremamente limitata e limitante). In realtà, data protection rappresenta un vero e proprio sistema, definito anche secondo la prospettiva matematicamente orientata quale un insieme omogeneo composto da oggetti (le singole norme) che potrebbero anche coesistere con altri non presenti all’interno del corpo normativo di settore (con riferimento alla protezione dei dati personali, non contenuti espressamente in una norma giuridica) di diversa natura (es.: l’etica), tanto da costituire un insieme eterogeneo. (1)
 

II. Applicazione della teoria degli insiemi [arriba] 

Nella realtà si realizzano quasi quotidianamente interazioni tra sistemi, o domini, o temi (es.: il “sistema” Internet of Things interagisce con quello data protection, oppure il “sistema” PA interagisce con quello data protection e così via). In sostanza, schematizzando, è possibile individuare un numero di insiemi, ciascuno appartenente ad uno specifico settore e composto da oggetti. Questi insiemi possono esprimere delle relazioni tra loro del tipo “uno-a-uno” oppure “uno-a-molti”, e presentare anche eventuali sub-relazioni tra gli oggetti che li contengono. Pertanto, si tratta di fenomeni dinamici, non statici, che comportano continue relazioni e correlati effetti.

È opportuno comprendere quale sia la spiegazione matematica delle relazioni.

In matematica, dati due insiemi A e B, dove sia A che B sono insiemi non vuoti, se diciamo che l'insieme A consiste di oggetti che indichiamo con a, b, c, d, e, . . . allora indicheremo {A = a, b, c, d, e, ... }, mentre se diciamo che l'insieme B può consistere di elementi totalmente differenti che indichiamo con x, y, s, t, u, v, ... allora indicheremo {B = x, y, s, t, u, v, ...}.

Se consideriamo i due insiemi seguenti:

A = { a, b, c, d, e, ... } e B = {x, y, s, t, u, v,...}

Qualsiasi relazione tra A e B viene solitamente indicata con notazioni come A R B, oppure  A ? B, or ancora A ∼ B o con altri simboli interposti tra A e B. Definire cosa sia esattamente una relazione tra due insiemi è compito della matematica. Tuttavia, dobbiamo considerare il prodotto cartesiano tra due insiemi, A e B. Si tratta, per definizione, del nuovo insieme indicato dal simbolo A × B formato da tutte le possibili coppie ordinate la cui prima coordinata è un qualsiasi elemento di A e la cui seconda coordinata è un qualsiasi elemento di B. Per esempio, se A = {1, 2, 3, 4} e B = {x, y}, allora il prodotto cartesiano A × B è il seguente insieme:

A × B = {(1, x), (1, y), (2, x), (2, y), (3, x), (3, y), (4, x), (4, y)}

i cui elementi sono tutte coppie ordinate (c1, c2), dove c1 è un qualsiasi elemento di A (quindi c1 = 1, o c1 = 2, o c1 = 3, o c1 = 4) e c2 è un qualsiasi elemento di B (quindi c2 = x, o c2 = y).

Avendo acquisito la nozione di prodotto cartesiano tra due insiemi A e B, possiamo definire la nozione di relazione tra A e B. In matematica, una relazione tra A e B è definita come un qualsiasi sottoinsieme del prodotto cartesiano A ×B.

Pertanto, se A e B sono i due insiemi dell'esempio appena illustrato, l'insieme fornisce un esempio della relazione tra A e B

R = {(1, x), (1, y), (3, x)}

In questa relazione, si ha che l'elemento 1 ∈ A è in relazione sia con x che con y, questi ultimi elementi di B. L'elemento 3 ∈ A è in relazione solo con x. Gli elementi 2 ∈ A e 4 ∈ A non sono in relazione con nulla (è possibile assegnare relazioni in cui uno o più elementi del primo insieme A sono "orfani", cioè non sono in relazione con nulla). La relazione

R = {(1, x), (1, y), (3, x)}

può avere una rappresentazione grafica suggestiva se si utilizzano i diagrammi di Venn e si indicano le coppie ordinate di elementi in relazione tramite frecce, come nella seguente figura.

Figura 1: Diagrammi di Eulero-Venn.

Data una qualsiasi relazione R tra due insiemi A e B, il fatto che la coppia (a, b) appartenga a R, cioè che sia uguale, il fatto che gli elementi aA e bB siano legati da R, viene solitamente indicato scrivendo semplicemente a R b.

D'altra parte, se abbiamo più di due insiemi, ad esempio una famiglia di n insiemi (S1, S2 , S3 , ... Sn ), diremo che due di essi, ad esempio Si e Sj, sono connessi se esiste una relazione di qualsiasi tipo tra loro; denotiamo questa configurazione con S i~ Sj .  In altri termini, data una famiglia di n insiemi (S1 , S2 , S3 , . . . Sn ), si ha che:

SiSj ⇐⇒ esiste una relazione R tale che Si RSj

Di seguito è riportata un'immagine della relazione tra più insiemi (uno-a-molti)

 

Figura 2: Relazione tra più insiemi (uno-a-molti).

 

Un insieme, ad esempio S1, può essere collegato a più insiemi differenti allo stesso tempo. In questo caso, si ha una relazione uno-a-molti.

Detto questo, più in particolare, possiamo descrivere il contesto relativo alla protezione dei dati come un insieme di oggetti che sono le norme giuridiche del settore oltre ad altre entità, anche non omogenee (ad esempio, l'etica), strettamente legate al contesto in questione. Pertanto, l'insieme "protezione dei dati" contiene gli elementi fondamentali atti a definire l'intero ambito specifico. In sostanza, la protezione dei dati personali ha regole che costituiscono la norma per il settore e per ogni altro ambito meritevole di tutela da parte dell'ordinamento giuridico. Pertanto, il riferimento iniziale del settore della protezione dei dati personali è costituito, appunto, dalle leggi di settore (ad esempio, in Europa, il Regolamento UE 2016/679 - GDPR). Tuttavia, anche l'indagine ermeneutica delle norme giuridiche può rivelare altri aspetti essenziali, come l'etica. Questi elementi, norme giuridiche e altre entità contribuiscono a costituire un vero e proprio ecosistema di "protezione dei dati personali" che possiamo definire nel suo complesso.

L'insieme "protezione dei dati" è identificato da una proprietà caratteristica che accomuna tutti e soli gli elementi. Pertanto, gli oggetti di un insieme, come l'etica e le norme giuridiche, hanno in comune la proprietà caratteristica espressa come effetto applicativo. L'etica, quindi - che non è descritta in nessuna legge sulla protezione dei dati - è un elemento dell'insieme perché ha la stessa proprietà caratteristica degli altri elementi (le norme giuridiche) in termini di effetto applicativo.

L'interazione con altri set non si esaurisce in una semplice e comunque necessaria verifica della conformità normativa. Tuttavia, essa costituisce l'impulso iniziale di un processo osmotico, di scambio e dinamico che procede dall'analisi del contesto specifico, finendo per identificarne tutti gli attributi e, quindi, fornendo gli elementi necessari per un corretto approccio ermeneutico.

 

III.Le relazioni tra gli oggetti e quelle tra i sottoinsiemi [arriba] 

La descrizione precedente costituisce una parte - quella iniziale - che riguarda le relazioni. Infatti, è possibile che, oltre alle connessioni tra insiemi, esistano anche quelle tra i singoli oggetti di un insieme, secondo lo schema esemplificativo che segue.

Figura 3: Connessioni tra insiemi e singoli oggetti.

Considerando questa immagine e supponendo che l'insieme A sia quello relativo alla privacy (o alla protezione dei dati personali), è evidente non solo quale sia il regime di relazioni tra gli insiemi, ma anche quale sia l'impatto significativo della materia trattata da questo volume con molti altri settori. Infatti, qualsiasi ambito genera una relazione con quello relativo alla protezione dei dati personali e della privacy. L'identificazione delle relazioni attraverso l'applicazione della matematica è un valore aggiunto necessario per fornire un approccio ampio e preciso. Il diagramma citato mostra la relazione di inclusione di Eulero-Venn, che può essere denotata da

AB

L'insieme A riguarda la privacy (o la protezione dei dati personali) e l'insieme B descrive un'area (o un campo o un settore) differente. Emerge che l'insieme A è sempre presente nelle diverse relazioni tra gli insiemi, poiché non possiamo escludere le norme sulla protezione dei dati personali. È un esempio di sottoinsieme, dove, al variare del numero di oggetti dell'insieme "privacy" in comune con un altro insieme, varierà di conseguenza l'impatto della disciplina giuridica e, quindi, delle regole da rispettare. Questa rappresentazione grafica, espressa matematicamente dalla formula sopra riprodotta, consente di avere un impatto definito delle norme sulla protezione dei dati personali in ogni ambito, settore o area.

L'inversione dello scenario descritto mostra come l'insieme A sia legato alla protezione dei dati personali (o della privacy) e più ampio dell'insieme B, più piccolo.

Emerge che essa appare praticabile solo nell'ipotesi in cui gli elementi esogeni o gli oggetti esterni (ad esempio, l'etica) alle norme giuridiche sulla privacy siano dominanti e debbano avere in comune anche con l'insieme o il contenuto più piccolo. In particolare, abbiamo detto che l'insieme "protezione dei dati personali" (o privacy) è costituito principalmente da norme giuridiche, non è fine a se stesso e, soprattutto, non gode di un funzionamento autonomo ma è caratterizzato da un'interazione dinamica con altri insiemi.

Analizzando le relazioni, è anche possibile che se ne crei una tra insiemi e, in particolare, tra quello contenente le norme giuridiche sulla protezione dei dati personali e un altro dominio, un'altra area. Potrebbe realizzarsi un'unione di insiemi non vuoti a seconda del contenuto (degli oggetti) condiviso da ciascun insieme. Tornando alle considerazioni dell'inizio, segnaliamo il fatto che, poiché la notazione di inclusione AB implica che tutti gli elementi di A sono anche elementi di B, quando tale assunzione viene utilizzata in un contesto come quello sopra descritto, significa che tutte le norme legali e/o regolamentari o operative/amministrative di uno specifico ambito sono anche norme di privacy o di etica; in generale, questa potrebbe essere un'affermazione troppo forte ed eccessivamente restrittiva.

Pertanto, potrebbe essere utile esprimere un concetto simile, ma in una forma più debole e quindi più ampia, come segue. Indichiamo con P ed E i seguenti insiemi:

P = {regole sulla privacy}  e  E = {principi etici}

Quindi, ponendo B = PE, si può dire che qualunque sia l'insieme A delle norme di un particolare settore della vita pubblica, esiste sempre un sottoinsieme appropriato AB relativo ad A secondo il senso della relazione insiemistica di cui sopra. In formula:

esiste A B tale che ARA

Supponiamo, ad esempio, che A indichi l'insieme di tutte le norme di regolamentazione e comportamento che - ad esempio - regolano il funzionamento di un organo collegiale. In questo caso, non è detto che gli elementi di A siano anche norme di protezione dei dati o di privacy ed etica, come suggerirebbe la notazione AB. È possibile, invece, che gli elementi di A si riferiscano a norme appropriate di protezione dei dati o di privacy ed etica. Queste ultime dipendono eventualmente dagli elementi di A e costituiscono il sottoinsieme A di B a cui A è correlato.

Esiste tuttavia un altro modo in cui sarebbe possibile interpretare l'intero quadro. La figura seguente è il diagramma di Eulero-Venn che rappresenta le intersezioni di insiemi

Figura 4: Diagramma di Eulero-Venn che rappresenta le intersezioni di insiemi.

le cui relazioni di intersezione sono espresse matematicamente come:

ABC, AC, BA, CB

Supponiamo che uno dei tre insiemi, A, sia quello della protezione dei dati (o della privacy). Il diagramma rappresenta un'intersezione tra domini, uno dei quali è quello relativo alla protezione dei dati personali (o privacy), e mostra come sia possibile individuare le aree comuni costituite, appunto, dalle intersezioni e quindi le relazioni tra gli insiemi e gli oggetti di ciascun insieme o dominio.

Tuttavia, è necessario un chiarimento. Quanto proposto e descritto, anche graficamente, può sembrare rappresentato su un piano bidimensionale. In realtà, la complessità delle relazioni deve essere analizzata anche su un piano tridimensionale o multidimensionale, poiché in questo modo è possibile ottenere una visione più ampia e molto più vicina alla realtà.

Come è evidente, anche in questa breve esposizione delle relazioni tra gli insiemi, emerge che possono verificarsi una o più connessioni tra domini differenti con un ruolo specifico di quello relativo alla protezione dei dati personali (o privacy).

 

IV.Descrizione di un modello multidimensionale complesso [arriba] 

La sintesi delle proposte descritte nei paragrafi precedenti porta ad alcune riflessioni.

Abbiamo detto che il modello proposto si basa sulla teoria degli insiemi. Ogni area (ad esempio, privacy, protezione dei dati personali, Internet degli oggetti, settori della pubblica amministrazione, settori privati, ecc. Nelle attività quotidiane, esistono sempre relazioni tra aree o domini. Infatti, la "protezione dei dati personali" (che è un dominio) ha una relazione - ad esempio - con quella di uno specifico settore della Pubblica Amministrazione, o di un ecosistema IoT, o di un settore privato. Il modello presuppone una maggiore complessità laddove le relazioni tra i domini aumentano e possono anche tendere all'infinito.

L'obiettivo è dimostrare che l'applicazione di questo modello, consentendo una visione molto più ampia dei fenomeni, permette una valutazione più precisa dei domini e delle singole relazioni. Ne conseguono indubbi effetti benefici per l'intero sistema di analisi, soprattutto per quanto riguarda i profili soggettivi, come verrà illustrato in seguito.

Le attività svolte quotidianamente, sia per lavoro che per esigenze personali, sono parte (processi) del sistema reale in cui viviamo.

Tuttavia, spesso le attività e i relativi processi non vengono osservati correttamente a causa di una miope visione bidimensionale del tutto riduttiva. L'utilizzo delle più moderne soluzioni tecnologiche ci ha permesso di vedere la cosiddetta "realtà aumentata", cioè contesti multidimensionali. Pertanto, se osservassimo i fenomeni non su un piano bidimensionale ma tridimensionale o multidimensionale, avremmo la possibilità di percepire con maggiore precisione qualsiasi componente.

La richiesta di un documento alla Pubblica Amministrazione, ad esempio, consiste in due processi differenti: la domanda da parte di una persona e le attività appropriate da parte dell'ufficio competente che deve gestirla. Sia il richiedente che l'ufficio svolgono le loro azioni su un unico piano o livello di osservazione. Se si immagina di utilizzare lo zoom e quindi di allargare il campo visivo, il punto di osservazione cambia con la possibilità di avere uno sguardo d'insieme sia dal lato del richiedente sia da quello dell'ufficio.

Ebbene, se utilizzassimo lo stesso metodo per analizzare gli scenari relativi alla relazione tra il dominio della protezione dei dati personali (o della privacy) e altri domini, avremmo una visione più ampia con l'opportunità di beneficiare di una percezione completamente differente. La complessità del modello proposto è caratterizzata proprio dall'innumerevole e imprevedibile numero di domini da considerare per le relazioni, considerando che in teoria il numero di domini (cioè di insiemi) è potenzialmente infinito.

Il modello appare molto vicino, nella sua rappresentazione grafica, a quello di un sistema di rete distribuito multidimensionale, dove ogni punto di intersezione rappresenta un insieme (un dominio) e l'unione dei punti differenti (che rappresentano gli insiemi) sono le relazioni. Dovremmo valutare la rappresentazione su un piano bidimensionale e in termini multidimensionali come un legame tra insiemi. Uno degli elementi essenziali è la multi dimensionalità, perché immaginiamo piani differenti nello spazio come se fossero strati di un unico sistema.

Figura 5: sistema di rete distribuito multidimensionale.

A una prima, sommaria indagine, emerge che il sistema di relazioni qui presentato potrebbe trovare alcune analogie con una struttura complessa, mutuata dalla matematica avanzata, nota come "insieme di fasci di fibre", che sembrerebbe in grado di rendere conto delle interazioni e delle connessioni che si verificano sia tra singoli elementi sia tra insiemi di elementi.

Si tratta di un primo approccio innovativo, in fase di sviluppo, a una modalità di interpretazione matematica del quadro inter-relazionale multidimensionale. Tuttavia, il nostro modello sembra avere il merito di fornire una visione unificante e astratta a uno scenario di elevata complessità, come quello su cui intendiamo concentrare la nostra indagine di studio.

La complessità del "fibrato vettoriale" rende la sua descrizione non semplice. Tuttavia, possiamo illustrarlo come un pennello (vedi figura seguente) dove l'asta rappresenta, nel nostro caso, l'insieme di protezione dei dati, e le singole setole costituiscono le relazioni e le connessioni tra gli insiemi e gli oggetti di ogni altro insieme (2).

Possiamo anche illustrare il "fibrato vettoriale" con un'altra immagine di un libro aperto a 360 gradi dove le copertine si uniscono. Questo potrebbe dare un'idea della complessità del fenomeno.

Le relazioni esistono tra le singole parole presenti nelle pagine e sono rappresentate da linee che si intersecano tra loro.

Il modello proposto, che rappresenta i collegamenti tra gli insiemi, può essere un potente strumento per un approccio globale e sistemico.

Il modello, quindi, si basa sui legami tra insiemi, dove gli oggetti appartenenti al dominio della protezione dei dati (o della privacy) sono costituiti dalla normativa vigente e da altri contesti esterni (esogeni) alla disciplina giuridica non tipici né predeterminati. L'insieme della protezione dei dati è in relazione con gli altri, fornendo di volta in volta attributi utili per la qualificazione del singolo scenario e, quindi, gli strumenti più adatti. È impossibile generalizzare e predeterminare la qualità e la quantità di attributi utili al singolo caso o al singolo scenario. Si tratta sicuramente di contesti abbastanza dinamici e variabili che tanto possono divergere l'uno dall'altro quanto, al contrario, ciascuno può raggiungere uno standard in termini di approccio e funzionamento.

La complessità del modello, a volte, può far sfuggire e perdere di vista l'aspetto dinamico, lasciando spazio alla sola parte statica del nucleo che corrisponde alla normativa vigente. La disciplina normativa non è e non può essere fine a se stessa. Va comunque valutata come elemento che contribuisce all'analisi di un contesto complesso e dinamico.

Gli attributi dell'ecosistema protezione dati sono numerosi e, alcuni precisi e identificati, altri indefiniti e indeterminabili. Tra gli oggetti fondamentali specifici, c'è senza dubbio l'etica, che è un elemento cruciale per analizzare ogni singolo scenario. L'etica può sembrare un fattore esogeno, estraneo all'insieme delle norme che regolano la protezione dei dati personali. In realtà non è così, perché il riferimento all'etica emerge dai principi contenuti nell'intero corpus normativo. Pertanto, l'etica è molto vicina agli effetti degli altri elementi dell'insieme (le norme giuridiche) in termini di una stessa proprietà caratteristica che li accomuna.

Il modello proposto, chiamato DAPPREMO, acronimo di Data Protection Relationships Model, può essere espresso matematicamente attraverso il concetto di relazioni di equivalenza.

Figura 6: Rappresentazione grafica del Modello di protezione dei dati e delle relazioni sulla privacy (DAPPREMO) espresso come fascio di fibre e matematicamente attraverso il concetto di relazioni di equivalenza.

Analizzando i risultati dei legami e delle relazioni, i ruoli dei soggetti e le attività sui dati personali, è chiaro che da questo modello derivano molte conseguenze. In questa sede abbiamo voluto presentare il modello DAPPREMO, pur con la precisazione che esso è ancora oggetto di ulteriori studi, ed eventuali aggiornamenti saranno contenuti in future pubblicazioni.

 

V. Conclusioni: Il modello e il ruolo dei soggetti [arriba] 

Il modello DAPPREMO, così come descritto, permette di avere una visione estesa delle relazioni tra i domini con la possibilità definita di un'analisi dettagliata e di possibili soluzioni o interventi appropriati e specifici, molto più precisi di quanto non siano comunemente.

Riteniamo che la conoscenza delle problematiche da affrontare e la loro piena consapevolezza siano alla base di un corretto approccio a qualsiasi scenario. In sostanza, il modello proposto rappresenta senza dubbio un approccio più incisivo.

In questo caso, quali potrebbero essere gli effetti dell'utilizzo di questo modello per le singole persone (chiamiamole "agenti") coinvolte nella protezione dei dati?

Il primo effetto significativo è sulle autorità di vigilanza, poiché l'utilizzo di un approccio basato su modelli fornisce una visione completa del singolo fenomeno e di quelli ad esso correlati. Immaginiamo che un'autorità di vigilanza debba affrontare un'indagine preliminare su una questione specifica che, a prima vista, è indipendente ma strettamente correlata ad altri ambiti.

Un'indagine, anche solo esplorativa, ad esempio sugli effetti di un'app, attraverso l'approccio basato su modelli, permette all'autorità di vigilanza di avere una visione molto più ampia di ogni relazione esistente (dominio di sviluppo del software, Internet degli oggetti, trasferimento di dati, ecc.) Se, invece, l'autorità di vigilanza deve decidere in merito a un reclamo, ha la possibilità - grazie all'approccio basato su modelli proposto - di avere una visione completa di ogni relazione esistente con il caso in esame.

In sostanza, si tratta di uno strumento che offre l'opportunità di un approccio coerente con la "nuova" privacy, che deve considerare la parte normativa e ogni tipo di contesto riconducibile al fenomeno - anche puramente burocratico in esame.

Per quanto riguarda il titolare e il responsabile del trattamento dei dati, poi, l'utilizzo del modello comporterà indubbi vantaggi in termini di analisi dei legami del proprio core business con qualsiasi altro ambito con cui esista un collegamento.

In questo modo, la complessa attività di adeguamento e di messa a norma delle regole giuridiche sulla "protezione delle persone fisiche con riguardo al trattamento dei dati personali" sarà facilitata e, soprattutto, molto più precisa, sapendo bene in fase di analisi quali tipi di principi attuare e i conseguenti interventi da realizzare.

Inoltre, l’utilizzo del modello in termini di approccio diverso dalla semplice consultazione e applicazione delle norme giuridiche sarà vantaggioso per l'interessato. Conoscere le relazioni esistenti sui propri dati personali permette di esercitare i propri diritti in modo più consapevole e corretto.

 

Bibliografia [arriba] 

  1. 38ª International Conference of Data Protection and Privacy Commissioners, "Artificial Intelligence, Robotics, Privacy and Data Protection", 2016 https://edps.europa.eu/data-protection/our-work/publications/ other-documents/artificial-intelligence-robotics-privacy-and_en
  2. 40ª International Conference of Data Protection and Privacy Commission- ers, Declaration on Ethics and Data Protection in Artificial Intelligence, 2018 https://globalprivacyassembly.org/wp-content/uploads/ 2018/10/20180 922_ICDPPC-40th_AI-Declaration_ADOPTED.pdf
  3. 42a Closed Session of the Global Privacy Assembly - GPA, "Resolu- tion on accountability in the development and use of Artificial Intelligence", 2020 https://globalprivacyassembly.org/wp-content/uploads/2020/11/ GPA-Resolution-on-Accountability-in-the-Development-and-Use-of-AI-EN.pdf
  4. Buttarelli, G. (2018). European Data Protection Supervisor – EDPS (2018). Choose Humanity: Putting Dignity back into Digital. https://www.privacyconference2018.org/system/files/ 2018-10/Choose%20Humanity%20speech_0.pdf
  5. Chatterjee, P., & B.E., N.A. (2020). Approccio applicato alla privacy e alla sicurezza per l'Internet degli oggetti, IGI Global.
  6. Consiglio d'Europa, (1981). Convenzione per la protezione delle persone con riguardo al trattamento automatico dei dati personali. https://www.coe.int/en/web/conventions/ full-list/-/conventions/treaty/108
  7. Consiglio d'Europa, (2013). Convenzione europea sui diritti umani. https://www.echr.coe.int/Documents/Convention_ITA.pdf
  8. Consiglio d'Europa, (2018). Convenzione per la protezione delle persone fisiche con riguardo al trattamento automatizzato dei dati personali, come sarà emendata dal suo protocollo CETS n. 223. https://rm.coe.int/16808ade9d
  9. Council of Europe (2020). Recommendation CM/Rec(2020)1 of the Committee of Ministers to member States on the human rights impacts of algorithmic systems (Adopted by the Committee of Ministers on 8 April 2020 at the 1373rd meeting of the Ministers’ Deputies) https://rm.coe.int/09000016809e1154
  10. Gruppo di esperti di alto livello della Commissione europea sull'intelligenza artificiale (AI HLEG), (2018). Bozza di linee guida etiche per un'IA affidabile. https://ec.europa.eu/futurium/en/european-ai-alliance/ draft-ethics-guidelines-trustworthy-ai.html
  11. Commissione europea, (2019). The European Commission’s High-Level Expert Group on Artificial Intelligence - Draft Ethics Guidelines for Trustworthy AI. https://ec.europa.eu/futurium/en/ai-alliance-consultation/guidelines#Top
  12. Garante europeo della protezione dei dati - GEPD, (2015). Opinion 4/2015 - Towards a new digital ethics. Data dignity and technology, 2015 https://edps.europa.eu/sites/edp/ files/publication/15-09-11_data_ethics_en.pdf
  13. European Commission, Directorate-General for Research and Innovation, European Group on Ethics in Science and New Technologies, Statement on artificial intelligence, robotics and 'autonomous' systems: Brussels, 9 March 2018, Publications Office, 2018. https://data.europa.eu/doi/10.2777/531856
  14. Parlamento europeo - Think Thank, (2020). Civil liability regime for artificial intelligence. https://www.europarl.europa.eu/thinktank/ en/ document/EPRS_STU(2020)654178
  15. Commissione europea - High-Level Expert Group on Artificial Intelligence (AI HLEG) -  Final Assessment List for Trustworthy Artificial Intelligence. https://ec.europa.eu/digital-single-market/en/news/assessment-list- trustworthy-artificial-intelligence-altai-self-assessment
  16. Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). https://eur-lex.europa.eu/legal-content/IT/TXT/ PDF/?uri=CELEX:32016R0679&from=IT.
  17. Parlamento europeo, (2020). Framework of ethical aspects of artificial intelligence, robotics and related technologies. https://www.europarl.europa.eu/doceo/document/TA-9-2020-0275_EN.html
  18. Parlamento europeo, (2021). Proposta di Regolamento del Parlamento Europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (Legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'Unione https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A52021PC0206
  19. Agenzia dell'Unione europea per i diritti fondamentali - FRA, (2020). Getting the future right – Artificial intelligence and fundamental rights. https://fra.europa.eu/en/publication/2020/ artificial-intelligence-and-fundamental-rights
  20. Agenzia dell'Unione europea per la sicurezza informatica - ENISA, (2020). Artificial Intelligence Cybersecurity Challenges. https://www.enisa.europa.eu/publications/artificial-intelligence-cybersecurity-challenges
  21. Unione europea, (2016). Carta dei diritti fondamentali dell'Unione europea, https://www.ecb.eu ropa.eu/ecb/legal/pdf/oj_c_2016_202_full_en_txt.pdf
  22. Unione europea, (2016). Versione consolidata del trattato sull'Unione europea e del trattato sul funzionamento dell'Unione europea (2016/C 202/01). https://www.ecb.europa.eu/ecb/legal/pdf/oj_c_2016_202_full_en_txt.pdf.
  23. Fabiano, N. (2013). Privacy e sicurezza nell'Internet degli oggetti, in Cutter IT Journal, Vol. 26, No. 8, Agosto 2013.
  24. Fabiano, N. (2020). GDPR e privacy. Consapevolezza e opportunità. L’approccio con il Data Protection and Privacy Relationships Model (DAPPREMO), goWare, Firenze, Italia.
  25. Fabiano, N. (2018). Il regolamento europeo sulla protezione dei dati e la blockchain Analisi delle criticità e delle possibili proposte di soluzione.
  26. Fabiano, N. (2019). Robotica, Big Data, etica e protezione dei dati: Una questione di approccio, in Robotica e benessere, Springer.

 

 

Notas [arriba] 

* Questo contributo costituisce una versione aggiornata del capitolo pubblicato nel libro intitolato "GDPR & Privacy. Consapevolezza e opportunità. L’approccio con il Data Protection and Privacy Relationships Model (DAPPREMO)" – Firenze, 2020. L’attuale versione tradotta in lingua italiana trova la sua pubblicazione originale in lingua inglese al seguente link:
https://www.iiisci.org/journal/sci/FullText.asp?var=&id=IP147LL21 
 
**  Nicola Fabiano è Avvocato cassazionista, Specialista in Diritto Civile, professionista in materia di protezione dei dati personali, privacy e sicurezza informatica. Fondatore e Partner dello Studio Legale Fabiano (1994). Professore a contratto all’Università di Ostrava - Sede di Roma - su “Fondamenti di legge sulla protezione dei dati personali”. Ex Presidente dell’Autorità per la Protezione dei Dati Personali di San Marino. Già Esperto nazionale per la Repubblica di San Marino presso: il Comitato Consultivo del Consiglio d’Europa della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (Convenzione n. 108); il Comitato ad hoc sull'intelligenza artificiale (CAHAI - Ad hoc Committee on Artificial Intelligence) del Consiglio d’Europa. Già consulente del Congresso di Stato (Governo) della Repubblica di San Marino con incarico di collaborazione per la redazione di specifica normativa in materia di protezione dei dati personali nello Stato (11/2017-4/2018). Presidente del Centro per l’Informatica e l’Innovazione Forense (CINFOR), Organismo istituzionale dell’Ordine degli Avvocati di Foggia. Componente del “IEEE SA P7007 Ontological Standard for Ethically Driven Robotics and Automation Systems Working Group” e chair del sottogruppo “Data Privacy and Protection”. Certificato: a) Responsabile della protezione dei dati (RPD/DPO) secondo la norma UNI 11697:2017; b) Valutatore privacy secondo la norma UNI 11697:2017; c) Security Manager (ICT) secondo la norma UNI 11506:2017; d) Professionista dei sistemi di gestione della sicurezza delle informazioni secondo la norma ISO/IEC 27021:2017. Autore di numerose pubblicazioni e vincitore di Awards. Studio Legale Fabiano – Roma (Italia)
Affiliation: International Institute of Informatics and Systemics (IIIS) – USA.

1 Si rimanda al prosieguo del contributo.

2 Questa rappresentazione si trova su Wikipedia alla voce "Fiber bundle".