Privacy mentale e neurodiritti, le potenziali vulnerabilità di GDPR e consenso informato

(di Nicoletta F. Prandi)

Secondo un recentissimo paper del Leverhulme Center for the Future of Intelligence di Cambridge, stiamo già assistendo al passaggio dall’economia dell’attenzione a quella dell’intenzione: grazie all’implementazione degli assistenti virtuali, le aziende possono vendere agli inserzionisti le nostre intenzioni d’acquisto prima che noi stessi ne siamo consapevoli.

Le neurotecnologie accelereranno tale processo, tanto che l’opzione dei BC MOS (Brain Computer Merged Operating Systems, sistemi connessi bidirezionali tra cervello umano e computer) potrebbe lanciarci in una nuova era umana e sociale.

Nel giro di pochi anni le onde cerebrali saranno usate come fattore di autenticazione. Inoltre, una volta che i dispositivi indossabili neurotech saranno entrati appieno nelle nostre vite, chi non vorrà accettare la nota clausola su «Termini e condizioni d’uso» potrebbe essere facilmente tagliato fuori dalla vita quotidiana.

La privacy mentale, attraverso la raccolta dei neurodati, sta affrontando importanti sfide regolatorie: in questo articolo Harry Lambert analizza in che misura il l’europeo GDPR è attrezzato per la missione e identifica alcuni fattori di potenziale vulnerabilità, come il tradizionale modello del consenso informato.

(di Harry Lambert)

Cediamo già alle aziende quantità ingenti di dati, in cambio di benefici trascurabili. La posta in gioco, però, aumenta se di mezzo ci sono le neurotecnologie: insieme ai vantaggi infatti (ad esempio scrivere un testo o controllare il pc con il pensiero) crescono anche i rischi. Se non facciamo attenzione, il patto tra società e Big Tech assumerà sempre più i tratti di un patto faustiano. Per citare Nita Farahany, autrice di The Battle for your Brain (2023) le neurotecnologie stanno conquistando l’ultima fortezza delle nostre libertà.

Questo articolo approfondisce l’interazione tra neurotech e privacy, analizzando in che misura i quadri regolatori attuali possono realmente affrontare le sfide emergenti.

BASI NORMATIVE

Il diritto alla privacy è fondamentale e considerato una «divinità secolare» nella società moderna (Blitz e altri, The Law and Ethics of Freedom of Thought, 2021). E nella sentenza Ashcroft v Free Speech Coalition 535 US 234 (2002) la Corte Suprema degli Stati Uniti ha riconosciuto che «il diritto di pensare…è l’inizio della libertà».

L’emergente dibattito sulle neurotecnologie ha portato all’individuazione di «quattro priorità etiche» (R. Yuste e altri, Four ethical priorities for neurotechnologies and AI, Nature 551, 2017), tra cui privacy e consenso.

Questo articolo ha aperto la strada a contributi di altri studiosi, come Marcello Ienca e Roberto Andorno del Center for Neurotechnology & Law, che hanno coniato il termine neurodiritti, un quadro di diritti volti a proteggere gli individui dalle capacità sempre più pervasive delle neurotecnologie. Uno di questi neurodiritti è la privacy mentale, definita come la protezione «di informazioni private o sensibili di una persona dalla raccolta, dalla conservazione, dall’uso o persino dalla cancellazione non autorizzata» (Ienca e Andorno, Towards new human rights in the age of neuroscience and neurotechnology, Life Sciences, Society and Policy, 2017).

VIOLAZIONE DELLA FIDUCIA

Questo reato non è sufficiente ad assorbire la tutela dei neurodiritti. Per stabilire la responsabilità ultima, il ricorrente deve dimostrare che le informazioni:

La questione è problematica, ad esempio, nel caso di un utente che usa neurotecnologia indossabile: è difficile identificare il danno subito se le informazioni non sono state rese pubbliche, a maggior ragione se la loro condivisione non ha portato a perdite economiche. Inoltre, la violazione della fiducia non riguarda le informazioni banali o di scarso valore.

ABUSO DI INFORMAZIONI PRIVATE

Qui ci troviamo davanti a un esercizio di bilanciamento che può garantire la giusta flessibilità a seconda del caso specifico. Ad esempio, la stessa azione potrebbe configurarsi come illecito in un contesto (sorveglianza di conducenti di mezzi pesanti per monitorare la stanchezza) ma non in un altro (sorveglianza degli impiegati per monitorare la produttività). Allargando questo esempio al campo dell’hacking cerebrale possiamo azzardare un paragone con le telefonate indesiderate, per le quali si configura l’abuso di informazioni private indipendentemente dal tipo di informazioni sfruttate.

GDPR E DATA PROTECTION ACT 2018

I dati cerebrali sono dati personali?

Senza dubbio sì. L’articolo 4 del GDPR definisce i dati personali come qualsiasi informazione relativa a una persona fisica identificata o identificabile. Il termine «identificabile» è importante. Il paragrafo 30 stabilisce che «le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle».

La maggior parte delle informazioni cerebrali comporta la registrazione di neurodati intrinsecamente collegati a persone fisiche, stabilendo una connessione diretta con l’utente. Ad esempio, nel caso di controllo mentale di una protesi robotica, i dati motori devono essere estratti dai dati generali. Infatti per rendere le registrazioni cerebrali utili a uno scopo, devono essere elaborate in modo da ricavarne caratteristiche specifiche e univoche (Rainey e altri, Is the European Data Protection Regulation sufficient to deal with emerging data concerns relating to neurotechnology?, Journal of Law and the Biosciences, 2020).

Dobbiamo inoltre notare che i dati dell’EEG (elettroencefalogramma) e della fMRI (risonanza magnetica funzionale) sono legati in modo univoco a un individuo (Finn e altri, Functional connectome fingerprinting: identifying individuals based on patterns of brain connectivity, Nature Neuroscience, 2015).

È per questo che le onde cerebrali saranno presto utilizzate ai fini della sicurezza biometrica: gli utenti penseranno a una particolare frase o canteranno la loro canzone preferita (nella loro mente) per avere accesso a un dispositivo. Questo sistema funziona perché probabilmente le nostre esperienze personali modellano la nostra percezione del mondo e i relativi correlati concettuali. Ad esempio, se penso ad alcuni cani che giocano, il mio concetto di «cani» sarà diverso dal vostro. Per me possono essere animali d’affezione, mentre voi potete avere avuto brutte esperienze con un rottweiler.

I neurodati sono dati sensibili o ricadono in una categoria speciale?

In molti casi no. L’art. 9, paragrafo 1 del GDPR, fa riferimento ai dati «che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona». Inoltre, l’art.4 paragrafo 15 definisce i «dati relativi alla salute» come «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute». Nonostante questa definizione copra in parte i dati cerebrali, secondo Ienca e Rainey persistono lacune significative. 

Ciò che preoccupa di più le persone è che questi dati siano archiviati nel cloud di Mark Zuckerberg. In molti casi, i «dati emotivi» (li chiamiamo così in mancanza di un termine più adatto) sono dati altamente sensibili. Se si ama davvero la propria moglie, se si odia il proprio capo e se ci si annoia a morte con il proprio migliore amico sono informazioni altrettanto o più sensibili dei dati strettamente sanitari. Paradossalmente, i dati a cui teniamo di più sono quelli che presentano una sfida maggiore in termini di classificazione ai fini della loro tutela. 

Consenso

Il consenso come rete di protezione è una china pericolosa, soprattutto a causa della disparità di potere negoziale tra individui e grandi aziende tecnologiche. A dare le carte è Big Tech e, se vogliamo usare il suoi prodotti, dobbiamo farlo alle sue condizioni. Una volta che i dispositivi indossabili neurotech saranno entrati appieno nelle nostre vite, chi non vorrà accettare i «Termini» e le «condizioni d’uso» sarà tagliato totalmente fuori dalla vita quotidiana.

Il consenso come unico pre-requisito di accesso ai servizi può non tradursi automaticamente in un consenso davvero informato. Richieste di risarcimento come quelle delle class action di Noyb contro Fitbit rivelano la reale difficoltà nell’assicurare effettiva protezione ai neurodati. La vertenza ruotava all’obbligo imposto da Fitbit agli utenti europei di acconsentire al trasferimento dei dati in Paesi al di fuori dell’UE.

In realtà, non importa se gli obblighi possono essere elusi facilmente dalle aziende a suon di spunte. Per proteggere efficacemente la privacy dobbiamo far evolvere il dibattito dal livello micro della giurisprudenza a quello macro della politica, da quello delle sottili interpretazioni a quello dei valori sottostanti che le fondano.

Altre eccezioni

Il GDPR consente il trattamento dei dati sensibili in determinate circostanze, principalmente per fini di interesse pubblico. Tuttavia, ciò che potrebbe essere considerato come un ostacolo all’innovazione potrebbe invece essere un’arma per Big Tech.

Ad esempio, il Data Protection Act 2018 fa riferimento alle cure mediche, all’archiviazione per motivi storici, statistici o di ricerca, al trattamento da parte di organizzazioni che offrono assistenza a persone con particolari disabilità o condizioni mediche. In un’epoca in cui i confini tra ricerca e applicazioni commerciali sono sempre più labili, non è difficile ipotizzare che queste eccezioni possano essere usate come scappatoie. Come nota Ienca, «gli studi biomedici finanziati dall’industria sfidano spesso la comune distinzione normativa tra ricerca e altre finalità. Ad esempio, Facebook ha finanziato la ricerca su soggetti umani per sviluppare decodificatori in tempo reale, un ambito di particolare interesse per chi ha disabilità in campo comunicativo. Tuttavia possono esserci anche degli interessi commerciali, come lo sviluppo di BCI per digitare sulla tastiera con il pensiero» (Ienca e altri, Mental data protection and the GDPR, Journal of Law and the Biosciences, 2022).

Conclusioni

La protezione dei neurodati è assicurata a livello generale dai regolamenti per la tutela dei diritti umani. Tuttavia, tali quadri regolatori potrebbero non essere sufficienti in contesti più specificamente commerciali. Data Protection Act 2018 e GDPR hanno un potenziale ma hanno alcune lacune: c’è una discrepanza tra ciò che la società considera sensibile e ciò che viene considerato sensibile dal DGPR. Il rischi impliciti del meccanismo di consenso e le dinamiche di potere correlate rendono il GDPR uno strumento esposto a vulnerabilità e ad abusi. Il vero cambiamento, invece, può avvenire solo se è metabolizzato a livello sociale, non giuridico.

______

*Fabrizio Ventimiglia, avvocato, Presidente Centro Studi Borgogna, Founder Studio legale Ventimiglia; Nicoletta Prandi, Giornalista ed Autrice; Prof. Harry Lambert, barrister, founder Cerebralink e The Center for Neurotechnology and Law