Lo scopo del saggio è di indagare l’ambiente delle nuove tecnologie per verificare in quale modo impattino con il mondo del diritto. In particolare vuole dimostrare che le novità introdotte dalle nuove tecnologie impone di ripensare l’equilibrio delle relazioni umane e la soluzione dei conflitti di diritti. Non sempre le stesse regole giuridiche danno uguali risultati nel mondo reale e nel mondo digitale della rete.
The aim of the essay is to investigate the environment of new technologies to verify how they impact the world of law. In particular, it wants to demonstrate that the innovations introduced by new technologies require us to rethink the balance of human relations and the resolution of conflicts of rights. The same legal rules do not always give the same results in the real world and in the digital world of the internet.
1. C’è danno e danno - 2. L’illecito da impiego dell’IA. - 3. La responsabilità civile tra colpa, responsabilità oggettiva e regole tecniche. - 4. Le questioni aperte dal digitale - 5. Le questioni aperte dall’IA. - 5.1. Segue: smart contract - 5.2. Segue: le criptovalute e la blockchain - 6. Il contratto e l’IA. - 6.1. Segue: il prosumer - NOTE
La parola danno può essere intesa nel senso di evento dannoso, come nel significato penalistico del temine, ossia momento terminale in cui si satura la condotta; nel senso lesione di una situazione protetta (l’iniuria), ossia la lesione alla sfera giuridica della vittima; oppure nel significato di perdita economica patrimoniale o non patrimoniale, subita dalla vittima. La prima di queste rinvia alla causalità di fatto: dall’evento dannoso attraverso la causalità si risale al responsabile dell’illecito. La seconda di queste individua l’interesse meritevole di tutela leso in capo alla vittima: proprietà, diritto di credito, e così via. La terza di queste chiama in causa la causalità giuridica che, partendo dall’evento dannoso, selezione le conseguenze immediate e dirette (art. 1223 c.c.) che sono fonte di un danno patrimoniale o di un danno non patrimoniale. La provenienza del danno dall’uso dell’intelligenza artificiale non si sottrae a questa sequela. Partirei dal danno come perdita, perché è la più semplice, dal momento che l’evento dannoso cagionato dall’uso dell’intelligenza artificiale non vede particolari novità rispetto agli altri illeciti. Come ogni evento dannoso, anche quello causato dall’uso dell’intelligenza artificiale, può causale perdite da stimare e liquidare con i consueti strumenti della causalità giuridica (art. 1223 c.c.) che restituisce lo stesso risultato dell’impiego della teoria differenziale dei patrimoni. L’evento dannoso può essere altresì produttivo di danni non patrimoniali e anche questi andranno risarciti nelle forme ordinarie. Il danno da lesione personale con il criterio del valore a punto di invalidità, mentre quello da lesione di ogni altro diritto della personalità con criterio equitativo, tenuto conto delle tabelle redatte anche per il danno da diffamazione a mezzo stampa: lo stesso vale per la lesione da trattamento scorretto dei dati personali.
Il fatto che l’art. 82 del GDPR, così come la legislazione precedente, preveda espressamente il risarcimento del danno, non muta i termini della questione. Del resto è ormai pacifico che qualsiasi pregiudizio deve essere provato dal danneggiato, anche quando si tratti di una perdita non patrimoniale, per la quale varranno allora presunzioni, l’impiego di nozioni di comune esperienza e altro ancora [1]. La funzione del risarcimento del danno è compensativa, se il danno ha causato una perdita patrimoniale; è satisfattiva (e compensativa), se il danno è non patrimoniale. In ogni caso, qualsiasi tipo di pregiudizio, deve essere dimostrato dalla vittima, non trattandosi di un danno punitivo, la cui funzione non è di reintegrare, ma di punire, appunto [2].
La espressa menzione del risarcimento del danno per aver trattato dati in modo scorretto richiede una precisazione. Nel diritto alla privacy, almeno nella comune accezione, possono convivere due componenti. Una prima più antica, che vede la sua nascita nella città di Boston nella forma del right to be alone, alla fine del 1800, nel ‘900 sarebbe diventato il diritto alla riservatezza e avrebbe trovato la giusta collocazione nell’art. 7 della Carta diritti fondamentali UE, rubricato «Rispetto della vita privata e della vita familiare»: «ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni». Così come all’art. 8, rubricato «Protezione dei dati di carattere personale», dopo aver stabilito che «ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano» (comma 1º), dispone che «tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica».
È possibile che dal trattamento di dati scorretto si produca la lesione del diritto alla riservatezza, senonché è possibile che la lesione della riservatezza si produca autonomamente dal trattamento dei dati, può ancora accadere che il trattamento dei dati scorretto produca un danno che non riguarda la lesione della riservatezza. Si pensi all’indirizzo sbagliato, al cellulare con un numero errato, ad una data di nascita alterata e così via, raccolti in una banca dati, in conseguenza dei quali un professionista accusi una perdita di clientela.
C’è poi da prendere atto del fatto che il diritto alla riservatezza appartiene alla categoria tradizionale dei diritti della personalità, quelli costruiti sul modello proprietario, strutturalmente “rivali”, poiché sono caratterizzati dalla loro esclusività. La lesione della privacy in conseguenza del trattamento scorretto dei dati, invece, appartiene al genere dei diritti di nuova generazione che, pur conservando il carattere “rivale”, tuttavia presuppongono la cooperazione di altri per il loro godimento. Così il dato è tale quando esce dalla sfera giuridica dell’interessato per passare in quella di chi effettua il trattamento, ma il titolare del dato non può non comunicare all’esterno circostanze che lo identificano. Non è possibile stipulare un contratto per una qualsiasi utenza, senza comunicare i propri dati personali. L’IA funziona se può processare dati, di qualsiasi genere, con una metafora molto espressiva, questi sono sati definiti il nuovo petrolio. Ai fini di questa ricerca, la distinzione tra diritto alla riservatezza e diritto al corretto trattamento dei dati è soltanto funzionale ad individuare il bene della vita leso dall’impiego dell’intelligenza artificiale che può riguardare due diritti, spesso indentificati nella unitaria tutela della privacy. Dal punto di vista strutturale, per entrambi, occorrerà stimare e liquidare le conseguenze immediate e dirette che dipendono dalla lesione causata. È più probabile che la lesione del diritto alla riservatezza debba essere stimato e liquidato come danno non patrimoniale, anche se non si può escludere che dalla lesione della «vita privata e familiare», possa scaturire un danno patrimoniale. La lesione del trattamento dei dati ha perso il carattere non patrimoniale che il d.lgs. 30 giugno 2003, n. 196, c.d. codice della privacy, gli attribuisce all’art. 15. Questa norma, dopo aver stabilito che «chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile», nel comma successivo, dispone che «il danno non patrimoniale è risarcibile anche in caso di violazione dell’art. 11», ossia nei casi di trattamento scorretto dei dati personali. Orbene, poiché il danno da trattamento scorretto non è mai stato considerato un danno punitivo, deve riconoscersi che il GDPR, che non ha tipizzato il danno non patrimoniale come la disciplina precedente, ha rafforzato l’idea che il diritto alla riservatezza non è la necessaria conseguenza del trattamento scorretto dei dati [3]. Ha anche implicitamente riconosciuto che la tutela per il trattamento scorretto dei dati possa anche trovare titolo nell’inadempimento contrattuale.
Diverso è se si intende il danno come sinonimo di illecito causato dall’impiego dell’IA, in tal caso l’oggetto della ricerca si sposta sulla funzione che la responsabilità civile può assolvere per rimediare ai danni causati dalla IA. Al riguardo è necessario premettere che questo settore non è utilmente comparabile con alcuno di quelli sui quali, in passato, si è sviluppato il dibattito della responsabilità civile. La diversità deriva dal fatto che l’illecito aquiliano dirime un conflitto che nasce nell’economia individuale del responsabile e del danneggiato. La rilevanza sociale del fenomeno è più presente nei c.d. sinistri di massa, come ad es. gli incidenti stradali, ma anche in questi il risarcimento vale a ripianare un equilibrio con il quale è soddisfatta la vittima, in rapporto con il responsabile. Se il sinistro è di massa, l’ordinamento giuridico ne deve prendere atto e deve trovare un rimedio capace di garantire nel contempo il rischio del suo verificarsi e l’apprestamento di un rimedio in grado di garantire la pace sociale[4]. Queste sono le premesse che storicamente hanno portato al matrimonio fra responsabilità civile e assicurazione. Dato il numero di veicoli in circolazione, non si possono evitare gli incidenti stradali, però l’assicurazione obbligatoria per la circolazione dei veicoli è capace di rendere più efficace l’applicazione delle regole della responsabilità civile, quindi di offrire una soluzione socialmente accettabile. Certo la disciplina riguarda i veicoli senza guida di rotaie, i natanti, ma non comprende tutti gli altri mezzi che possono causare danno, ma non circolano sulla pubblica via. Questo livello di dettaglio, che ha consentito al legislatore di introdurre una importante normativa, presupponeva di individuare una situazione stigmatizzata nel conflitto fra il conducente di un veicolo in circolazione e la vittima.
Il modello è stato replicato in tutti i settori nei quali è elevato il rischio quantitativo dei sinistri, da ultimo ha riguardato la posizione dei professionisti, come medici e avvocati, nei rapporti con i loro assistiti e con i terzi [5]. Il medesimo modello è stato replicato anche per i grandi sinistri come quelli derivanti dall’impiego pacifico dell’energia nucleare secondo la l. 31 dicembre 1962, n. 1860.
Allo stato attuale non è sicuro che la vicenda sulla quale ci si è soffermati sia confrontabile con quella che nasce dall’uso dell’IA, in primo luogo perché di quest’ultima non abbiamo un’idea che possa restituire un significato simile a quello che otteniamo quando pensiamo ad un veicolo senza guida di rotaie in circolazione su di una strada adibita alla pubblica circolazione. Per di più la scelta del legislatore dell’Unione è di aver privilegiato una disciplina “orizzontale” per l’IA, necessariamente generalista, che non distingue in relazione al rischio. Ha preferito, quindi, non seguire una logica “verticale”, attenta alle applicazioni dell’IA nei diversi settori, quindi alle sue funzioni, dalle quali individuare l’effettivo rischio prodotto. Inoltre, non è sicuro che l’impiego della IA possa determinare un conflitto assimilabile a quello di uno scontro fra veicoli. L’uso di questa tecnica va ben al di là di una specifica condotta che determina quello specifico evento dannoso che crea il rapporto fra responsabile e danneggiato. Il conflitto che può nascere dall’impiego dell’IA è tecnicamente molto più sociale di quello che nasce da un comune fatto illecito, coinvolge fisiologicamente molte più persone con ruoli diversi, implica la valutazione comparativa di molteplici interessi in gioco che non necessariamente contemplano soltanto quelli dei protagonisti dell’illecito. Basti pensare che il modo di operare dell’IA presuppone l’uso di dati, non necessariamente personali, che non sono “rivali” ossia esclusivi del suo titolare [6]. Questo solo fatto esclude che il c.d. bene della vita oggetto di tutela aquiliana, il danno ingiusto, sia sempre presente allo stesso modo in cui lo è nella lesione della integrità psico fisica o nella lesione della proprietà. Ci si chiede, poi, se un criterio di rigorosa responsabilità oggettiva, che privilegi prevalentemente l’interesse dei danneggiati, possa nuocere allo sviluppo di un fenomeno che presenta enormi potenzialità di sviluppo. Si fa l’esempio della responsabilità del produttore che, fondata sulla colpa, ha favorito gli imprenditori, in una fase di capitalizzazione dei patrimoni. Se i produttori della fine dell’ottocento avessero dovuto pagare i risarcimenti causati dai prodotti dannosi, avrebbero avuto meno risorse da impiegare nella ricerca per lo sviluppo e, in tempi più recenti, nella ricerca per la prevenzione e per la sicurezza. Ma c’è di più. Come si dice impropriamente, ma molto efficacemente, la sovranità della tecnica è altro dalla sovranità dello Stato. La fondamentale differenza è che la seconda non è pensabile in mancanza di un territorio, non invece la prima. Questa non banale circostanza pone questioni molto diverse da quelle affrontate tradizionalmente dal diritto internazionale, nei rapporti fra gli Stati, e dal diritto internazionale privato, che detta regole applicabili a cittadini appartenenti a Stati diversi che entrano in rapporto fra loro. Queste vicende pongono un tema di governance nello sviluppo della tecnica, che qui possono soltanto essere accennate e che forse si pongono per la prima volta all’attenzione di una pluralità di operatori, depositari di differenti saperi [7].
In mancanza di una normativa specifica sulla materia, occorre procedere per approssimazioni successive, provando ad immaginare, di iure condito, la normativa che sia più vicina e che, pertanto, possa essere applicata. La prima che viene all’attenzione è la disciplina della responsabilità del produttore per la messa in circolazione di un prodotto difettoso. Certo il software probabilmente non può esser considerato un prodotto, ai sensi dell’art. 115 c. cons., ma bene spesso l’algoritmo può essere impiegato alla stregua di un componente, ad esempio nella robotica o nell’Internet of things (IoT)
[8]. Per questi tipi di beni la decisione algoritmica spesso si manifesta attraverso l’attività svolta concretamente dalla macchina, sicché il difetto di funzionamento del software si materializza nella difettosità del prodotto.
In conclusione, per taluni prodotti si può ritenere applicabile direttamente la normativa esistente, senza che ciò richieda particolari forzature. Va da sé che in questo modo saranno applicabili tutte le regole collegate che riguardano ad es. l’importatore, il produttore di una componente, il progettista e così via, anche se queste regole, per la verità, non sono eccezione rispetto alla disciplina codicistica riassumibile nell’art. 2055 c.c. Soltanto per completezza aggiungo, in limine, che non è necessario attribuire una soggettività all’algoritmo o alla macchina per impiegare la responsabilità civile. Anche se astrattamente nulla potrebbe vietare alla legge di creare una soggettività autonoma, come è accaduto in tante altre situazioni, basti pensare alla persona giuridica o alla creazione di patrimoni separati, non pare che questa soluzione sia davvero auspicabile, nel caso di specie [9]. È più ragionevole ritenere che quasi tutti i problemi creati dall’IA, come agency, siano più economicamente risolvibili attraverso l’imputazione di quell’attività ad un soggetto, magari a chi trae vantaggio da quell’attività, secondo l’antico adagio: ubi commoda eius et incommoda. Questa conclusione mi pare condivisibile soprattutto nei settori della robotica o in altre nelle quali l’IA opera in modo simile [10]. Più in generale, le questioni che l’impiego dell’IA pone vanno ben al di là di comportamenti da valutarsi alla stregua di un parametro fondato sulla diligenza, ancorché variamente declinata: diligenza del buon padre di famiglia o ritagliata a misura della natura dell’attività esercitata (art. 1176 c.c.). Seppure ad altro riguardo, la storia della colpa professionale ha mostrato che per quelle prestazioni di fare che richiedono una pregiudiziale competenza tecnica del debitore, quindi che connotano l’obbligazione come personale in ragione della sua infungibilità, la colpa si riassume nella valutazione della condotta secondo un parametro fondato sulla perizia, ossia sull’impiego di una regola della tecnica. Orbene, l’impiego di queste regole dell’operare, che appoggiano su basi scientifiche, tende ad oggettivare il criterio di imputazione, poiché allontana l’interprete dalla ricerca di uno standard personale da fondare su una generale prudenza o su uno standard di buona volontà che possa qualificare la diligenza del buon padre di famiglia. La valutazione di certe attività che hanno una base tecnica e una forte impatto sociale, dunque, anche a prescindere dall’impiego dell’IA, si allontanano da un’idea soggettiva di colpa di stampo penalistico, per avvicinarsi ad un ambito governabile da un criterio che presuppone «la soluzione di problemi di speciale difficolta», come ha previsto espressamente l’art. 2236 c.c., pensato per il prestatore d’opera, al tempo della codificazione del ’42.
Certamente nuove regole si renderanno necessarie, in un prossimo futuro, data la complessità di questo fenomeno; in linea con questo ragionamento si pone il progetto di regolamento comunitario che sta per essere approvato. Senonché, in un settore così soggetto all’obsolescenza, probabilmente le nuove regole di per sé non saranno sufficienti. Occorrerà impiegare l’opera sottile dell’interpretazione sistematica che, uscendo dallo stretto specialismo, dovrà riportare a sistema anche il modus operandi dell’algoritmo. Così facendo, si otterrà la corretta definizione del precetto più funzionale alla soluzione della lite, con il concorso del criterio della compatibilità fra le regole speciali e le regole di portata generale. Questo procedere porterà a rilevare che la ricerca dell’errore tecnico, a prescindere da chi sia stato commesso, è di grande interesse per il tecnico, che in questo modo potrà migliorare il sistema, ma ha uno scarsissimo trasporto per il professionista della responsabilità civile, il cui obbiettivo è superare il conflitto con il risarcimento del danno [11].
Una buona base di partenza nel ripartire il costo da sinistri cagionati dall’uso dell’IA e che si avvantaggia di questo strumento deve rispondere dei danni cagionati a terzi, secondo una regola ormai datata: cuius commoda eius et incommoda. Così, ad es., chi si avvale di un algoritmo per effettuare le assunzioni del personale deve rispondere del fatto che nella stipula del contratto o nella procedura selettiva venga consumata una discriminazione di razza o di genere. Questo tipo di illecito, effettivamente, è tale sia nel mondo reale che nel modo digitale e a questi fini si possono equiparare le due situazioni. Una volta risarcito il danno, si potrà valutare a chi sia imputabile e in quale misura il costo di questo illecito fra tutti coloro che hanno consentito di creare di far funzionare l’algoritmo. Ossia, ai sensi dell’art. 2055 c.c., chi ha pagato potrà agire in regresso verso il primo programmatore, quello che ha allenato l’algoritmo fornendogli i dati e le istruzioni necessarie, quello che lo ha predisposto per il machine learning, eventualmente quello che lo ha programmato per il deep learning e così via. Un’altra circostanza da considerare è che alcuni impieghi dell’IA non sono affidabili, specie nell’impiego predittivo o in quello generativo. Così chi adoperasse un algoritmo per chiedere chi sarà il prossimo presidente della Repubblica italiana difficilmente otterrà come risultato una persona di colore e di genere femminile. Ove il prossimo presidente della Repubblica italiana presentasse queste caratteristiche non si potrebbe imputare alcunché alla scelta dell’algoritmo, con le regole della responsabilità civile. In premessa va considerato che non tutte le attività di calcolo possono consentire un impiego algoritmico, e chi impiega questa tecnologia deve essere previamente edotto delle sue concrete possibilità dalle quali segue l’affidabilità. Probabilmente, a breve, una conclusione più meditata deve essere adottata per chi confida nella capacità predittiva dell’algoritmo nella meteorologia per ragioni professionali o per disdettare le prenotazioni fatte delle proprie vacanze pasquali [12]. Mentre nel primo esempio il grado di attendibilità sarà sempre inaffidabile, nel caso delle previsioni del tempo è possibile che in un prossimo futuro la predittività sarà sempre più credibile. Resta inteso che l’utente di un tale servizio deve essere in grado di valutare il grado di affidamento che può riporre su un certo strumento e deve anche essere in grado di sapere quando l’attendibilità è prossima allo zero, sempre che sia stata adeguatamente informato dal gestore. La stessa conclusione riguarda anche l’IA generativa, come Chat GPT, il cui output, restituito quasi in un tempo reale, deve essere attentamente verificato. Il lavoro dell’algoritmo è di grande utilità, ancorché la sua affidabilità resti fisiologicamente problematica. In questi casi, l’eventuale danno subito dal presunto danneggiato per aver confidato nella risposta algoritmica, non potrà essere imputato al gestore del sistema, sebbene questo abbia fornito un output sbagliato. L’IA richiede per l’utente una conoscenza iniziale che è necessaria per capire dove può essere impiegata e dove non può esserlo; quanto possa essere affidabile e quanto no [13]. La vera questione è su chi imputare il difetto di conoscenza. Un modello da impiegare è l’asimmetria informativa che caratterizza il rapporto tra un professionista e un consumatore, ma questo può essere soltanto un punto di inizio di un percorso che va ben al di là delle regole della responsabilità civile.
La socialità della rete implica una valutazione oculata nell’effettuare il bilanciamento fra diversi principi. In un contesto tradizionale può accadere che il risultato del bilanciamento porti ad un risultato differente rispetto a quello cui si giunge, quando il sinistro si produca nel mondo digitale della rete. Il diverso risultato è dato dal fatto che il conflitto che si determina in rete deve tener conto del diverso grado di socialità dei rapporti, quindi di un diverso modo di porsi proprio del conflitto. La titolazione del GDPR ci dà il senso della novità: il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 è «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati». Sullo stesso piano è posta la protezione delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati. La protezione del dato personale dovrebbe essere “rivale” con la sua circolazione, tutt’al più quest’ultima dovrebbe trovare una tutela subordinata alla vicenda della personalità (proprietaria).
Questa disciplina rappresenta un cambio di paradigma rispetto alla precedente che era più marcatamente ricalcata a misura del dato personale sulla falsariga di un diritto della personalità. Fra l’altro in Italia l’introduzione della privacy ha coinciso con il dibattito sul consenso informato in ambito medico, che avrebbe portato alla nascita del diritto all’autodeterminazione. Il consenso necessario per il trattamento sanitario ha influenzato la costruzione del diverso consenso per il trattamento dei dati personali. In comune fra i due c’è una modello proprietario che ha costituito la loro base teorica e forse anche un forte connotato ideologico. La nuova disciplina affronta la vicenda nei termini della gestione del rischio [14] e si allontana da una prospettiva che poneva sullo stesso piano la tutela della persona con il trattamento dei dati con la loro libera circolazione [15]. Lo spostamento dei termini della questione legittima implicitamente che la circolazione dei dati risponde ad un interesse generale. Questo aspetto è particolarmente ripreso nel Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio del 30 maggio 2022, relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724 (Regolamento sulla governance dei dati). Nel sistema dell’Unione europea il dato personale resta nell’ordita dei diritti della personalità, a differenza di quanto accade negli USA, tuttavia la socialità della rete e l’utilità dell’IA, impone di riconsiderare il bilanciamento dei diritti in confitto fra loro. Ciò sul presupposto che l’IA può funzionare soltanto se è in grado di processare dati di qualsiasi tipo, personali o anonimi, e in qualsiasi formato, poiché tanti più dati sono disponibili, quanto più attendibile è il risultato che può derivare dalla loro lavorazione. Per questo in ambito europeo si incomincia a tener conto che l’originario dato personale spesso è presente in un big data, con il quale ormai ha perduto il legame di origine, quindi deve esser soggetto ad una disciplina differente da quella rigorosa fondata sul consenso. In buona sostanza si perde il carattere “rivale” del bene, che corrisponde alla logica esclusiva della proprietà, per assumere quella socializzante data dal suo uso, nell’interesse generale realizzato dall’IA. Nella ricerca di una concreta disciplina applicabile al mutato contesto, assumono sempre più rilievo alcuni nuovi precetti che rimandano all’interprete il compito di concorrere nella creazione del precetto, con l’impiego del bilanciamento di interessi e con una logica volta a valorizzare l’aspetto relazionale del conflitto. Di uno di questi criteri abbiamo già dato conto: è quello di compatibilità. Questo, spesso impiegato anche nel c.c. in talune norme, come nell’art. 1324, nell’art. 2519 c.c., consente di creare un precetto adoperando la tecnica sistematica nell’interpretazione delle singole norme. C’è poi la ragionevolezza che ormai è entrata nel sistema delle fonti del diritto, specie di quelle di provenienza dell’Unione: nel GDPR, ad es., il concetto si ritrova per ben 29 volte [16]. Questo concetto presuppone la relazione fra soggetti il cui conflitto non necessariamente deve essere risolto a favore di uno sulla base della sua condizione soggettiva di “ragione”. Presuppone, invece, che la lite venga risolta tenuto conto della situazione data dal rapporto intersoggettivo, valutata la rilevanza sociale del rapporto, alla compatibilità, alla sostenibilità; in ogni caso introducendo argomenti di decisione che non riguardano soltanto gli interessi delle parti in conflitto. L’ultimo concetto è quello di accountability, nasce in lingua inglese, in italiano è tradotto con l’impiego di più parole: «responsabilità, affidabilità, assicurazione, rendicontazione, attuazione dei principi concernenti il trattamento dei dati personali» [17], qualcuno aggiunge anche “autoresponsabilità”. Probabilmente l’esatta traduzione è data dall’insieme di tutti questi significati, da impiegarsi nei diversi contesti linguistici. In generale l’accountability sta ad indicare che l’autore di un certo evento deve dare prova di essersi posto il problema, deve dimostrare che cosa ha concretamente fatto per evitare quella situazione, con la diligenza, la prudenza e la perizia richieste. Non è sicuro su chi gravino le cause ignote, circostanza che rende oggettiva la responsabilità quando restino a carico del danneggiante. «Si passa dunque da un approccio normativo che dettava indicazioni assai precise ad uno basato sui principi e volto a responsabilizzare il titolare del trattamento» [18]. In concreto, il controllo dell’operato che un giudice o la stessa autorità garante sarà chiamata a svolgere sulle misure in concreto adottate e sulla valutazione del rischio, sarà un controllo di merito e non mera legittimità. Tutti questi concetti si esprimono con regole elastiche e talvolta con clausole generali, non sono espressi in norme a fattispecie determinata [19]. Ciò comporta inevitabilmente che nell’applicazione diventa essenziale il ruolo del Consulente tecnico quale ausiliario del giudice che, dal fatto processuale, desume il precetto da applicare per risolvere il conflitto originato da un certo rapporto. Se prevale il rapporto, allora la decisione non premia soltanto il diritto soggettivo di uno dei litiganti, ma il risultato del loro bilanciamento, in questo senso prevale la socialità dei diritti nel loro realizzarsi nella rete e con l’ausilio dell’IA.
Ci sono alcune questioni che ha posto l’impiego dell’intelligenza artificiale che possiamo ritenere abbastanza acquisite. Così, ad es., per l’impiego nella predizione è richiesto che il gestore dell’algoritmo sia in grado di intervenire nella fase terminale che precede l’impiego del dato di out put per esercitare il controllo finale. Il senso di questo principio, che orienta il nuovo Regolamento sull’IA, è di consentire all’intelligenza umana, allo stato l’unica intelligenza di tipo cognitivo, di scegliere se avvalersi, se modificare o se non adoperare l’automatismo dell’algoritmo, ottenuto con il funzionamento di reti neurali. Più in generale, il senso è di evitare l’impiego di un dato, frutto di errori grossolani e macroscopici. Il controllo umano al termine del processo è anche funzionale ad una piena assunzione di responsabilità del risultato del processo. Quest’ultimo controllo è anche diretto a garantire la spiegazione del processo che porta a quel risultato. Questione rilevante questa, poiché il lavoro dell’algoritmo e il numero di operazioni fatte in una certa unità di tempo è talmente elevato da impedire alla mente umana di ripercorrere analiticamente tutti i passaggi del processo, quindi di poter giustificare nel dettaglio il risultato di out put. È ormai acquisito che l’algoritmo debba potere spiegare il suo operato, così come ogni provvedimento amministrativo o giudiziale deve essere motivato. Questo assunto è un principio fondante della cultura giuridica dei Paesi di civil law e a questo non si sarebbe potuto sottrarre la decisione algoritmica [20], schermata da parole come oracolo, allucinazione, incantesimo o altro [21]. Del resto, nonostante la libertà di mercato che si realizza con l’esercizio dell’iniziativa economica, talvolta anche certi atti dell’autonomia privata, come l’esercizio del diritto di voto in assemblea, o il recesso da una trattativa (art. 1337 c.c.), devono essere motivati, per non incorrere in un comportamento scorretto, passibile di responsabilità sotto il profilo dell’abuso del proprio diritto. Per soddisfare questa esigenza, c’è chi ha immaginato la coesistenza di un algoritmo da interrogare per ottenere un risultato, ad es. una diagnosi medica, e un altro algoritmo che sia in grado di spiegare la ragione di quel risultato, in modo umanamente intelligibile [22]. Certo la motivazione è sufficiente che renda credibile il risultato alla luce della spiegazione razionale del processo che lo ha generato, dei dati sui quali è stato strutturato e “allenato” (così si dice), e di ogni altra informazione idonea per consentire all’utente di poter coscientemente scegliere se avvalersi di quel dato o di assoggettarsi ad un certo processo [23]. Nulla di esoterico, dunque, nell’IA, nulla di comparabili con le oscurità dei responsi della Sibilla Cumana, qui l’oscurità è fisiologica al modus operandi dell’algoritmo, quando non procede seguendo la regola causalistica (se si verifica questo, allora fai quest’altro) e per via del numero elevatissimo di operazioni compiute in una infinitesimale unità di tempo. Tuttavia una motivazione va data, quantomeno come assunzione di responsabilità da parte di chi amministra il risultato fornito dall’algoritmo.
Smart contract indentifica un’area molto vasta e altrettanto variegata, all’interno dell’universo identificabile come AI zone. Allo stato attuale le questioni che si sono poste all’attenzione degli interpreti hanno interessato prevalentemente il modo in cui la conclusione e l’esecuzione di questi contratti impattano con la parte codicistica del contratto in generale. Per certi versi mi pare replicato un dibattito antico che ha visto i giuristi interrogarsi su due questioni: a) certi spostamenti patrimoniali possono essere ricondotti alla figura del contratto anche senza una vera e propria volontà manifesta ed esplicita; b) sembra che la disciplina dell’inadempimento diventi inutile. In effetti dal punto di vista delle trattative, della formazione e della conclusione del contratto si verifica una vicenda non molto differente da che si verifica con l’uso delle macchine automatiche, che erogano bevande o altri prodotti di consumo. Il modello è molto simile a quello che caratterizza la conclusione del c.d. contratto di fatto, in cui l’apporto della volontà intesa in senso tradizionale è molto limitata, conseguentemente sono molto limitate tutte le parti del c.c. dirette a proteggere la sua formazione e successivamente la sua concreta espressione nella fase esecutiva. Normalmente l’esecuzione dello smart contract è istantanea e subordina la sua esecuzione al corretto adempimento di tutte le obbligazioni nascenti dal contratto. La coincidenza dell’accordo con l’atto di impulso del procedimento che la tecnologia trasforma in scambio contrattuale è sicuramente più prossimo all’accettazione mediante esecuzione dell’art. 1327 c.c., oppure all’opponibilità delle condizioni generali unilateralmente predispose alla parte che avrebbe potuto conoscerle, usando l’ordinaria diligenza (art. 1341, comma 1º, c.c.), più che allo schema del contratto concluso a distanza che presuppone lo scambio di proposta e accettazione. Ciò non esclude che di contratto si tratti [24]. Allo stesso modo non si può escludere la natura contrattuale dal fatto dell’istantaneità dell’esecuzione o del controllo tecnologico dell’esecuzione dei contratti di durata. Nella vendita a rate di grandi macchinari semoventi, dotati di centraline elettroniche per il loro funzionamento, l’aggiornamento di queste centraline è effettuato a distanza, così come il controllo sul funzionamento del macchinario. In questo modo è possibile che il mancato pagamento delle rate provochi automaticamente lo spegnimento del macchinario da remoto. Ciò non determina il superamento delle norme codicistiche sull’inadempimento, semmai si tratta di un’attività del creditore riconducibile all’eccezione di inadempimento, valutabile secondo l’art. 1460 c.c., seppure realizzato per mezzo della tecnologia. Proprio per questo mi parrebbe contrario a buonafede ai sensi dell’art. 1460, comma 2º, c.c., l’immediato spegnimento della macchina non preceduta da un preavviso che allerti del ritardo nei pagamenti. In questo ambito riterrei decisivo l’impiego del principio di compatibilità dal momento che anche l’inadempimento va considerato in ragione dell’affidamento che ragionevolmente ci si può attendere dall’affidabilità di un mezzo. Chi si avvale dello strumento algoritmico dello smart contract deve essere consapevole delle sue potenzialità e deve conoscere le sue caratteristiche, salvo che l’utente possa essere considerato consumatore e godere della protezione che la sua condizione gli è riconosciuta dalla legge. In definitiva torna importante considerare l’aspetto relazionale sulla base del quale devono trovare bilanciamento le reciproche pretese.
Un sotto settore degli smart contracts che ha avuto una considerevole applicazione è data dalle criptovalute che si sono avvalse della tecnologia blockchain. Il successo raggiunto dalle criptovalute è in larga misura dovuto alla sicurezza garantita dalla tecnologia delle blockchain. Assistiamo ad un cambio di paradigma, poiché tradizionalmente l’ambito della certezza della circolazione giuridica è stata garantita o dal diritto pubblico che ha organizzato gli enti a presidio della pubblicità degli atti, ad es. il regime di trascrizione degli atti, o dal riconoscimento normativo di certi fatti: si pensi alla data certa (art. 2704 c.c.), al possesso di buona fede (art. 1155 c.c.), al valore della notifica nella cessione del credito (art. 1265 c.c.) e così via. Nel caso in esame, lo stesso risultato è inequivocabilmente ottenuto semplicemente avvalendosi della tecnologia blockchain, senza dover ricorrere ad alcun altra formalità. La registrazione di una medesima operazione, contemporaneamente eseguita su più computers collegati fra loro, garantisce la certezza dell’operazione, con la impossibilità della sua cancellazione, se non mediante il compimento un’altra operazione che dovrà essere registrata allo stesso modo e che dovrà essere collegata alla precedente. In definitiva, senza entrare in un livello di dettaglio molto specialistico, la tecnologia blockchain garantisce la sicurezza del risultato ottenuto dal compimento di una certa attività che si può riassumere con l’esecuzione di uno smart contract. Perfezione del contratto ed esatto adempimento di ogni obbligazione sono garantiti dalla procedura che, per sinteticità, possiamo indicare come: algoritmo. Detto questo, i dati personali di coloro che hanno eseguito le operazioni registrate con la tecnologia blockchain non possono essere cancellati. C’è chi si è interrogato sulla compatibilità di questa procedura con le regole della privacy e se l’impossibilità di ottenere l’oblio, la pseudonimizzazione o l’anonimizzazione possa costituire un trattamento scorretto dei dati passibile di responsabilità con conseguente risarcimento del danno. Mi pare che, astrattamente, il problema si possa porre solo nell’ipotesi in cui per concludere una certa operazione, che risponda alla soddisfazione di un bisogno primario della persona, non vi sia altra possibilità, se non l’impiego di questa tecnologia. Le applicazioni di questa procedura presuppongono un assenso in primo luogo all’impiego di quell’applicativo, quindi alla conclusione di un certo contratto. Le esigenze di trasparenza e di sicurezza dell’operazione compiuta vanno bilanciate con quelle della privacy e non è sicuro che il risultato finale privilegerà la tutela della riservatezza. La socializzazione dei rapporti imposti dalla tecnologia comporta la necessità di ripensare al paradigma adottato fino ad ora. È molto verosimile immaginare che prevalga l’esigenza di consentire il funzionamento della blockchain, anche se questa invade lo spazio che fino ad un certo momento era di competenza della privacy. Una volta ammesso il consenso all’uso di questa tecnologia, dubito che un errore di scrittura nella catena possa essere risolto con la disciplina codicistica dell’errore che porta all’annullamento del contratto. Allo stato attuale l’unico rimedio immaginabile, data la immodificabilità tecnica del contratto, è un risarcimento del danno che riequilibri il risultato economico, come se quell’errore non fosse stato commesso. Una disciplina assimilabile a quella del dolo incidente (art. 1440 c.c.), ma ottenibile con l’impiego della buona fede nell’esecuzione del contratto (art. 1375 c.c.) [25]. In questo modo è salva la tracciabilità e la trasparenza garantita dalla tecnologia, che comporta la sua immutabilità, ma è salvaguardato anche l’interesse delle parti ad eseguire uno scambio secondo l’accordo raggiunto con l’adesione alla procedura dello smart contract.
Nel nostro tempo, il contratto assume un ruolo sempre più regolativo delle attività umane. Nel linguaggio della finanza, il concetto di finanza strutturata dà un’idea precisa di questo fenomeno. Con questo sintagma, si allude a quella movimentazione di valori che è regolamentata da contratti o da altri atti avente la medesima fonte e non da leggi o da regolamenti di fonte legislativa. Così, ad esempio, molte regole per il funzionamento dei mercati regolamentati sono dettate dalle società che gestiscono quei mercati; molte fasi del processo di cartolarizzazione trovano disciplina nel contratto, spesso dalla combinazione di più contratti, fra i quali la cessione del contratto, da cui nasce il collegamento; nel codice della crisi, il suo superamento con la figura dell’accordo di ristrutturazione il cui effetto vincola anche chi non è stato parte del contratto (art. 61 d.lgs. 12 gennaio 2019, n. 14), una volta garantite le prescrizioni di legge[26]. Senza allargare ancora e considerare pure la modalità di migrazione del diritto attraverso i contratti con i quali circolano i beni o vengono erogati i servizi, a questo fenomeno non poteva andare esente l’impiego dell’IA nella rete. Tutto questo porta alla conseguenza che quando il gestore di una piattaforma cancella alcuni dati che sono stati inseriti da un utente o addirittura cancella un utente da un profilo social saremmo portati a qualificare questa attività nei termini di una censura esercitata da un’autorità preposta o da un Tribunale. Al contrario il gestore della piattaforma adotta quel provvedimento, poiché l’utente ha usato scorrettamente il servizio offerto e per questo va considerato inadempiente al contratto concluso [27]. Discende che l’autonomia privata può delimitare l’esercizio della manifestazione del pensiero, attraverso la regolamentazione del servizio veicolo della sua espressione. Il gestore della piattaforma non diventa un ente pubblico di controllo, è assimilabile all’erogatore di energia elettrica che interrompe il servizio, se l’utente impiega una potenza superiore a quella contrattualmente prevista. Qualora l’utente chiedesse al giudice di ripristinare il servizio interrotto, questo non dovrà valutare se il gestore della piattaforma ha limitato il diritto alla libertà di pensiero dell’utente, ma se l’utente sia o non sia stato inadempiente al contratto. C’è poi un fenomeno su cui si è creato un certo dibattito tra gli interpreti e che ha visto divisi chi considerava gratuite certe autorizzazioni a scaricare qualche App e chi ha ritenuto che potesse essere considerato corrispettivo, l’autorizzazione ad utilizzare i dati dell’utente dell’App medesima [28]. Sta prevalendo questa seconda soluzione, molto più vicina ad un modus operandi che ormai è in uso a livello planetario. Ciò naturalmente comporta una considerazione del dato personale più vicino ad un bene giuridico più che ad un attributo della personalità di fornisce l’autorizzazione. È ben vero che l’art. 5 del c.c. consente gli «atti di disposizione del proprio corpo», purché non «cagionino una diminuzione permanente della integrità fisica, o [non] siano altrimenti contrari alla legge, all’ordine pubblico o al buon costume». Tuttavia nessuno ha mai sostenuto che da questi atti di disposizione, nei liniti indicati, possa nascere un contratto. È ben vero che, nel linguaggio comune, si dice donazione del sangue, ma i giuristi sanno bene che non si tratta del contratto di donazione. Nonostante la nobiltà del fine, che potrebbe forse essere ricondotto ad una liberalità in senso ampio, tuttavia il corpo umano e le sue parti non possono costituire oggetto di un contratto, che, comunque, sarebbe nullo, addirittura per illiceità. Non è sicuro che lo stesso ragionamento possa essere riproposto per la donazione dei dati fatta dal paziente in favore di un ente di ricerca, per i motivi che tratteremo di seguito. Incominciamo con il dare atto che, fra i diritti della personalità, il diritto all’immagine ha assistito ad una progressiva erosione dei principi fondanti di quei diritti, consentendo al contratto di regolare la disponibilità della circolazione di qualche frammento della personalità. I diritti della personalità, dunque, non sono più un blocco monolitico, ciononostante la circolazione dei dati personali deve seguire un diverso percorso. Con il GDPR la tutela è equamente ripartita per il dato personale e per la usa circolazione. Probabilmente dobbiamo accettare l’idea che, quantomeno ai fini della circolazione il dato personale possa essere considerato un bene giuridico, quindi che possa costituire corrispettivo per l’impiego di un’App scaricata da un portale, con la conseguenza che l’operazione svolta può essere un contratto e che il dato può fungere da bene in senso giuridico. Mentre il ragionamento svolto sul diritto all’immagine è rimasto nel quadro dei principi sui diritti della personalità, sul dato personale pare ragionevole considerare come questo aggregato di bit sia considerato negli altri ordinamenti. Su questa linea si colloca la Proposta di regolamento del Parlamento e del consiglio, c.d. Data Act, dedicato ai dati non personali, generati anche autonomamente da qualsiasi strumento tecnologico. Sulla stessa direttrice si colloca altresì la proposta di Regolamento sullo spazio europeo dei dati sanitari, fortemente occasionato dal fenomeno pandemico, che ha posto in evidenza la necessità di far circolare i dati sanitari anche quelli più delicati, per finalità di ricerca e più in generale per la protezione della sicurezza generale, garantita dalla finalità della sanità pubblica. In questo contesto, il contratto può regolamentare, quindi occupare uno spazio che in passato avrebbe visto, come protagonista esclusivo, l’intervento del potere statuale. Ritorna di attualità l’accenno fatto in precedenza alla sovranità della tecnica che ha un bacino di utilizzo che supera quella dei singoli Stati e finisce anche per occupare uno spazio proprio dei poteri pubblici. In questo quadro, l’autonomia privata può svolgere una importante funzione.
Il termine prosumer, frutto della crasi di producer e consumer, indica un consumatore che è a sua volta produttore o che, comunque, contribuisce alla produzione, nell’atto stesso in cui consuma. L’inventore è il sociologo Alvin Toffler [29] che ha coniato il neologismo per indicare il mutato ruolo del cliente, consumatore di informazione, per effetto del digitale e dell’impiego dei nuovi dispositivi self-media: cellulare, internet, DVD, satellitare. Questi nuovi mezzi di comunicazione consentono un uso più personale e autonomo dei media e tutti vi hanno accesso sia come destinatari, sia come mittenti. Nel tempo dei socials, tutti possono trovare informazioni sulla rete Internet, ma anche immetterle; tutti possono ricevere filmati di tipo televisivo, ma possono anche trasmetterli e pubblicarli: è sufficiente un cellulare. Questo fenomeno ha determinato la nascita di un vero e proprio genere multimediale: User’s generated content: (UGC). Nel III millennio il fenomeno è entrato nell’economia e ha attraversato tutti i settori. Il fenomeno più evidente è quello dell’home banking: il correntista può entrare nel suo conto corrente da remoto, eseguire un pagamento al fisco, un bonifico ad un debitore che risiede in un Paese straniero, acquistare o vendere strumenti finanziari su qualsiasi piazza e così via. Da remoto, chiunque può acquistare biglietti per qualsiasi tipo di spettacolo, comperare biglietti ferroviari, aerei, procurarsi qualsiasi cosa su svariate piattaforme. I professori universitari verbalizzano direttamente gli esami degli studenti sul server d’ateneo, senza necessità della intermediazione di un funzionario e gli esempi potrebbero proseguire ancora. Il fenomeno, letto nella logica del contratto di scambio, vede una chiara sovrapposizione dei ruoli delle parti, giacché talune attività che erano di competenza del venditore, dei suoi preposti o ausiliari, le svolge ora l’acquirente nel suo interesse, ma, di fatto, anche nell’interesse dell’acquirente. L’automaticità delle operazioni esaminate impone di ripensare il regime di responsabilità di chi fa che cosa, e probabilmente un aspetto da considerare è il grado di competenze richieste per potersi avvalere delle possibilità di intermediazione sul portale. Questo fenomeno che si è enormemente diffuso è espressione di una delle forme di socializzazione nelle relazioni interpersonali che devono essere considerate ai fini della soluzione degli eventuali conflitti di diritti che insorgono fra le parti. Per questi conflitti che un tempo si potevano decidere semplicemente stabilendo la prevalenza dell’uno sull’altro, nel digitale devono comunque trovare soluzione attraverso il loro bilanciamento. Qui il bilanciamento non è soltanto il mezzo per realizzare l’interesse della parte in lite, ma è il viatico per realizzare nel contempo l’interesse generale. La governance della tecnica è di interesse generale.
[1] Ho riassunto i termini del dibattito, FRANZONI, Occupazione senza titolo, danno in re ipsa?, in Nuova giur. civ., 2022, II, 880 ss.
[2] Cfr. FRANZONI, Danno evento, ultimo atto?, in Nuova giur. civ., 2018, II, 1337 ss.
[3] Indirettamente, sulla scia di questi ragionamenti si era già orientata la Cass. [ord.], sez. I, 8 gennaio 2019, n. 207, in Corriere giur., 2019, 626, con nota di ESPOSITO, Il risarcimento del danno non patrimoniale da illecito trattamento dei dati personali: «il danno non patrimoniale risarcibile ai sensi dell’art. 15 d.lgs. 30 giugno 2003, n. 196, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno”; in questo contesto, inoltre, il danno non patrimoniale non può mai essere considerato in re ipsa, ma deve essere sempre allegato e provato da parte dell’interessato; la posizione del danneggiato è tuttavia agevolata dall’onere della prova più favorevole, come previsto dall’art. 2050 c.c., nonché dalla possibilità di dimostrare il danno anche solo tramite presunzioni semplici e dal risarcimento secondo equità».
[4] Il fenomeno è molto ben descritto nel Libro bianco sull’intelligenza artificiale – Un approccio europeo all’eccellenza e alla fiducia, redatto dalla Commissione europea, in HTTPS://EUR-LEX.EUROPA.EU/LEGAL-CONTENT/IT/TXT/PDF/?URI=CELEX:52020DC0065. Il documento è del 2020, ma è ancora attuale nel richiedere «un approccio antropocentrico, etico, sostenibile e rispettoso dei valori e dei diritti fondamentali».
[5] A partire dall’art. 3, comma 5º, lett. E, d.l. 13 agosto 2011, n. 138, convertito con modificazioni, è stato istituito l’obbligo assicurativo, che gran parte delle leggi che regolano gli ordini professionali hanno recepito e meglio dettagliato.
[6] È proprio questo l’ambito in cui opera il c.d. machine learning che consente ad un algoritmo di apprendere in autonomia, andando a ricercare da documenti diversi, redatti in formati diversi, dati da rielaborare successivamente per un fine predeterminato.
[7] Segnalo soltanto che le finalità del legislatore dell’Unione sono efficacemente sintetizzate nella Risoluzione del Parlamento europeo del 20 ottobre 2020 recante raccomandazioni alla Commissione su un regime di responsabilità civile per l’intelligenza artificiale, in https://www.europarl.europa.eu/doceo/document/TA-9-2020-0276_IT.html, Introduzione, n. 3: «afferma che il mercato unico digitale deve essere pienamente armonizzato, dato che la sfera digitale è caratterizzata da rapide dinamiche transfrontaliere e da flussi di dati internazionali; ritiene che l’Unione conseguirà gli obiettivi di mantenere la sovranità digitale dell’Unione e di stimolare l’innovazione digitale in Europa solo ricorrendo a norme coerenti e comuni, in linea con una cultura dell’innovazione».
[8] Mi pare che la proposta di direttiva sul danno da prodotti, consultabile nell’ultima versione, in HTTPS://EUR-LEX.
EUROPA.EU/LEGAL-CONTENT/IT/TXT/?URI=CELEX%3A52022PC0495, si allinei a queste considerazioni, prende in esame il digitale e i dati, nella prospettiva di individuare il prodotto. Utili indicazioni si trovano anche nel Regolamento del Parlamento europeo e del Consiglio del 5 aprile 2017, n. 745, relativo ai dispositivi medici.
[9] Cfr. DE BONA, Verso la tutela giuridica dei sistemi intelligenti. Prospettive critiche della soggettività robotica, in Journal of Ethics and Legal Technologies – Volume 4(2) – Novembre 2022, 58 ss.; MORO, Alle frontiere della soggettività: indizi di responsabilità delle macchine intelligenti, in RUFFOLO U. (a cura di), XXVI lezioni di diritto dell’intelligenza artificiale, Torino, 2021, 55 s.
[10] Cfr., efficacemente, FINOCCHIARO, Intelligenza artificiale. Quali regole?, Bologna, 2024, 33 ss.
[11] Così FINOCCHIARO, Intelligenza artificiale. Quali regole?, cit., spec. 68 s.
[12] Cfr. per una dimostrazione di quanto appena asserito: FLORIDI, Etica dell’intelligenza artificiale – Sviluppi, opportunità, sfide, Milano, 2022, §§ 3.2 e 3.3.
[13] FLORIDI, cit., nota prec. ibidem, dove spiega che l’algoritmo non può giocare a calcio e che l’algoritmo non è opportuno che venga impiegato per allacciare le scarpe, nelle fabbriche dove vengono costruite. Una delle questioni più rilevanti, secondo l’a., è capire quando si possa impiegare L’IA e quando non sia opportuno farlo.
[14] Cfr. FINOCCHIARO (a cura di), La protezione dei dati personali in Italia. Regolamento UE 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019, in particolare i contributi di FINOCCHIARO, Il quadro d’insieme sul regolamento europeo sulla protezione dei dati personali, e MANTELERO, La gestione del rischio; Le conseguenze sono esaminate da BASUNTI, La (perduta) centralità del consenso nello specchio delle condizioni di liceità del trattamento dei dati personali, in Contratto e impr., 2020, 860 ss.
[15] Cfr., ampiamente, GIORGIANNI, Il «nuovo» diritto alla portabilità dei dati personali. Profili di diritto comparato, in Contratto e impr., 2019, 1387 ss.
[16] Su questo concetto, FRANZONI, Principi generali, norme elastiche, clausole generali, in Contratto e impr., 2023, spec. §§ 6 e 7.
[17] FINOCCHIARO, Intelligenza artificiale. Quali regole?, cit., 84, in cui l’a. dimostra il diverso modo di operare degli interessati e degli operatori giuridici, in conseguenza di questa scelta legislativa, molto diversa da quella seguíta nella logica tradizionale che vede la norma comprensiva di un ordine preciso, seguito dalla sanzione per la sua inosservanza.
[18] FINOCCHIARO, Il principio di accountability, in Giur. it., 2019, 2778; illuminante questo passaggio: «Il quadro complessivo modificato inevitabilmente conferisce a tutte le disposizioni un diverso significato e contenuto, benché la veste formale apparentemente sia molto simile alla precedente» (ivi, 2780).
[19] Proprio su queste norme FRANZONI M., Principi generali, norme elastiche, clausole generali, in Contratto e impr., 2023, 1052 ss.
[20] Cfr. Cons. Stato, sez. VI, 8 aprile 2019, n. 2270, in Foro it., 2019, III, c. 606: «posto che l’algoritmo a cui una amministrazione affidi un proprio processo decisionale deve essere considerato a tutti gli effetti un atto amministrativo informatico, ne deriva che tale algoritmo deve essere conoscibile – con riferimento ai suoi autori, al procedimento usato per la sua elaborazione, al meccanismo di decisione, comprensivo delle priorità assegnate nella procedura valutativa e decisionale e dei dati selezionati come rilevanti – e soggetto alla cognizione e al sindacato del giudice amministrativo». Sulla base di questo principio è stata ritenuta illegittima la procedura automatizzata prevista dalla l. 107/15, tesa ad attuare un piano straordinario di assunzioni a tempo indeterminato nelle scuole perché i giudici non sono stati in grado di comprendere le modalità con le quali, attraverso l’algoritmo adoperato dall’amministrazione, sono stati assegnati i posti disponibili, essendosi verificati esiti illogici e irrazionali come il trattamento di maggior favore riservato a docenti con minori titoli e minore anzianità.
[21] Cfr. FINOCCHIARO, Intelligenza artificiale. Quali regole?, cit., spec. cap. II, titolato «le parole che ingannano».
[22] Opportunamente si occupa di questa vicenda, descrivendo i vantaggio dell’impiego DELL’IA e affrontandone i rischi, il documento prodotto dal Consiglio Superiore di Sanità, Sessione LII (2019-2022), Sezione V, I sistemi di intelligenza artificiale come strumento di supporto alla diagnostica, in https://www.salute.gov.it/imgs/C_17_pubblicazioni_3218_allegato.pdf. Nella premessa afferma: «Uno sviluppo incontrollato e non governato DELL’AI non è scevro da potenziali rischi, derivanti, ad esempio: 1) dall’uso di sistemi di AI privi di una rigorosa validazione scientifica; 2) dalla mancanza di controllo sulla modalità di processazione dei dati da parte dai sistemi esperti; 3) da possibili violazioni della privacy degli utenti; 4) da discriminazioni (ad esempio di razza e/o di genere) introdotte dalla programmazione degli algoritmi; 5) dall’assenza di informazioni circa la sicurezza e la riproducibilità nell’uso dei sistemi di AI; 6) dalla mancanza di norme circa la responsabilità professionale del Medico nell’interazione con gli algoritmi; 7) dalla impreparazione del personale Medico e sanitario al corretto utilizzo dei sistemi di AI e alla appropriata modalità di comunicazione del loro utilizzo ai pazienti; 8) dall’incomprensione da parte dell’utente/cittadino dei reali benefici e limitazioni dei sistemi di AI».
[23] Di questa vicenda si è già occupata la Cass., sez. I, 25 maggio 2021, n. 14381, in Resp. civ., prev., 2022, 498, con nota di CASTAGNA, Trasparenza algoritmica e validità del consenso al trattamento dei dati personali: «in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato; ne segue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati» (il c.vo è dell’a.).
[24] Il tema è più antico di quanto si possa immaginare, basi pensare allo scritto di CICU, Gli automi nel diritto privato, Milano, 1901. Tra le opere più attente, MAUGERI, Smart Contracts e disciplina dei contratti – Smart Contracts and Contract Law, Bologna, 2021, spec. cap. III, per i temi trattati nel testo.
[25] Questa idea non è molto diversa dai dicata delle Cass., sez. un., Cass., sez. un., 19 dicembre 2007, n. 26724, 26725, anche in Foro it., 2008, I, c. 784, con nota di SCODITTI, La violazione delle regole di comportamento dell’intermediario finanziario e le sezioni unite, seppure ad altro riguardo: «il cardine intorno al quale ruota la sentenza da ultimo citata è costituito dalla riaffermazione della tradizionale distinzione tra norme di comportamento dei contraenti e norme di validità del contratto: la violazione delle prime, tanto nella fase prenegoziale quanto in quella attuativa del rapporto, ove non sia altrimenti stabilito dalla legge, genera responsabilità e può esser causa di risoluzione del contratto, ove si traduca in una forma di non corretto adempimento del generale dovere di protezione e degli specifici obblighi di prestazione gravanti sul contraente, ma non incide sulla genesi dell’atto negoziale, quanto meno nel senso che non è idonea a provocarne la nullità».
[26] Cfr. BALESTRA, Introduzione al diritto dei contratti, Bologna, 2021, 260 ss., il § ha come titolo: «La contrattualizzazione della crisi d’impresa».
[27] È proprio questa la tesi sostenta da RUFFOLO in PINELLI e RUFFOLO, I diritti nelle piattaforme, Torino, 2023, 43 ss.
[28] Ampiamente sul punto, BRAVO, Lo “scambio di dati personali” nei contratti di fornitura di servizi digitali e il consenso dell’interessato tra autorizzazione e contratto, in Contratto e impr., 2019, 34 ss.
[29] TOFFLER, La terza ondata, Milano, 1987, l’edizione in lingua originale è del 1980, quasi come sottotitolo in copertina si legge: «Il tramonto dell’era industriale e la nascita di una nuova civiltà».