Nel 2021 Apple ha introdotto App Tracking Transparency (ATT), una funzionalità del sistema operativo iOS che permette agli utenti, che prima dovevano districarsi tra interfacce confusionarie, di impedire con un solo click qualunque tracciamento, evitando quindi che qualsiasi app presente sul loro smartphone possa raccogliere dati personali a fini pubblicitari senza il loro consenso esplicito.

La funzionalità introdotta in iOS, il sistema operativo di iPhone e iPad, fornisce un servizio che, nell’internet dominata dal capitalismo della sorveglianza, rende una gran fetta di utenti più protetti. E questo l’ha resa particolarmente apprezzata: si stima infatti che il 75% degli utenti iOS la utilizzi.

Eppure ATT, in Italia e in altri paesi europei, potrebbe avere vita breve: “In Apple crediamo che la privacy sia un diritto umano fondamentale e abbiamo creato la funzionalità di App Tracking Transparency per offrire agli utenti un modo semplice per controllare se le aziende possono tracciare le loro attività su altre app e siti web. Una funzionalità accolta con entusiasmo dai nostri clienti e apprezzata dai sostenitori della privacy e dalle autorità per la protezione dei dati in tutto il mondo”, si legge in un comunicato. “Non sorprende che l’industria del tracciamento continui a opporsi ai nostri sforzi per dare agli utenti il controllo sui propri dati”.

ATT rischia di sparire

Nonostante il favore degli utenti, ATT è infatti oggetto in Italia di un’indagine dell’Autorità Garante della Concorrenza e del Mercato, che secondo diversi osservatori arriva dopo una forte pressione da parte dell’industria pubblicitaria. Le aziende del settore sostengono che la funzione sia “abusiva” perché duplicherebbe i consensi già richiesti dal GDPR. Apple respinge l’accusa e afferma che la normativa europea dovrebbe essere un punto di partenza, non un limite, e che ATT offre un livello di controllo più chiaro e immediato.

La decisione dell’AGCM è attesa entro il 16 dicembre e rischia di privare i consumatori di un prodotto informatico, ATT, che non solo è più funzionale dei singoli banner, ma che si potrebbe definire “naturale”: nel momento in cui tutte le app hanno bisogno di una stessa funzione (in questo caso, richiedere il consenso degli utenti alla profilazione) è più logico integrarla nel sistema operativo e offrirla in un’unica versione standard. ATT fa proprio questo: porta la richiesta di consenso al tracciamento a livello di sistema.

Nonostante ogni utente abbia il diritto di prestare o negare il consenso all’utilizzo dei suoi dati personali per fornire pubblicità mirata o rivenderli ai cosiddetti data broker, la semplicità d’uso di ATT di Apple rappresenta la differenza tra un consenso spesso “estorto” da interfacce appositamente convolute e opache e un consenso informato, libero, revocabile.

In base al GDPR, il regolamento europeo sulla protezione dei dati, ogni applicazione può trattare i nostri dati personali solo se esiste una delle sei basi giuridiche previste dalla legge. Tra queste, il consenso è quello più comunemente utilizzato. Poiché permette di effettuare una scelta in modo chiaro e semplice, l’ATT ha rapidamente raccolto l’effettivo interesse degli utenti, mostrando in maniera coerente come si può ottenere ciò che i vari garanti europei hanno chiarito nel tempo, ovvero che “rifiutare dev’essere facile quanto accettare”.

La strategia di Apple

Ma Apple ha fatto un altro passo avanti: non ha offerto ATT ai programmatori di app, ma l’ha imposta. Ha reso questo consenso necessario, al pari di quello che deve chiedere un’app quando, per esempio, vuole accedere alla localizzazione o al microfono. È direttamente il sistema operativo, sia in iOS sia in Android, che permette di scegliere se fornire o meno, per esempio, l’accesso al microfono al videogioco che abbiamo appena scaricato. In questo modo, lo spazio di manovra per trarre l’utente in inganno si riduce molto: possiamo vedere in una volta sola quali sono le app che richiedono quel privilegio e revocarlo a tutte in ogni momento.

Immaginiamo gli esiti nefasti che si sarebbero verificati nel mercato mobile se ogni app avesse potuto accedere, tramite formula ambigue per il consenso, a periferiche come microfono, localizzazione, cartelle e rubrica. È proprio per evitare questa situazione che i programmatori dei sistemi operativi hanno dato il controllo agli utenti, limitando di conseguenza la presenza di spyware e profilazione invasiva.

La possibilità di bloccare facilmente l’accesso a periferiche così delicate, soprattutto quando scarichiamo app dalla reputazione dubbia, ci dà un senso di protezione. Perché con il tracciamento dovrebbe essere diverso? Siamo certi che fornire l’accesso al microfono permetta di ottenere dati molto più rilevanti di quelli che si possono avere tramite la profilazione? In realtà, il tracciamento e la cessione di informazioni ai data broker dovrebbero evocare la stessa percezione di rischio. E quindi essere soggette, come fa in effetti l’ATT, a un simile trattamento a livello di consenso.

I miliardi persi da Meta

Per capire la posta in gioco: Meta ha affermato che ATT sarebbe stato, nel solo 2022, responsabile di una perdita pari a 10 miliardi di dollari (circa l’8% del fatturato 2021), causando una caduta in borsa del 26%. Il Financial Times stimò invece che, nel solo secondo semestre 2021, l’ATT introdotto da Apple fosse la causa di 9,85 miliardi di inferiori ricavi complessivi per Snap (la società del social network Snapchat), Facebook, Twitter e YouTube, segnalando l’ampiezza dell’impatto sull’intero ecosistema pubblicitario.

Nel suo report del 2022, lo IAB (Interactive Advertising Bureau, un’associazione di categoria delle aziende pubblicitarie e della comunicazione) menziona già nell’introduzione come la colpa di queste perdite sia in primo luogo dell’ATT e in secondo luogo del regolamento della California sui dati personali. Questo aspetto ci aiuta a mappare il conflitto: i diritti e il consenso vengono considerato come degli avversari da questi soggetti, che – nel tentativo di recuperare i miliardi perduti – sono disposti a mettere in campo tutto il loro potere legale, fino ad arrivare a un’interpretazione del diritto che dovrebbe essere un caso di studio.

In Europa, la privacy sul banco dell’antitrust

In diverse nazioni europee, in seguito alle denunce di associazioni di categoria, sono infatti state intentate cause contro Apple per “abuso di posizione dominante”. Non è però chiaro dove sia il beneficio diretto di Apple,  visto che anche le sue applicazioni devono rispondere all’ATT e quindi anche Apple deve chiedere il consenso per servire pubblicità personalizzata. Apple potrebbe al massimo avere un beneficio indiretto, penalizzando i principali concorrenti – i cui introiti provengono dalla pubblicità – mentre si avvantaggia dalla vendita di dispositivi promossi come “privacy first”.

Una delle interpretazioni fornite dalle associazioni di categoria è che gli sviluppatori di applicazioni terze debbano essere in grado di usare il loro form per la richiesta del consenso. Questo, però, ci porta ad affrontare un problema noto: quello dei dark pattern o deceptive design (interfacce ingannevoli), ovvero strategie di design che spingono l’utente a compiere scelte non pienamente consapevoli, per esempio rendendo più complesso rifiutare il tracciamento o l’iscrizione a un servizio rispetto ad accettarlo.

Dark pattern: perché la forma decide il contenuto

Come scrive Caroline Sinders, “le politiche per regolamentare Internet devono fare i conti con il design”, perché interfacce e micro-scelte grafiche possono “manipolare invece che informare” e svuotare principi come il consenso: “I dark pattern sono scelte di design che confondono gli utenti o li spingono verso azioni che non desiderano davvero”. E fanno tutto ciò, tipicamente, rendendo molto facile dire di sì e invece complesso o ambiguo dire di no.

Non si tratta di astrazioni. Nel 2024, NOYB (il centro europeo per i diritti digitali) ha analizzato migliaia di banner di consenso in Europa, documentando schemi ricorrenti e misurabili: se il pulsante “rifiuta” non si trova nel primo livello del banner, solo il 2,18% degli utenti lo raggiunge. Non solo: rifiutare richiede in media il doppio dei passi rispetto ad accettare.

Tra le pratiche “dark pattern” più comuni troviamo inoltre: link ingannevoli per il rifiuto (inseriti nel corpo del testo mentre per accettare è presente un pulsante ben visibile), colori e contrasti che enfatizzano l’ok e sbiadiscono il no, caselle preselezionate, falso “legittimo interesse” (con cui un’azienda dichiara di poter trattare i dati senza esplicito consenso) e percorsi per la revoca più difficili del consenso.

Il Digital Services Act (DSA), in vigore dal 2022, ha portato nel diritto dell’UE il lessico dei dark pattern e ne vieta l’uso quando interfacce e scelte di design ingannano o manipolano gli utenti, aprendo la strada a linee guida e strumenti di attuazione dedicati. In concreto, il DSA prende di mira alcune pratiche precise, come la ripetizione delle richieste anche dopo che una scelta è già stata espressa. Nella tassonomia accademico-regolatoria più aggiornata, questo comportamento corrisponde al pattern “nagging”, cioè l’interruzione insistente che spinge l’utente verso un’azione indesiderata.

Un documento rivelatore, da questo punto di vista, è An Ontology of Dark Patterns, che fornisce strumenti utili a riconoscere dark pattern, dar loro un nome preciso e idealmente a poterli misurare, così da effettuare reclami dove possibile e magari riuscire, a colpi di sanzioni, a limitarli.

Nonostante il DSA sancisca a livello concettuale il divieto dei dark pattern, le autorità o i cittadini che volessero effettuare reclami dovrebbero poter misurare la difficoltà dell’interfaccia e rendere obiettivo il giudizio. Questa è la parte più difficile: da un lato non puoi distinguere un dark pattern dal cattivo design; dall’altro, le piattaforme più grandi (definite dalla UE “gatekeeper”) sono diventate tali anche per la cura maniacale nei confronti del design delle loro interfacce, ottimizzando il percorso per loro più profittevole e disincentivando tutti gli altri.

Qui sta la difficoltà: non si può giudicare un dark pattern solo dal principio, bisogna invece misurare l’esperienza. In pratica, i pattern si vedono quando: rifiutare richiede più passaggi di accettare (asimmetria di percorso); il “no” è meno evidente del “sì” (asimmetria visiva: posizione, dimensione, contrasto); l’utente viene interrotto finché non cede (nagging); ci sono oneri informativi inutili prima di arrivare alla scelta (ostruzione); esistono impostazioni preselezionate o categorie opache (sneaking).

Per questo le standardizzazioni di piattaforma come ATT sono preziose: trasformano il consenso in un gesto coerente nel tempo, riducendo la superficie di manipolazione creativa e permettendo sia agli utenti di imparare rapidamente dove e come decidere, sia ai regolatori/ricercatori di misurare con metriche stabili (passaggi, tempi, posizionamenti). È lo stesso vantaggio che abbiamo quando il sistema operativo gestisce i permessi di fotocamera o microfono: l’utente riconosce il messaggio proveniente dal sistema operativo, sa come revocare il consenso e chi prova a barare salta subito all’occhio.

Infine, il nodo culturale: consenso informato e scelta informata richiedono una certa educazione dell’utente. Il regolatore spesso la dà per scontata mentre, al contrario, i team tecnici delle piattaforme investono nel scovare le vulnerabilità degli utenti, sfruttando posizionamento, ritardi, colori, tempi, percorsi. Per questo l’uniformità del punto in cui bisogna effettuare la decisione (uno strato di sistema, uguale per tutti) dovrebbe essere favorita: abbassa la complessità per gli utenti e rende l’enforcement verificabile.

Oggi, però, la regolazione resta quasi sempre a livello alto (principi, divieti) e raramente scende a specifiche vincolanti sulla user interface. Il risultato è che l’onere di provare la manipolazione ricade su autorità e cittadini, caso per caso; mentre chi progetta interfacce approfitta della grande varietà di soluzioni “creative”. ATT mostra che spostare la scelta verso il basso, all’interno del sistema, abilita gli utenti a esprimere le loro volontà e a vederle rispettate.

Il limitato intervento del Garante

Immaginiamo che l’Autorità Garante della Concorrenza e del Mercato (AGCM) ponga all’autorità che si occupa di protezione dei dati una domanda di questo tipo: “ATT è necessario per adempire al GDPR?”. Quest’ultimo probabilmente risponderebbe negativamente, perché in punta di diritto non lo è. Forse è un peccato, perché se la domanda invece fosse: “ATT è una soluzione migliore per catturare il consenso rispetto ai banner sviluppati da terze parti?”, la risposta sarebbe molto probabilmente differente. Al di là degli scenari teorici, che mostrano però come basti cambiare il punto di vista per cambiare anche il risultato, l’impressione è che AGCM abbia la possibilità di rimuovere ATT e che il garante della Privacy non abbia strumenti per intervenire.

La situazione non sembra quindi rosea per ATT in attesa della decisione del 16 dicembre, visto che in Francia l’Autorità competente ha già inflitto a Apple 150 milioni di euro, ritenendo sproporzionato il sistema rispetto all’obiettivo dichiarato e penalizzante per editori più piccoli (Apple ha invece nuovamente difeso ATT come una scelta a favore degli utenti).

Ed è qui che la notizia si intreccia con i dark pattern: per alleggerire le restrizioni di ATT, l’industria pubblicitaria spinge perché siano le singole app e non il sistema a mostrare i propri moduli di consenso. Ma quando scompare il “freno di piattaforma”, gli stessi moduli spesso deviano la scelta.

Antitrust contro privacy

EPIC (Electronic Privacy Information Center) ha messo in guardia proprio su questo punto: con la scusa della concorrenza si rischiano di abbassare le barriere al tracciamento, limitando le tutele. Le minacce per la sicurezza relative alle periferiche e di cui abbiamo parlato, per esempio, non sono sempre state bloccate. Le tutele sono cresciute gradualmente. Da questo punto di vista, il caso di Apple fa riflettere su due aspetti.

Il primo è che se i diritti non sono riconosciuti a norma di legge, non sono realmente ottenuti. Per esempio: una VPN potrà darci un vantaggio, un sistema operativo potrà darci una funzione come l’ATT, una corporation come WhatsApp potrà avvisarci di essere soggetti ad attacchi da parte di attori statali, ma questi sono da viversi come “regali temporanei”. Ci vengono fatti perché la percezione di sicurezza degli utenti conta di più della loro effettiva inattaccabilità.

Chissà cosa succederebbe se l’antitrust sancisse che gli sviluppatori di terze parti possono avere la libertà di accedere anche alle periferiche del sistema, senza subire i vincoli del sistema operativo. Sarebbe naturalmente un disastro, ma quantomeno solleverebbe pressioni, perplessità, critiche. Invece, relegare questa scelta a una lotta tra corporation rischia di non rendere giustizia alle vittime di tutto questo: gli utenti.

Grande assente nelle carte è infatti una domanda: che cosa vogliono le persone? Come detto, al netto delle dispute tra piattaforme e ad-tech, ATT piace agli utenti iOS e una larga maggioranza di utenti Android ha detto di volere “qualcosa di simile” sui propri telefoni. Un maxi-sondaggio svolto da Android Authority con oltre 35 mila voti (per quanto privo di valore statistico) ha concluso che “la stragrande maggioranza vuole anche su Android una funzione anti-tracking come quella di Apple”. Ma questo in fondo già lo sapevamo, ognuno di noi,  quando messo davvero di fronte a una scelta chiara, tende a dire di no al tracciamento. Usare l’antitrust per rimuovere ATT non darebbe più libertà agli sviluppatori, ma solo più libertà d’azione ai dark pattern.

Nel corso dell’ultimo decennio Internet, i social media e – non da ultima – l’intelligenza artificiale hanno profondamente cambiato il nostro rapporto con la morte. Il sogno dell’immortalità, che ha ossessionato per secoli studiosi di ogni genere, oggi sembra essere in qualche modo diventato realtà. Senza che ce ne accorgessimo, la tecnologia ha creato per ognuno di noi una “vita dopo la morte”: una dimensione digitale in cui i nostri account social e di posta elettronica, blog, dati personali e beni digitali continuano a esistere anche dopo la nostra dipartita, rendendo di fatto la nostra identità eterna.

Questo, da un lato, ha aumentato la possibilità per le persone che subiscono un lutto di sentirsi nuovamente vicine al defunto, tuffandosi negli album digitali delle sue foto, rileggendo quello che ha scritto sulla sua bacheca di Facebook e ascoltando le sue playlist preferite su Spotify. 

“Può consentire anche di mantenere un dialogo con l’alter ego digitale della persona cara defunta, che, attraverso algoritmi di deep fake, può arrivare a simulare una videochiamata, mimando la voce e le sembianze del defunto; a inviare messaggi e email, utilizzando come dati di addestramento le comunicazioni scambiate durante la vita analogica”, osserva Stefania Stefanelli, professoressa ordinaria di Diritto privato all’Università degli studi di Perugia. 

Dall’altro, rende però i dati personali delle persone scomparse un tesoretto alla mercé dei criminali informatici, che possono violarne facilmente gli account, utilizzarne le immagini in modo illecito e usarne le informazioni per creare cloni digitali o deepfake, mettendo a rischio la sicurezza loro e dei loro cari. Un pericolo da non sottovalutare, come anche l’eventualità che la persona non gradisca che gli sopravviva un alter ego virtuale, alimentato coi propri dati personali. Ma come fare, allora, per proteggere la propria eredità digitale? A chi affidarla? E come?

Eredità digitale: cos’è e a chi spetta di diritto

Oggi più che mai ci troviamo a esistere allo stesso tempo in due dimensioni parallele, una fisica e una digitale. Questo, come riferisce il Consiglio Nazionale del Notariato (CNN), ha portato a un ampliamento dei “confini di ciò che possiamo definire eredità”, che sono arrivati a “comprendere altro in aggiunta ai più canonici immobili, conti bancari, manoscritti o ai beni preziosi contenuti nelle cassette di sicurezza”. 

Si parla, allora, di eredità digitale, definita dal CNN come un insieme di risorse offline e online. Della prima categoria fanno parte i file, i software e i documenti informatici creati e/o acquistati dalla persona defunta, i domini associati ai siti web e i blog, a prescindere dal supporto fisico (per esempio, gli hard disk) o virtuale (come può essere il cloud di Google Drive) di memorizzazione. La seconda categoria, invece, include le criptovalute e “tutte quelle risorse che si vengono a creare attraverso i vari tipi di account, siano essi di posta elettronica, di social network, account di natura finanziaria, di e-commerce o di pagamento elettronico”. Rimangono esclusi i beni digitali piratati, alcuni contenuti concessi in licenza personale e non trasferibile, gli account di firma elettronica, gli account di identità digitale e le password.

Chiarito in cosa consiste l’eredità digitale, a questo punto viene da chiedersi: a chi saranno affidati tutti questi beni quando la persona a cui si riferiscono non ci sarà più? Rispondere a questa domanda è più difficile di quanto si possa immaginare. Allo stato attuale non esiste infatti in Italia una legge organica, il che crea negli utenti – siano essi le persone a cui i dati si riferiscono o i parenti di un defunto che si ritrovano a gestire la sua identità in rete – un’enorme confusione sulla gestione dei dati. 

Nonostante si tratti di un tema particolarmente urgente, finora è stato trattato soltanto dal Codice della Privacy, che prevede “che i diritti […] relativi ai dati di persone decedute possano essere esercitati da chi abbia un interesse proprio o agisca a tutela dell’interessato (su suo mandato) o per ragioni familiari meritevoli di protezione”. Un diritto che non risulta esercitabile soltanto nel caso in cui “l’interessato, quando era in vita, lo abbia espressamente vietato”.

Di recente, poi, il Consiglio Nazionale del Notariato è tornato sul tema, sottolineando l’importanza di “pianificare il passaggio dell’eredità digitale”, considerando che “molto spesso le società che danno accesso a servizi, spazi e piattaforme sulla rete internet hanno la propria sede al di fuori del territorio dello Stato e dell’Europa”: in assenza di disposizioni specifiche sull’eredità dei beni digitali, infatti, chiunque cerchi di accedere ai dati di una persona defunta rischia di “incorrere in costose e imprevedibili controversie internazionali”.

Per evitare che questo accada, è possibile investire una persona di fiducia di un mandato post mortem, “ammesso dal nostro diritto per dati e risorse digitali con valore affettivo, familiare e morale”. In termini legali, si tratta di un contratto attraverso cui un soggetto (mandante) incarica un altro soggetto (mandatario) di eseguire compiti specifici dopo la sua morte, come l’organizzazione del funerale, la consegna di un oggetto e, nel caso delle questioni digitali, la disattivazione di profili social o la cancellazione di un account. In alternativa, “si può disporre dei propri diritti e interessi digitali tramite testamento”, al pari di quanto già accade per i beni immobili, i conti bancari e tutto il resto. 

In questo modo, in attesa di una legislazione vera e propria sul tema, sarà possibile lasciare ai posteri un elenco dettagliato dei propri beni e account digitali, password incluse, oltre alle volontà circa la loro archiviazione o cancellazione. “Ai sensi di questa disposizione, si può anche trasmettere a chi gestisce i propri dati una  dichiarazione, nella quale si comunica la propria intenzione circa il destino, dopo la propria morte, di tali dati: la cancellazione totale o parziale, la comunicazione, in tutto o in parte, a soggetti determinati, l’anonimizzazione ecc. Si parla in questi termini di testamento digitale, anche se in senso ‘atecnico’, in quanto la dichiarazione non riveste le forme del testamento, sebbene sia anch’essa revocabile fino all’ultimo istante di vita, e non contiene disposizioni patrimoniali in senso stretto”, prosegue la professoressa Stefanelli.

Eredità e piattaforme digitali: cosa succede agli account delle persone defunte?

Come anticipato, allo stato attuale non esiste una legge che regolamenta l’eredità digitale, né in Italia né in Europa. Pertanto, nel corso degli ultimi anni le piattaforme di social media e i grandi fornitori di servizi digitali si sono organizzati per garantire una corretta gestione degli account di persone scomparse, così da evitare di trasformarsi in veri e propri cimiteri digitali. 

Già da qualche anno, per esempio, Facebook consente agli utenti di nominare un contatto erede, ossia un soggetto che avrà il potere di scegliere se eliminare definitivamente l’account della persona scomparsa o trasformarlo in un profilo commemorativo, dove rimarranno visibili i contenuti che ha condiviso sulla piattaforma nel corso della sua vita. 

Al pari di Facebook, anche Instagram consente ai parenti di un defunto di richiedere la rimozione del suo account o di trasformarlo in un account commemorativo. In entrambi i casi, però, sarà necessario presentare un certificato che attesti la veridicità del decesso della persona in questione o un documento legale che dimostri che la richiesta arriva da un esecutore delle sue volontà. 

TikTok, invece, è rimasto per molto tempo lontano dalla questione dell’eredità digitale. Soltanto lo scorso anno la piattaforma ha introdotto la possibilità di trasformare l’account di una persona defunta in un profilo commemorativo, previa la presentazione di documenti che attestino il suo decesso e un legame di parentela con l’utente che sta avanzando la richiesta. In alternativa, al pari di quanto accade per Facebook e Instagram, è possibile richiedere l’eliminazione definitiva dell’account del defunto. 

Ma non sono solo le piattaforme social a pensare al futuro dei propri utenti. Dal 2021, Apple consente agli utenti di aggiungere un contatto erede, così da permettere a una persona di fiducia di accedere ai dati archiviati nell’Apple Account, o “di eliminare l’Apple Account e i dati con esso archiviati”. Google, invece, offre agli utenti uno strumento avanzato per la gestione dei dati di una persona scomparsa. La “gestione account inattivo” consente infatti di “designare una terza parte, ad esempio un parente stretto, affinché riceva determinati dati dell’account in caso di morte o inattività dell’utente”. 

Più nel dettaglio, la piattaforma permette di “selezionare fino a 10 persone che riceveranno questi dati e scegliere di condividere tutti i tipi di dati o solo alcuni tipi specifici”, oltre alla possibilità di indicare il periodo di tempo dopo il quale un account può davvero essere considerato inattivo. Nel caso in cui un utente non configuri “Gestione account inattivo”, Google si riserva il diritto di eliminare l’account nel caso in cui rimanga inattivo per più di due anni.

Eredità digitale e deadbot: un rischio per la sicurezza?

Anche l’avvento dei sistemi di intelligenza artificiale generativa ha contribuito a cambiare il nostro rapporto con la morte. E le aziende che li sviluppano si sono spinte fino a cercare una soluzione pratica al dolore causato dalla scomparsa di una persona cara. Basti pensare alla rapida diffusione dei deadbot, ovvero dei chatbot che permettono ad amici e familiari di conversare con una persona defunta, simulandone la personalità. Uno strumento che, da un lato, può rivelarsi utile ai fini dell’elaborazione del lutto, ma dall’altro rappresenta un rischio notevole per la privacy e la sicurezza degli individui. 

Per permettere all’AI di interagire con un utente come farebbe una persona scomparsa, questa ha bisogno di attingere a una quantità notevole di informazioni legate alla sua identità digitale: account social, playlist preferite, registro degli acquisti da un e-commerce, messaggi privati, app di terze parti e molto altro ancora. Un uso smodato di dati sensibili che, allo stato attuale, non è regolamentato in alcun modo. 

E questo, al pari di quanto accade con l’eredità digitale, rappresenta un problema non indifferente per la sicurezza: come riferisce uno studio condotto dai ricercatori dell’Università di Torino, quando i dati del defunto non sono “sufficienti o adeguati per sviluppare un indice di personalità, vengono spesso integrati con dati raccolti tramite crowdsourcing per colmare eventuali lacune”. Così facendo, “il sistema può dedurre da questo dataset eterogeneo aspetti della personalità che non corrispondono o non rispondono pienamente agli attributi comportamentali della persona”. In questo caso, i deadbot “finiscono per dire cose che una persona non avrebbe mai detto e forniscono agli utenti conversazioni strane, che possono causare uno stress emotivo paragonabile a quello di rivivere la perdita”. Non sarebbe, quindi, solo la privacy dei defunti a essere in pericolo, ma anche la sicurezza dei loro cari ancora in vita. 

Pur non esistendo una legislazione specifica sul tema, l’AI Act dell’Unione Europea – una delle normative più avanzate sul tema – fornisce alcune disposizioni utili sulla questione, vietando “l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che utilizza tecniche subliminali che agiscono senza che una persona ne sia consapevole” e anche “l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che sfrutta le vulnerabilità di una persona fisica o di uno specifico gruppo di persone (…), con l’obiettivo o l’effetto di distorcere materialmente il comportamento di tale persona”. 

Due indicazioni che, di fatto, dovrebbero proibire l’immissione dei deadbot nel mercato europeo, ma che non forniscono alcuna soluzione utile alla questione della protezione dei dati personali di una persona defunta, che rimane ancora irrisolta. Nel sistema giuridico europeo la legislazione sulla protezione dei dati non affronta esplicitamente né il diritto alla privacy né le questioni relative alla protezione dei dati delle persone decedute. 

Il Regolamento Generale sulla Protezione dei Dati (GDPR), infatti, “non si applica ai dati personali delle persone decedute”, anche se “gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”. Una scelta considerata “coerente con il principio tradizionale secondo cui le decisioni di politica legislativa che incidono sul diritto di famiglia e successorio, in quanto settori caratterizzati da valori nazionali strettamente correlati alle tradizioni e alla cultura della comunità statale di riferimento, esulano dalla competenza normativa dell’Unione europea”. 

Non esistendo una legislazione valida a livello europeo, i governi nazionali hanno adottato approcci diversi alla questione. La maggior parte delle leggi europee sulla privacy, però, sostiene un approccio basato sulla “libertà dei dati”: paesi come Belgio, Austria, Finlandia, Francia, Svezia, Irlanda, Cipro, Paesi Bassi e Regno Unito, quindi, escludono che le persone decedute possano avere diritto alla privacy dei dati, sostenendo che i diritti relativi alla protezione dell’identità e della dignità degli individui si estinguono con la loro morte. 

Secondo questa interpretazione, le aziende tech potrebbero usare liberamente i dati delle persone decedute per addestrare un chatbot. Fortunatamente non è proprio così, considerando che in questi paesi entrano in gioco il reato di diffamazione, il diritto al proprio nome e alla propria immagine, o il diritto alla riservatezza della corrispondenza. Al contrario, invece, paesi come l’Estonia e la Danimarca prevedono che il GDPR si applichi anche alle persone decedute, a cui garantiscono una protezione giuridica per un limite preciso di tempo (10 anni dopo la morte in Danimarca, e 30 in Estonia). E così anche Italia e Spagna, che garantiscono una protezione dei dati dei defunti per un tempo illimitato. 

Pur mancando una legislazione europea uniforme, il GDPR lascia agli Stati membri la facoltà di regolare il trattamento dei dati personali delle persone defunte, e questo comporta differenze, anche sostanziali, delle legislazioni nazionali. Con l’avvento dell’AI e gli sviluppi rapidi che questa comporta, però, diventa sempre più necessario stilare una normativa chiara, precisa e uniforme sulla questione. Così da rispettare non solo la privacy dei nostri cari, ma anche il dolore per la loro perdita.