I dati che riguardano una persona appartengono a quella persona -- giuridicamente, non solo moralmente.
Ogni utilizzo commerciale di dati personali da parte di sistemi di IA richiede un consenso attivo e revocabile. La vendita senza consenso deve essere punibile penalmente.
I grandi modelli di IA -- GPT-4, Gemini, Claude, Llama -- sono stati addestrati con miliardi di testi, immagini e video. Una parte considerevole di questi dati di addestramento proviene da Internet: post nei forum, articoli di blog, foto, commenti -- scritti da persone che non hanno mai acconsentito a che le loro parole servissero da materiale di addestramento per un modello linguistico [1].
Shoshana Zuboff ha descritto questo modello come capitalismo della sorveglianza: l'esperienza umana viene estratta come materia prima gratuita e trasformata in previsioni comportamentali commerciate sui mercati predittivi [2].
La nuova legge svizzera sulla protezione dei dati (nLPD), in vigore dal 1° settembre 2023, rafforza i diritti degli interessati. Richiede trasparenza, vincolo di scopo e proporzionalità [3]. Tuttavia:
Il cambio di paradigma: i dati che identificano o riguardano una persona non sono solo meritevoli di protezione -- appartengono a quella persona. Come una casa appartiene al proprietario, così i dati biometrici, i dati sanitari, i profili di movimento e le tracce digitali appartengono alla persona che li genera.
Non più «Opt-out» (devi opporti attivamente), ma «Opt-in» (devi acconsentire attivamente). Ogni utilizzo commerciale richiede un consenso separato e comprensibile -- non nascosto in CGC di 40 pagine, ma in linguaggio chiaro, con indicazione concreta dello scopo d'utilizzo.
Se qualcuno vende la tua casa senza il tuo consenso è una frode. Se qualcuno vende i tuoi dati senza il tuo consenso oggi è... legale. Questa asimmetria deve finire. La vendita di dati personali senza consenso esplicito e revocabile deve essere ancorata come fattispecie penale nel Codice penale.
Il Regolamento generale sulla protezione dei dati dell'UE (RGPD) ha fissato standard dal 2018: diritto all'oblio, portabilità dei dati, sanzioni elevate [5]. La nLPD svizzera vi si ispira, ma resta più debole nell'applicazione.
L'EU AI Act integra: i sistemi di IA devono documentare quali dati di addestramento sono stati utilizzati -- un primo passo verso la trasparenza, ma non ancora verso la proprietà [6].
[1] Bender, Emily et al.: On the Dangers of Stochastic Parrots. FAccT 2021.
[2] Zuboff, Shoshana: The Age of Surveillance Capitalism. PublicAffairs, 2019.
[3] Nuova legge svizzera sulla protezione dei dati (nLPD), in vigore dal 1° settembre 2023.
[5] RGPD UE, Regolamento UE 2016/679.
[6] EU AI Act, Regolamento UE 2024/1689, art. 10 (dati e governance dei dati).