Normative europee

Intelligenza artificiale e GDPR: alla ricerca di una armonizzazione

A quasi un anno dalla pubblicazione da parte della Comunità europea della proposta di regolamentazione dell’intelligenza artificiale “Artificial Intelligence ACT”, il Parlamento europeo sta cercando di districarsi sulla definizione dei sistemi di intelligenza artificiale e per l’attribuzione della responsabilità sia del produttore sia del fornitore

Pubblicato il 19 Apr 2022

Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant//BCI Cyber Resilience Committee Member/CLUSIT Scientific Committee Member/BeDisruptive Training Center Director/ENIA - Comitato Scientifico

AI gdpr

È trascorso quasi un anno dalla pubblicazione da parte della Comunità europea della proposta di regolamentazione dell’intelligenza artificiale (i.e. Artificial Intelligence ACT – AIA), implica complessità tecniche, politiche e giuridiche a loro volta causa di rallentamenti nel processo di promulgazione. Nel frattempo, altri Paesi quali Cina e Brasile hanno provveduto a emanare leggi a riguardo, battendo sui tempi il vecchio continente che sembra alle prese con numerose discussioni soprattutto in termini di trattamento dei dati e potenziali implicazioni per le organizzazioni. Quando si discute delle politiche sull’intelligenza artificiale, risulta inevitabile parlare del GDPR, considerando che i dati sono l’ingrediente chiave per le applicazioni di questa tecnologia.

A che punto siamo con l’Artificial Intelligence Act (AIA)

Il Parlamento europeo sta cercando di districarsi, oltre che sulla definizione dei sistemi di intelligenza artificiale, anche per l’attribuzione della responsabilità sia del produttore sia del fornitore. Inoltre, l’uso dei sistemi di riconoscimento biometrico è stato ampiamente al centro del dibattito pubblico e i legislatori hanno ritenuto opportuno considerarne il divieto completo – facendo eco alle obiezioni della società civile che ritiene che le eccezioni riferite ad attacchi terroristici e rapimenti forniscono un pericoloso “pretesto” – nonostante, queste tecnologie si stiano diffondendo sempre di più in Europa e molti governi – ad eccezione della Germania che ne richiede il divieto totale- stiano considerando la loro adozione per i controlli alle frontiere.

Lo scenario, sempre più caratterizzato da un processo accelerato di digitalizzazione e innovazione, comporta da un lato la corsa all’innovazione e la necessità di regolamentare l’intelligenza artificiale e, dall’altro lato, un atteggiamento di protezione dei consumatori in termini di utilizzo dei dati personali dal momento che alcuni principi fondamentali del GDPR confluiscono nel regolamento proposto.

AI GDPR

GDPR e Artificial Intelligence Act (AIA)

Di seguito alcuni articoli del GDPR che hanno un impatto sulla regolamentazione delle tecnologie basate sull’intelligenza artificiale, e precisamente:

  • Articolo 5 – principi di protezione dei dati, ovvero: liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione dei dati, accuratezza e limitazione della conservazione/conservazione
  • Articoli 6, 9 e 10 – liceità del trattamento
  • Articoli 12, 13 e 15 – trasparenza del trattamento
  • Articolo 22 – diritti relativi al processo decisionale esclusivamente automatizzato (e altri diritti dell’interessato)
  • Articolo 25 – protezione dei dati fin dalla progettazione e per impostazione predefinita
  • Articolo 32 – garanzia che i sistemi di AI mantengano al sicuro i dati al loro interno
  • Articolo 35 – valutazioni d’impatto sulla protezione dei dati
  • Articolo 36 – consultazione preventiva

Ovviamente la “confluenza” tra GDPR e AIA solleva problemi di carattere politico, come accennato, considerando il fatto che: la Comunità europea mira a diventare un leader globale nell’adozione dell’intelligenza artificiale anche; i dati personali elaborati utilizzando l’intelligenza artificiale, devono essere trattati in conformità al GDPR, non senza sfide tecniche, legali ed etiche soprattutto nel caso in cui i risultati prodotti dalle macchine (come negli esseri umani) potrebbero essere distorti da pregiudizi intrinsechi i set di dati di machine learning raccolti in paesi terzi potrebbero utilizzare i dati raccolti tramite pratiche in contrasto con il GDPR. Pertanto, si tratta di arrivare a adottare uno standard di settore che possa in qualche modo garantire una maggiore conformità, chiarezza giuridica e fiducia da parte dei consumatori, riducendo al minimo i rischi.

Le principali sfide del GDPR

Le principali difficoltà di applicazione dell’AIA consistono nella gestione di alcune sfide legate alla conformità del GDPR e, precisamente:

  • Trasparenza

Fornire alle persone informazioni chiare su come i loro dati personali vengono elaborati utilizzando l’intelligenza artificiale e valutando il potenziale impatto che ciò possa avere sulla loro privacy. Ovvero le persone devono sapere quando i loro dati vengono raccolti e come vengono elaborati, incluso il modo in cui vengono prese le decisioni su di loro e se sono in essere controlli per garantire che funzionino correttamente. Di fatto, se i dati personali vengono elaborati con mezzi automatizzati, il GDPR conferisce agli interessati ulteriori diritti, ad esempio per conoscere questo trattamento ai sensi dell’articolo 14, paragrafo 2, lettera g), del GDPR e il diritto di opporsi a questa forma di trattamento in alcune circostanze ai sensi degli articoli 21 e 22 del GDPR. I fornitori di soluzioni di intelligenza artificiale spesso vogliono vendere tali soluzioni su una base di “scatola nera” e sono spesso riluttanti a essere specifici su come stanno usando l’intelligenza artificiale, l’algoritmo che stanno utilizzando e i criteri per qualsiasi decisione, in quanto lo vedono come la base del loro successo commerciale.

Allo stesso modo, chiunque acquisti tali servizi solitamente vuole conoscere questi dettagli per considerare l’impatto di conformità di una soluzione di intelligenza artificiale e garantire che gli obblighi di trasparenza dell’organizzazione ai sensi del GDPR possano essere soddisfatti.

  • Minimizzazione dei dati

Le organizzazioni devono ridurre al minimo la quantità di dati che raccolgono ed elaborano in contrasto con la necessità dell’intelligenza artificiale di processare enormi set di dati.

  • Anonimizzazione e pseudo-anonimizzazione

Questi aspetti hanno un ruolo importante da svolgere nel ridurre la quantità di dati identificabili raccolti e utilizzati. I dati anonimizzati non sono “dati personali” all’interno della definizione GDPR. Tuttavia, la pseudo-anonimizzazione è solo una tecnica di sicurezza, il che significa che i dati pseudo-anonimizzati sono ancora dati personali e, come tali, si applicano ad essi le regole GDPR.

  • Pregiudizi

Si tratta di fattori che possano indurre a decisioni sbagliate o discriminatorie. Ciò è particolarmente vero quando il risultato si basa sull’utilizzo di caratteristiche di dati di categoria speciali (i.e. predittori) come razza, etnia o genere. Inoltre, il risultato di un sistema può essere discriminatorio se colpisce in modo sproporzionato alcuni gruppi senza una ragione sostenibile.

  • Processo decisionale esclusivamente automatizzato

L’impiego dell’intelligenza artificiale nel processo decisionale riguardante gli individui, può implicare problematiche in termini di equità e discriminazioni. Pertanto, la soluzione migliore consisterebbe nell’integrare giudizi umani e automatizzati, consentendo alle persone interessate di richiedere una revisione umana di una decisione automatizzata, nonché favorendo la trasparenza e sviluppando metodi e tecnologie che consentano agli esperti umani di analizzare e rivedere il processo decisionale automatizzato. Ne consegue che la sfida futura consisterà nel trovare la migliore media res tra l’intelligenza umana e quella automatizzata, tenendo conto delle capacità e dei limiti di entrambi.

Gli audit algoritmici potrebbero essere impiegati per identificare i fattori che influenzano una decisione algoritmica ed eliminare, così, i pregiudizi nei sistemi di intelligenza artificiale. Inoltre, sarebbe auspicabile contemplare misure di governance, quali: la creazione di comitati etici per evidenziare le aree di potenziali preoccupazioni etiche e per suggerire possibili risoluzioni; la consultazione con le parti interessate, comprese quelle a rischio di essere influenzate negativamente da un sistema di intelligenza artificiale.

AI GDPR

Conclusioni

Il dibattito sul contenuto dell’atto è ancora in corso e permane molta incertezza su come verranno applicate le regole dell’AIA. Inoltre, se approvate, queste nuove regole potrebbero richiedere del tempo per entrare in vigore. Basti considerare quanto accaduto con il GDPR: le recenti multe ad Amazon (746 milioni di euro) e WhatsApp (225 milioni di euro) per violazioni della privacy, a dimostrazione della volontà dell’UE di utilizzare i suoi poteri normativi, sono state inflitte quasi due anni dopo l’attuazione e quattro anni dopo il passaggio del GDPR. Pertanto, si ritiene che, se l’AIA seguisse una tale tempistica, potrebbero volerci anni prima di mettere atto una supervisione significativa.

Ci si auspica che l’applicazione di normative sull’intelligenza artificiale simili da parte di più governi (così come sta accadendo per il GDPR) possa aumentare le probabilità di evitare risvolti negativi da parte delle imprese internazionali oltre a fornire un chiaro segnale alla società civile e alle comunità accademiche – non solo europee ma anche altrove – indirizzando le indagini e la ricerca su preoccupazioni condivise.

Ricordiamoci che la gestione della protezione dei dati costituisce un aspetto fondamentale su cui riflettere dal momento che sono la principale risorsa della nuova economia digitale e leve preziose atte a far funzionare gli algoritmi. Dati che devono “fluire” liberamente all’interno della UE e, al contempo, essere messi in sicurezza, riservatezza e protezione.

Il GDPR potrebbe sembrare incompatibile con l’intelligenza artificiale, dato che contiene principi quali limitazione delle finalità, minimizzazione dei dati, trattamento speciale dei “dati sensibili” e limitazione delle decisioni automatizzate, che andrebbero ad intaccare le proprie funzionalità principali di questa tecnologia. Tuttavia, è possibile attuare un’interpretazione del GDPR che vada a conciliare le due necessità contrastanti, ovvero: proteggere i dati personali e consentire l’utilizzo dell’intelligenza artificiale, grazie proprio all’efficace regolamentazione della privacy che si converte in leva strategica per consentire a tecnologie come l’intelligenza artificiale di aiutare a risolvere le più grandi sfide del mondo.

Pertanto, come il GDPR ha avviato la “rivoluzione” globale della privacy, l’AIA, traendo influenza e ispirazione da questo regolamento, può fungere da “catalizzatore” per avviare un processo di regolamentazione internazionale.

È doveroso ricordare che l’implementazione di discipline come il risk management, la business continuity e cybersecurity vanno a rafforzare l’approccio risk-based e resilience-base dei due regolamenti, convertendosi in leve preziose per supportare ulteriormente la realizzazione ottimistica di queste previsioni in modo tale da garantire un uso della tecnologia al servizio dei diritti, e non viceversa.

Concludendo, come affermava lo scienziato Stephen Hawking: “Il successo nella creazione di intelligenze artificiali efficaci, potrebbe essere il più grande evento nella storia della nostra civiltà, o il peggiore. Non lo sappiamo quindi non possiamo sapere se saremo infinitamente aiutati dall’intelligenza artificiale, o ignorati da essa e fiancheggiati, o presumibilmente distrutti, a meno che non impariamo a prepararci ed evitare i potenziali rischi”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati