A fine anno, il 15 dicembre 2017, la Commission National informatique et libertés (CNIL), ha presentato un rapporto dal titolo significativo: “Comment permettre à l’homme de garder la main?” Come permettere all’uomo di mantenere la supremazia.
Il documento è la sintesi di un dibattito che, sulla base della missione affidatale dalla Loi numerique del 2016, l’Autorità francese per la protezione dei dati personali ha organizzato in tutto il Paese sulla sfida etica che algoritmi e Intelligenza artificiale pongono agli esseri umani. Nel corso del 2017 si sono svolte 45 diverse manifestazioni, di cui 27 a Parigi, 14 in provincia e 4 nei territori oltre mare, con la partecipazione di più di 3000 persone oltre che di un numero impressionante di partner pubblici e privati.
Come spiega la Presidente della CNIL nella presentazione, lo scopo è stato quello di mettere in luce le sfide che l’Intelligenza artificiale, e gli algoritmi che essa usa, comportano per le nostre società, anche al fine di predisporre misure adeguate per controllare il fenomeno, incanalandolo in un alveo che consenta di svilupparne le potenzialità senza mettere a rischio le libertà e i diritti fondamentali delle persone e la convivenza sociale.
Una ricerca analoga, anche se con una minore partecipazione di esterni, è stata presentata nel marzo 2017 dall’ Information Commissioner’s Office (ICO), l’Autorità inglese per la protezione dei dati personali. Il rapporto, che è stato anche premiato come il miglior lavoro dell’anno in materia di tutela dei dati personali alla Conferenza Internazionale di Honk Kong, si intitola Big Data, artificial intelligence, machine learning and data protection.
Tutte e due le iniziative muovono dalla convinzione che, quali che siano i benefici che l’Intelligenza artificiale può apportare all’umanità, nulla può giustificare che si mettano a rischio i valori fondanti delle nostre società e la tutela delle libertà e dei diritti. Una tutela che, nella realtà digitale, ha uno dei suoi punti focali nella protezione dei dati personali.
I due documenti però, pur seguendo uno stesso filo rosso, differiscono per ampiezza e modalità di analisi. Mentre quello inglese prende in esame tutti i diversi passaggi della “catena” di trattamenti propri dell’Intelligenza artificiale, dalla raccolta dei dati, al loro trattamento con tecniche Big data, fino agli algoritmi che rendono le macchine capaci di apprendere, quello francese si concentra sul tema degli algoritmi, visti come l’essenza del modo di operare dell’Intelligenza artificiale.
Il rapporto CNIL parte dalla premessa che l’Intelligenza artificiale consiste essenzialmente, almeno nel dibattito pubblico, in una nuova tipologia di algoritmi, caratterizzati dal fatto di utilizzare tecniche di apprendimento sviluppate dalla macchina stessa, grazie alla sua capacità di imparare dai dati messi a sua disposizione dai programmatori. Questi algoritmi possono raggiungere obiettivi e risultati impossibili per gli algoritmi classici di tipo deterministico, quali ad esempio riconoscere un oggetto analizzando una amplissima serie di immagini. Ma quello che per la CNIL è più importante è che le modalità con le quali la macchina apprende sono spesso incomprensibili anche per coloro che l’hanno costruita e programmata. Secondo il rapporto le modalità di sviluppo dell’Intelligenza artificiale hanno un elevato grado di opacità sia rispetto ai trattamenti dei dati che la macchina utilizza che alle decisioni che può prendere. Proprio l’esistenza di questa zona di opacità costituisce il punto centrale della relazione tra Intelligenza artificiale, protezione dei dati personali e tutela delle libertà e dei diritti fondamentali.
E’ indubbio che la tutela dei dati personali sia coinvolta in modo pesante tanto dalla tecnologia dei Big data quanto dall’uso di algoritmi legati al machine learning, entrambi alla base di ogni applicazione di Intelligenza artificiale.
Dal diritto a sapere chi sta trattando dati che riguardano una persona fisica, a quello di poter chiedere la cessazione dei trattamenti o almeno di conoscere le modalità automatizzate utilizzate e le finalità perseguite, fino alla portabilità dei dati, quasi tutti i diritti che la protezione dei dati personali riconosce agli interessati sono a rischio.
Lo stesso ruolo delle Autorità di controllo relativo alla verifica del rispetto dei doveri che il GDPR impone a chi tratta dati altrui rischia di essere vanificato. Si pensi alla catena dei trattamenti che, nell’ambito della IA, si svolgono secondo modalità che rendono difficile individuare i titolari delle diverse fasi e le relative responsabilità. Una difficoltà che diventa, anche dal punto di vista giuridico, ancora maggiore quando la fase finale è affidata a una macchina che autoapprende grazie agli algoritmi di nuova generazione e, sulla base di quanto appreso, decide come raggiungere lo scopo ultimo per il quale è stata programmata.
Proprio questi, del resto, sono i temi che più coinvolgono oggi le Autorità di protezione dei dati personali e che richiedono una lettura aperta e molto sofisticata della nuova normativa basata sul GDPR.
Tuttavia il rapporto della CNIL non si limita ad affrontare questi aspetti. Esso va direttamente al cuore del problema e identifica i rischi elevatissimi che vi sono non solo per la tutela dei dati personali ma per le nostre stesse società.
Il primo, e più grande, rischio è che lo svilupparsi di queste tecnologie possa indurre gli esseri umani a delegare alle macchine decisioni sempre più rilevanti per la loro vita. E’ in gioco, dice giustamente la CNIL, il bene più prezioso dell’essere umano, e cioè il suo libero arbitrio. Inoltre, continua il rapporto, esiste il pericolo che in futuro si scarichi sempre più sulle macchine la fatica di giudicare e di decidere. In una parola il rischio di assumersi le proprie responsabilità.
Vi sono anche altri aspetti, non meno inquietanti: che le macchine, per pregiudizi (bias) legati alla loro programmazione e quindi alla stessa modalità di apprendere, operino discriminazioni basate su elementi inammissibili per la nostra civiltà, quali il sesso, la razza, la religione; che esse, condizionando, come già in gran parte avviene, l’informazione e la comunicazione pubblica, colpiscano al cuore il pluralismo culturale e politico delle nostre democrazie; che, dovendo esse far uso di una enorme quantità di informazioni, non sia possibile garantire adeguatamente la qualità dei dati trattati, aumentando così la possibilità che le decisioni siano assunte dalle macchine sulla base di dati “sbagliati”, “inesatti”, “viziati da bias”.
Infine non può essere ignorato il rischio che in un futuro non lontano le macchine, anche attraverso lo sviluppo di algoritmi emozionali, capaci cioè di analizzare le emozioni degli umani, possano sviluppare nelle persone forme di dipendenza emotiva, condizionandole anche nei comportamenti affettivi.
Insomma, il panorama delineato dalla CNIL, attraverso un dibattito pubblico durato un anno e che ha coinvolto un numero elevato di cittadini, di esperti e di imprese, oltre che di autorità pubbliche anche di altri Paesi, ha il pregio di mettere a fuoco gran parte dei rischi e dei problemi che uno sviluppo dell’Intelligenza artificiale senza controllo e senza regole presenta per gli esseri umani.
Il quadro che ne emerge non è per nulla distopico. Al contrario è molto realistico e concreto, come ben sanno tutti quelli che si occupano di questi temi e come il rapporto dell’ICO conferma.
Le risposte che la CNIL dà ai problemi sollevati sono molto interessanti.
Due sono i principi fondamentali assunti come base per tutelare i diritti e le libertà dei cittadini, senza peraltro impedire che queste tecnologie si sviluppino e possano dare all’umanità i grandi benefici promessi.
Il primo è il principio di “lealtà” (loyauté), che la CNIL traduce nel dovere per tutti coloro che sono protagonisti di questa rivoluzione, a partire dalle piattaforme, dai programmatori e dai Data scientyst, di essere “leali” verso la loro comunità di appartenenza e quindi di porla al riparo dai rischi che essa può correre, indipendentemente dal fatto che i dati trattati siano o no personali.
Il secondo principio, di carattere metodologico, è quello di “vigilanza” (vigilance).
Questo principio invita a vigilare sugli effetti dell’apprendimento delle macchine e impone di non nascondersi dietro la dissoluzione delle responsabilità che la “catena lunga” tipica di processi di IA, potrebbe consentire agli operatori, coinvolti nelle diverse fasi, di invocare.
Di qui due punti fermi: il primo, che si debba garantire (come anche il GDPR vuole) che su ogni processo decisionale basato su algoritmi sia sempre possibile l’intervento umano; il secondo, che si garantisca la conoscibilità dei sistemi algoritmici e sia sempre possibile individuare a chi risale la responsabilità delle varie fasi e soprattutto quella della programmazione.
Nel rapporto vi sono inoltre alcune raccomandazioni specifiche che riguardano le modalità etiche con le quali deve essere costituita la catena algoritmica; la comprensibilità degli algoritmi o almeno della loro logica; la necessità di disegnare sistemi che siano “au service de l’humanitè”; l’impegno a rinforzare la responsabilità etica delle imprese.
Infine la CNIL formula tre ulteriori raccomandazioni, tutte molto “francesi”.
La prima è quella di costituire una piattaforma nazionale di audit degli algoritmi, nella quale dovrebbero confluire, ai fini del controllo della conoscibilità, tutti gli algoritmi utilizzati.
A tal fine questa piattaforma o, se si preferisce, questa Autorità, dovrebbe essere dotata “d’un corp publique d’ experts des algorithmes”, in grado anche di dare indicazioni su come correggere gli effetti negativi o gli eventuali bias rilevati.
La seconda raccomandazione riguarda la spinta ad incoraggiare la ricerca francese in materia di IA in modo da “faire de la France le leader de l’IA éthique”.
Infine, la CNIL raccomanda una azione pubblica per incentivare l’attenzione delle imprese agli aspetti etici della loro attività. A tale scopo suggerisce, anche in conformità a quanto prevede il GDPR rispetto ai dati personali, la possibilità di concedere un label o sigillo alle imprese e alle amministrazioni più attente all’etica dei trattamenti posti in essere con modalità IA.
Il rapporto contiene molte indicazioni e suggestioni, assai utili per chi debba interpretare e applicare il GDPR in modo dinamico, avendo a fronte i problemi del presente e del futuro. Esso inoltre aiuta ad evitare che, come troppo spesso si fa in Italia, si rimesti sempre l’acqua nel mortaio, immaginando che tutto cambi nella forma ma nulla nella sostanza, secondo la nota formula del Gattopardo.
La realtà è molto diversa. Tutto sta mutando intorno a noi e questo ci riguarda nel profondo, perché coinvolge non solo i nostri dati ma soprattutto la nostra vita e quella della comunità.
Il rapporto francese, con tutti i pregi e i limiti del modo di pensare cartesiano, tipico di quella cultura, è un contributo importantissimo per capire quanto accade.
E’ molto importante che anche gli italiani affrontino la realtà, a partire da un’applicazione del GDPR che non sia fatta, come sta accadendo, “a marcia indietro”, cercando di modificare il meno possibile usi e abitudini, ma guardando avanti per cogliere, insieme alle altre grandi Autorità europee e ai Paesi più avanzati, le sfide del presente e del futuro.