Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

il consenso informato

Dati personali e intelligenza artificiale, quel “vuoto” normativo che ne mina l’affidabilità

E’ sul “consenso informato” che si gioca una partita cruciale per l’etica dei sistemi di AI. E l’assenza di specifiche disposizioni rischia di preparare il terreno a una potenziale lesione dei diritti fondamentali. Lo scenario aperto dal Gdpr alla luce delle nuove linee guida europee sulla Trustworthy AI

04 Giu 2019

Daniela Messina

Research Assistant at CINI - Contract Professor in Public Law and European Law


Nell’attuale panorama, c’è il rischio che i titolari dei trattamenti dei dati personali si adagino su forme di consenso standardizzate per una materia spinosa, ossia l’uso di quei dati per l’intelligenza artificiale.

Rischio che viene da una difficoltosa lettura del regolamento Gdpr su questi temi.

Ma il pericolo, su questa via, è minacciare quell’affidabilità, sicurezza e robustezza alla base delle Ethics Guidelines for Trustworthy AI indicate dalle istituzioni europee e analoghi principi sostenuti dall’Ocse per l’intelligenza artificiale.

Il problema

E sarebbe un grosso problema considerato che l’evoluzione democratica delle moderne società digitali impone la ricerca di un giusto bilanciamento tra la tutela dei diritti fondamentali sanciti nelle carte costituzionali e cristallizzati dai trattati europei a livelilo sovranazionale ed il valore economico delle informazioni personali che vengono quotidianamente trattate da piattaforme sempre più automatizzate.

Come è stato sottolineato dalla Commissione Europea in occasione della Comunicazione n. 237 del 2018[1], infatti, l’Intelligenza Artificiale (IA) non può essere più catalogata come “fantascienza”, ma è ormai parte integrante delle nostre vite. Tali sistemi capaci di analizzare l’ambiente mostrando un comportamento intelligente supportano gran parte delle nostre decisioni quotidiane, dall’organizzazione e pianificazione della giornata lavorativa, all’individuazione degli eventi in linea con i nostri interessi, fino alle decisioni relative alla cura della persona.

Le potenzialità dell’Intelligenza artificiale

Grazie alla loro straordinaria capacità di raccolta e di analisi di elevate quantità di informazioni provenienti da diverse fonti e dataset, tali strumenti sono in grado di compiere forme di profilazione sempre più raffinate, consentendo la realizzazione di prodotti e servizi personalizzati e processi lavorativi efficienti. I sistemi basati sull’IA favoriscono, inoltre, la realizzazione di città sempre più smart e contribuiscono alla ricerca di soluzioni efficaci, finalizzate a contrastare i maggiori problemi che attanagliano le moderne società: dalla lotta al cambiamento climatico all’individuazione delle più opportune misure in materia di cybersecurity, fino all’individuazione di nuove cure in ambito sanitario.

Considerata ormai la quarta rivoluzione industriale, l’implementazione di tali strumenti nonché la definizione del relativo ecosistema, impone però, come tutti i grandi passaggi epocali, una profonda riflessione sulle conseguenze che ne derivano, in termini di sostenibilità e di tutela dei diritti fondamentali relativi agli individui variamente coinvolti nell’utilizzo di tali tecnologie. La diffusione di piattaforme connesse e di intese attività di profilazione, nonché l’implementazione dell’IA e di processi decisionali automatizzati, rischia, infatti, di limitare drasticamente l’esercizio di diritti ritenuti da sempre essenziali al libero dispiegarsi delle società democratiche, quali la libertà di espressione, il pluralismo dell’informazione, l’uguaglianza nelle possibilità di partecipazione alla vita sociale, il libero determinarsi della identità personale.

La straordinaria capacità di tali strumenti di prevedere ed anticipare comportamenti con un’accuratezza senza precedenti pone sicuramente delle criticità nel nuovo panorama digitale. Potenziate dalla straordinaria rapidità evolutiva delle tecnologie, tali attività non solo rischiano di esacerbare situazioni di discriminazione e di stereotipizzazione già esistenti, ma possono ridurre le effettive possibilità di scelta a disposizione degli individui sino a condurre all’estrema conseguenza di inibire l’esercizio delle relative libertà fondamentali o di limitare l’erogazione di servizi essenziali.

Dati personali e rischi della “filter bubble”

Offrire prodotti e servizi “su misura” perché basati sulle precedenti decisioni di acquisto, anticipare i comportamenti ovvero limitare l’accesso alle sole informazioni di carattere culturale, economico, sociale, politico che sulla base di una precedente attività di profilazione risultano essere più in linea con la personalità e le ideologie di un individuo equivale a porlo all’interno di una “filter bubble”, una vera e propria bolla, sicuramente rassicurante per il soggetto, ma estremamente limitante per l’evoluzione della persona, sia come individuo, sia come cittadino. In antitesi con la necessaria diffusione plurale delle informazioni e delle idee considerata essenza stessa di un sistema democratico, il diffondersi di tecnologie basate sull’IA, sacrificando il pluralismo in nome dell’efficienza, se non correttamente regolamentato, rischia di ledere irrimediabilmente le libertà ed i diritti degli individui che utilizzano tali piattaforme minando la crescita sostenibile delle moderne società digitali.

I 7 punti delle “Ethics Guidelines for Trustworthy AI”

Consapevole delle criticità connesse all’utilizzo sempre più diffuso e pervasivo dell’IA e delle piattaforme connesse, la Commissione Europea ha avviato a partire dal 2018 una specifica strategia volta a garantire che l’implementazione di tali tecnologie avvenga in maniera affidabile, sicura ed eticamente sostenibile. L’obiettivo è quello di realizzare un’azione coordinata a livello europeo che assicuri il più ampio sfruttamento delle potenzialità dell’IA garantendo al contempo che il relativo sviluppo sia incentrato sull’uomo e destinato al bene comune con il fine ultimo di migliorare il benessere e la libertà degli individui.

Tali misure hanno previsto, in primo luogo, la sottoscrizione da parte di 25 Stati membri della Dichiarazione sulla cooperazione in materia di IA[2] al fine di garantire un approccio condiviso orientato al perseguimento della massimizzazione degli investimenti in tale settore, la creazione di uno spazio europeo dei dati, la promozione del talento e dell’apprendimento permanente e lo sviluppo di soluzioni di IA etiche ed affidabili.

Nel giugno 2018 si è proceduto, poi, alla creazione dell’High Level Expert Group che recentemente, in data 8 aprile 2019, ha diffuso un documento dal titolo “Ethics Guidelines for Trustworthy AI[3]. Frutto del lavoro di 52 esperti, le linee guida mirano a promuovere la diffusione di un’intelligenza artificiale affidabile grazie al contemporaneo agire di tre fattori essenziali: il rispetto dell’articolato quadro normativo in materia; la garanzia dei principi e dei valori etici e la solidità dei sistemi AI da un punto di vista tecnico e sociale.

In particolare, al fine di garantire un effettivo utilizzo ottimale di tali tecnologie, evitando il verificarsi di eventi che possano compromettere il libero esercizio dei diritti fondamentali, le linee guida individuano sette elementi chiave da rispettare nel concreto sviluppo dei sistemi basati sull’IA:

  1. Azione e sorveglianza umana: l’IA deve essere destinata allo sviluppo di società eque, offrendo sostegno all’attività umana senza mai compromettere l’esercizio dei diritti fondamentali, né limitare o alterare l’autonomia degli individui;
  2. Robustezza e sicurezza: l’affidabilità dell’IA dipende dall’adozione di algoritmi sicuri, affidabili e sufficientemente robusti e dalla predisposizione di apposite misure che consentano di intervenire in maniera celere in caso di errori ed incongruenze;
  3. Riservatezza e governance dei dati: il coinvolgimento di dati personali deve sempre avvenire nel pieno rispetto dei diritti fondamentali del soggetto interessato attraverso la predisposizione di una serie di misure che consentano allo stesso di seguire l’utilizzo dei dati lungo tutto il ciclo di vita dell’IA;
  4. Trasparenza: i sistemi di IA devono essere tracciabili in ogni fase del loro ciclo di vita;
  5. Diversità, non discriminazione ed equità: l’implementazione dei sistemi IA deve avvenire nel pieno rispetto delle capacità, delle competenze e delle necessità degli individui interessati ed essere sempre accessibili;
  6. Benessere sociale e ambientale: l’utilizzo dei sistemi IA deve essere diretto anche al conseguimento di miglioramenti dell’assetto sociale e della sostenibilità ambientale;
  7. Responsabilità intesa anche come accountability: l’implementazione dell’Intelligenza artificiale deve prevedere obbligatoriamente misure finalizzate a valutare la responsabilità ed il livello di accountability dei sistemi utilizzati, nonchè dei risultati ottenuti.

Il rispetto simultaneo di tali sette elementi secondo la Commissione Europea consentirà la realizzazione di sistemi IA affidabili, in grado di garantire un utilizzo sicuro ed ottimale delle relative tecnologie nel pieno rispetto dei principi e dei diritti fondamentali degli individui. Inoltre, al fine di garantire che tali principi non rimangano incompiuti, ma siano effettivamente impiegati nello sviluppo ed utilizzo concreto di tecnologie basate sull’IA, le linee guida prevedono anche una lista di azioni operative per ognuno dei sette punti evidenziati, denominata Trustworthy AI Assessment List, in modo da offrire agli operatori strumenti concreti per la valutazione effettiva dell’affidabilità dei sistemi utilizzati e favorire interventi tempestivi nel caso in cui vengano riscontrati elementi di criticità.

Rileva sottolineare in tale sede, infine, che il documento redatto dalla Commissione Europea segue solo di pochi mesi l’adozione delle “Linee guida in materia di intelligenza artificiale e protezione dei dati” redatte dal Comitato consultivo della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (Convenzione 108/1981)[4], che dal 2016 è presieduto dal Garante italiano. Seguendo il medesimo filo conduttore, il testo, approvato a Strasburgo il 25 gennaio 2019, sottolinea all’art. 1 che la tutela della dignità umana e delle libertà fondamentali, in particolare il diritto alla protezione dei dati personali, sono essenziali nello sviluppo e nell’adozione di applicazioni IA. Rivolto soprattutto agli sviluppatori, ai produttori ed ai fornitori di servizi, il documento sottolinea la necessità di adottare un approccio di tipo preventivo basato sulla valutazione ex ante del possibile impatto, anche indiretto o involontario, di tali sistemi sul libero e consapevole esercizio dei diritti fondamentali.

Le linee guida sulla AI alla luce del Gdpr

Accountability, governance dei dati e preventiva valutazione di impatto non solo rappresentano alcuni dei parametri fondamentali individuati nelle Guidelines for Trustworthy AI, ma costituiscono anche gli elementi cardine del Regolamento europeo in materia di protezione dei dati personali (GDPR)[5] che, come è noto, è entrato in vigore a partire dal 25 maggio 2018.

Il nuovo quadro normativo, infatti, al fine di garantire che gli individui possano disporre sempre del pieno controllo dei propri dati personali, stabilisce un sistema peculiare di obblighi a carico del titolare del trattamento, il quale ai sensi dell’art. 24, è tenuto a predisporre misure tecniche ed organizzative adeguate per assicurare, ed essere in grado di dimostrare, che l’attività sia effettuata sempre nel pieno rispetto del GDPR. Dette misure debbono essere messe in atto ancor prima del rilascio delle informazioni personali e riguardare l’intero ciclo di utilizzo del dato.

In tal senso, è possibile affermare che i parametri della “Robustezza e sicurezza”, della “Riservatezza e governance dei dati” e della “Responsabilità intesa anche come accountability” trovano piena realizzazione nel GDPR negli obblighi connessi alla privacy by design e by default di cui all’art.25, nei principi di minimizzazione, liceità, correttezza e trasparenza di cui all’art. 5, nonché nella previsione del data protection impact assessment e negli interventi prescritti ai sensi dell’art. 32 in caso di eventi di data breach.

L’art. 35, in particolare, stabilisce esplicitamente che in caso di attività di trattamento particolarmente delicate, tra le quali rientra “la valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione” il titolare è tenuto ad eseguire una valutazione di impatto al fine di verificare se il trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte, tenuto conto della natura dell’ambito di applicazione, del contesto e delle finalità previste.

Continuando in questa opera di raffronto tra le linee guida redatte dalla Commissione in materia di IA e GDPR i parametri denominati “Azione e sorveglianza umana”, “Trasparenza” e “Diversità, non discriminazione ed equità” trovano, invece, piena realizzazione nel Capo III dedicato ai diritti dell’interessato. Si tratta di un vasto ed articolato sistema di norme a tutela dei soggetti che mettono a disposizione i propri dati personali, che vanno dal diritto di informazione (artt. 13-14) e di accesso (art.15) alla possibilità di richiedere la rettifica (art.16) o la cancellazione degli stessi (art.17), fino all’opportunità prevista di opporsi in qualsiasi momento (art.21).

I processi decisionali automatizzati

Con riferimento proprio al diritto di opposizione riconosciuto e garantito all’interno del nuovo quadro normativo, ai fini dell’analisi dell’applicazione dei sistemi basati sull’IA alla luce del GDPR rileva sicuramente esaminare quanto previsto in materia di processi decisionali esclusivamente automatizzati relativi alle persone fisiche. Come è noto, infatti, il legislatore europeo ha distinto tale peculiare trattamento dalla più generale attività di profilazione, prevedendo per esso una disciplina differenziata. Alla luce del based risk approach che ispira l’intero GDPR e del maggior rilievo attribuito al momento del consenso rispetto a quanto precedentemente stabilito dalla direttiva 95/46/CE[6], in linea con quanto indicato dall’Article 29 Data Protection Working Party nell’opinione 15/2011[7] la profilazione, infatti, necessita di una manifestazione di volontà da parte dell’interessato che sia libera, specifica, informata ed inequivocabile.

Diversa disciplina è invece destinata ai trattamenti in cui il processo decisionale si sostanzi in una decisione basata unicamente su un trattamento automatizzato, vale a dire in assenza di un qualsiasi intervento umano. In tale ambito, indipendentemente dal fatto che l’attività sia finalizzata o meno a profilare un individuo, il legislatore europeo stabilisce all’art. 14 l’obbligo a carico del titolare di informare l’interessato, nonché di fornire informazioni significative sulla logica utilizzata, sull’importanza e sulle conseguenze previste per l’interessato.

Strettamente collegato a tale previsione opera il divieto di adozione di decisioni basate unicamente sul trattamento automatizzato qualora queste producano effetti giuridici che riguardano il soggetto interessato ovvero che incidano significativamente sulla sua persona. L’obiettivo del legislatore è evidentemente quello di garantire che un soggetto sottoposto ad una decisione rilevante per l’esercizio delle proprie libertà fondamentali, si pensi ad esempio al rifiuto automatico dell’accensione di un prestito bancario o l’esclusione diretta da un processo di selezione lavorativa, possa sempre essere consapevole dei meccanismi e delle logiche che hanno condotto a quel determinato risultato ed opporsi a tale tipo di trattamento.

A tal fine, l’art. 22 stabilisce il diritto di ogni soggetto di non essere sottoposto a valutazioni di tale tipo a meno che la decisione sia necessaria per la conclusione o l’esecuzione di un contratto; sia autorizzata dal diritto dell’Unione o dello Stato membro; ovvero si basi sul consenso esplicito dell’interessato.

Nel peculiare e complesso bilanciamento tra la necessità di implementare una procedura decisionale interamente automatizzata e l’esigenza di garantire e tutelare la corretta evoluzione della personalità dell’individuo, libera dai potenziali effetti distorsivi o discriminatori che potrebbero derivare dal mancato intervento dell’uomo, la terza ipotesi, prevedendo un consenso esplicitamente rilasciato e quindi caratterizzato da elementi ulteriori rispetto alla manifestazione di volontà richiesta per una normale profilazione, pone maggiori criticità.

Gdpr e diritto di opposizione al trattamento dati

L’obbligo di un atto volitivo di tal tipo, caso unico insieme al trattamento di dati sensibili ex art. 9 e al trasferimento di informazioni personali verso un paese terzo o un’organizzazione internazionale in assenza di adeguate garanzie ex art. 49, evidenzia sicuramente l’importanza che viene posta dal legislatore europeo sulla effettiva capacità di controllo dei dati personali da parte degli interessati e sulla relativa possibilità per gli stessi di opporsi al loro trattamento ogni qualvolta vengano utilizzati sistemi che non prevedono il coinvolgimento di esseri umani.

Tuttavia, nonostante tale rilievo, il Regolamento risulta lacunoso proprio nella definizione concreta di “consenso esplicito”. Nel silenzio del nuovo quadro normativo, le linee guida redatte dal WP29 in materia di consenso[8] stabiliscono che tale ulteriore impegno dovrebbe generalmente sostanziarsi nel rilascio di un’approvazione scritta e firmata dalla parte interessata.

Nel caso, invece, di attività che si realizzano mediante piattaforme e siti on line, il consenso esplicito richiederebbe la compilazione dell’interessato di un modulo specifico ovvero il caricamento di un documento personale. È evidente che lo sforzo interpretativo compiuto dal gruppo dei regolatori europei risulta particolarmente apprezzato in un contesto in cui ogni singolo vuoto normativo rischia di aprire la strada ad una potenziale lesione dei diritti fondamentali.

Tuttavia in un panorama caratterizzato dal ruolo sempre più rilevante di sistemi basati sull’ IA la mancanza di una disciplina chiara ed inequivocabile rende estremamente elevato il rischio che tale disposizione diventi una norma facilmente eludibile. La previsione di un consenso esplicito in assenza di specifici parametri di riferimento, infatti, lo priva di quella necessaria forza volitiva necessaria a renderlo distinto e separato da una normale manifestazione di assenso, favorendo l’adozione di forme di consenso standardizzate da parte dei titolari di trattamenti basati su processi decisionali interamente automatizzati. Una conseguenza questa che rischia di ledere proprio quell’affidabilità, sicurezza e robustezza dei sistemi AI considerati dal Gruppo di esperti elementi essenziali per lo sviluppo etico e sostenibile di tali tecnologie all’interno delle moderne società digitali.

Note

  1. Comunicazione “L’intelligenza artificiale per l’Europa” COM(2018) 237.
  2. Declaration of cooperation on Artificial Intelligence (AI) siglata il 10 aprile 2018 da 25 Stati europei, Norvegia e Svizzera e Commissione Europea. Il testo della Dichiarazione è reperibile al link https://ec.europa.eu/digital-single-market/en/news/eu-member-states-sign-cooperate-artificial-intelligence.
  3. Le linee guida redatte dal Gruppo di esperti possono essere scaricate sul sito della Commissione Europea al seguente indirizzo https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai.
  4. Consultative Committee of the Convention for the protection of individuals with regard to automatic processing of personal data (Convention 108) – Guidelines on Artificial Intelligence and Data Protection. Il testo in italiano è consultabile sul sito del Garante per la protezione dei dati personali al link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9096716
  5. Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
  6. Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
  7. Article 29 Working Party, Opinion 15/2011 on the definition of consent (WP187).
  8. Article 29 Data Protection Working Party, Guidelines on Consent under Regulation 2016/679, WP259, adottate il 28 novembre 2017

@RIPRODUZIONE RISERVATA

Articolo 1 di 4