Dati personali

Intelligenza Artificiale e Gdpr: le questioni aperte e i chiarimenti necessari

Il GDPR fornisce una guida importante per la protezione dei dati rispetto all’intelligenza artificiale. Restano tuttavia aperte una serie di questioni e questo potrebbe ostacolare lo sviluppo di nuove applicazioni o anche consentire sviluppi potenzialmente pericolosi. Servirebbero una serie di chiarimenti: vediamo quali

15 Ott 2020
Francesca Lagioia

Professoressa a contratto Dipartimento di Scienze Giuridiche, Università di Bologna

Giovanni Sartor

Professore ordinario. Dipartimento di Scienze Giuridiche, Università di Bologna


Il Regolamento Generale sulla protezione dei dati personali (GDPR) non menziona mai in modo esplicito l’intelligenza artificiale (IA). Tuttavia, molte delle sue disposizioni, da un lato sono rilevanti per lo sviluppo e l’uso di tali tecnologie e, dall’altro, sono messe alla prova dalle nuove modalità di trattamento dei dati personali abilitate dall’IA.

In particolare, nelle applicazioni basate sull’apprendimento automatico, l’insieme di addestramento in molti casi consiste di dati che vertono su caratteristiche e comportamenti individuali e sociali, e quindi, di dati personali. Si pensi per esempio, ai sistemi intelligenti utilizzati nei più diversi settori, come la selezione del personale, le assicurazioni, la medicina, la pubblicità mirata, l’invio di messaggi personalizzati, l’amministrazione tributaria, la pubblica sicurezza, la giustizia.

Più in generale, l’utilità di apprendere propensioni e attitudini degli individui – da parte di attori pubblici o privati – fa sì che l’intelligenza artificiale sia sempre più desiderosa di dati personali, e questo desiderio stimola la raccolta continua di nuovi dati, che a loro volta rendono più efficaci le applicazioni di intelligenza artificiale, in una spirale di feedback che si rafforza.

Nello studio “The impact of the General Data Protection Regulation on Artificial Intelligence”, condotto su richiesta dello STOA Panel del Parlamento Europeo, abbiamo affrontato la relazione tra il GDPR e l’intelligenza artificiale e analizzato il modo in cui le norme sulla protezione dei dati dell’UE si applicheranno all’IA e avranno un impatto sugli impieghi presenti e gli sviluppi futuri.

L’applicazione del GDPR: criticità e prospettive

Il GDPR fornisce una guida importante per la protezione dei dati rispetto alle applicazioni dell’intelligenza artificiale. Pur non essendo necessarie modifiche significative al regolamento, restano aperte e prive di risposte una serie di questioni. Ciò può condurre a dubbi e incertezze capaci di ostacolare lo sviluppo di nuove applicazioni benefiche dell’IA o anche consentire sviluppi potenzialmente pericolosi.

In particolare, il GDPR abbonda di clausole vaghe, dal significato non precisamente determinato: per dato personale si intende qualsiasi informazione riguardante una persona fisica “identificata o identificabile” (articolo 4(1)); il consenso deve essere prestato “liberamente” (articolo 4(11)); un ulteriore trattamento dei dati personali non deve essere “incompatibile con le finalità iniziali” (articolo 5(1)(b)); i dati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (articolo 5, (1)(c)); il titolare del trattamento deve perseguire “interessi legittimi che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato” (articolo 6(1)(f)); debbono essere fornite “informazioni significative sulla logica utilizzata nel processo decisionale automatizzato” (articoli 13(2)(f) e 14(2)(g); debbono essere adottate “misure di tutela adeguate” nel processo decisionale automatizzato (Articolo 22(2)) e “misure tecniche e organizzative adeguate per la protezione dei dati fin dalla progettazione e per impostazione predefinita” (articolo 25).

Per i responsabili del trattamento può rivelarsi particolarmente difficile determinare se l’elaborazione dei dati mediante l’IA soddisfi o meno tali principi, il cui significato resta aperto e suscettibile di interpretazione.

Inoltre, la loro applicazione rispetto all’IA richiede spesso un bilanciamento di interessi tra loro concorrenti. Per determinare se una certa elaborazione sia ammissibile, o ancora se debba essere adottata una misura preventiva, è necessario stabilire se l’interesse del titolare e la mancata adozione delle suddette misure prevalgano o meno sull’interesse degli individui a non essere soggetti al trattamento o a essere protetti da misure aggiuntive e più rigorose.

Queste valutazioni dipendono sia da (a) giudizi normativi incerti rispetto al bilanciamento tra l’impatto dell’elaborazione o della misura prevista e gli interessi in gioco, sia (b) da previsioni incerte sui potenziali rischi futuri.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Nel caso dell’IA, le incertezze legate all’applicazione di concetti indeterminati e al bilanciamento di interessi concorrenti sono specificamente aggravate dalla novità delle tecnologie dell’intelligenza artificiale, dalla loro complessità e dalla pervasività dei loro effetti sugli individui e sulla società nel suo complesso.

Chiedendo ai titolari di applicare principi vaghi e indeterminati, il GDPR pone in capo a questi ultimi l’onere di stabilire in che modo gestirne i rischi e di trovare soluzioni ottimali. Si tratta di un compito spesso molto impegnativo e costoso rispetto a sistemi informatici tanto complessi, la cui struttura interna è opaca anche per gli esperti, e il cui funzionamento non è pienamente prevedibile. La previsione di rigide sanzioni in caso di elaborazioni non conformi al dettato normativo, insieme alla mancanza di criteri chiari su quanto necessario per il rispetto di tali standard e principi, possono costituire un nuovo rischio che, anziché incentivare l’adozione di misure di conformità adeguate, potrebbe scoraggiare o impedire alle piccole imprese di intraprendere nuove iniziative in questo settore.

In assenza di una guida adeguata, possono concretizzarsi due rischi paralleli: i grandi attori potrebbero trarre vantaggio dall’incertezza, adottando soluzioni contrarie allo spirito del regolamento, mentre le piccole imprese potrebbero astenersi dal cogliere opportunità in linea con il GDPR.

Pertanto, l’impatto del regolamento sull’intelligenza artificiale in Europa dipenderà dalle indicazioni che i titolari e gli interessati riceveranno dalle autorità competenti, dalla società civile, dalle istituzioni accademiche e dagli organismi politici responsabili. Indicazioni adeguate ridurrebbero i costi derivanti dall’incertezza normativa e condurrebbero le aziende, in particolare le più piccole, verso soluzioni efficienti e conformi alle norme sulla protezione dei dati.

Le chiarificazioni necessarie

Tra le chiarificazioni necessarie, rilevano in particolare le seguenti:

  • Inferenza di dati personali. Si dovrebbe chiarire che i dati personali frutto di inferenza equivalgono ai dati personali raccolti in modo diretto (articolo 6), se utilizzati come input per la profilazione, le valutazioni e le decisioni algoritmiche. Lo stesso dovrebbe applicarsi alle ipotesi di re-identificazione dei dati anonimi (de-identificati). È necessario chiarire in che misura l’uso di tecniche di IA per la re-identificazione possa portare a considerare i dati anonimi come dati personali.
  • Principi di protezione dei dati. Dovrebbe essere specificato come i principi di protezione dei dati – e in particolare i principi di limitazione delle finalità, di minimizzazione dei dati e di limitazione dell’archiviazione (articolo 5 GDPR) – si applichino ai sistemi di IA. L’implementazione di tali principi deve essere resa coerente con la necessità di elaborare grandi insiemi di dati, per estrarre modelli algoritmici utili, tutelando al tempo stesso i diritti degli interessati.
  • Basi giuridiche per il trattamento. La costruzione di modelli algoritmici basati sui dati personali per applicazioni di utilità sociale è generalmente compatibile con il requisito della necessità di una valida base giuridica (articolo 6). Tuttavia, i dati personali dovrebbero essere pseudonimizzati e resi anonimi il prima possibile (appena il trattamento residuo possa effettuarsi in anonimato). È inoltre necessaria l’adozione di misure di prevenzione dei rischi.
  • Elaborazione statistica. L’elaborazione statistica dei dati personali, che non comporta inferenze sugli individui, è in linea di principio consentita e dovrebbe essere incoraggiata, purché siano adottate precauzioni adeguate per prevenire gli abusi e a condizione che i dati siano prontamente pseudonimizzati o anonimizzati.
  • Dovrebbe essere promossa l’adozione di misure appropriate a livello nazionale. Sarebbe utile, inoltre, chiarire quali elaborazioni statistiche debbano essere considerate inaccettabili, in deroga al generale permesso.
  • Spiegazioni. La possibilità̀ di trattamenti algoritmici iniqui e scorretti, così come il bisogno di mantenere il controllo sui propri dati e di comprendere (e possibilmente contestare) le ragioni per le determinazioni che riguardano ciascuno, origina un interesse alla trasparenza/spiegabilità algoritmica. In altre parole, l’interessato ha l’esigenza di capire come e perché sia stata data una certa risposta o sia stata presa una certa decisione, così da comprendere il processo di decisione dell’intelligenza artificiale e poter chiedere conto di esso. È quindi opportuno che i titolari del trattamento abbiano l’obbligo di fornire agli interessati spiegazioni personalizzate nei casi di processi decisionali automatizzati: tali spiegazioni dovrebbero specificare quali fattori hanno determinato valutazioni o decisioni sfavorevoli (articolo 22, considerando 71). Tale obbligo deve essere bilanciato con la necessità di utilizzare le tecnologie più efficaci. Le spiegazioni potrebbero essere di alto livello, ma dovrebbero in ogni caso consentire agli interessati di contestare eventuali risultati, valutazioni e decisioni negative.
  • Ragionevolezza delle inferenze. È necessario specificare quali criteri rendano accettabile un processo inferenziale automatizzato, ogni qualvolta si prendano decisioni a sulla base dei risultati di tale processo. Tali criteri includono di correttezza logico-statistica, e di equità normativa.
  • Agevolazione e standardizzazione dell’esercizio dei diritti degli interessati. SI dovrebbe garantire che I diritti di obiettare e rinunciare (opt-out) al trattamento dei dati basato sull’intelligenza artificiale possano essere facilmente esercitati dagli interessati tramite appropriate interfacce utente, in formati standardizzati (articolo 21).
  • Ogni volta che l’interessato abbia il diritto di rinunciare al trattamento automatizzato, la rinuncia non dovrebbe essere più difficile della scelta di avvalersi di tale trattamento. Allo stesso modo, l’effettivo, esplicito e libero esercizio del consenso (o il rifiuto del consenso) al trattamento basato sull’IA dovrebbe essere garantito ogniqualvolta questo sia la base giuridica del trattamento.
  • Enforcement collettivo. La complessità e l’opacità del sistemi di IA può rendere difficile, costoso e incerto l’esperimento azioni di tutela individuali davanti alle competenti autorità amministrative e giudiziarie. Pertanto, dovrebbero essere favorite e facilitate forme di esercizio collettivo dei diritti, in particolare mediante ingiunzioni e azioni risarcitorie collettive. La proposta di direttiva sui ricorsi collettivi per i consumatori è certamente un’opportunità per iniziare a discutere e affrontare questo problema.
  • Protezione dei dati by design e by default. Dovrebbero essere specificate le misure preventive necessarie per i diversi tipi di applicazioni dell’IA: tali misure dovrebbero essere progettate per garantire, tra l’altro, che gli insiemi di addestramento siano rappresentativi, che le inferenze siano ragionevoli, e che il trattamento sia sicuro, privo di ingiustizie e discriminazioni (articolo 25).
  • Elaborazioni ad alto rischio. È opportuno specificare quali applicazioni dell’intelligenza artificiale comportino un trattamento ad alto rischio e richiedano quindi una valutazione del loro impatto e il coinvolgimento di un responsabile della protezione dei dati. Si dovrebbe valutare se tutte le applicazioni dell’IA che comportano decisioni sugli individui debbano essere comunicate all’autorità di controllo competente (articolo 35), con quali eccezioni. È inoltre necessario stabilire quali tipi di trattamento dovrebbero richiedere un certificazione preventiva, per la loro ampiezza e livello di rischio (articolo 25).
  • Consultazione preventiva. La possibilità di richiedere un parere preventivo all’autorità di controllo dovrebbe essere estesa a tutte le applicazioni basate sull’IA che comportino un trattamento di dati personali. Dovrebbero essere definiti i casi in cui il parere sia obbligatorio (articolo 36).
  • Applicazioni socialmente inaccettabili o pericolose. Le applicazioni socialmente inaccettabili o pericolose dovrebbero essere identificate e il loro utilizzo escluso o limitato, anche qualora soddisfino requisiti scientifici e di equità.

Iniziative di supporto

L’uso dell’IA benefico e compatibile con la privacy richiede non solo nuove norme, ma anche iniziative socioculturali tese ad accrescere la consapevolezza di problemi e soluzione e stimolare buone pratiche

  • Incoraggiare il dibattito pubblico. È necessario intraprendere un ampio dibattito sull’IA e la protezione dei dati, che coinvolga non solo le autorità politiche e amministrative, ma anche la società civile e il mondo accademico. Tale dibattito dovrebbe valutare quali principi e standard applicare al trattamento dei dati personali basato sull’IA, così da garantire l’accettabilità, l’equità e la ragionevolezza delle decisioni algoritmiche che riguardano gli individui. A tal fine, bisognerebbe esaminare un’ampia serie di casi realistici, per chiarire quali applicazioni di IA siano, a conti fatti, socialmente accettabili, in quali circostanze e soggette a quali vincoli. Il dibattito sull’IA può anche fornire un’opportunità per considerare in modo approfondito, con maggiore precisione e concretezza, alcune idee di base del diritto e dell’etica a livello europeo, come i principi che definiscono modelli accettabili e praticabili di equità e non discriminazione.
  • Limitare le applicazioni dell’IA. Bisognerebbe avviare un dibattito pubblico e una discussione politica tesa ed elaborare linee guida volte a stabilire quali applicazioni dell’intelligenza artificiale debbano essere vietate in modo incondizionato e quali, invece, siano ammissibili in circostanze specifiche. Tale necessità è dettata anche dalla constatazione che il GDPR si concentra sui diritti individuali e non tiene conto degli impatti sociali più ampi dell’elaborazione di massa dei dati.
  • Una guida per i titolari del trattamento e gli interessati. Ai titolari del trattamento e agli interessati dovrebbero essere fornite indicazioni chiare (a) su come applicare le tecniche dell’IA ai dati personali in modo conforme al GDPR, e (b) su quali tecnologie siano disponibili a tal fine. Indicazioni precise in tal senso potrebbe prevenire i costi legati all’incertezza giuridica, migliorando al contempo la conformità al GDPR delle pratiche di elaborazione dei dati.
  • Elaborazione di linee guida. L’elaborazione di linee guida aiuterebbe i titolari del trattamento e gli interessati ad esplorare l’uso di applicazioni di IA nel rispetto del GDPR. A tal fine è essenziale il coinvolgimento del Comitato europeo per la protezione dei dati e delle autorità di controllo nazionali, così come la partecipazione del mondo accademico. Le linee guida dovrebbero indicare quali pratiche adottare e suggerire al tempo stesso soluzioni tecnologiche adeguate, così da garantire che le elaborazioni basate sull’IA conducano a benefici per i singoli e la collettività. Queste dovrebbero, inoltre, identificare pratiche di elaborazione dei dati potenzialmente dannose, i cui rischi sono inaccettabili.

Conclusioni

Esiste indubbiamente una tensione tra i tradizionali principi di protezione dei dati – limitazione delle finalità, minimizzazione, trattamento dei “dati sensibili”, limiti alle decisioni automatizzate – e il pieno dispiegamento dell’intelligenza artificiale. Come illustrato nei paragrafi precedenti, è tuttavia possibile interpretare, applicare e sviluppare tali principi in modo coerente con gli usi benefici dell’AI. A tal fine bisogna però accompagnare il GDPR con una combinazione di misure volte ad assicurane attuazioni efficaci e ragionevoli.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4