Le proposte

Intelligenza artificiale e GDPR sono compatibili, ma servono norme più chiare: lo studio

Il GDPR, pur non menzionando l’IA, fornisce principi generali rilevanti anche per questa tecnologia. Tuttavia, secondo un recente studio, andrebbe chiarito meglio come questi principi possano applicarsi ai sistemi di IA. Ecco le azioni che servono

21 Lug 2020
Marco Borzacchelli

Data Protection & Information Security Specialist


Compatibilità tra intelligenza artificiale e GDPR, data protection by design and by default, opportunità di maggiori linee guida da parte delle autorità europee e nazionali, necessità di un quadro normativo chiaro.

Sono questi alcuni dei temi affrontati nel recente studio The impact of the General Data Protection Regulation (GDPR) on artificial intelligence, guidato dal Giovanni Sartor, professore ordinario di informatica giuridica presso l’Università di Bologna, e svolto nell’ambito del Servizio interno di ricerca e think tank del Parlamento europeo (“EPRS” – European Parliamentary Research Service).

Gli elementi chiave dello studio

Lo studio analizza il concetto e lo scopo dell’IA, lo sviluppo che questa ha avuto nel nuovo millennio (robotica, machine learning, deep learning, reti neurali, ecc..) ed il rapporto con il trattamento dei dati personali.

In particolare, si considerano le sfide e le opportunità dell’intelligenza artificiale per gli individui e la società, i relativi profili di rischio (giuridici, economici, etici, sociologici) e come questi possono essere affrontati e mitigati nei diversi settori.

Il focus, chiaramente, è sul GDPR dal momento che i sistemi di IA comportano un massivo trattamento di dati personali, inclusi processi decisionali automatizzati (es. profilazione).

Vediamo quali sono i punti salienti dello studio e le proposte di azione suggerite.

Intelligenza artificiale e principi data protection

Il GDPR, pur non menzionando l’IA, fornisce principi generali rilevanti anche per questa. Tuttavia, secondo lo studio, andrebbe chiarito meglio come questi principi – in particolare i principi di limitazione delle finalità, minimizzazione dei dati e limitazione della conservazione (articolo 5 GDPR) – possano applicarsi ai sistemi di IA.

Più precisamente, questi principi dovrebbero essere interpretati in modo tale da non escludere la possibilità di creare dei dataset finalizzati alla “formazione” dei sistemi di IA ed alla costruzione di modelli algoritmici. Ciò fintantoché tali sistemi siano effettivamente “socialmente vantaggiosi” e compliant con il quadro normativo esistente.

Viene, quindi, suggerita un’applicazione flessibile del concetto di “compatibilità” del trattamento (cfr. Considerando 50 del GDPR sul riutilizzo dei dati per altre finalità) tale da renderlo a sua volta compatibile con la natura e la funzionalità tipiche dell’IA e dei Big Data, nonché conforme al principio della limitazione delle finalità.

Sul fronte minimizzazione, invece, si osserva come l’efficienza dei sistemi di IA potrebbe essere garantita mediante una riduzione della “personalità” dei dati disponibili, come la pseudonimizzazione e la successiva anonimizzazioneas soon as possible”, in modo da ridurre anche la possibilità e la facilità di re-identificare le persone fisiche.

Infatti, come è noto, connessa all’utilizzo dell’IA vi non è soltanto la possibilità di inferire nuovi dati personali da quelli già esistenti (attività, questa, tipica della profilazione), ma soprattutto l’alto potenziale di re-identificazione dei soggetti.

Per tale ragione lo studio palesa l’opportunità di chiarire – anche attraverso uno strumento di soft-law come le Opinions/Guidelines del gruppo dei Garanti europei – che la re-identificazione è da considerarsi a tutti gli effetti un trattamento di dati personali.

Più precisamente, al pari dei cosiddetti dati inferiti (soprattutto quando utilizzati per attività di profilazione, valutazione e decisione) la re-identificazione andrebbe assimilata alla raccolta di nuovi dati personali, con conseguente assoggettamento a tutti i requisiti del GDPR, inclusi la necessità di una base giuridica e gli obblighi informativi agli interessati.

Maggiori tutele per gli interessati

Data la complessità dei sistemi di IA, andrebbe garantita sempre la trasparenza nei confronti degli interessati, fornendo loro informazioni tali da consentire di comprendere il fine ultimo dei trattamenti effettuati, anche senza scendere troppo nei tecnicismi (non sempre necessari), nella misura in cui questo “sforzo” – ovviamente – sia reso possibile dalla tecnologia di IA adottata e sia ragionevole in base ai costi e benefici connessi.

Ottemperare all’obbligo di trasparenza non è (e non sarà) un compito facile per i Titolari del trattamento, soprattutto laddove le spiegazioni da fornire agli interessati (“right to explanation”) debbano essere individuali (cfr. Considerando 71 e art. 22 del GDPR).

Per tale ragione, andrebbero chiariti meglio sia il contenuto di questi obblighi informativi (anche ammettendo la possibilità di spiegazioni “high-level”), nonché i corrispondenti diritti degli interessati (come quello di contestare eventuali decisioni e/o effetti dannosi).

Si dovrebbe smarcare anche il ruolo del consenso degli interessati nell’ambito di tali trattamenti. Infatti, in quasi la totalità dei trattamenti automatizzati (tipici dell’IA), data la posizione di squilibrio e debolezza degli interessati, nonché la loro mancanza di informazioni adeguate, il consenso potrebbe non soddisfare il requisito di “libertà”, “granularità” e “consapevolezza” richiesti dal GDPR.

Conseguentemente, la sua validità quale base giuridica potrebbe facilmente essere contestata.

Andrebbero, inoltre, “standardizzate” e “facilitate” le modalità di esercizio dei diritti da parte degli interessati (principalmente il diritto di opposizione e la revoca del consenso) attraverso adeguate interfacce utente (elemento questo già enfatizzato in passato dal Working Party 29 nelle Linee Guida sulla trasparenza -wp260-).

In tutto questo, sarà fondamentale il ruolo delle Autorità di Controllo Nazionali (in Italia il Garante per la Protezione dei dati personali) e dello European Data Protection Board nel fornire indicazioni e linee guida, tanto per gli interessati quanto per i Titolari del trattamento, su come muoversi nel mondo dell’intelligenza artificiale evitando, così, dei rischi inaccettabili.

Infine, sempre a tutela degli interessati, lo studio suggerisce di rendere possibile e facilitare meccanismi di garanzia collettiva (“collective enforcement”) anche nel settore della data protection, abilitando azioni collettive per ottenere il risarcimento dei danni subiti da trattamenti effettuati dall’IA.

Ciò contribuirebbe a rendere più efficace la tutela degli interessati, agevolando l’avvio di azioni giudiziarie anche attraverso una ripartizione dei relativi costi. La proposta di direttiva sui ricorsi collettivi per i consumatori potrebbe essere considerata – secondo lo studio – un’opportunità per iniziare ad affrontare questo problema.

Data protection by design e by default: verso soluzioni mature e “risk-oriented”

A questo “right-based approach” appena esaminato, occorre però affiancare anche un “risk-based approach”.

È fondamentale, infatti, porre in essere misure preventive atte ad eliminare o mitigare i potenziali rischi di cui l’intelligenza artificiale è foriera: dagli impatti occupazionali, alla manipolazione e sorveglianza di massa (si pensi al caso di Cambridge Analytica), fino agli errori causati da bias cognitivi degli algoritmi decisionali (si veda quanto accaduto negli USA con i falsi positivi nell’ambito dei sistemi di riconoscimento facciale utilizzati dalle forze dell’ordine).

Un ruolo chiave, in questi casi, è la privacy-by-design, ossia la protezione dei dati personali fin dalla fase di progettazione (art. 25 del GDPR).

Per essere efficaci, tali misure preventive dovrebbero essere tarate per diverso tipo di sistema di IA, includendo in particolare controlli:

  • sulla rappresentatività dei dataset utilizzati per istruire questi sistemi;
  • sulla ragionevolezza delle inferenze effettuate (compresi i metodi logici e statistici adottati);
  • sull’assenza di ingiustizia e discriminazione.

Non solo. Nel definire queste misure non si potrà che (rectius: si dovrà) tener conto delle dimensioni e delle capacità tecniche-finanziarie dei diversi soggetti che ricorreranno all’IA. Se si richiedesse a tutti lo stesso standard, a prescindere da questi elementi, il gap già esistente tra i giganti del Web e le piccole società non farebbe che aumentare, con inevitabili conseguenze.

Anche in questo caso, data la complessità della materia e le diverse lacune del GDPR al riguardo, viene enfatizzata la necessità di un intervento da parte delle Autorità di Controllo volto a fornire degli orientamenti sul corretto utilizzo dei sistemi di IA, anche al fine di prevenire (o addirittura ridurre) i costi connessi all’incertezza giuridica di questi strumenti, nonché quei “blocchi” al loro sviluppo.

Potrebbe essere utile chiarire quali applicazioni di IA presentino rischi elevati tali da dover essere vietate, o che richiedano una Valutazione di Impatto Preventiva (art. 35 GDPR, c.d. DPIA) e, eventualmente, il coinvolgimento preventivo obbligatorio delle Autorità di Controllo.

Ma vi è di più. Lo studio, infatti, sembrerebbe suggerire di prevedere un obbligo di notifica preliminare all’Autorità di Controllo al fine di sottoporre domande e richiedere indicazioni in merito a specifiche attività di profilazione ed altri processi decisionali automatizzati.

Si tratterebbe di una sorta di ritorno al passato, in quanto già la Direttiva 95/46/CE e l’ormai abrogato art. 37 del D.Lgs. 196/2003 prevedevano un obbligo di notificazione all’autorità in caso di specifici trattamenti (come la profilazione).

Il GDPR è compatibile con l’IA?

Quindi il GDPR è compatibile l’IA?

La risposta è sì.

Come si è visto, il GDPR può essere interpretato e applicato in modo tale da non ostacolare un vantaggioso e benefico utilizzo dell’intelligenza artificiale, evitando di creare inutili svantaggi per le aziende europee rispetto ai big players d’oltreoceano e non solo (come USA, Cina, Russia, ecc..).

È anche vero, però, che in diversi casi l’applicazione dei principi del GDPR richiede di svolgere un bilanciamento degli interessi contrapposti in gioco, con non poche incertezze da parte dei Titolari del trattamento. Non sempre, infatti, questa attività è resa agevole dalla vaghezza di moltissime clausole del GDPR e dalla libera interpretabilità cui queste si prestano facilmente.

Per questo motivo è necessaria una loro interpretazione coerente al fine di contribuire al successo dei sistemi di IA, generare maggiore fiducia verso queste soluzioni e prevenire i rischi.

Un altro tassello nella strategia digitale europea

Lo studio appena analizzato si inserisce nella più ampia roadmap istituzionale ed accademica avviata dall’Unione Europea, presentando moltissimi punti di convergenza con altri pronunciamenti e materiali recentemente pubblicati. Se ne citano alcuni:

  1. aggiornamento della Convenzione 108 (“Convenzione 108+”) del Consiglio Europeo del 1981, che si occupa della protezione degli individui nell’ambito dei trattamenti automatizzati e che ha rappresentato il primo strumento internazionale legalmente vincolante nell’area della Data Protection;
  2. pubblicazione delle Linee guida in materia di intelligenza artificiale e protezione dei dati del Comitato consultivo della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (Convenzione 108), dove si sottolinea la necessità:
  • del rispetto della dignità umana e delle le libertà fondamentali nell’utilizzo dell’intelligenza artificiale;
  • del rispetto dei principi generali in materia di trattamento dei dati personali, nonché della privacy by design e della privacy by default;
  • dell’approccio basato sul rischio (risk based approach) in termini di minimizzare i rischi ed i danni causati da bias cognitivi insiti negli algoritmi decisionali che sono alla base dei sistemi di IA;
  1. istituzione, da parte della Commissione Europea, del High-Level Expert Group on Artificial Intelligence, il cui L’obiettivo è quello di supportare l’implementazione della European Strategy on Artificial Intelligence. Il Gruppo di esperti ha prodotto dal 2018 ad oggi le Ethics Guidelines on Artificial Intelligence (che promuovono un approccio umano-centrico per l’IA e contengono una lista di 7 elementi chiave che i sistemi di IA dovrebbero avere per essere “trustworthy”, ossia affidabili), nonché 33 raccomandazioni per guidare l’IA verso la sostenibilità, la crescita e la competitività, favorendo e proteggendo gli esseri umani;
  2. pubblicazione da parte della European Union Agency for Fundamental Rights (FRA), agenzia indipendente che si occupa della promozione e la protezione dei diritti umani nell’UE, del paper “Data quality and artificial intelligence – mitigating bias and error to protect fundamental rights”, dove viene posto l’accento sull’importanza di un’alta qualità dei dati usati per “alimentare” i sistemi di IA.

Questi, infatti, hanno sempre più “fame” di dati. Quindi maggiore è la inaccuratezza dei dati, maggiori sono i rischi di decisioni errate e potenzialmente dannose per gli individui (ad es. discriminazione, erronea imputazione di reati, ecc..). Per questo motivo la trasparenza sulla fonte dei dati utilizzati assume un rilievo fondamentale, soprattutto per evitare violazioni dei diritti umani;

  1. adozione da parte del Comitato dei Ministri del Consiglio d’Europa (da non confondere con il Consiglio dell’Unione Europea), della “Recommendation CM/Rec(2020)1 on the human rights impacts of algorithmic systems. In questa occasione sono state fornite anche delle linee guida a tutti gli Stati Membri su come correttamente indirizzare l’utilizzo dei sistemi algoritmici nel pieno rispetto dei diritti umani (es. attività di testing, misure di sicurezza da osservare ecc..).

Sebbene sia stato fatto molto negli ultimi anni, considerato quanto appena discusso, è innegabile che serva uno sforzo maggiore nel regolamentare da un punto di vista etico e giuridico l’intelligenza artificiale.

La necessità di un nuovo quadro normativo

Come ammesso dalla Commissione Europea, l’Unione Europea è partita molto in ritardo rispetto ad altri Paesi.

Al di là degli aspetti “meramente” data protection, ci sono temi ancora aperti che chiedono una risposta. Come quello della personalità giuridica per i robot e per i sistemi di intelligenza artificiale e quello dell’imputabilità giuridica dei danni eventualmente causati.

Come saggiamente osservato all’interno dello studio qui analizzato, la strada verso un framework normativo, però, non potrà passare esclusivamente dal dibattito politico-istituzionale.

Dovrà necessariamente essere incoraggiato il dibattito pubblico, coinvolgendo anche il mondo civile ed accademico. Ciò soprattutto al fine di garantire ai soggetti interessati l’accettabilità, la correttezza e la ragionevolezza dei risultati, e delle decisioni, derivanti dai trattamenti automatizzati svolti dai sistemi intelligenti.

Lo scrivente aderisce a questo invito, con l’auspicio che tutto il materiale prodotto dai diversi gruppi di ricerca e dalle diverse task forces istituite venga cristallizzato – in tempi ragionevoli – in regole giuridiche chiare ed univoche.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4