Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

privacy

Profilazione: tutte le sfide dell’intelligenza artificiale affrontate dal Gdpr

L’intelligenza artificiale in tutte le sue declinazioni, dai sistemi di riconoscimento facciale agli assistenti vocali, ci espone tutti a forme di profilazione sempre più raffinate e non monitorabili. Ecco in cosa consiste, gli adempimenti giuridici e in che modo il Gdpr si pone a presidio di uno sviluppo umano-centrico

18 Set 2019

Mario Di Giulio

Avvocato, Partner Pavia e Ansaldo Studio Legale


Favorire una crescita sostenibile delle moderne società digitali e una prospettiva umano-centrica dell’intelligenza artificiale a contrasto di possibili abusi legati alla profilazione sempre più massiccia di cui siamo oggetto è l’obiettivo di una serie di interventi a livello europeo, che hanno nei principi declinati dal GDPR , contemporaneamente, una conferma e un presidio.

Vediamo allora che, alla luce di forme di profilazione sempre più invasive e imperscrutabili, la vera sfida che l’AI pone sia quella di evitare che l’essere umano risulti estraneo alla dinamica degli algoritmi. Una sfida, come avremo modo di evidenziare, estremamente complessa.

Ma, per comprendere al meglio, partiamo dalle basi.

Profilazione: definizione e caratteristiche

Per profilazione si intende la raccolta di informazioni su un individuo, o un gruppo di individui, per analizzarne le caratteristiche, al fine di suddividerli in categorie, gruppi o poterne fare delle valutazioni o delle previsioni. La profilazione rappresenta un’attività cruciale in ambito commerciale, in quanto consente la fornitura di servizi personalizzati.

A livello di normativa sulla protezione dei dati, una definizione di profilazione appare significativamente per la prima volta nel Regolamento UE 2016/679 (“GDPR o Regolamento”), dove, all’art. 4, la profilazione è identificata come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica“. Il Considerando 24 specifica ulteriormente che, per stabilire se si è in presenza di profilazione “è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali”.

In sintesi, come ricordano anche le Linee Guida pubblicate nell’ottobre 2017 dal Gruppo di Lavoro articolo 29, oggi Comitato Europeo per la protezione dei dati, la profilazione si compone di tre elementi principali:

  • un trattamento automatizzato
  • eseguito su dati personali
  • con lo scopo di valutare aspetti personali di una persona fisica. In questo senso la semplice classificazione di persone basata su caratteristiche note quali età, sesso e altezza non determina necessariamente una profilazione se tale classificazione non è volta ad esprimere una valutazione.

Il Regolamento contempla tre attività aventi ad oggetto il profiling: anzitutto l’attività di profilazione pura, consistente nella raccolta di dati relativi ad un soggetto (o ad un gruppo di persone) e nella loro analisi al fine di predirne i comportamenti futuri ovvero valutarne gli interessi e le capacità. Tale attività, secondo il Regolamento, può essere poi posta alla base di un ulteriore trattamento volto all’adozione in via automatica di decisioni che verranno poi rivalutate da un soggetto preposto (si pensi al caso in cui il dipendente di una banca valuta l’adeguatezza del prestito calcolato in modo automatico dal software in base alla situazione finanziaria del cliente richiedente). Infine, il Regolamento prevede l’ipotesi di un processo decisionale basato unicamente sul trattamento automatizzato dei dati, in cui, cioè, l’intervento umano non è contemplato.

Gli adempimenti giuridici per ogni tipologia di trattamento

La distinzione tra queste ipotesi si rileva dal punto di vista dei diversi adempimenti giuridici che discendono da ciascuna tipologia di trattamento.

Le prime due (profilazione pura e processo decisionale – non interamente – automatizzato) seguono i principi generali del trattamento, per cui il titolare dovrà fare in modo che il trattamento sia rispettoso dei principi di liceità e trasparenza, che risponda a finalità specifiche e utilizzi solo i dati indispensabili in relazione a quelle finalità e per il tempo strettamente necessario al loro perseguimento.

Presupposti di legittimità di tali trattamenti sono quelli previsti dall’art. 6, 1° comma del GDPR: consenso, esecuzione contrattuale, obbligo di legge, salvaguardia di interessi vitali, pubblico interesse e legittimo interesse del titolare sono le condizioni che devono, alternativamente, ricorrere affinché il trattamento possa essere effettuato.

Inoltre, il titolare che esegue attività di profilazione ovvero adotta processi decisionali basati sulla profilazione è tenuto a garantire l’esercizio dei diritti degli interessati, a partire dal diritto ad essere correttamente informati circa la natura, la modalità e i mezzi del trattamento, senza dimenticare il diritto di accesso, di rettifica, di cancellazione dei dati, nonché il diritto di opposizione al trattamento.

Per quanto invece concerne i processi decisionali interamente automatizzati, cioè a dire, lo si ricorda, quelli che si svolgono senza il contributo umano, essi sono tendenzialmente vietati qualora da essi derivino decisioni idonee a produrre effetti giuridici sull’interessato o, comunque, idonee a incidere in modo significativo sullo stesso. Ciò potrebbe accadere qualora le decisioni basate su un trattamento automatizzato abbiano un impatto rilevante sui diritti, sullo status degli interessati o, ad ogni modo, siano in grado di influenzare condizioni, comportamenti e scelte degli interessati stessi.

In presenza di un processo decisionale interamente automatizzato, il titolare sarà tenuto a informare l’interessato specificamente della peculiarità del trattamento di dati posto in essere, della logica sottostante e delle eventuali conseguenze del trattamento. Inoltre, il novero dei diritti degli interessati sottoposti a tale particolare trattamento si estende, comprendendo il diritto di ottenere l’intervento umano da parte del titolare, di esprimere la propria opinione e di contestare la decisione.

Infine, qualora il trattamento avvenga sulla base del consenso dell’interessato ovvero sia necessario per l’esecuzione di un contratto, occorre che il titolare adotti adeguate misure e procedure che consentano di correggere eventuali errori nella raccolta dei dati o nell’adozione delle decisioni automatizzate. Tali errori potrebbero infatti ledere gravemente il soggetto, ove si traducano in distorsioni della realtà che portino ad una errata tipizzazione del soggetto ovvero in previsioni inesatte che diano luogo ad errate valutazioni.

Sul punto, appare interessante sottolineare che costituisce il discrimine interpretativo volto a definire il quadro di tutela dell’interessato, l’eventuale attività decisionale posta alla fine del trattamento. In altri termini, la tutela dell’interessato appare essere attenuata ove il trattamento non comporti una decisione autonoma alla fine del trattamento (sul punto si tornerà in prosieguo, ritenendo che una tale scelta di fatto possa soddisfare esigenze importanti, ma aprire spiragli ad applicazioni non condivisibili sotto altri profili).

La vera sfida posta dall’Intelligenza artificiale

Dalle decisioni automatizzate all’intelligenza artificiale il pensiero corre sin troppo veloce: grazie alla straordinaria capacità di raccolta e di analisi di elevate quantità di informazioni provenienti da diverse fonti e dataset, i sistemi di intelligenza artificiale sono, infatti, in grado di compiere forme di profilazione sempre più raffinate (e spesso non monitorabili o immediatamente conoscibili dagli stessi amministratori del processo), consentendo la realizzazione di prodotti e servizi personalizzati e processi lavorativi efficienti negli ambiti più disparati. Alla luce di quanto sinora esposto risulta sin troppo evidente come la vera sfida che l’AI pone sia quella di evitare che l’essere umano risulti estraneo alla dinamica degli algoritmi, cioè che gli risulti precluso decodificare le soluzioni generate automaticamente dai sistemi (e, ad opinione di chi scrive, che si possa non essere in grado di comprendere come la profilazione sia stata eseguita – in altri termini si pone sempre molto l’accento sulla finalità della profilazione ma vi è minore attenzione sul metodo adottato per giungere alla profilazione, preoccupandosi di più del fatto che i dati siano esatti e correttamente acquisiti).

Per dare una risposta a questa preoccupazione, la Commissione Europea nel giugno 2018 scorso ha costituito un gruppo di lavoro sull’intelligenza artificiale (High-Level Expert Group on Artificial Intelligence) formato da 52 esperti con il compito di definire di un codice etico per la progettazione dei sistemi di intelligenza artificiale in aderenza alle previsioni della Carta Europea dei Diritti.

Tre fattori e sette elementi chiave per un’AI affidabile

In data 8 aprile 2019, è stato pubblicato un documento dal titolo “Ethics Guidelines for Trustworthy AI”, volto a promuovere la diffusione di un’intelligenza artificiale affidabile grazie al contemporaneo agire di tre fattori essenziali:

  • il rispetto dell’articolato quadro normativo in materia;
  • la garanzia dei principi e dei valori etici e
  • la solidità dei sistemi AI da un punto di vista tecnico e sociale.

Al riguardo dobbiamo ricordarci che si tratta di principi, non di disposizioni immediatamente cogenti.

In particolare, al fine di garantire un effettivo utilizzo ottimale di tali tecnologie, evitando il verificarsi di eventi che possano compromettere il libero esercizio dei diritti fondamentali, le linee guida individuano sette elementi chiave da rispettare nel concreto sviluppo dei sistemi basati sull’AI:

  1. Azione e sorveglianza umana: l’IA deve essere destinata allo sviluppo di società eque, offrendo sostegno all’attività umana senza mai compromettere l’esercizio dei diritti fondamentali, né limitare o alterare l’autonomia degli individui;
  2. Robustezza e sicurezza: l’affidabilità dell’IA dipende dall’adozione di algoritmi sicuri, affidabili e sufficientemente robusti e dalla predisposizione di apposite misure che consentano di intervenire in maniera celere in caso di errori ed incongruenze;
  3. Riservatezza e governance dei dati: il coinvolgimento di dati personali deve sempre avvenire nel pieno rispetto dei diritti fondamentali del soggetto interessato attraverso la predisposizione di una serie di misure che consentano allo stesso di seguire l’utilizzo dei dati lungo tutto il ciclo di vita dell’IA;
  4. Trasparenza: i sistemi di IA devono essere tracciabili in ogni fase del loro ciclo di vita;
  5. Diversità, non discriminazione ed equità: l’implementazione dei sistemi IA deve avvenire nel pieno rispetto delle capacità, delle competenze e delle necessità degli individui interessati ed essere sempre accessibili;
  6. Benessere sociale e ambientale: l’utilizzo dei sistemi IA deve essere diretto anche al conseguimento di miglioramenti dell’assetto sociale e della sostenibilità ambientale;
  7. Responsabilità intesa anche come accountability: l’implementazione dell’Intelligenza artificiale deve prevedere obbligatoriamente misure finalizzate a valutare la responsabilità ed il livello di accountability dei sistemi utilizzati, nonché dei risultati ottenuti.

Il rispetto simultaneo di tali sette elementi secondo il Gruppo di lavoro dovrebbe consentire la realizzazione di sistemi IA affidabili, in grado di garantire un utilizzo sicuro ed ottimale delle relative tecnologie nel pieno rispetto dei principi e dei diritti fondamentali degli individui. Inoltre, al fine di garantire che tali principi non rimangano incompiuti, ma siano effettivamente impiegati nello sviluppo ed utilizzo concreto di tecnologie basate sull’IA, le linee guida prevedono anche una lista di azioni operative per ognuno dei sette punti evidenziati, denominata Trustworthy AI Assessment List, in modo da offrire agli operatori strumenti concreti per la valutazione effettiva dell’affidabilità dei sistemi utilizzati e favorire interventi tempestivi nel caso in cui vengano riscontrati elementi di criticità.

Il documento del Gruppo di lavoro degli esperti segue solo di pochi mesi l’adozione delle “Linee guida in materia di intelligenza artificiale e protezione dei dati” redatte dal Comitato consultivo della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, presieduto dal Garante italiano. Tale documento, approvato a Strasburgo il 25 gennaio 2019, è rivolto soprattutto agli sviluppatori, ai produttori ed ai fornitori di servizi, ribadisce la necessità di adottare un approccio di tipo preventivo basato sulla valutazione ex ante del possibile impatto, anche indiretto o involontario, dei sistemi di AI sui diritti e le libertà delle persone.

Il presidio del Gdpr per la crescita sostenibile del digitale

Volendo provare a tirare le fila del discorso, tutti gli interventi appena accennati nel panorama internazionale condividono la prospettiva umano-centrica e l’obiettivo fondamentale di favorire una crescita sostenibile delle moderne società digitali e hanno nei principi declinati dal GDPR una conferma e un presidio.

In tal senso, è, per esempio, possibile affermare che i parametri della “Robustezza e sicurezza”, della “Riservatezza e governance dei dati” e della “Responsabilità intesa anche come accountability” trovano piena corrispondenza e realizzazione nel GDPR, in particolare: negli obblighi connessi alla privacy by design e by default di cui all’art.25; nei principi di minimizzazione, liceità, correttezza e trasparenza di cui all’art. 5; negli interventi prescritti ai sensi dell’art. 32 in caso di eventi di data breach; nella previsione del data protection impact assessment di cui all’ art. 35, che stabilisce specificamente per il caso di attività di trattamento particolarmente delicate, tra le quali rientra “la valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione”, che il titolare è tenuto ad eseguire una valutazione di impatto al fine di verificare se il trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche coinvolte, tenuto conto della natura dell’ambito di applicazione, del contesto e delle finalità previste (si pensi ad una profilazione, volta ai soli fini commerciali per la quale algoritmi non supervised conducano, sempre per soli scopi commerciali, ad una profilazione “politica” o “religiosa” degli interessati magari con la creazione di “nuove categorie politiche o religiose” che non coincidano espressamente con i vari partiti politici o religioni conosciute, ma assimilino persone aventi opinioni culturali e politiche similari od anche credi religiosi, valutando che un prodotto “green” sia più apprezzato da soggetti vicini a certe opinioni politiche ovvero che un determinato credo religioso, mentre prodotti di altro genere siano più apprezzati da soggetti posti nell’opposto schieramento politico o con un diverso credo religioso).

Non sempre tali categorizzazioni sono in qualche modo riferibili ad una valutazione umana, ma sono più semplicemente frutto di un’assimilazione eseguita in una “black box”. I risultati sono immaginabili: si pensi come una campagna di fund raising possa essere influenzata da una profilazione politica (nei termini suindicati) cambiando lo slogan da “aiutiamoli subito” a ”aiutiamoli a caso loro” a seconda del segmento di pubblico alla quale è indirizzata. Le conseguenze di più ampio respiro sono invece difficilmente prevedibili e non sempre conoscibili dai soggetti interessati, che sono stati solo posti a conoscenza che un trattamento dati sarebbe stato posto in essere per una profilazione a scopo commerciale.

A tutela dell’interessato, operano altri paramenti quali quelli denominati “Azione e sorveglianza umana”, “Trasparenza” e “Diversità, non discriminazione ed equità” trovano piena realizzazione nel Capo III del GDPR dedicato ai diritti dell’interessato. Si tratta di un vasto ed articolato sistema di norme a tutela dei soggetti che mettono a disposizione i propri dati personali, che vanno dal diritto di informazione (artt. 13-14) e di accesso (art.15) alla possibilità di richiedere la rettifica (art.16) o la cancellazione degli stessi (art.17), fino all’opportunità prevista di opporsi in qualsiasi momento (art.21).

Certo, sarebbe ingenuo dimenticare che la pratica risulta sempre infinitamente più complessa della teoria e questa complessità va gestita con il buon senso oltre che con la conoscenza dei principi: si pensi, a prescindere dagli esempi summenzionati, alla difficoltà di conciliare il consenso informato con certi sistemi di riconoscimento facciale impostati per monitoraggio di massa, magari a scopo di sicurezza, oppure ai sistemi di intelligenza artificiale ‘celati’, come i software e i robot che fingono con successo di essere umani – ad esempio l’assistente vocale – che per la loro inclusione nella società umana si prestano a cambiare la nostra percezione degli uomini e dell’umanità ed espongono le persone, sempre più disposte all’interazione, al rischio di manipolazioni.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4