Skip to content

Tutela privacy e Intelligenza Artificiale: a che punto siamo?

tutela-privacy-ai

L’Intelligenza Artificiale (IA) si sta sviluppando negli ultimi anni ad una velocità esponenziale ed è entrata ormai nella quotidianità di tutti. Molti interrogativi sorgono spontanei se si pensa che l’apprendimento automatico (machine learning), su cui si basano i sistemi intelligenti, è progettato per elaborare un’enorme quantità di dati.

Da dove provengono queste informazioni? Vengono gestite in modo etico e rispettano i diritti personali, sociali e individuali? Come possiamo assicurare la protezione della privacy in un mondo dominato dall'IA?

Come funziona l’AI - Artificial Intelligence

L’Intelligenza Artificiale aumenta la nostra capacità di interpretare la realtà. Può essere applicata in tantissimi ambiti: per aiutare l’utente nel processo d’acquisto, per raggiungere un luogo, fare una traduzione, ricevere una diagnosi medica, fare una prenotazione o una chiamata telefonica, selezionare il personale aziendale, giocare una partita a scacchi, creare un'opera d'arte, o generare i più svariati contenuti.

Per ottenere questi tipi di output, l’AI deve avere un numero di input (cioè i dati) tali da permettere di trarre conclusioni precise: il risultato migliore si potrà ottenere con una grande quantità di dati a disposizione o con l’autoapprendimento (machine learning).

I dati che “nutrono” l’Intelligenza Artificiale

I dati raccolti dall’AI per svolgere i suoi compiti possono riguardare diversi ambiti ed essere di differente provenienza. In particolare, sono:

  • dati che permettono l’identificazione diretta (dati anagrafici e immagini);

  • dati che permettono l’identificazione indiretta (ad esempio: il codice fiscale, l’indirizzo IP);

  • dati che rivelano particolari caratteristiche degli individui, come l’origine etnica, le convinzioni religiose o filosofiche, le opinioni politiche, lo stato di salute, la vita e l’orientamento sessuali, i dati genetici, biometrici;

  • dati giudiziari, cioè relativi a condanne penali o reati o connessi a misure di sicurezza;

  • dati relativi alle comunicazioni elettroniche;

  • dati sulla geolocalizzazione.

Tutti questi dati sono necessari ad “addestrare” l’IA, ma spesso, com’è ovvio, appartengono a qualcuno.

Intelligenza artificiale e diritto alla privacy

Quando visitiamo un sito web, spesso acconsentiamo con superficialità all’utilizzo dei nostri dati, forse perché per leggere tutto il contenuto delle informative privacy perderemmo ore, forse giorni! 

Quando accettiamo, però, di cedere parte della riservatezza dei dati (diritto alla riservatezza) che ci riguardano, dovremmo renderci conto di cosa questo significhi.

Da ogni nostra visita, clic e interazione, i siti web raccolgono, anche tramite l’AI, una mole di dati che viene poi utilizzata per proporre dei contenuti a noi affini, o per noi utili. Per questo si può dire che i dati generino valore

Le grandi piattaforme online (chiamate anche “imprese superstar”) sono infatti quelle che estraggono valore dall’enorme quantità di dati degli utenti, fornendo in cambio servizi vantaggiosi, finanziati in parte o del tutto dalla pubblicità. 

Dobbiamo però essere consapevoli dei meccanismi che stanno dietro a questi sistemi, poiché spesso a determinare una “buona” o “cattiva” intelligenza artificiale è l’uso che se ne fa.

Rischi e controversie legati all'utilizzo dei dati personali da parte dell'AI

Negli ultimi giorni si è sentito molto parlare del provvedimento del Garante Privacy di limitare il trattamento dei dati degli utenti italiani nei confronti di OpenAI, società statunitense che possiede la piattaforma di AI generativa ChatGPT.

Il software in questione, che sta facendo parlare di sé ormai da mesi, rappresenta infatti una delle più grandi innovazioni AI pronta a rivoluzionare pressoché tutti i settori industriali. Grazie alla capacità di simulare una conversazione umana, gli utenti possono utilizzare il chatbot per ottenere risposte su qualsiasi argomento, creare testi, fare traduzioni e generare contenuti di qualsiasi genere.

Nel provvedimento, il Garante rileva la mancanza di una informativa agli utenti i cui dati vengono raccolti da OpenAI, oltre all’assenza di un filtro che limiti l’utilizzo del servizio per i minori. Al momento è stata creata una task force europea al fine di collaborare per l’applicazione del Regolamento europeo di protezione dati ed è stato fornito ad OpenAI un elenco di prescrizioni da adempiere su trasparenza, diritti degli interessati e base giuridica.

Un ulteriore esempio, stavolta di una forma estremamente rischiosa di utilizzo dei dati, è rappresentato dalla manipolazione dell’opinione pubblica, attraverso la diffusione di fake news. Le campagne di disinformazione, in cui tutti almeno una volta si sono imbattuti sul web, sono il più comune (e più combattuto) utilizzo rischioso dei dati degli utenti. 

Le notizie mostrate possono infatti essere del tutto fasulle, o evidenziare soltanto una parte dell’opinione, un solo punto di vista, favorendo così la polarizzazione e la diffusione di discriminazione sociale.

Particolarmente rischioso è l’utilizzo di algoritmi di AI per automatizzare decisioni in campo sanitariofinanziario e giudiziario, poiché basandosi su un dataset ristretto potrebbero essere influenzate da pregiudizi e bias in un senso o nell’altro.

Anche in campo politico l’utilizzo dei dati personali degli utenti da parte dell’AI può risultare un argomento particolarmente spinoso. Come testimonia il caso Cambridge Analytica, il dibattito politico può essere influenzato dalle informazioni che riceviamo tramite Internet e i social network, fino ad arrivare, nella peggiore delle ipotesi, ad una società costantemente monitorata e sorvegliata. 

Per questo motivo si richiede particolare attenzione da parte del policymaker, che dovrà implementare nuove forme di protezione a tutela dei dati sensibili del consumatore e del cittadino-utente. 

 

tutela_privacy_intelligenza_artificiale_computer

La legislazione sulla protezione dati personali 

La questione di garantire la protezione della vita privata delle persone è diventata sempre più rilevante negli ultimi decenni, per questo ogni paese dell’Unione Europea ha adottato misure per affrontare il problema, istituendo delle Autorità di controllo. 

In Italia, ad esempio, il Garante per la Protezione dei Dati Personali (GPDP), noto anche come Garante della Privacy, è stato istituito nel 1996. Il GPDP è un'autorità indipendente istituita per proteggere i diritti e le libertà fondamentali in relazione al trattamento dei dati personali e per garantire il rispetto della dignità delle persone.

Data l’esigenza di gestire, normalizzare e regolarizzare il flusso di dati personali necessari, tra l’altro, ad alimentare l’AI e per regolare tutta la complessa questione della tutela privacy, è stato elaborato un codice in materia di protezione dei dati personali.

La legislazione comunitaria europea ha accolto la sfida di stare al passo con la rapida evoluzione tecnologica, dapprima mediante la Direttiva 95/46, poi evolutasi in un vero e proprio Regolamento 2016/679 UE, il cosiddetto General Data Protection Regulation (GDPR)

Pur non essendovi un chiaro ed esplicito riferimento all’Intelligenza Artificiale, tale Regolamento si rivolge a chiunque acquisisca ed elabori dati personali da individui, compresi quindi anche coloro che fanno uso di sistemi di AI. Con il GDPR si richiede infatti di:

1 definire le finalità del trattamento

2 informare sull’uso che si fa dell’intelligenza artificiale

3 raccogliere il consenso al trattamento dei dati e alla profilazione

4 determinare la base giuridica

5 valutare l’impatto che l’uso dell’AI ha sugli individui

6 dare prospetto del funzionamento della tecnologia, per individuarne i criteri di funzionamento

7 intervenire quando si presentino delle violazioni dei diritti degli interessati

8 comunicare e informare in casi di data breach, ovvero in caso di eventuali violazioni dei dati personali

In Italia il GDPR europeo viene recepito il 25/5/18, con il Regolamento europeo sulla protezione dei dati, conosciuto anche come Legge sulla privacy, confermando l’attribuzione del ruolo di vigilanza all’Autorità Garante per la Protezione dei Dati Personali (garante privacy), la quale deve garantire, appunto, il diritto alla protezione dei dati personali e adottare i provvedimenti previsti dalla normativa.

L’auto-apprendimento (machine learning) rappresenta però un nuovo elemento nella già difficile relazione tra intelligenza artificiale e tutela dati personali. Potrebbe infatti entrare in contrasto con l’art. 22 del GDPR privacy 2018 e il Considerando 71 dello stesso, nei quali viene espresso il divieto generale di sottoporre l’interessato (colui che cede la privacy dei dati) a processi decisionali automatizzati, privi di intervento umano.

In questo senso, un’evoluzione e un cambiamento autonomo delle condizioni di trattamento da parte dell’AI si configurerebbe come non supportato dalla base contrattuale e, pertanto, illecito.

Tuttavia, le ultime tendenze in fatto di intelligenza artificiale sostengono l’interazione continua tra uomo e macchina, dato che quest’ultima non sarebbe (ancora) così intelligente da operare in completa autonomia. Secondo il principio di accountability, inoltre, è il titolare del trattamento dati a mettere in atto “le misure tecniche e organizzative adeguate” per garantire (e dimostrare) la conformità al GDPR.

Viene inoltre introdotto dal Regolamento il principio di “Privacy by design“, secondo il quale, già dal momento della progettazione della tecnologia o del processo tramite cui verranno trattati i dati, si deve implementare la protezione degli stessi.

In tale ottica si colloca il recente studio “The Impact of the General Data Protection Regulation on artificial intelligence”, svolto nel contesto dell’EPRS (European Parliamentary Research Service), realizzato nel Giugno 2020.

Assistiamo dunque a un ribaltamento di prospettiva, in cui la tecnologia stessa deve, ancor prima di esistere, essere preordinata per rispettare i diritti fondamentali della protezione dati sensibili.

In questo contesto rientra anche la pseudonimizzazione dei dati, analizzata dallo studio sopra citato come meccanismo per garantire l’efficienza dell’IA: in tutte le informazioni raccolte viene sostanzialmente ridotto il grado di “personalizzazione”, in parte o del tutto, come avviene con l’anonimizzazione.

L’AI Act europeo e i nuovi scenari

L’Artificial Intelligence Act è la prima proposta di legge per regolare l’uso dell’Intelligenza Artificiale a livello europeo. 

In sostanza questa legge assegna le applicazioni dell’IA a 3 categorie di rischio:

livello 1 - le applicazioni e i sistemi che creano un rischio inaccettabile, come il punteggio sociale gestito dal governo del tipo utilizzato in Cina, sono vietati;

livello 2 - le applicazioni ad alto rischio, come uno strumento di scansione CV che classifica i candidati di lavoro, sono soggette a requisiti legali specifici;

livello 3 - tutte le applicazioni non esplicitamente vietate o elencate come ad alto rischio non sono in gran parte regolamentate.

Questa proposta di Regolamento è stata presentata dalla Commissione UE il 21 aprile 2021, ma nel Dicembre 2022 il Consiglio ha condiviso la sua controproposta alterando parzialmente il contenuto della proposta originaria. Pertanto, ad oggi, si trova ancora in fase di costruzione e diventerà legge solo quando Consiglio e Parlamento Europei concorderanno una versione comune del testo.

Vi sono, infatti, degli aspetti ancora da chiarire che riguarderebbero la potenziale sovrapposizione del Regolamento sulla protezione dei dati personali (GDPR) e la proposta di Regolamento sull’IA. Sebbene il primo si focalizzi sul trattamento dei dati, mentre l’AI Act riguardi la tecnologia per effettuare tale trattamento, entrambe le leggi si concentrano sulle finalità del trattamento dei dati personali, sull’utilizzo del sistema di IA, sull’approccio by design, ed entrambi richiedono che gli indirizzi del Regolamento identifichino i rischi per i diritti fondamentali.

Tuttavia, la proposta di Regolamento si propone esplicitamente  di avere un approccio «umano-centrico» e di plasmare IA che siano affidabili e sicure per gli individui. (Fonte: “Intelligenza artificiale e ruolo della protezione dei dati personali. L’analisi di Ginevra Cerrina Feroni (Garante Privacy)”, 14 Feb. 2023)

L’obiettivo che si vuole raggiungere è infatti l'identificazione del corretto equilibrio tra sviluppo tecnologico e tutela dei dati personali, tra intelligenza artificiale e privacy, in modo da favorire una sempre maggiore trasparenza dei sistemi AI, nell’ottica di una vera e propria etica digitale.

 

(Fonte: Agenda Digitale – “Intelligenza artificiale, ecco come il GDPR regola la tecnologia di frontiera", 11/10/19, di R. Goretta)

 

Leggi anche: Focus sul Knowledge Management: come automatizzare la gestione delle conoscenze

 

Vuoi saperne di più su Pigro? Contattaci!