AI Act e GDPR: come evolve la tutela della privacy
Suggellando il passaggio dalla società digitale alla società algoritmica, l’intelligenza artificiale è divenuto uno strumento sempre più utilizzato a supporto della funzione gestoria, della definizione degli indirizzi strategici privati e pubblici e del controllo sull’attività amministrativa.
In siffatto contesto, il ruolo del Garante privacy nella tutela dei diritti digitali a fronte di trattamenti automatizzati dei dati personali, è stato sempre di primo piano, anche quando il tema non aveva assunto connotazioni diffuse.
La costante proliferazione della c.d. liquidità relazionale, diretta conseguenza dell’IA, spinge sempre più verso un mondo permeato da una raccolta massiva di dati personali; diretta conseguenza di questo risultato è la correlativa fioritura di algoritmi sofisticati in grado di eseguire attività che in genere richiedono l’intelligenza umana.
Ciò include aree come il riconoscimento testuale o vocale, la risoluzione dei problemi ed i processi decisionali, lo sviluppo dell’IA richiedendo spesso l’immissione di grandi quantità di dati diretti ad orientare i sistemi verso l’apprendimento.
Del resto, com’è stato significativamente osservato, l’intelligenza artificiale oltre a rappresentare assieme una sfida infrastrutturale, oltreché antropologica e filosofica, simboleggia “un mezzo, ma anche un mondo”.
Va da sé come in siffatta prospettiva, la questione diretta a garantire l’utilizzo lecito dei dati personali, assuma contorni sempre più rilevanti: i sistemi di AI, infatti, si basano su un’enorme quantità di informazioni e spesso gli interessati non sono consapevoli di come esse siano state raccolte nonché del loro correlativo utilizzo.
L’Autorità Garante e le prime decisioni sulla protezione dei dati AI
La giurisprudenza dell’Autorità Garante della Privacy in questa direzione costituisce la prova di tale presenza a presidio dei diritti fondamentali.
Più in particolare, sin dai primi tentativi di applicazione delle tecnologie d’intelligenza artificiale ai trattamenti di dati personali, il Garante ha compreso il rischio rappresentato dall’esposizione delle persone fisiche (e delle loro vite) a processi di decisione automatizzata basati sulla lettura e l’elaborazione algoritmica di dati. Del resto, già nel 2018 il Garante si era espresso su trattamenti di analisi comportamentale degli utenti di siti commerciali in base alla loro modalità di navigazione online, così come aveva vietato un sistema di lettura biometrica che, montato su totem pubblicitari, registrava sesso, range di età, distanza dal monitor e tempo di permanenza dinanzi ad esso dei passanti che s’imbattevano nella visione di uno degli sport proiettati, in modo di calcolare la scia d’età, il sesso, il grado di attenzione e persino la stima dell’espressione facciale mostrata da differenti target commerciali rispetto ai vari prodotti pubblicizzati.
Un criterio guida in questa selva oscura riveste indubbiamente il principio di trasparenza, rappresentando un requisito essenziale dell’AI e della sua fenomenologia. Una delle questioni chiave, pertanto, è rappresentata dalla fonte dei dati personali, considerato soprattutto come gli LLM (Large Language Model) vengono addestrati su enormi quantità di dati, molti dei quali provenienti da fonti pubbliche come Internet.
Inoltre, la relativa presenza mediatica non giustifica la raccolta e l’utilizzo dei dati personali da parte dei fornitori di sistemi di AI per addestrare i modelli. Al contempo, neppure i medesimi dati personali, raccolti direttamente dagli interessati e presenti sui propri database aziendali, giustificano un relativo utilizzo per finalità diverse da quelle per cui quei dati erano stati raccolti.
Esplicitamente citati nelle leggi sulla privacy, molti dei dati per l’addestramento dell’intelligenza artificiale, spesso ineriscono profili di informazioni di identificazione personali, talché alcuni di questi, risultando classificati come sensibili, finiscono per riferirsi a dati sanitari, genomici e finanziari, traducendosi in esempi particolarmente significativi della loro fenomenologia.
Va inoltre sottolineato che non tutti i dati per l’addestramento risultano uguali, qualità, quantità, diversità ed autorizzazione all’uso potendo variare ampiamente; ai sensi di molte leggi sulla privacy, le persone interessate hanno il diritto di chiedere la correzione dei propri dati da parte dell’entità che li ha raccolti nel caso in cui siano incompleti od imprecisi.
Sennonché, non è per nulla chiaro cosa succede e soprattutto quali diritti possono essere rivendicati dagli interessati laddove i dati pur essendo corretti, vengono tuttavia utilizzati per produrre risultati imprecisi.
Poiché molti sistemi di intelligenza artificiale risultano ancora sperimentali, il rispetto di alcuni requisiti di privacy dei dati può essere difficoltoso, finendo per generare risultati non prevedibili.
Dal canto loro, le organizzazioni possono comunicare agli utenti lo scopo per cui intendono utilizzare i dati, ma è possibile che il loro uso effettivo, nonché il modo in cui vengono modificati, generino risultati diversi da quanto previsto.
Dal punto di vista comunicativo, gli utenti devono essere informati in anticipo di eventuali variazioni messe in atto, sebbene chi svolge il lavoro potrebbe venire a conoscenza della modifica soltanto dopo la loro attuazione.
I sistemi di IA rivolti agli utenti possono poi rivelare connessioni più sofisticate tra i punti dati, consentendo l’identificazione e la profilazione sotto uno speculum dalla dimensione innovativa. Mentre le pratiche manipolatorie dell’interfaccia ed esperienza utente, comunemente note come dark pattern, sono sempre state più spesso condannate, ed in alcuni casi, regolamentate, esse tendono tuttavia a focalizzarsi all’interno di tattiche già note.
AI Act e GDPR: quali Regole per l’utilizzo dei dati?
Similmente, nelle attenzioni del Garante della Privacy, si è avuto un forte impulso allo studio degli impatti sul diritto alla protezione dei dati a seguito dell’impiego dell’intelligenza artificiale a scopi di medicina preventiva o d’iniziativa da parte delle amministrazioni sanitarie.
Si tratta d’un percorso lungo ed articolato che il Garante ha compiuto parallelamente alle istituzioni europee, per molto tempo l’Europa avendo mantenuto un atteggiamento poco significativo sul tema.
La maggior parte degli ultimi documenti (considerati “linee guida relative ai principi sull’intelligenza artificiale”), hanno mantenuto così il livello della discussione soprattutto sul piano dei principi.
Sennonché nel 2021, dopo la Risoluzione del Parlamento europeo sull’intelligenza artificiale, con la presentazione del relativo regolamento si è compiuto un passo decisivo, non risiedendo l’innovatività solo nell’essere la prima normativa a livello sovraregionale a disciplinare in modo organico l’IA, ma nel sottendere una scelta importante sia in termini regolatori, sia politici che assiologici.
La tutela della privacy nell’era dell’Intelligenza Artificiale è una delle principali sfide per aziende, istituzioni e professionisti del settore tecnologico.
Dalla gestione dei dati personali nei modelli di AI generativa alla conformità con il GDPR e il Regolamento AI Act, le implicazioni giuridiche e regolatorie sono sempre più complesse.
Se la tua azienda utilizza big data e machine learning per l’addestramento dei modelli AI, gestisce trattamenti automatizzati di dati personali, o si confronta con questioni di profilazione algoritmica e compliance GDPR, possiamo offrirti una consulenza specialistica su:
- Privacy e AI: conformità al GDPR e al Regolamento AI Act
- Protezione dei dati personali nei modelli di intelligenza artificiale
- Gestione del consenso informato e trasparenza nell’uso dei dati per AI
- Analisi dei rischi legali del web scraping e dei dark patterns
- Strategie per minimizzare le criticità legate all’automazione decisionale
Contattaci per una consulenza legale su privacy, intelligenza artificiale e protezione dei dati, e trasforma la conformità normativa in un vantaggio competitivo.
(4 votes, average: 5,00 out of 5)
Loading...