0
gdpr e intelligenza artificiale

GDPR e IA: l’impatto del regolamento sulle nuove tecnologie

Introduzione

I sistemi basati sull’ intelligenza artificiale stanno spopolando nel mondo umano e sociale sotto molteplici forme: robot industriali nelle fabbriche, robot di servizio nelle case e nelle strutture sanitarie, veicoli autonomi e velivoli senza pilota nei trasporti, agenti elettronici autonomi nel commercio elettronico e nella finanza, armi autonome nell’esercito, dispositivi di comunicazione intelligenti integrati in ogni ambiente.

L’intelligenza artificiale è diventata uno dei più potenti motori della trasformazione sociale: sta cambiando l’economia, influenzando la politica e rimodellando la vita e le interazioni dei cittadini.

In relazione all’IA sono già emerse una serie di questioni etiche e legali concrete in diversi settori, come la responsabilità civile, l’assicurazione, la protezione dei dati, la sicurezza, i contratti e i reati.

La protezione dei dati riveste un ruolo di primaria importanza nel rapporto tra l’IA e la legge, poiché molte applicazioni di IA comportano il trattamento massiccio di dati personali, compreso il targeting e il trattamento personalizzato delle persone sulla base di tali dati.

L’IA e i Dati personali

La definizione più elaborata di intelligenza artificiale è stata fornita dall’High Level Expert Group on AI (AI HLEG), istituito dalla Commissione UE, secondo cui “ i sistemi di intelligenza artificiale (AI) sono sistemi software (ed eventualmente anche hardware) progettati dagli esseri umani che, dato un obiettivo complesso, agiscono nella dimensione fisica o digitale percependo il loro ambiente attraverso l’acquisizione di dati, interpretando i dati strutturati o non strutturati raccolti, ragionando sulla conoscenza, o elaborando le informazioni, derivate da questi dati e decidendo la migliore o le migliori azioni da intraprendere per raggiungere l’obiettivo dato”.

Come disciplina scientifica, l’IA include diversi approcci e tecniche, come il machine learning (di cui il deep learning ed il reinforcement learning sono esempi specifici), il machine reasoning (che include la pianificazione, la programmazione, la rappresentazione della conoscenza e il ragionamento, la ricerca e l’ottimizzazione), e la robotica (che include il controllo, la percezione, i sensori e gli attuatori, così come l’integrazione di tutte le altre tecniche nei sistemi cyber-fisici).

L’Intelligenza Artificiale risulta connessa a vari settori come ad esempio:

  • Robotica: l’Artificial Intelligence costituisce il nucleo della robotica e può essere definita come “IA in azione nel mondo fisico”; un robot è una macchina fisica che deve far fronte alle dinamiche, alle incertezze ed alla complessità del mondo fisico;
  • Algoritmi: il termine algoritmo è spesso usato per riferirsi ad applicazioni di IA, ad esempio attraverso locuzioni quali “decisioni algoritmiche“; tuttavia, il concetto di algoritmo è più generale di quello di IA, poiché include qualsiasi sequenza di istruzioni inequivocabilmente definite per eseguire un compito, in particolare ma non esclusivamente attraverso calcoli matematici.

Ovviamente, non tutti gli algoritmi coinvolgono l’IA, ma ogni sistema di IA, come ogni sistema informatico, include algoritmi, alcuni dei quali si occupano di compiti che riguardano direttamente le funzioni dell’IA.

Sebbene un sistema di IA includa molti algoritmi, esso può anche essere visto come un singolo algoritmo complesso, combinando gli algoritmi che svolgono le sue varie funzioni, così come gli algoritmi superiori che orchestrano le funzioni del sistema attivando i relativi algoritmi di livello inferiore.

  • Big Data: il termine big data identifica un consistente quantitativo di dati di difficile gestione con tecniche standard, a causa delle loro caratteristiche particolari, le cosiddette three V’s: huge Volume, high Velocity and great Variety.

Dal punto di vista sociale e legale ciò che è più rilevante in set di dati molto grandi, e che li rende “big data” dal punto di vista funzionale, è la possibilità di utilizzare tali set di dati per l’analisi, cioè per scoprire correlazioni e fare previsioni, spesso utilizzando tecniche di IA.

Negli ultimi decenni, l’IA ha attraversato una serie di alti e bassi, con aspettative eccessive seguite da disillusioni (i cosiddetti AI winters).

Tuttavia, sulla base dei successi degli ultimi tempi, è molto probabile che le attuali applicazioni non solo si consolideranno, ma saranno accompagnate da un’ulteriore crescita.

Tipologie di obiettivi e di apprendimento IA

La ricerca sull’IA di solito distingue due obiettivi: “Artificial General Intelligence“, nota anche come “intelligenza artificiale forte”, e “Artificial Specialised Intelligence“, nota anche come “intelligenza artificiale debole”.

L’intelligenza generale artificiale persegue l’ambizioso obiettivo di sviluppare sistemi informatici che supportino la maggior parte delle competenze umano cognitive, a livello umano o addirittura sovrumano.

L’intelligenza artificiale specializzata persegue un obiettivo più modesto, ovvero la costruzione di sistemi che, ad un livello soddisfacente, siano in grado di svolgere compiti specifici che richiedano intelligenza.

Alcuni importanti scienziati ed esperti di tecnologia (come Steven Hawking, Elon Musk e Bill Gates) hanno sostenuto la necessità di anticipare questo rischio esistenziale, adottando misure volte a prevenire la creazione di un’intelligenza artificiale generale o ad indirizzarla verso risultati favorevoli all’uomo (ad esempio, facendo in modo che essa sostenga i valori umani e, più in generale, che adotti un atteggiamento benevolo).

Al contrario, altri scienziati si sono espressi a favore della nascita di un’intelligenza destinata a superare le capacità umane.

Tuttavia, è stato sostenuto che l’IA dovrebbe contribuire alla realizzazione di interessi individuali e sociali, e che non dovrebbe essere sottoutilizzata, creando così costi di opportunità, né eccessivamente sfruttata e abusata.

Poiché è stata riconosciuta la necessità di contrastare questi rischi, pur preservando la ricerca scientifica e gli usi benefici dell’IA, sono state intraprese diverse iniziative per progettare un quadro etico e legale per l’human-centred AI.

Già nel 2016, l’Ufficio per la politica scientifica e tecnologica della Casa Bianca (OSTP), la commissione giuridica del Parlamento europeo e, nel Regno Unito, la commissione per la scienza e la tecnologia della Camera dei Comuni ha pubblicato i primi rapporti su come preparare il futuro dell’IA.

Il Commission’s White Paper afferma la necessità di perseguire e integrare sinergicamente due obiettivi politici paralleli: da un lato, la ricerca e la diffusione dell’IA dovrebbero essere promosse, quindi che l’UE è competitiva con gli Stati Uniti e la Cina; d’altro canto, la diffusione delle tecnologie di IA dovrebbe essere coerente con i diritti fondamentali e i valori sociali dell’UE.

Di solito si distinguono tre approcci principali di machine learning: il supervised learning, il reinforcement learning ed il unsupervised learning.

Il supervised learning è attualmente l’approccio più diffuso: la macchina impara attraverso la “supervisione” o l'”insegnamento” e viene dato in anticipo un set di formazione, cioè un grande insieme di risposte corrette al compito del sistema.

Più esattamente il sistema viene fornito con un insieme di coppie, ognuna delle quali collega la descrizione di un caso alla risposta corretta per quel caso.

Le risposte dei sistemi di apprendimento sono di solito chiamate “previsioni“; tuttavia, spesso il contesto di utilizzo del sistema determina se le sue proposte sono interpretate come previsioni, o piuttosto come un suggerimento per l’utente del sistema.

Il reinforcement learning è simile all’apprendimento supervisionato, ma comporta anche una formazione a titolo di esempio; tuttavia, nel caso dell’apprendimento di rinforzo, i sistemi apprendono dai risultati delle proprie azioni, vale a dire, attraverso i premi o le penalità che sono legati ai risultati di tali azioni.

Essendo orientato a massimizzare il suo punteggio, il sistema imparerà a raggiungere risultati che portano a ricompense, e a prevenire risultati che portano a penalità.

Il unsupervised learning, infine, prevede sistemi di intelligenza artificiale in grado di imparare senza ricevere istruzioni esterne, né in anticipo né come feedback, su ciò che è giusto o sbagliato.

Le tecniche per l’apprendimento non supervisionato sono usate in particolare per il clustering, cioè per raggruppare l’insieme di elementi che presentano somiglianze o connessioni rilevanti.

Artificial Intelligence e Big Data

Predire un certo risultato in un nuovo caso significa saltare da certe caratteristiche note di quel caso, i cosiddetti predittori (chiamati anche variabili indipendenti, o caratteristiche), ad una caratteristica sconosciuta di quel caso, ossia il bersaglio da prevedere (chiamato anche variabile dipendente, o etichetta).

Negli ultimi anni, questi flussi di dati sono stati integrati in un’ infrastruttura globale di elaborazione dati interconnessa incentrata su Internet, ma non solo: questa infrastruttura costituisce un mezzo universale per comunicare, accedere ai dati e fornire qualsiasi tipo di servizio pubblico e privato, permettere ai cittadini di fare acquisti, utilizzare servizi bancari, accedere alle informazioni e alle conoscenze e costruire connessioni sociali.

L’interazione delle tecnologie dell’IA e dei big data nell’infrastruttura globale di elaborazione dati può offrire molti vantaggi: migliore accesso alle informazioni; generazione e distribuzione della conoscenza in tutto il mondo; risparmi sui costi, maggiore produttività e creazione di valore; nuovi posti di lavoro creativi e ben remunerati.

Tuttavia, lo sviluppo dell’IA e la sua convergenza con i big data porta anche a gravi rischi per gli individui, per i gruppi e per l’intera società.

Da un lato, l’IA può eliminare o svalutare i posti di lavoro di chi può essere sostituito dalle macchine: molti rischiano di perdere la “corsa contro la macchina“, e quindi di essere esclusi o emarginati nel mercato del lavoro; questo può portare alla povertà e all’esclusione sociale.

L’impiego di sistemi di valutazione automatizzati può risultare problematico quando le loro prestazioni non sono peggiori, o addirittura migliori, di quanto farebbero gli esseri umani.

Ciò è dovuto al fatto che l’automazione riduce i costi per la raccolta di informazioni sugli individui, l’archiviazione di queste informazioni e la loro elaborazione per valutare gli individui e fare scelte di conseguenza.

Le insidie legate alla profilazione sono emerse con chiarezza nel caso Cambridge Analytica, relativo ai tentativi di influenzare il comportamento di voto – nelle elezioni del 2016 negli Stati Uniti ed eventualmente anche nel referendum di Brexit – basati su un trattamento massiccio di dati personali.

Circa 320 000 elettori hanno fatto il test.

Cambridge Analytica ha utilizzato i dati sui test-taker come set di formazione per la costruzione di un modello per il profilo dei loro amici e di altre persone.

Più precisamente, i dati sui test-taker costituivano un vasto set di formazione, dove le informazioni sulle pagine Facebook di un individuo (likes, post, link, ecc.) fornivano valori per i predittori (caratteristiche) e le risposte al questionario fornivano valori per i target.

Grazie ai suoi algoritmi di machine learning, Cambridge Analytica ha potuto utilizzare questi dati per costruire un modello che mette in relazione le informazioni contenute nelle pagine Facebook delle persone con le previsioni sulla psicologia e le preferenze politiche.

Infine, sulla base di questa personalità/profilo politico, sono stati identificati i potenziali elettori che avrebbero potuto cambiare il loro comportamento di voto, se accompagnato da messaggi appropriati.

Intelligenza Artificiale e norme

Per promuovere pratiche valide sull’uso dell’IA, è necessario garantire che lo sviluppo e la diffusione della stessa avvenga in un quadro sociotecnico in cui gli interessi individuali e i beni sociali siano preservati e valorizzati.

Il Gruppo di esperti di alto livello sull’intelligenza artificiale, istituito dalla Commissione europea, ha recentemente pubblicato una serie di linee guida etiche per un’intelligenza artificiale affidabile.

Secondo il gruppo di esperti, le fondamenta di un’ IA legale, etica e solida dovrebbero essere cristallizzarsi nei diritti fondamentali e riflettere i seguenti quattro principi etici:

  • Rispetto per l’umanesimo: gli esseri umani che interagiscono con l’IA devono essere in grado di mantenere una piena ed efficace autodeterminazione su se stessi.
  • Prevenzione del danno: occorre garantire la tutela della dignità umana e dell’integrità fisica e mentale. In base a questo principio, i sistemi di intelligenza artificiale e gli ambienti in cui operano devono essere sicuri e protetti, non devono causare o esacerbare danni o influenzare negativamente gli esseri umani in altro modo.
  • Equità: deve essere intesa nella sua dimensione sostanziale e procedurale. La dimensione sostanziale implica l’impegno a garantire una distribuzione equa sia dei benefici che dei costi. La dimensione procedurale comporta la capacità di contestare e cercare un’effettiva riparazione alle decisioni prese dai sistemi di IA e dagli esseri umani che li gestiscono.
  • Esplicabilità: i processi algoritmici devono essere trasparenti, le capacità e lo scopo dei sistemi di intelligenza artificiale devono essere comunicati apertamente e le decisioni devono essere spiegate a coloro che ne sono interessati sia direttamente che indirettamente.

Dato l’enorme impatto sulla vita individuale e sociale dei cittadini, l’IA rientra nell’ambito di diversi regimi giuridici settoriali; questi regimi includono in particolare, anche se non esclusivamente, la legge sulla protezione dei dati, la legge sulla protezione dei consumatori, la legge sulla concorrenza e molte altre ancora.

L’Artificial Intelligence nel GDPR

A differenza della direttiva sulla protezione dei dati del 1995, il GDPR contiene alcuni termini che si riferiscono a Internet (reti sociali, siti web, link, ecc.), ma non contiene il termine “intelligenza artificiale“, né termini che esprimono concetti correlati, come sistemi intelligenti, sistemi autonomi, ragionamento e inferenza automatizzati, machine learning o anche big data.

Di seguito, l’analisi delle disposizioni più rilevanti del GDPR in tema di IA.

Articolo 4, paragrafo 1, GDPR: Dati Personali

Il concetto di dati personali svolge un ruolo chiave nel GDPR, caratterizzando il campo di applicazione materiale del regolamento.

La disposizione del GDPR riguarda solo i dati personali, ad esclusione delle informazioni che non riguardano gli esseri umani (ad esempio, i dati sui fenomeni naturali), e anche l’esclusione di informazioni che, pur riguardando gli esseri umani, non si riferiscono a particolari individui (ad esempio, informazioni mediche generali sulla fisiologia umana o sulle patologie).

Secondo l’articolo 4, per “dati personali” si intende: qualsiasi informazione concernente una persona fisica identificata o identificabile (“persona interessata”).

Il Considerando 26 disciplina l’identificabilità, ovvero le condizioni alle quali un dato che non è esplicitamente legato a una persona, conta comunque come dato personale, poiché esiste la possibilità di identificare l’interessato.

Attraverso la pseudonimizzazione, i dati che identificano una persona (cioè il nome) vengono sostituiti con uno pseudonimo; i dati personali che hanno subito uno pseudonimo, che potrebbero essere attribuiti a una persona fisica mediante l’uso di informazioni supplementari, devono essere considerati come informazioni su una persona fisica identificabile.

Articolo 4, paragrafo 2, GDPR: Profilazione

Per “profilazione” si intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi ad un soggetto fisico: in particolare per analizzare o prevedere aspetti relativi alle prestazioni lavorative, alla situazione economica, allo stato di salute, alle preferenze personali, agli interessi, all’affidabilità, al comportamento, al luogo o ai movimenti di tale persona fisica.

L’intelligenza artificiale e i grandi dati, in combinato con la disponibilità di ampie risorse informatiche, hanno notevolmente aumentato le opportunità di profilazione.

Si supponga che un classificatore si sia formato su una vasta serie di esempi passati che collegano alcune caratteristiche degli individui (i predittori), ad un’altra caratteristica degli stessi individui (il bersaglio).

Attraverso l’addestramento, il sistema ha imparato che un modello algoritmico può essere applicato a nuovi casi: se al modello vengono dati i valori dei predittori che riguardano un nuovo individuo, esso infonde un valore corrispondente al target per quell’individuo, cioè un nuovo dato che lo riguarda.

Articolo 4, paragrafo 11, GDRP: Consenso

Per “consenso” dell’interessato si intende qualsiasi indicazione libera, specifica, informata e inequivocabile della volontà dell’interessato con la quale egli, con una dichiarazione o con una chiara azione affermativa, esprime il consenso al trattamento dei dati personali che lo riguardano.

Questa definizione è completata dal Considerando 32 che specifica che il consenso deve essere granulare, cioè deve essere dato per tutte le finalità del trattamento.

Il consenso deve riguardare tutte le attività di trattamento svolte per lo stesso scopo o per le stesse finalità: quando il trattamento ha finalità multiple, il consenso dovrebbe essere dato per tutte.

Tuttavia, l’IA e i big data sollevano tre questioni chiave riguardanti il consenso: specificità, granularità e libertà.

La prima questione riguarda la specificità del consenso: il consenso al trattamento per un determinato scopo riguarda anche l’ulteriore trattamento basato sull’IA, volto tipicamente all’analisi dei dati ed alla profilazione?

Questo sembra essere escluso, poiché il consenso deve essere specifico, in modo che non possa andare oltre quanto esplicitamente indicato.

La seconda questione riguarda la granularità del consenso: ad esempio, un consenso generale a qualsiasi tipo di analisi e profilazione è sufficiente per autorizzare l’invio di pubblicità commerciale basata sull’IA?

Il Considerando 43 afferma che “il consenso non è libero se non prevede la possibilità di dare un consenso separato a diverse operazioni di trattamento dei dati personali, nonostante sia appropriato nel singolo caso”.

La terza questione riguarda la libertà di consenso: il consenso al profiling può essere considerato libero?

La questione è affrontata nel Considerando 42, che esclude la libertà di consenso quando “la persona interessata non ha una scelta effettiva o libera o non è in grado di rifiutare o ritirare il consenso senza pregiudizio”.

Articolo 5, paragrafo 1, lettera a), GDPR: Equità e Trasparenza

L’articolo 5, paragrafo 1, lettera a), stabilisce che i dati personali devono essere trattati “in modo lecito, equo e trasparente nei confronti dell’interessato“.

Il principio di trasparenza richiede che le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili e di facile comprensione, e che sia utilizzato un linguaggio chiaro e semplice.

Nel GDPR si possono distinguere due diversi concetti di equità.

Il primo, che possiamo definire “equità informativa“, è strettamente connesso al concetto di trasparenza.

I principi di correttezza e trasparenza del trattamento esigono che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità.

Inoltre, l’interessato dovrebbe essere informato dell’esistenza di una profilazione e delle conseguenze di tale profilazione.

Il Considerando 71 indica una diversa dimensione di equità, cioè quella che possiamo chiamare equità sostanziale, che riguarda l’equità del contenuto di un’inferenza o di una decisione automatizzata, secondo una combinazione di criteri, che possono essere riassunti facendo riferimento ai suddetti standard di accettabilità, pertinenza e affidabilità.

Articolo 5, paragrafo 1, lettera b), GDPR: Limitazione delle finalità

L’articolo 5, paragrafo 1, lettera b), stabilisce il principio della limitazione delle finalità, secondo il quale i dati personali devono essere raccolti per scopi determinati, espliciti e legittimi e non trattati ulteriormente in modo incompatibile con tali scopi.

Esiste attrito tra l’uso dell’IA e dei big data dati ed il requisito della limitazione dello scopo: queste tecnologie consentono il riutilizzo funzionale dei dati personali per nuovi scopi diversi da quelli per cui i dati sono stati originariamente raccolti.

Per stabilire se il riutilizzo dei dati è legittimo, occorre determinare se una nuova finalità è “compatibile” o “non incompatibile” con la finalità per la quale i dati sono stati originariamente raccolti.

Articolo 9, GDPR: Trattamento di categorie particolari di dati personali

L’articolo 9 GDPR riguarda i cosiddetti dati sensibili, ossia quei dati personali il cui trattamento può incidere in misura maggiore sulle persone interessate, esponendole a gravi rischi.

A questo proposito, l’AI presenta sfide specifiche.

La prima sfida è legata alla ri-identificabilità: grazie all’IA e ai big data, pezzi di dati apparentemente non identificati, non essendo collegati a un individuo specifico, possono essere ri-identificati e ricollegati agli individui interessati.

La ri-identificazione dei dati sensibili può avere gravi conseguenze per l’interessato.

La seconda sfida è legata all’inferenza: grazie all’IA e ai big data, è possibile collegare i comportamenti osservabili e le caratteristiche note degli individui – attività online, acquisti, gusti, movimenti – a dati sensibili non osservabili su di loro, come i loro atteggiamenti psicologici, il loro stato di salute, il loro orientamento sessuale o le loro preferenze politiche. Tali inferenze possono esporre le persone interessate a discriminazioni o manipolazioni.

Informazioni sul processo decisionale automatizzato

L’articolo 13, paragrafo 2, lettera f) e l’articolo 14, paragrafo 2, lettera g), del GDPR trattano un aspetto fondamentale che riguarda il tema IA, ossia il processo decisionale automatizzato.

Il controllore ha l’obbligo di fornire:

  • informazioni sull’esistenza di decisioni automatizzate, compresa la profilazione, di cui all’articolo 22, paragrafo 1″;
  • informazioni significative sulla logica applicata, nonché sul significato e sulle conseguenze previste di tale trattamento per l’interessato”.

I seguenti tipi di spiegazioni sono al centro delle attuali ricerche sull’IA spiegabile:

  • Spiegazione del modello, cioè la spiegazione globale di un sistema IA opaco attraverso un modello interpretabile e trasparente che cattura pienamente la logica del sistema opaco;
  • Ispezione del modello, cioè una rappresentazione che rende possibile la comprensione di alcune proprietà specifiche di un modello opaco o delle sue previsioni;
  • Spiegazione dell’esito, ovvero un resoconto dell’esito di un’IA opaca in un determinato caso.

Tuttavia, è improbabile che le informazioni fornite al pubblico siano sufficienti per ottenere una comprensione adeguata ad individuare potenziali problemi, disfunzioni, ingiustizie.

Ciò presupporrebbe l’accesso al modello algoritmico, o almeno la possibilità di sottoporlo a test approfonditi e, nel caso di approcci di machine learning, l’accesso al set di formazione del sistema.

Articolo 15, GDPR: Il diritto di accesso

Un aspetto fondamentale della trasparenza (e di conseguenza della responsabilità) consiste nel diritto degli interessati di accedere alle informazioni sul trattamento dei loro dati.

Gli interessati, ai sensi dell’articolo 15 GDPR, hanno il diritto di ottenere dal titolare del trattamento la conferma dell’esistenza o meno di dati personali che lo riguardano e, in caso affermativo, l’accesso ai dati personali ed alle informazioni sul loro trattamento.

L’articolo 15, paragrafo 1, lettera f), disciplina in modo specifico il processo decisionale automatizzato, richiedendo al responsabile del trattamento di fornire informazioni riguardanti l’esistenza di un processo decisionale automatizzato” e “informazioni significative sulla logica del trattamento, nonché sul significato e le conseguenze di tale trattamento per l’interessato.

Articolo 17, GDPR: Il diritto di cancellazione (diritto all’oblio)

Il diritto di cancellazione (o diritto all’oblio) consiste nel diritto dell’interessato di “ottenere dal responsabile del trattamento la cancellazione dei dati personali che lo riguardano senza indebito ritardo”, quando non sussistano più le condizioni per un trattamento lecito.

Tuttavia, la cancellazione dei dati utilizzati per costruire un modello algoritmico può rendere difficile o impossibile dimostrare la correttezza di tale modello.

Articolo 19, GDPR: Il diritto alla portabilità

L’interessato ha il “diritto di ricevere i dati personali che lo riguardano e che ha fornito ad un responsabile del trattamento in un formato strutturato, comunemente usato e intellegibile da un computer” e “di trasferire i dati ad altri responsabili del trattamento”.

Non è facile determinare la portata di questo diritto per quanto riguarda l’elaborazione basata sull’IA.

In primo luogo, occorre stabilire se i dati “forniti” dalla persona interessata riguardano solo i dati inseriti dalla persona interessata (ad esempio, la digitazione dei suoi dati) o anche i dati raccolti dal sistema per il monitoraggio dell’attività della persona interessata.

In secondo luogo, occorre determinare se il diritto riguarda anche i dati desunti dai dati raccolti relativi alla persona interessata.

Articolo 22, GDPR: Il processo decisionale automatizzato

L’articolo 22, disciplinante il processo decisionale automatizzato, è uno degli articoli più rilevanti per l’AI.

Questa disposizione, infatti, combina un divieto generale di prendere decisioni in modo automatizzato, con ampie eccezioni.

Il primo paragrafo dell’articolo 22 prevede il diritto generale di non essere soggetti a decisioni completamente automatizzate che incidono in modo significativo sull’interessato: “l’interessato ha il diritto di non essere sottoposto a una decisione basata esclusivamente su un trattamento automatizzato”.

Anche se questa disposizione fa riferimento ad un diritto, non prevede un diritto di opposizione alle decisioni automatizzate, ossia non presuppone che le decisioni automatizzate siano in generale ammissibili finché l’interessato non vi si opponga.

Essa introduce piuttosto un divieto per i responsabili del trattamento.

Per l’applicazione del divieto stabilito dall’articolo 22, paragrafo 1, sono necessarie quattro condizioni: (1) deve essere presa una decisione, (2) deve essere basata esclusivamente su un trattamento automatizzato, (3) deve includere la profilazione, (4) deve avere effetti legali o comunque significativi.

Come detto precedentemente, il paragrafo 2 dell’articolo 22 prevede tre ampie eccezioni al paragrafo 1.

Esso stabilisce che il divieto di prendere decisioni automatizzate non si applica quando il trattamento su cui si basa la decisione

  • è necessario per la stipula o l’esecuzione di un contratto tra l’interessato e un responsabile del trattamento;
  • è autorizzato dalla legislazione dell’Unione o degli Stati membri alla quale il responsabile del trattamento è soggetto e che stabilisce anche misure adeguate per salvaguardare i diritti e le libertà dell’interessato e i suoi interessi legittimi;
  • si basa sul consenso esplicito dell’interessato.

Articolo 24, GDPR: Responsabilità del controllore

L’articolo 24, sulla “Responsabilità del controllore”, prevede che il controllore debba attuare misure tecniche e organizzative adeguate per garantire e dimostrare che il trattamento sia effettuato in conformità del presente regolamento”.

Tali misure devono essere “riesaminate e aggiornate, se necessario”.

Per quanto riguarda le applicazioni di IA, le misure comprendono controlli sull’adeguatezza e sulla completezza dei set di formazione, sulla ragionevolezza delle inferenze, sull’esistenza di cause di pregiudizio e di iniquità.

Articolo 37, GDPR: Responsabili della protezione dei dati

L’articolo 37 impone ai responsabili del trattamento di designare un responsabile della protezione dei dati quando si impegnano in operazioni di trattamento che, per la loro natura, la loro portata e/o le loro finalità, richiedono un controllo regolare e sistematico degli interessati su larga scala, o quando trattano su larga scala dati sensibili o dati relativi a condanne penali.

Questa disposizione è rilevante per l’IA, poiché diverse applicazioni basate sull’IA si basano su serie di dati raccolti a seguito del monitoraggio del comportamento della persona interessata (ad esempio, il suo comportamento online, o il suo comportamento di guida, ecc.).

In questi casi sarebbe probabilmente utile una revisione interna specializzata e imparziale.

Conclusioni

In molti sostengono che il GDPR sarebbe incompatibile con l’IA e i big data, dato che il GDPR si basa su principi quali, limitazione delle finalità, minimizzazione dei dati, trattamento speciale dei “dati sensibili”, limitazione delle decisioni automatiche, che per loro natura vengono giudicati incompatibili con l’uso estensivo dell’IA, applicato ai big data.

Di conseguenza, l’UE sarebbe costretta a rinunciare all’applicazione del GDPR o a perdere la corsa contro quelle economie basate sull’informazione – come gli USA e la Cina – che sono in grado di fare pieno uso dell’IA e dei big data.

Tuttavia, è stato dimostrato, nelle pagine precedenti, che è possibile attuare un’interpretazione del GDPR tale da far conciliare entrambe le necessità: proteggere i dati soggettivi, da un lato, e consentire applicazioni utili dell’IA, dall’altro.

È vero che il pieno dispiegamento del potere dell’IA e dei big data richiede la raccolta di grandi quantità di dati riguardanti gli individui e le loro relazioni sociali, e che richiede anche l’elaborazione di tali dati per scopi non pienamente determinati al momento della raccolta dei dati.

Detto questo, una serie di problemi circa la protezione dei dati relativi all’IA non trovano una risposta esplicita nel GDPR, il che può portare a incertezze e costi, e può inutilmente ostacolare lo sviluppo di applicazioni di IA.

Ai responsabili del trattamento e alle persone interessate dovrebbero essere fornite indicazioni su come l’IA può essere applicata ai dati personali in modo coerente con il GDPR e sulle tecnologie disponibili in tal senso.

Ciò può prevenire i costi legati all’incertezza giuridica, migliorando al contempo la conformità.

I principi fondamentali della protezione dei dati, in particolare la limitazione e la minimizzazione delle finalità, devono essere interpretati in modo tale da non escludere l’utilizzo di dati personali per scopi di apprendimento automatico.

Essi non dovrebbero precludere la formazione di set di formazione e la costruzione di modelli algoritmici, ogni qualvolta i sistemi di IA che ne derivano siano socialmente vantaggiosi e conformi ai diritti sulla protezione dei dati.

1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Loading...

Lascia un commento

Your email address will not be published.