Sebbene la normativa sulla protezione dei dati personali europea si ispiri al principio di neutralità tecnologica, per cui i principi in esso contenuti si applicano a qualsiasi tecnica utilizzata, l’intelligenza artificiale pone sfide nuove per l’interprete e per le aziende e i professionisti che sempre più oggi si avvicinano a tale utile strumento nello svolgimento delle attività riguardanti i settori più disparati.
Ma quali sono i punti di maggiore criticità nell’utilizzo dell’IA? Quali i rischi per gli interessati?
Esaminiamo tutti gli step che il titolare dovrà seguire per garantire la conformità del trattamento effettuato mediante strumenti di intelligenza artificiale alla normativa sulla data protection.
I moderni modelli di intelligenza artificiale (“IA”) sono divenuti parte integrante della nostra vita, sia nell’ambito privato che, soprattutto, in quello professionale, ove numerosi settori economici si affidano a tale strumento per prendere decisioni che hanno un impatto sulle persone.
Data protection e trattamenti automatizzati: la normativa Ue
La normativa sulla data protection, contenuta – tra le altre fonti nazionali – nel Regolamento (UE) 2016/679 (“GDPR”), estende i propri principi generali a tutti i trattamenti di dati personali, compresi quelli integralmente automatizzati, intesi come quelli effettuati da una “macchina” in assenza di intervento ad opera di una persona fisica. Proprio con riguardo all’utilizzo di tali processi decisionali automatizzati (a prescindere dalla finalità che questi perseguano), il GDPR ha fondato un sistema di tutele rafforzato per prevenire l’impatto ingiustificato sui diritti e sulle libertà degli interessati che ne potrebbe derivare.
La scelta del sistema di IA e la comprensione del suo funzionamento
Sembrerà banale, ma il primo step da effettuare (oltre che il più importante) è quello di scegliere in maniera oculata il sistema di IA da utilizzare.
Al boom dell’IA, nel mondo ha fatto seguito un’evoluzione esponenziale del mercato di strumenti di intelligenza artificiale e, in tal senso, l’approccio del legislatore europeo con l’approvazione del nuovo “AI Act” mira, in prima battuta, a fissare regole armonizzate per l’introduzione sul mercato, la messa in servizio e l’uso dei sistemi di IA.
Ma la scelta del prodotto, e così la valutazione in ordine alla sua conformità alla normativa privacy, rimane in capo al titolare del trattamento che, in ottica di accountability avrà il compito di avvalersi del sistema che offrirà maggiori garanzie e rispetto dei principi discendenti dal GDPR (in particolare con riguardo al principio di proporzionalità e minimizzazione del trattamento).
Si tratta, ad uno sguardo più approfondito, di una scelta complessa, che comporta un’attenta valutazione da parte del titolare, il quale dovrà, altresì, documentare le decisioni assunte, dal momento che i sistemi di IA funzionano, molto spesso, come motori decisionali opachi; giungono a conclusioni scarsamente motivate, prive di argomentazioni “trasparenti”.
Il titolare del trattamento dovrà, pertanto, necessariamente calibrare le proprie considerazioni in base a quali saranno i cosiddetti “dati di input” (vale a dire le informazioni date “in pasto” all’IA), e al modo in cui lo strumento elabora i dati.
Decisioni prese dall’IA, i possibili problemi
Allo stesso tempo, le decisioni assunte dall’IA, dunque il risultato dell’elaborazione potrebbero sollevare criticità in relazione a:
- explainability (o interpretabilità) dell’IA che, oltre a costituire un terreno di ricerca del tutto nuovo, diverrà un tassello essenziale ed imprescindibile, in quanto maggiore sarà la comprensione del funzionamento dell’IA, più incisiva sarà la consapevolezza di quali rischi possano derivare dal suo utilizzo;
- incertezza dell’IA, strettamente correlata al principio di esattezza dei dati personali (di cui all’art. 5 del GDPR), poiché la “data accuracy” dell’output fornito dal sistema di IA potrebbe incidere negativamente e direttamente sui diritti degli interessati (tema che è stato peraltro oggetto di un’analisi specifica all’interno della “Guidance on AI and data protection” pubblicate dall’ICO).
La fase appena illustrata (che inizia con l’individuazione e lo studio del funzionamento dell’IA e rinviene il proprio completamento nella valutazione delle specificità del trattamento) è, difatti, prevista dal GDPR nella norma cardine dell’art. 25 concernente i principi di “privacy by design” e “privacy by default”.
Il calcolo del rischio nella valutazione d’impatto
Come anticipato, il GDPR sancisce che i rischi più significativi per i diritti e le libertà delle persone fisiche si verificano quando un processo è completamente automatizzato, oppure quando tale sistema permetta di utilizzare i dati personali raccolti per “costruire” profili degli interessati; per tale motivo, l’art. 35 fa discendere un particolare adempimento in capo al titolare, ossia quello di svolgere una valutazione (documentata) dell’impatto (cd. “DPIA” – Data Protection Impact Assessment).
Tale adempimento diviene, peraltro, obbligatorio nell’ipotesi di cui al paragrafo 3, lett. a) dell’articolo in parola, allorché il trattamento abbia come finalità “una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche”.
Al di là dell’obbligatorietà o meno di tale adempimento, lo svolgimento di una valutazione d’impatto è, a tutti gli effetti, uno step necessario per il titolare del trattamento che voglia avvalersi di sistemi di IA (lo stesso Working Party art. 29, nelle Linee Guida sulla Valutazione d’impatto ha precisato che: “Una valutazione d’impatto sulla protezione dei dati può essere altresì utile per valutare l’impatto sulla protezione dei dati di un prodotto tecnologico, ad esempio un dispositivo hardware o un software, qualora sia probabile che lo stesso venga utilizzato da titolari del trattamento distinti per svolgere tipologie diverse di trattamento”).
Il trasferimento di dati personali verso Paesi terzi
Massima attenzione dovrà inoltre essere prestata, in fase di scelta del sistema di IA, alla circostanza che l’utilizzo di tale prodotto comporti un possibile trasferimento di dati personali verso paesi collocati al di fuori del territorio dell’Unione Europea.
Il Capo V del GDPR, come noto, subordina la liceità del trasferimento ad alcune condizioni, tra cui: l’adeguatezza del Paese Terzo o dell’organizzazione che sia riconosciuta tramite decisione della Commissione europea (art. 45 GDPR); ovvero, in assenza di tale decisione, che il responsabile del trattamento fornisca garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 GDPR – fanno parte di tali garanzie: gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici; le norme vincolanti d’impresa; le clausole contrattuali standard; codici di condotta (art. 46, par. 2, lett. e); meccanismi di certificazione (art. 46, par. 2, lett. f).
Nulla quaestio, laddove il trasferimento avvenga verso un paese terzo “coperto” da una decisione di adeguatezza; in caso negativo, come oggi avviene per i trasferimenti di dati personali verso gli Stati Uniti, sarà l’esportatore a dover considerare la liceità del trasferimento sulla base delle Clausole Contrattuali Standard (“SCC”), tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto dall’importatore.
L’obbligo di informativa e garanzia dei diritti privacy degli interessati
Il tema della trasparenza (o meglio, dell’opacità) dei sistemi dotati di IA è stato già preso in considerazione; basti qui precisare che il titolare del trattamento ha l’ulteriore compito di informare gli interessati, ai sensi degli artt. 13 e 14 del GDPR dell’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, di fornire informazioni significative sulla logica utilizzata, nonché sull’importanza e sulle conseguenze previste di tale trattamento per l’interessato (obblighi informativi che sono al pari previsti, per il caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati in ambito lavorativo ai sensi del novellato art. 1 bis D. Lgs. 152/1997, con la specificità che il datore di lavoro dovrà informare i lavoratori anche in merito alle categorie di dati e ai parametri principali utilizzati per programmare o addestrare – “calibrare” – i sistemi, inclusi i meccanismi di valutazione delle prestazioni; alle misure di controllo adottate per le decisioni automatizzate, agli eventuali processi di correzione e al responsabile del sistema di gestione della qualità; e al livello di accuratezza, robustezza e cybersicurezza e alle metriche utilizzate per misurare tali parametri, nonché agli impatti potenzialmente discriminatori delle metriche stesse).
Conclusioni
Ma ancora maggiori sfide saranno poste nel garantire il rispetto degli altri diritti dell’interessato, di accesso, rettifica, cancellazione e limitazione del trattamento, portabilità dei dati e opposizione. Lo stesso ICO, nella guida già menzionata, riconosce che il trattamento di dati personali attuato mediante l’intelligenza artificiale può rendere più difficile l’adempimento dei diritti individuali anzidetti.
