I più recenti chatbot basati sull’intelligenza artificiale possono essere programmati per ampliare e affinare le loro abilità. Tramite algoritmi che si basano sulla comprensione del linguaggio naturale (Natural language understanding, NLU) il bot è in grado di interpretare all’istante il significato di messaggi scritti e orali precedentemente classificati, dialogando con il proprio interlocutore.
La capacità di apprendimento dei chatbot
L’aspetto più innovativo delle chatbot è la sua continua capacità di apprendimento: più messaggi codifica, più interagisce con gli utenti, più si perfezionano le risposte e la comunicazione. Ed è questa capacità di apprendere, grazie all’addestramento che riceve dagli umani, che rende le chatbot uno strumento sempre più centrale in diversi servizi. Bisogna però considerare che servizi di questo genere, presentano, sotto il profilo della privacy particolari criticità, in primis in merito alle conseguenze che possono comportare sulla vita dei singoli individui, con particolare attenzione alle decisioni automatizzate.
Al riguardo dobbiamo tenere conto della regolazione già esistente prevista nel nostro Regolamento EU 2016/679 “GDPR”; grazie alla lungimiranza del nostro legislatore europeo tali previsioni sono già state normate, almeno nel loro vulnus a tutela dei diritti degli interessati. Difatti l’art 22 del predetto Regolamento prevede il diritto di comprendere (e contestare) la decisione assunta da un’applicazione intelligente rivolgendosi ad un intervento umano.
I rischi dell’autoapprendimento
Peraltro, anche se la verosimiglianza delle risposte e delle conversazioni prodotte dal software è elevata, per ammissione esplicita degli stessi programmatori, i risultati attuali soffrono ancora di evidenti difetti in termini di aggiornamento, precisione, bias cognitivi, errori. Meritano inoltre analisi approfondite nell’ambito di un approccio olistico la circostanza che rischi non banali provengono dalla capacità di auto apprendimento del software e quindi dalla potenziale possibilità che il processo di autoapprendimento possa approdare a conseguenze erronee, non prevedibili potenzialmente, tra l’altro, neanche dallo stesso programmatore che ha ideato gli algoritmi. Un ulteriore elemento da seguire con attenzione che coinvolge il trattamento dei dati personali, riguarda la straordinaria quantità di informazioni che vengono acquisite dalle società che gestiscono i chatbot e che vengono e verranno utilizzate da questi ultimi.
Conformità dei chatbot al GDPR, la task force EDPB
Per queste e altre considerazioni l’European Data Protection Board (EDPB) ha costituito un gruppo di lavoro per verificare la conformità dei chatbot di intelligenza artificiale rispetto al Regolamento generale sulla protezione dei dati (GDPR) dell’UE e coordinare le azioni da intraprendere dalle diverse autorità di protezione dei dati (DPA) per armonizzare l’applicazione delle norme. Difatti un elemento imprescindibile nell’analisi giuridica del fenomeno è la sua portata sovranazionale, globale e le soluzioni legislative o anche interpretative da parte degli operatori del diritto dovranno quanto meno muoversi all’unisono nel territorio unionale, posto che il legislatore europeo sempre più si sta dimostrando leader regolatorio nel mondo.
La task force dovrà occuparsi della raccolta di informazioni su iniziative per l’applicazione del GDPR in tema di addestramento di ChatGPT, favorendo la collaborazione fra i vari organi e muovendosi in forma preventiva nei confronti di altri garanti europei. Per rigore narrativo va rappresentato che la predetta iniziativa è sorta grazie alla dirompente presa di posizione della nostra Authority che lo scorso 31 marzo ha disposto il blocco di ChatGPT, richiedendo una serie di informazioni ed adempimenti in merito ad informativa, diritti degli interessati, utenti e non utenti, base giuridica del trattamento dei dati personali per l’addestramento degli algoritmi con i dati degli utenti. Da precisare che a seguito del predetto provvedimento OpenAI, la società che ha creato e gestisce il chatbot basato sull’intelligenza artificiale, ha dato seguito alle prescrizioni previste dalla Autorità ed il servizio è stato ripristinato il 29 aprile.
L’AI ACT della Commissione europea
Per tutte le precedenti considerazioni va da sé che in merito ai diversi aspetti connessi all’uso della intelligenza artificiale, che sempre più entreranno nella vita operativa delle imprese e delle PA, nonché dei singoli utenti sia nella veste di soggetti interessati sia di consumatori, i titolari pubblici e privati, si dovranno rifare in termini almeno di principi anche alla disciplina prossimamente applicabile dell’AI Act. Difatti il Parlamento europeo in data 14 giugno 2023 ha dato il via libera all’Artificial Intelligence Act, che regolerà l’Intelligenza Artificiale nel rispetto dei diritti e dei valori dell’Unione Europea: si tratta della prima proposta di un quadro normativo dell’UE sull’Intelligenza Artificiale.
In questo contesto, la Commissione Europea ha ritenuto necessario proporre che i sistemi di intelligenza artificiale, utilizzabili in diverse applicazioni siano analizzati e classificati in base a tre livelli di rischio (basso – medio – alto) che rappresentano per gli utenti. I diversi livelli di rischio comporteranno una maggiore o minore regolamentazione con conseguente divieto di utilizzo dei sistemi ad alto rischio. Pertanto, come anticipato con le nuove norme sull’AI oramai approvate ed entrate nella fase finale della negoziazione europea, si auspica che già prima della sua applicazione i maggiori stakeholder inizino come best practice a dare seguito ad alcuni principi quanto meno in merito ai principali requisiti di trasparenza. Conseguentemente andranno considerati oltre agli attuali requisiti previsti dal GDPR in termini di sicurezza del trattamento, tra cui la necessità di effettuazione della valutazione di impatto sulla protezione dei dati (DPIA) – la valutazione di eventuali misure di mitigazione, anche le indicazioni di prossima applicazione previste dalla normativa europea sulla IA generativa.
Sarebbe pertanto opportuno che, come anticipato, le imprese più importanti -con particolare riguardo a quelle da fare rientrare nei perimetri di interesse strategico nazionale e le Pubbliche Amministrazioni – che intendano avvalersi di servizi di Chatbot debbano rispettare i seguenti requisiti:
- rivelare che il contenuto è stato generato da un’intelligenza artificiale;
- verificare che il modello sia stato progettato in modo da impedire la generazione di contenuti illegali;
- pubblicare riepiloghi dei dati con diritti d’autore utilizzati.
Conclusioni
Per concludere la presente analisi, dopo avere rappresentato le principali implicazioni in termini di rischi degli interessati/consumatori, si pone tra l’altro il non banale tema risarcitorio che impone di considerare il profilo della responsabilità derivante da danni commessi da sistemi di IA. Chi risponderà di eventuali danni commessi dalla risposta/decisione erronea presa dal bot che opera in base a software di AI generativa? Resta fermo che deve essere sempre assicurato che qualcuno risponda delle decisioni assunte dall’assistente virtuale. Capire pertanto a chi dovranno essere addebitati gli eventuali danni, diventerà un tema oltre che normativo anche contrattuale, che andrà negoziato tra i fornitori e le imprese e dove purtroppo le piccole e medie imprese si troveranno in posizione di sudditanza rispetto ai grandi player fornitori della tecnologia.
