Il trend tecnologico degli ultimi anni ha visto l’avanzare dell’intelligenza artificiale (IA) come uno dei maggiori protagonisti sul campo. In questo ambito rientrano i Big Data, il riconoscimento delle immagini (tra cui, ad esempio, il riconoscimento facciale), l’elaborazione del linguaggio naturale, le automobili dotate di sistemi di auto-guida, i sistemi aerei semi-autonomi, le macchine autonome, gli smart contracts, la domotica e l’loT. E la lista potrebbe continuare, questi sono solo alcuni dei principali ambiti di ricerca di un settore in rapidissima ascesa.
Al di là degli indubbi benefici economico-sociali, evidente è l’impatto che tutto ciò ha nel campo della protezione dei dati personali, specialmente per quanto concerne l’ambito della liceità, correttezza e trasparenza del trattamento.
Alcune domande da porsi:un
Cosa accadrà (accade) quando le decisioni relative ad un trattamento saranno (sono) governate autonomamente da una intelligenza artificiale che di fatto deciderà (decide) in merito alle finalità e modalità del trattamento e che, quindi, si configurerà (configura) come soggetto titolare autonomo dello stesso?
Cosa accadrà (accade) quando il rapporto titolare-interessato non sarà (è) più tra due persone “naturali”? Per esercitare i propri diritti, ricevere una spiegazione, esprimere la propria opinione ecc. anche e soprattutto quando determinate decisioni saranno (sono) prese e basate su enormi combinazioni di dati?
Le riflessioni in questo contesto potrebbero partire, anzitutto, dal principio secondo il quale (principio ora all’interno del nuovo Regolamento Generale sulla Protezione dei Dati – GDPR – all’art. 22) gli individui hanno il diritto di non essere oggetto di una decisione basata esclusivamente su un trattamento automatizzato ad eccezione dei casi in cui questa non sia imposta dalla legge, derivante da un obbligo contrattuale o giustificata dal consenso esplicito del soggetto.
Inoltre, il consenso informato, che è necessario raccogliere presso l’interessato da parte del titolare del trattamento, è un altro principio importante che rischia di essere aggredito dalla IA (principio previsto dal GDPR all’art. 7). Tale consenso può non essere facile da raccogliere quando il processo è governato da una IA, in particolare quando il processo di raccolta del consenso si basa su insiemi predefiniti di istruzioni non adeguatamente preimpostati.
Non è un segreto il fatto che una delle principali fonti di elaborazione per l’IA siano i Big Data Analytics, la combinazione di enormi volumi di informazioni di diversa provenienza. Quantità di dati ricavati anche dal monitoraggio del comportamento umano, collettivo ed individuale, che si mescola con la potenza predittiva della IA. La relazione tra IA e Big Data è bidirezionale. Da un lato IA ha bisogno di una grande quantità di dati da analizzare, dall’altro i Big Data utilizzano tecniche di IA per estrarre valori predeterminati da tali dati.
Un aspetto fondamentale è poi la correttezza ed l’esattezza dei dati, altro principio previsto dalla legge, che con IA può essere complicato rispettare per diversi fattori. Già oggi le organizzazioni sentono la necessità, per motivi commerciali, di nascondere e mantenere segrete le logiche su come i dati vengano elaborati e trattati. Domani la difficoltà sarà evidente quando per fornire una spiegazione in tale contesto occorrerà fare riferimento ad un algoritmo di IA, magari creato dalla IA stessa, usando la logica di ragionamento di una macchina, che potrebbe non essere comprensibile per gli umani. Inoltre, dato che i Big Data hanno ancora un margine alto di distorsione dei dati in ingresso, IA potrebbe apprendere da informazioni non corrette, su cui vengono prese successive decisioni che possono generare un circolo vizioso di operazioni di trattamento errate auto generate.
Cosa è opportuno fare oggi per prevenire problematiche in futuro?
Una maggiore trasparenza nella progettazione e nell’utilizzo dell’intelligenza artificiale è senza dubbio necessaria. L’ideazione e lo sviluppo delle architetture hardware e software della IA dovrebbero essere governati e resi conformi a tutti gli obblighi previsti dalla legge, dal principio della data protection e della security by design, alle misure di sicurezza tecniche e organizzative, alle valutazioni di rischio e d’impatto ecc. Tutti obblighi previsti già dal nuovo GDPR, regolamento che quindi può rispondere già concretamente alla esigenze di creare e immettere sul mercato prodotti e servizi IA conformi alla legge e che non comportano rischi per gli individui.
Anche perché, occorre chiedersi, le scelte a monte sui meccanismi e gli automatismi di operatività della IA chi le compie? Chi determina cosa poi, a valle, accade quando il meccanismo ideato produce un effetto con conseguenti responsabilità? Il software, l’hardware, gli algoritmi, solo astrattamente sono “neutri” poiché perdono tale neutralità ove producano degli effetti negativi sugli individui quale risultato dell’applicazione di tali automatismi basati su criteri prescelti.