Le questioni legate alla data protection nell’ambito dei sistemi di intelligenza artificiale devono essere gestite in maniera adeguata, con particolare riferimento alla necessità di prestare attenzione alle basi giuridiche e alle finalità. Vediamo quali sono ulteriori aspetti da tenere in considerazione oltre a quelli già trattati in questo precedente articolo.
Corretta identificazione di titolari e responsabili
I trattamenti di dati personali posti in essere mediante sistemi AI comportano il coinvolgimento di numerosi soggetti (fornitori dei servizi, progettisti / designer, eventuali terzi ai quali i dati sono trasferiti, ecc.).
La presenza di tali numerosi soggetti rende talvolta difficoltosa l’identificazione del ruolo da essi svolto – anche in modo sostanziale – a livello di struttura privacy: è arduo comprendere se un soggetto svolge il ruolo di titolare (con predisposizione autonoma di mezzi e finalità del trattamento) o di responsabile (con trattamento posto in essere per conto di un titolare).
Nello specifico, la questione si pone per i soggetti che dovrebbero essere responsabili del trattamento, ma in realtà utilizzano i dati e le informazioni elaborate anche per finalità proprie (si pensi ad esempio ai terzi che elaborano i dati provenienti da più sistemi AI).
Ciò si può tradurre in una situazione di incertezza anche tra soggetti coinvolti nel medesimo trattamento: alcuni soggetti potrebbero erroneamente fare affidamento su altri per l’espletamento di specifici compiti e adempimenti dalle leggi applicabili in materia di data protection.
Molteplicità di informazioni e dati trattati
I sistemi AI, per loro stessa natura, aggregano molteplicità di informazioni, recepite durante la loro operatività. A ciò si aggiunga che possono interagire con altri e ulteriori sistemi AI, condividendo quantità di dati e informazioni ancora più elevate. Da ciò deriva che un singolo sistema AI può disporre di dati complessi circa le abitudini di vita e di consumo degli utilizzatori (anche esulanti dalle finalità e destinazioni cui il sistema AI è preordinato).
Addirittura, l’aggregazione di informazioni di per sé apparentemente “innocue” può consentire di elaborare dati appartenenti a categorie particolari ai sensi dell’art. 9 del GDPR – es. stato di salute, convinzioni politiche o religiose, vita sessuale – con il risultato di realizzare una eccessiva, e talvolta illecita, intrusione nelle vite degli interessati.
Audit e controlli
Lo svolgimento di audit e controlli nei confronti dei soggetti che, in qualità di titolari o responsabili, sono coinvolti nei trattamenti di dati personali posti in essere mediante sistemi AI, non è agevole.
Ciò è dovuto in parte a limitazioni di natura tecnologica, dovute cioè alle difficoltà di lettura degli algoritmi posti alla base del funzionamento dei sistemi AI, e in parte a mere scelte di opportunità di fornitori di servizi AI.
Di conseguenza, non sono facilmente disponibili informazioni sulle modalità di funzionamento dei sistemi AI e soprattutto sui mezzi e criteri di trattamento di dati personali da parte di questi.
Da ciò deriva una sensazione di “impenetrabilità” dei sistemi AI, anche in violazione di disposizioni contrattuali o normative (si pensi ad esempio ai diritti di audit previsti nell’ambito di rapporti contrattuali, o ai diritti garantiti all’interessato ai sensi del GDPR).
