diritto dei dati

Accuracy: come interpretarla, dal GDPR all’AI Act

Home
Indirizzo copiato

L’Accuracy è un requisito presente nel diritto dei dati personali e intelligenza artificiale. Percapire e distinguere le implicazioni normative serve un’attenta analisi. Ecco i punti più importanti da prendere in considerazione

Pubblicato il 25 set 2023
Elisabetta Biasin

Researcher Centre for IT & IP Law

Accuracy: come interpretarla dal GDPR all’AI Act
Accuracy: come interpretarla dal GDPR all’AI Act

L’AI Act, proposto dalla Commissione Europea nell’aprile 2021 e attualmente nella fase di triloghi, è ormai quasi certo che sarà approvata verso la fine del 2023. Dopo la sua entrata in vigore, si renderà necessario l’adeguamento ai suoi requisiti normativi.

A questo punto entra in gioco il requisito dell’accuratezza – anche noto come accuracy. Ecco gli elementi di novità e differenziazione rispetto ad altri requisiti esistenti e affini in altre normative come il GDPR.

Il concetto di accuracy nel diritto e le sue implicazioni concrete

L’accuracy è intesa in modi diversi (soprattutto nei contributi in lingua inglese) con una pluralità di significati. Conosciamo la data accuracy intesa come principio di esattezza nel GDPR, e conosciamo altre “accuracy”, come il requisito di accuratezza dell’AI Act. Altri riferimenti sulla parola “accuracy” si trovano anche in testi di diritto sanitario, finanziario, assicurativo, relativo alla proprietà intellettuale, dei trasporti – sono per citare alcuni riferimenti – ognuno con un significato ed una portata diversa.

La data accuracy nel GDPR

La data accuracy intesa nel GDPR riflette il principio di esattezza dei dati. Si tratta di uno dei principi cardine sul trattamento dei dati personali. L’articolo 5(d) del GDPR prevede che i dati personali siano esatti e se necessario, aggiornati. Devono inoltre essere adottate tutte le misure ragionevoli per cancellare tempestivamente i dati inesatti rispetto alle finalità per le quali sono stati trattati.
Nella letteratura accademica europea il principio di esattezza non ha ricevuto molta attenzione – o almeno non tanto quanto altri principi come quello di trasparenza o correttezza. Nondimeno, il principio è stato applicato nel diritto della protezione dei dati. Uno dei casi più interessanti riguarda la vicenda di ChatGPT presso il Garante per la Protezione dei Dati Personali (GPDP).
Nel provvedimento del 30 marzo 2023 il GPDP ha ad esempio osservato che il trattamento dei dati personali degli interessati “risultasse inesatto, in quanto le informazioni fornite da ChatGPT non sempre corrispondevano al dato reale”. Ci sono stati casi anche a livello europeo che hanno contribuito ad interpretare il principio di esattezza. Uno dei più recenti è stato nel caso C-460/20 (Google), in cui si discuteva sul diritto all’oblio per i “dati manifestamente inesatti” contenuti all’interno dei motori di ricerca.

I problemi legati all’inesattezza dei dati

L’inesattezza dei dati può comportare effetti negativi in alcune situazioni. È il caso della
mancata esattezza dei dati. Per esempio, nel contesto di un processo decisionale
utomatizzato o di profilazione, se i dati utilizzati non sono esatti qualsiasi decisione o profilo che ne deriverà sarà viziato (WP29). Tuttavia anche dati “troppo esatti” potrebbero avere effetti negativi. In un paper del 2018, Chen ha parlato dei pericoli dietro questo rischio spiegando che anche “troppa esattezza” può essere invasiva per la sfera personale individuale, e può comportare il rischio di nuove forme di discriminazione e invasione della privacy.

L’accuracy nell’AI Act

La data accuracy tuttavia non deve essere confusa con l’AI accuracy. Nella proposta di AI Act, l’accuratezza è un requisito normativo per i sistemi IA ad alto rischio. Secondo l’Articolo 15, i sistemi di IA ad alto rischio devono essere progettati e sviluppati in modo tale da conseguire, alla luce della loro finalità prevista, un adeguato livello di accuratezza, robustezza e cibersicurezza e da operare in modo coerente con tali aspetti durante tutto il loro ciclo di vita. Il comma 2 dell’Articolo 15 specifica poi che i livelli di accuratezza e le pertinenti metriche di accuratezza dei sistemi di IA ad alto rischio debbono essere dichiarati nelle istruzioni per l’uso che accompagnano il sistema.

L’AI Act approvato dal Parlamento UE: luci e ombre di un Regolamento di portata storica

I problemi legati all’inaccuratezza dell’IA

Il considerando 38 della proposta AI Act spiega che i sistemi di IA, quando non accurati, oppure quando non addestrati con dati di elevata qualità o non robusti può individuare le persone in modo discriminatorio o altrimenti errato o ingiusto. Da qui l’importanza di sussumere tali sistemi nella categoria ad alto rischio e sottoporli ai requisiti di accuratezza. Questo considerando faceva riferimento alle azioni delle autorità di contrasto, ma può essere utilizzato come una delle possibili esemplificazioni sui danni legati all’inaccuratezza dell’IA. Nel corso degli ultimi
anni si è parlato moltissimo di bias e di processi automatizzati di IA che hanno amplificato i già esistenti rischi di discriminazione. Proprio a questo riguardo il testo del regolamento spiega l’importanza di soddisfare i requisiti minimi di accuratezza per i sistemi di IA.

AI Act, Panetta: “Ecco la via per una tecnologia al servizio dell’umanità”

Altri esempi: l’ambito sanitario

È utile riportare altri esempi di accuracy. Nell’ambito sanitario è il caso dei dispositivi medici, dove l’accuracy è riferita ai requisiti generali di sicurezza e prestazione che tali tecnologie mediche debbono rispettare una volta messe in commercio. Le regole nel diritto dei dispositivi medici variano in base alla tipologia di device, ma il principio di base è che le prestazioni dei dispositivi debbono rispondere ai parametri che sono stati dichiarati dai fabbricanti.
Come nel diritto dei dati e dell’IA, anche nell’ambito dei dispositivi medici la mancata
accuratezza può avere conseguenze negative per le persone assistite. Prendiamo l’esempio dei pulsossimetri, che sono i dispositivi medici che venivano utilizzati durante la pandemia di COVID19 per individuare i sintomi o monitorare la salute delle persone assistite.

Numerosi studi hanno dimostrato che molti pulsossimetri non funzionavano in maniera corretta perché inaccurati nelle misurazioni di persone con pelle nera. Se poi si pensa che questi dispositivi potevano venire usati per effettuare il triage di pazienti nei momenti di maggiore emergenza, si comprende come uno degli effetti più concreti fosse la discriminazione e conseguente iniqua fornitura delle prestazioni sanitarie.

Discussione

L’AI Act è stato discusso sotto molti aspetti di rilievo sociale, come la qualità dei dati (trattati nell’articolo 12 del regolamento), bias e discriminazione. Tuttavia, poco è stato detto sui requisiti specifici di accuratezza. L’Irish Council for Civil Liberties (ICCL) nel 2022 ha prodotto un documento sugli errori tecnici dell’IA che trattava anche il profilo dell’accuratezza. In questo documento, l’ICCL aveva suggerito alcune modifiche molto importanti ed uno dei punti più rilevanti suggeriva di ascrivere l’accuracy alla più ampia categoria di sicurezza e prestazione dei sistemi di IA.
La proposta di ICCL è condivisibile, perché ascriverebbe l’accuracy ad una più ampia categoria (dove si potrebbe ricomprendere anche altri parametri tecnici importanti come la reliability o il false positive rate). L’ultima versione del Parlamento Europeo dell’AI Act ha accolto molte istanze presentate nel paper dell’associazione. Tuttavia l’Articolo 15 è stato modificato con una formulazione molto sbilanciata verso i requisiti di cybersecurity e lascia molto meno spazio agli elementi di sicurezza e prestazione.

I dubbi e la strada della conformità

Una volta approvato, i fornitori di sistemi di IA dovranno operarsi per assicurarsi di essere conformi ai requisiti dell’AI Act, e quindi anche i requisiti di accuratezza. Oltre all’Articolo 15, non ci sono altri riferimenti di rilievo nel regolamento che offrano maggior contesto o specificità.

Non è da escludere che possano sorgere dubbi su come interpretare queste previsioni.
Probabilmente le norme armonizzate o specifiche comuni della Commissione sull’AI Act rivestiranno un ruolo importante. Sarà anche possibile in futuro che si renda necessaria la pubblicazione di pareri o raccomandazioni da parte del Comitato Europeo per l’Intelligenza Artificiale (di prossima istituzione) sul questo ed altri temi.

Conclusioni

L’AI Accuracy è il nuovo requisito introdotto dal futuro AI Act e per i sistemi di IA ad alto rischio.
Anche se in alcune circostanze può essere visto come sovrapposto, questo requisito va distinto dalla data accuracy (il principio di esattezza) del GDPR. L’AI Act non è ancora giunto nella sua formulazione finale, e alcuni aspetti sono in corso di definizione. La versione finale del testo dovrebbe essere orientata ad intendere l’accuratezza come requisito di sicurezza e prestazione, in parallelo (e non subordinamente) ai requisiti di cybersicurezza per i sistemi di AI ad alto rischio.

Note

I finding di questo articolo provengono dal progetto dottorale ‘Reconsidering the
Conceptualisation of Accuracy as a Principle of Data Processing’ di Elisabetta Biasin presso il KU Leuven Centre for IT & IP Law e riceve finanziamenti dal progetto In Silico World (Grant Agreement No 101016503).

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • la guida

    ERP, ecco come supporta la supply chain e come scegliere il giusto software

    12 Mar 2024

    di Federica Maria Rita Livelli

    Condividi

  • servizi pubblici digitali

    App IO si evolve: identità digitale e servizi pubblici a portata di app

    07 Mar 2024

    di Simona Mercandalli

    Condividi

Prossimo

ERP, ecco come supporta la supply chain e come scegliere il giusto software

Articolo 1 di 3