Jonathan Turley è ordinario di diritto costituzionale presso la George Washington University Law School. ChatGPT menziona sul suo conto un inesistente articolo del Washington Post che lo accusa di molestie sessuali verso studenti, di cui non è mai stato in realtà accusato, avvenute durante un viaggio in realtà mai fatto, quando insegnava presso una sede nella quale non ha mai insegnato.
La vicenda, che mi pare appropriato definire “kafkiana” per l’improvvisa sostituzione della realtà con una farsa grottesca, rientra tra quei fenomeni noti come “allucinazioni” dell’intelligenza artificiale generativa. A volte le allucinazioni sono solo bizzarre, altre volte, come nel caso Turley, estremamente gravi.
Tutti, credo, cogliamo il rischio dell’immissione di notizie come quella descritta nel grande fiume nella rete. Sappiamo che cosa accadrebbe: l’informazione diverrebbe vera per autoconferma da ripetizione, la vittima si troverebbe a giustificarsi per qualcosa che non è mai successo, resterebbero anche nella migliore delle ipotesi conseguenze reputazionali e sospetti, sarebbero incisi in profondità e forse irrimediabilmente gli equilibri psicofisici e relazionali. Cicatrici.
Quando l’allucinazione riguarda una persona fisica, siamo nel dominio del diritto alla protezione dei dati personali. Ecco, partiamo da qui.
Le tutele dell’articolo 22 del GDPR
L’articolo 22 GDPR offre una protezione formidabile, stabilendo un divieto generale di essere sottoposti a decisioni significative unicamente basate su un processo automatizzato, divieto che trova oggi il suo ambito applicativo più pregnante proprio nel settore dell’intelligenza artificiale.
Tornando allo scenario generativo d’apertura, credo si possa convenire che la creazione ex novo di elementi incidenti nella sfera giuridica di qualcuno sia qualificabile come “decisione” automatizzata su una persona. Né mi pare seriamente contestabile la natura “significativa” di tale decisione tutte le volte che siano toccati profili reputazionali. Sussistono cioè di primo acchito gli elementi qualificanti per l’innesco della norma citata.
Perciò, nel caso esaminato si apprezza chiaramente la differenza tra l’essere sotto lo scudo del GDPR e l’esserne fuori, come è probabilmente per il professor Turley. È un baluardo l’art. 22, da tenere ben custodito.
Alle origini dell’istituto giuridico
Ma da dove ci viene un istituto giuridico oggi così prezioso? Dall’era mesozoica del diritto digitale. La disposizione, infatti, nel suo nucleo essenziale, era già presente nella direttiva 95/46, precisamente all’art. 15.
Questo mi pare ci indichi due cose: la prima è che si riusciva a scrivere nel 1995 testi lungimiranti e resilienti, poiché basati su principi e astrazioni.
La seconda è che una formulazione così remota esige una revisione, che ne adatti il nucleo di tutela e la ratio profonda al nuovo scenario tecnologico che ha fatto irruzione nelle nostre vite. Sono certo che rispetto all’intelligenza artificiale e a quella generativa in particolare si parlerà di un prima e di un dopo, come per tanti spartiacque della storia. Ammesso che un dopo ci sia, visto che voci autorevoli ne dubitano, come il dr. Geoffrey Hinton, per dieci anni figura centrale in Google Brain.
Dunque, noi abbiamo l’articolo 22 GDPR, ma la disposizione, pur robusta, presenta molte vulnerabilità note, che rendono particolarmente auspicabile una revisione normativa. Una delle più evidenti sta nell’avverbio “unicamente”, che è come un interruttore che accende o spegne la tutela, nel senso che basta un intervento umano significativo e l’art. 22 non si applica.
Perché è necessaria la revisione dell’art. 22 del GDPR
La realtà è invece più complessa, ci sono vari livelli di automazione e vari livelli di coinvolgimento umano significativo, occorre comprendere il contesto, l’influenza della decisione automatizzata sul fattore umano, che può essere condizionato dalle attese nel contesto lavorativo, dall’eccessiva fiducia sulla correttezza del sistema di intelligenza artificiale (overreliance), da paradigmi culturali come il cd. “AI parternalism”. Dunque, vedrei opportuna una ricalibratura dell’art. 22 GDPR, ovviamente non nel senso di un’elisione degli attuali diritti dell’interessato: occorre mantenere almeno lo stesso livello di protezione e tuttavia incorporare il riferimento a una realtà che è certamente più sfaccettata di quella immaginata nel 1995 e ripresa con scarse variazioni nel 2016. Una parte di questo compito di precisazione potrebbe svolgerlo la giurisprudenza, ma non attenderei la giurisprudenza.
Un altro punto su cui mi pare opportuno un intervento correttivo abbasta urgente sono le esenzioni all’articolo 22 GDPR, in particolare quella che interviene quando le decisioni unicamente basate su trattamento automatizzato siano autorizzate da disposizioni normative, pur nel rispetto di misure adeguate.
L’esenzione di cui beneficiano gli algoritmi consentiti dalla legge è formulata attualmente in termini davvero ampi, che la rendono assimilabile a un bug nel codice del diritto. Quella è cioè la porta da cui entrano iniziative che desidereremmo tenere fuori.
Il diritto alla spiegazione
Soprattutto mi pare sia maturo il momento per integrare nel GDPR un ampio e ben dettagliato diritto di ottenere una spiegazione nel caso trattamenti automatizzati. Beninteso, tale diritto è già presente nel suo nucleo essenziale. Si trova infatti menzionato al considerando 71 e previsto agli articoli da 13 a 15, eppure – anche qui – in collegamento con l’art. 22. Assume la forma di diritto a ottenere informazioni significative sulla logica e sulle conseguenze previste del trattamento.
Per ragioni di spazio e di sede, non mi soffermo sulle opinioni contrarie in dottrina in merito all’asserita non ravvisabilità del diritto alla spiegazione nel GDPR, anzi osservo in senso opposto che mi pare presente un diritto generale alla spiegazione, dunque più ampio della casistica citata e deducibile dall’impianto generale del Regolamento, anche al di fuori del rapporto con l’art. 22, segnatamente quale sviluppo dei principi di correttezza e di trasparenza.
Tuttavia, si converrà che ben diverso sarebbe l’effetto di una formalizzazione netta e dettagliata, che ne precisi la portata e gli elementi minimi indispensabili da rendere in un contesto di intelligenza automatizzata.
È vero che alcune soluzioni di deep learning costituiscono per gli stessi sviluppatori delle black box, ma non mi pare che da ciò possa derivare un regresso del diritto: i prodotti a disposizione del pubblico o incidenti sulle persone devono essere sicuri e devono essere spiegabili. Se non lo sono non li utilizzi.
La tecnologia deve adattarsi ai diritti fondamentali e al valore della persona, non il rovescio, se non vogliamo accettare regressi, forse irreversibili, di cultura e di tutela.
Del resto, una parte del settore tecnologico ritiene possibile sviluppare soluzioni che siano ampiamente explainable-by-design. Affinché si investa realmente in tale direzione occorre crearne in modo forte l’esigenza, occorre cioè l’introduzione normativa di precisi obblighi, in maniera evidentemente più rigorosa rispetto al quadro attuale.
Ma perché è così importante la spiegazione? Perché la spiegazione rimette al centro la persona
Si parla continuamente di collocare la persona al centro dell’intelligenza artificiale, non deve rimanere uno slogan. Bene, la creazione di sistemi explainable-by-design serve appunto a questo, riequilibra in parte un versante del rapporto tra individuo e macchina, consentendo anche di perimetrare, contestare e provare in maniera più precisa gli elementi di violazione di decisioni automatizzate contrarie al diritto, imputandone con maggiore precisione le responsabilità.
Prendiamo per esempio un caso ampiamente dibattuto, quello dell’infausto sistema di machine learning utilizzato nei Paesi Bassi per l’individuazione di frodi in ambito fiscale, risultato gravemente discriminatorio ai danni di donne e migranti.
Bene, solo aprendo la black box e analizzando i proxy individuati e i pesi ad essi attribuiti è stato possibile esporre in modo chiaro e circostanziato il bias e contestare in maniera esatta il modello: puoi ritenere che la piattaforma violi soggetti vulnerabili, ma puoi incontrare enormi difficoltà nel dimostrarlo. Se un processo è comprensibile diventa anche contestabile.
Conclusioni
In definitiva, allo stato attuale il GDPR mi pare continui a offrire il più solido e avanzato corpo di riferimento normativo a tutela della persona, anche rispetto alle innovazioni dirompenti nel settore AI a cui stiamo assistendo. È tuttavia chiaro che gli istituti del Regolamento vanno aggiornati e integrati, almeno rispetto all’articolo 22, a un dettagliato diritto alla spiegazione e, aggiungerei, all’introduzione di un obbligo di pubblicare le valutazioni d’impatto (DPIA) nel caso di applicazioni di AI potenzialmente incidenti sui diritti fondamentali, facendole condurre da terze parti. Se le pubblichi devi svolgerle, e devi farlo bene, perché sono sotto gli occhi di tutti.
Gli istituti del GDPR sono come le vecchie mura teodosiane di Costantinopoli nel XV secolo, un sistema possente, che rischia tuttavia di essere superato da specifici avanzamenti tecnologici, se non lo si rafforza strutturalmente con iniezioni normative calibrate sul nuovo con cui ci confrontiamo.
Peraltro, non si può sottacere la delusione del corpo di regole studiato ad hoc per disciplinare i sistemi basati sull’intelligenza artificiale, ossia l’AI Act. Avrebbe dovuto costituire il principale strumento normativo per collocare nell’alveo del diritto il settore emergente, essere dunque il primo motore giuridico, e invece la proposta iniziale si è rivelata mal progettata e del tutto carente, lontanissima dalle attese. E se parti da molto lontano, anche con tutti gli emendamenti possibili non arriverai probabilmente dove dovresti.
Addirittura, non era inizialmente contemplato un diritto alla spiegazione, né specifici mezzi di tutela dell’interessato, i sistemi di intelligenza generativa erano stati del tutto sottovalutati, risultavano consentite applicazioni distopiche, come il riconoscimento emotivo e la categorizzazione biometrica, giusto per citare una piccola porzione dei problemi, tanto da fare apparire il nuovo corpo normativo piuttosto come un Black Mirror Act. La stroncatura congiunta dell’EDPS-EDPB del giugno 2021 costituisce, sotto il velo del garbo istituzionale, una bocciatura durissima.
Si è recentemente intervenuti sulla proposta con una serie di correzioni frenetiche, in parte trapelate, smussate tuttavia dal compromesso politico e dal livello assai deficitario del testo di partenza. Mentre attendiamo tutti di leggere la versione definitiva (non ancora disponibile al momento in cui si scrivono queste righe), la sensazione è che, anche nel settore dell’AI, dovremo ancora a lungo contare sulle tutele fornite dal GDPR, da considerare lex specialis, dunque prevalente.
Soprattutto, uno strumento chiave sul cui metro giudicare la liceità dei sistemi di intelligenza artificiale sarà sempre più la valutazione d’impatto ex art. 35 GDPR, la DPIA, che dovrebbe a rigor di legge considerare anche e soprattutto l’incidenza sui diritti fondamentali anziché limitarsi, come spesso si è constatato, a una mera rassegna di cybersecurity.
Il presente articolo è una rielaborazione, su cortese invito dell’organizzazione del Privacy Symposium di Venezia, dell’intervento tenuto dall’autore il 18 aprile 2023 alla tavola rotonda su AI e Privacy.
