La relazione tra tutela della privacy e Intelligenza Artificiale (IA) richiede un approccio olistico che includa gli aspetti tecnici e di conformità giuridica, ma anche considerazioni di natura etica e strategica.
L’obiettivo dovrebbe essere quello di sfruttare le potenzialità dell’IA per il progresso tecnologico, garantendo al contempo che i diritti fondamentali alla privacy e alla protezione dei dati personali siano rispettati e salvaguardati.
L’interdipendenza strutturale fra AI e dati
Nel complesso e multiforme rapporto tra difesa della privacy e progresso tecnologico, l’utilizzo degli algoritmi di intelligenza artificiale costituisce il più recente ambito critico di interesse sia per le imprese che per i regolatori; l’intelligenza artificiale, con la sua capacità di utilizzare e analizzare grandi quantità di dati, ha dischiuso nuove frontiere nell’elaborazione e nella produzione informativa, portando ampi benefici in termini di efficienza e personalizzazione dei servizi. Tali processi dipendono interamente dall’utilizzo di grandi banche dati che permettono l’addestramento degli algoritmi e perfezionano poi il loro utilizzo per adattarlo alle esigenze specifiche di coloro che intendano servirsene. Vi è dunque un’interdipendenza strutturale fra AI e dati, anche personali, poiché, in ultima analisi, gli algoritmi dell’intelligenza artificiale non sono che un modo, radicalmente innovativo e dalle ampie potenzialità, di elaborare e conservare dati.
Trasparenza dei processi e dei dataset: l’impegno delle aziende di IA
Sullo sfondo del rapido sviluppo tecnologico dell’IA, le aziende coinvolte stanno preparando strategie improntate a un utilizzo responsabile dei dati personali incentrate sulla trasparenza dei processi e dei dataset utilizzati per l’addestramento, sullo sviluppo di sistemi per la privacy, dinamicamente adattati alle preferenze espresse dagli utenti, sulla sicurezza delle interazioni e la governance dell’IA.
È questo il caso di Microsoft che sta estendendo l’uso dell’IA ad alcuni suoi prodotti, come Bing, Copilot, Edge e lo stesso sistema operativo Windows, nel contesto di un dialogo continuativo con gli enti regolatori, nella duplice utilità di avere un pronto adeguamento alle ultime prescrizioni normative e, insieme, di fornire un banco di prova capace di mostrare come la tecnologia dell’IA si stia evolvendo e quali siano i suoi problemi emergenti.
La necessaria collaborazione tra aziende ed enti regolatori
Questa collaborazione tra aziende ed enti regolatori è la base per aggiornare e perfezionare la normativa esistente, alle prese con un fenomeno, quello dell’intelligenza artificiale, nuovo e in continuo divenire. Infatti, a oggi, sia gli Stati Uniti d’America che l’Unione Europea non posseggono una cornice legislativa definitiva per regolamentare la materia: infatti, gli USA hanno visto nell’ordine esecutivo emanato dal Presidente Biden il 30 ottobre 2023, una prima roadmap che prefigura le modalità e i tempi d’intervento nei diversi settori in cui questa nuova tecnologia opera.
In Europa, invece, è stato recentemente prodotto l’accordo tra Parlamento e Consiglio sul nuovo regolamento, noto come Artificial Intelligence Act (AI Act) che diverrà totalmente operativo entro due anni.
IA, il GDPR bussola per orientare le pratiche aziendali in fatto di privacy
Nell’attuale contesto normativo europeo, l’utilizzo della IA nell’ambito del trattamento dei dati personali è orientato dalle norme presenti del Regolamento Generale sulla Protezione dei Dati (GDPR).
Il bilanciamento raggiunto nel GDPR tra le spesso confliggenti esigenze dell’innovazione tecnologica, del mercato e del rispetto dei diritti personali dei cittadini è considerato ottimale dal legislatore e rappresenta il terreno sul quale costruire i futuri interventi normativi, a partire dal citato AI Act.
Nell’ipotesi in cui un’azienda decidesse di integrare l’intelligenza artificiale per offrire servizi ai propri clienti, la conformità con il GDPR rappresenta dunque la bussola per orientare le pratiche aziendali in fatto di privacy. Tale regolamento stabilisce infatti requisiti rigorosi per il trattamento dei dati personali, che sono particolarmente pertinenti nel contesto dell’IA, dove l’utilizzo delle informazioni è spesso automatizzato e può avere un impatto significativo sui diritti e le libertà degli individui.
La Valutazione di Impatto sulla Protezione dei Dati (DPIA)
Uno degli aspetti fondamentali del GDPR è la necessità di una Valutazione di Impatto sulla Protezione dei Dati (DPIA) per i processi di trattamento che comportino un rischio elevato per i diritti e le libertà delle persone. Nel caso dell’IA, una DPIA approfondita aiuta a identificare e mitigare i rischi specifici associati a decisioni automatizzate, come la discriminazione involontaria delle persone o l’uso inappropriato di dati sensibili dovuti alla profilazione.
La trasparenza nel trattamento dei dati nell’IA
La trasparenza nei confronti degli utenti è un altro pilastro del GDPR: le imprese devono fornire informazioni chiare e comprensibili su come i dati vengono raccolti e trattati dall’intelligenza artificiale a partire da un’esplicita acquisizione del consenso, dove le persone vengono informate in maniera trasparente e dettagliata sul tipo di informazioni raccolte e sulle modalità di utilizzo da parte del sistema di IA, tenendo in considerazione il tipo di logica utilizzata per la categorizzazione, la portata e le conseguenze del trattamento automatizzato. Questo consenso deve essere ottenuto attraverso modalità che soddisfino i criteri di libera espressione, specificità e chiarezza.
Il concetto di privacy by design nella progettazione dell’IA
Il paradigma legislativo prevede inoltre che, nel processo di sviluppo del sistema di IA, l’azienda debba incorporare il concetto di privacy by design, assicurando che la protezione dei dati personali sia un aspetto integrato e prioritario fin dalla fase di progettazione del dataset e della definizione dei compiti dell’algoritmo. Ciò deve passare dall’adozione di tecniche di pseudonimizzazione e limitazione dell’utilizzo dei dati unicamente per le esigenze del servizio fornito, in modo da accrescere la sicurezza del sistema e scongiurare un loro trasferimento a dataset per addestramento o utilizzo di AI diversi rispetto quelli a cui è stato dato originariamente il consenso.
Allo stesso tempo, l’azienda dovrà garantire un elevato grado di trasparenza riguardo al trattamento dei dati personali, fornendo agli utenti la possibilità di accedere alle informazioni raccolte e di comprendere le modalità attraverso cui il sistema di intelligenza artificiale elabora e utilizza tali dati per le raccomandazioni personalizzate. Gli utenti devono infine poter accedere a una gestione delle richieste di rettifica o cancellazione dei dati orientata alla semplicità e alla tempestività, in modo da assicurare il rispetto dei loro diritti in conformità al GDPR.
L’importanza della revisione indipendente degli algoritmi di IA
Tra le criticità, la già menzionata trasparenza nel trattamento dei dati rappresenta un aspetto strutturale: gli algoritmi d’intelligenza artificiale devono essere progettati in modo tale che le loro operazioni e decisioni siano comprensibili agli utenti e ai regolatori. Ciò implica anche la possibilità di procedere ad una revisione indipendente del modo in cui l’IA elabora dati e prende decisioni. Tale esigenza, per esempio, è emersa primariamente con il caso dei dispositivi medici intelligenti negli USA, ed è attualmente in corso di definizione anche nella legislazione europea. Infatti, l’utilizzo consapevole dei medical devices implica che gli operatori sanitari debbano avere chiare informazioni sulle capacità e sui rischi che corrono usando questi sistemi per aumentare l’efficacia nella diagnosi e nella cura delle malattie. In questa prospettiva, l’ente regolatore americano Office of the National Coordinator for Health Information Technology (ONC) ha stabilito che per conseguire la certificazione di Certified Electronic Health Record (EHR) Technology, è necessario presentare un insieme dettagliato di informazioni, che includono la descrizione dell’utilizzo previsto della tecnologia, i dettagli sui set di dati impiegati per l’addestramento dell’intelligenza artificiale, le avvertenze e le limitazioni operative degli algoritmi utilizzati. Inoltre, si prescrive di fornire riferimenti specifici relativi alla protezione della privacy e alla sicurezza dei dati trattati dai dispositivi professionali e di libera vendita. Anche in questo caso, ai fini di una maggiore trasparenza e accessibilità, le indicazioni saranno rese pubbliche in un formato conciso e di facile comprensione, che potrebbe diventare uno standard impiegato oltre al campo medico, e che verrà implementato sotto forma di un link ipertestuale, che seguirà il modello dell’etichetta alimentare, consentendo agli utenti di accedere rapidamente alle informazioni essenziali.
Come l’azienda può ottenere un vantaggio reputazionale dalla tutela della privacy
L’utilizzo estensivo di tali misure, integrate in una strategia di gestione consapevole dell’IA, assicura la conformità con la normativa vigente e può contribuire a porre le aziende in una posizione vantaggiosa dal punto di vista reputazionale, in un mercato in cui la protezione dei dati e la tutela della privacy rivestono un ruolo crescente.
