L’inevitabile diffusione dei sistemi di Intelligenza artificiale e l’impatto sulle nostre vite stanno ponendo significativi interrogativi sotto diversi profili: etici, di diritto, sociali e, certamente, di protezione dei dati personali. Da qui l’esigenza di gestire, normalizzare e regolarizzare il flusso di dati personali necessari ad alimentare l’IA. A questa esigenza il legislatore europeo ha dato risposta con il Regolamento 2016/679 UE (GDPR). Vediamo come la normativa affronta una tecnologia in accelerazione come l’Intelligenza artificiale.
Prima di entrare nel merito dell’argomento di questo articolo – l’Intelligenza Artificiale e la protezione dei dati personali – vediamo alcune definizioni di IA:
- scienza che si propone di sviluppare macchine intelligenti
- disciplina appartenente all’informatica che studia i fondamenti teorici, le metodologie e le tecniche che consentono la progettazione di Sistemi hardware e Sistemi di programmi software capaci di fornire all’elaboratore elettronico prestazioni che, a un osservatore comune, sembrerebbero essere di pertinenza esclusiva dell’intelligenza umana
- ramo dell’informatica che permette la programmazione e progettazione di Sistemi sia hardware che software che permettono di dotare le macchine di determinate caratteristiche che vengono considerate tipicamente umane quali, ad esempio, le percezioni visive, olfattive, tattili, uditive, gustative, spazio-temporali e decisionali
- disciplina che vuole risolvere specifici problemi, o effettuare (simulare) ragionamenti che non possono essere compresi pienamente dalle capacità cognitive umane.
Ma cosa vuol dire intelligenza: imparare dall’esperienza? Scherzare? Mentire? Dipingere? Nel caso dell’Intelligenza Artificiale vuol dire avere un numero di dati input (dati regole, dati esempio, dati personali) sufficienti a trarre delle conclusioni adeguatamente precise per definire, per esempio, un percorso, una traduzione, giocare a scacchi oppure a Go, un suggerimento per gli acquisti, una diagnosi medica, una prenotazione, per chiamare Uber, ecc.
Intelligenza artificiale, i dati come “carburante”
I dispositivi di IA sono interattivi, autonomi e adattabili. Infatti, possono migliorare le loro funzionalità con l’aumentare del numero e/o della qualità dei dati input o tramite l’autoapprendimento (machine learning). Quest’ultimo è senz’altro il più insidioso perché rende i Sistemi di intelligenza artificiali imprevedibili, in quanto gli algoritmi ex ante vengono modificati ex post dal machine learning aprendo la questione delle responsabilità penali e civili.
Ma l’Intelligenza Artificiale per essere abbastanza intelligente ha bisogno dei nostri dati personali ovvero delle informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche anche particolari, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, le sue preferenze, la sua localizzazione, ecc..
Particolarmente importanti per l’Intelligenza Artificiale sono proprio i dati che:
- permettono l’identificazione diretta – come i dati anagrafici (es.: nome e cognome), le immagini, ecc.
- permettono l’identificazione indiretta, come un numero di identificazione (es.: il codice fiscale, l’indirizzo IP, il numero di targa, l’IBAN, ecc.)
- rientrano in particolari categorie: cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale, i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale
- relativi a condanne penali e reati o a connesse misure di sicurezza: si tratta dei dati c.d. “giudiziari”, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (es.: i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione, ecc.) o la qualità di imputato o di indagato.
Ma, con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati, sugli spostamenti e sulla loro frequenza (una prenotazione su Airbnb, l’acquisto di un volo, una recensione su Tripadvisor, ecc.).
Da questa breve introduzione è comprensibile (anche misurabile) l’impatto delle nuove tecnologie e della scienza dell’Intelligenza Artificiale sulla nostra vita e di quanto l’IA abbia necessità di una nostra proprietà per vivere (forse meglio “esistere”): i dati personali. È altrettanto comprensibile (anche misurabile) quanto, con grande superficialità, noi cediamo i dati personali in cambio di quella che possiamo definire la commodity del XXI secolo. Peccato che questo scambio commerciale avvenga spesso senza una corretta valutazione dell’impatto sulle nostre vite.
Il GDPR e l’Intelligenza artificiale
Nel tempo il legislatore europeo è intervenuto – prima con la Direttiva 95/46 e successivamente con il Regolamento 2016/679 UE e stessa cosa hanno fatto i legislatori nazionali con le norme di recepimento e di adeguamento – per cercare di tenere il passo dell’evoluzione tecnologica e scientifica. Tentativo, quello di tenere il passo, riuscito solo parzialmente perché, soprattutto, la tecnologia ha una progressione geometrica ben rappresentata dalla Legge di Moore («La complessità di un microcircuito, misurata ad esempio tramite il numero di transistor per chip, raddoppia ogni 18 mesi (e quadruplica quindi ogni 3 anni») che determina la capacità e la velocità di elaborazione dei dati e questo vuol dire comparazione di “dati esempi” e di “dati personali” sempre in maggior numero (maggiore accuratezza) e sempre più velocemente.
Ma i dati possono essere trattati in forma anonimizzata (nulla quaestio) oppure pseudonimizzati (quondam quaestio) oppure tali e quali. La questione!
Proprio questo affronta il GDPR, cogente dal 26 Maggio 2016 e applicabile a tutti i cittadini dello Spazio Economico Europeo (UE oltre a Norvegia e Islanda) e ai cittadini della Confederazione Elvetica, che può essere considerata la norma più nuova, avanzata, evoluta e adeguata a ciò che riguarda il trattamento dei dati personali.
AI e dati personali, il trattamento automatizzato
Il GDPR pone particolare attenzione sul trattamento automatizzato dei dati personali. L’Art. 22 del GDPR (Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione) ribadisce, come principio generale, che l’Interessato ha il diritto di non essere sottoposto a una decisione basata esclusivamente sul trattamento automatizzato dei propri dati, a cominciare dalla profilazione, definita nell’Art. 4 del GDPR (Definizioni), che produca effetti giuridici che lo riguardano o che incida allo stesso modo sulla sua persona in modo significativo.
A proposito del primo paragrafo dell’Art. 22, sembra chiaro che nessuna tecnologia di Intelligenza Artificiale sia conforme al GDPR senza l’intervento umano. Ciò che viene infatti richiesto a chi utilizza Sistemi di IA per acquisire ed elaborare dati personali da individui (interessati) è:
- definire le finalità del trattamento
- informare sull’utilizzo che si fa della tecnologia IA
- raccogliere il consenso al trattamento automatizzato e alla profilazione
- determinare la base giuridica
- valutare l’impatto che l’uso dell’IA esercita sugli individui (DPIA)
- dare prospetto compiuto e completo del funzionamento della tecnologia, per individuarne i criteri di ragionamento (ed eventualmente anche alcuni bias di partenza)
- intervenire nel caso in cui si presentino possibili occasioni di violazione dei diritti degli interessati
- comunicare e informare in caso di data breach
Vale la pena di sottolineare che in merito al punto i) definire le finalità del trattamento, un sistema basato sull’IA e sul machine learning (autoapprendimento) potrebbe iniziare a trattare i dati anche per finalità diverse da quelle inizialmente comunicate sulle quali, né l’Interessato (proprietario dei dati personali) ma, in alcuni casi, nemmeno il Titolare del trattamento dei dati, avrebbero notizia e quindi nessuna possibilità di esercizio dei diritti né di controllo il che inciderebbe sulla liceità della base giuridica invocata (punto iv) precedente).
GDPR, quando il trattamento è “illecito”
Infatti, ai sensi dell’Art. 6 del GDPR (Liceità del trattamento) il trattamento dei dati personali può avvenire, oltre che per finalità predeterminate, solo in presenza di idonee “basi giuridiche” cioè in condizioni di trattamento lecito; pertanto, un cambiamento, in autonomia (autoapprendimento del sistema di IA), delle finalità del trattamento si configurerebbe non supportato dalla base contrattuale, non preventivamente predeterminato e quindi illecito.
È da rilevare che le ultime tendenze in merito all’utilizzo dei Sistemi di IA vanno nella direzione di una interazione costante fra IA e intervento umano, anche perché gli studi più recenti dimostrano che le macchine non sono (per ora) così “intelligenti” (sbagliano con una certa frequenza) e la persona, per sua natura, è fallibile mentre l’interazione Sistema/persona migliora significativamente le performance, rendendo, nel contempo, gestibile l’attività di trattamento dei dati personali in conformità a quanto disposto dal GDPR.
Oltre all’Art. 22 del GDPR, l’Art. 24 (Responsabilità del titolare del trattamento), prevede che, tenuto conto della natura, del campo applicativo, del contesto e delle finalità di trattamento, nonché dei rischi di varia probabilità e gravità dei diritti e le libertà delle persone fisiche, il Titolare del trattamento mette in atto “misure tecniche e organizzative adeguate” per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al GDPR.
L’Art. 24 introduce infatti il c.d. principio cardine di accountability che si connota per due accezioni fondamentali: in primo luogo, la responsabilità verso gli stakeholder in merito al non corretto utilizzo dei dati personali e della produzione di risultati in linea con le finalità dichiarate con l’informativa; in secondo luogo, l’esigenza di introdurre logiche e meccanismi di maggiore responsabilizzazione in merito al data crossing relativamente all’impiego dei dati personali e alla produzione di risultati. Tale principio investe tutte le operazioni concernenti dati personali ed è connotata da un profilo di applicabilità oggettiva, applicandosi in ogni situazione che veda uno scorretto utilizzo di informazioni rilevanti.
AI e GDPR, il “cardine” privacy by design
Un’altra delle novità più rilevanti del GDPR – che non abbiamo ancora ben metabolizzato – è l’introduzione del principio di privacy by design (protezione dei dati sin dal momento della progettazione del processo), di cui all’Art. 25 del GDPR (Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita). Secondo il principio di privacy by design la protezione dei dati dovrebbe essere implementata in ogni processo industriale e tecnologico, che implichi la produzione di beni e servizi, mediante il quale e/o per il quale vengano trattati dati personali. Si tratta di ribaltamento di prospettiva. Infatti, secondo il GDPR è la tecnologia stessa a dover essere progettata e preordinata per operare rispettando i diritti fondamentali degli interessati. Anche Alan Turing ne sarebbe contento dal momento che proprio nell’Art. 25 del GDPR si trova la dichiarazione programmatica più avanzata per l’interazione persona/macchina.
La privacy by design segna il confine tra le norme generali e astratte del passato, scollegate da scienza, mercato e tecnologia, e le norme di oggi – e sempre più dovranno esserlo quelle del futuro – attente alle opportunità, ma anche alle insidie del progresso tecnologico e scientifico a discapito delle libertà e dei diritti delle persone.
Come “modellare” la privacy by design
Anche il Considerando 78 contribuisce all’interpretazione dell’Art 25:
«La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l’adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento. Al fine di poter dimostrare la conformità con il presente regolamento, il titolare del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default. Tali misure potrebbero consistere, tra l’altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il più presto possibile, offrire trasparenza per quanto riguarda le funzioni e il trattamento di dati personali, consentire all’interessato di controllare il trattamento dei dati e consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza”.
E ancora: “In fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni, i produttori dei prodotti, dei servizi e delle applicazioni dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni e, tenuto debito conto dello stato dell’arte, a far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati. I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici».
L’Art. 25 del GDPR attribuisce, quindi, una particolare attenzione alla pseudonimizzazione e alla minimizzazione (in termini di quantità e tempo del trattamento) dei dati personali, individuate quali misure tecniche minime al fine di dimostrare di aver rispettato gli obblighi in tema di privacy by design. Altre misure rilevanti, seppur non citate dall’Art. 25, potrebbero essere la segregazione, l’occultamento, la separazione o l’aggregazione dei dati.
Naturalmente, in quanto presidio progettuale (ex ante per definizione), la privacy by design non è applicabile allo stesso modo in ogni contesto, ma deve essere adattata alle varie tipologie di trattamento, comportando obblighi differenti a seconda delle varie fattispecie. Non esiste quindi una privacy by design standard mentre, invece, è necessario tenere conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi (DPIA) aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento.
Infine, dobbiamo considerare i numerosi soggetti e ruoli che entrano in gioco oltre all’Interessato e al Titolare del trattamento dei dati: fornitori di servizi, terzi destinatari dei dati, fornitori dei Sistemi di IA. Se sui primi, fatta salva qualche caso particolare, la figura è senz’altro quella del Responsabile del trattamento dei dati con le attribuzioni ex Art. 28 del GDPR (Responsabile del trattamento) per quanto riguarda i fornitori di Sistemi di IA si potrebbe configurare la titolarità ex Art. 24 del GDPR (Responsabilità del titolare del trattamento) o la contitolarità del trattamento ex Art. 26 del GDPR (Contitolari del trattamento).
GDPR e AI, a chi spettano le sanzioni
Il regime sanzionatorio applicabile per queste figure e per i loro Enti è quello previsto dal GDPR ex Art. 84 del GDPR (Sanzioni) ma se un sistema opera in autoapprendimento il sistema stesso diventerebbe Titolare del trattamento? Con proprie responsabilità? Risarcibili sulla base di quale patrimonio? Oppure sarà il produttore a vedersi attribuite le responsabilità? Oppure il progettista dell’algoritmo? Oppure l’assemblatore dell’hardware con il software? Oppure il manutentore dei Sistemi di IA?
Ecco, queste sono le affascinanti domande sul diritto da applicare alle nuove tecnologie e di cui parlerò in uno dei prossimi articoli. Difatti, il settore dell’Intelligenza Artificiale è sicuramente importante nello sviluppo futuro dell’odierna società globalizzata (pensiamo ai Sistemi di Intelligenza Artificiale applicati per tutelare la nostra sicurezza che potrebbero – lo sono! – anche essere usati per controllarci e limitare le nostre libertà). Però, tale rapido sviluppo deve essere accompagnato da una legislazione attenta sia al progresso tecnologico e scientifico che alle necessità di protezione e di esercizio dei diritti dell’interessato. Infatti, i danni che possono essere causati dai Sistemi di Intelligenza Artificiale possono essere ingenti e avere una diffusione enorme ed è quindi necessario poter individuare precisamente le responsabilità e indirizzare le pretese risarcitorie dei danneggiati.
Oggi, in considerazione del vuoto normativo attuale risulta complicato: la Direttiva 374/85/CE recepita nel nostro Paese con il DPR 224/1988 modificato dal D. Lgs. 25/2001 (è proprio di questo che parlerò in uno dei prossimi articoli) è datata e non adeguata alla fattispecie che abbiamo esaminato. È del tutto evidente che l’inerzia legislativa che finora ha accompagnato tale settore e la giurisprudenza dalla quale non emerge un concetto chiaro di Intelligenza Artificiale non aiutano ad assorbire gli impatti provenienti dalle innovazioni tecnologiche e scientifiche.