In un mondo sempre più permeato dall’intelligenza artificiale e in cui la raccolta massiva di dati personali per addestrare algoritmi sofisticati è diventata pratica comune il ruolo delle organizzazioni diventa centrale. Ma come garantire un utilizzo lecito dei dati personali? E quali sono i presupposti di liceità per il trattamento dei dati personali?
Il report della Stanford University sullo stato attuale dell’AI
Il 15 aprile 2024 è stato pubblicato il report “Artificial Intelligence Index Report 2024” elaborato dall’Human-Centered Artificial Intelligence Institute della Stanford University guidata dall’AI Index Steering Committee che si compone di un gruppo interdisciplinare di esperti di tutto mondo accademico e del mercato privato. Con il documento si intende offrire una visione chiara dello stato attuale dell’AI, delineando sviluppi tecnologici, economici, normativi, implicazioni giuridico-politiche e previsioni future.
Secondo quanto riportato nel report, ci troviamo di fronte due futuri interconnessi: il primo, l’utilizzo e il miglioramento della tecnologia che comporta delle conseguenze in tema di produttività e occupazione; il secondo la preoccupazione dei governi dinanzi ai possibili sviluppi negativi e che riguardano principalmente l’occupazione, la privacy, la disinformazione e i diritti della proprietà intellettuale.
Nella sezione dedicata alla privacy e la governance dei dati viene indicato il tema oggetto di grande discussione: i sistemi di AI si basano su una enorme quantità di dati e spesso gli interessati non sono consapevoli di come questi dati siano stati raccolti e del loro utilizzo. La trasparenza rappresenta un requisito essenziale dell’AI ACT e del GDPR e trovare il giusto bilanciamento può risultare complesso.
I risultati del Global State of Responsible AI Survey
Secondo il Global State of Responsible AI Survey, tutte le organizzazioni hanno dichiarato che i rischi legati alla privacy e alla governance dei dati sono rilevanti per la loro strategia di adozione dell’AI e, come si evince dai risultati, soprattutto in Europa (56%) e in Asia (55%). Alle organizzazioni è stato anche chiesto se hanno adottato misure per mitigare i rischi legati alla “governance dei dati” e il sondaggio ha elencato sei possibili misure relative alla governance dei dati che le organizzazioni potrebbero decidere di adottare. Tra le misure esemplificative vi è la garanzia di conformità dei dati a tutte le leggi e le normative applicabili.
Complessivamente, meno dello 0,6% delle aziende ha dichiarato di aver reso pienamente operative tutte e sei le misure di mitigazione della governance dei dati. Tuttavia, il 90% delle aziende ha dichiarato di aver reso operativa almeno una misura. Inoltre, il 10% ha dichiarato di non aver ancora reso operativa nessuna delle misure. A livello globale, le aziende intervistate hanno dichiarato di aver adottato una media di 2,2 su 6 misure di governance dei dati. I risultati dimostrano quindi quanto le organizzazioni siano ancora lontane da una visione puntuale di come si debbano implementare in maniera compliant i processi interni.
Le principali implicazioni connesse all’utilizzo dei dati personali
Uno dei punti principali è la fonte di raccolta dei dati personali. Infatti, ad esempio, gli LLM vengono addestrati su enormi quantità di dati, molti dei quali provengono da fonti pubbliche come Internet.
Sul tema della fonte possono farsi diverse considerazioni. Qualora i dati personali siano stati raccolti da fonti esterne (es. da internet), è importante ricordare che Il Garante per la protezione dei dati personali ha più volte evidenziato il divieto della c.d. raccolta massiva (webscraping) di dati personali a fini di addestramento degli algoritmi di intelligenza artificiale (AI) da parte di soggetti terzi.
La presenza di dati personali su internet non giustifica la raccolta e l’utilizzo dei dati da parte dei fornitori di sistemi di AI per addestrare i modelli. Allo stesso tempo, i dati personali, ad esempio, raccolti direttamente dagli interessati e presenti sui propri database aziendali non giustifica un utilizzo dei dati per finalità diverse da quelle per cui erano stati raccolti e senza averne informato gli interessati.
L’utilizzo lecito dei dati personali attraverso l’anonimizzazione
Un tema molto discusso è l’anonimizzazione. Molte organizzazioni ritengono che l’uso di dati personali sottoposti a tecniche di anonimizzazione consentano un lecito utilizzo di tali dati. Dal punto di vista della normativa data protection l’anonimizzazione rappresenta una tecnica che si applica ai dati personali al fine di ottenere una deidentificazione irreversibile.
Per poter fare ciò, i dati personali devono essere stati raccolti e trattati in conformità alla normativa e il processo di anonimizzazione, inteso come trattamento di dati personali per ottenerne l’anonimizzazione, rappresenta un “trattamento successivo”, come anche spiegato dal Working Party articles 29 (“WP29”) nel “Parere 05/2014 sulle tecniche di anonimizzazione – WP216”.
La complessità del processo di anonimizzazione: condizioni di liceità e principi da rispettare
A integrazione, è bene ricordare che il processo di anonimizzazione è una tecnica complessa che richiede una serie di misure, analisi tecnica, affidabilità delle tecnologie per contrastare errori ricorrenti. Inoltre, l’anonimizzazione come ogni trattamento può essere effettuato solo se sussiste una condizione di liceità e che vengano rispettati i principi previsti dalla normativa data protection.
Il trattamento deve essere effettuato in modo trasparente e reso noto agli interessati mediante l’informativa ex art. 13 GDPR, ad origine, in modo che gli stessi siano consapevoli su come verranno trattati i loro dati. Secondo il WP29, i dati personali andrebbero almeno resi anonimi “per impostazione predefinita” e, nei casi in cui il titolare del trattamento desideri conservare tali dati personali una volta conseguite le finalità del trattamento originario o successivo, dovrebbero essere utilizzate tecniche di anonimizzazione in modo da impedire irreversibilmente l’identificazione. Di conseguenza, il WP29 ritiene che l’anonimizzazione, quale trattamento successivo di dati personali, deve essere considerata compatibile con le finalità originarie del trattamento, ma solo a condizione che il processo di anonimizzazione sia tale da produrre informazioni rese anonime come previsto dal Parere 05/2014.
Le organizzazioni dovranno quindi prestare molta attenzione al ruolo assunto e comunque in tema di AI generativa tenere in considerazione i presupposti di liceità per il trattamento dei dati personali.
