Il GDPR ha introdotto strumenti utili per gestire al meglio le criticità emerse nell’ambito dei trattamenti di dati personali da parte di sistemi Intelligenza artificiale. Tra queste misure sono contemplati i concetti di privacy by design e by default e il diritto a non esser sottoposti unicamente a trattamenti automatizzati, strumenti pensati nel rispetto del principio generale di neutralità tecnologica[1] .
Qui di seguito, svolgeremo un’analisi delle disposizioni normative utili a affrontare e, talvolta, a limitare le criticità che si pongono in materia di AI.
Privacy by design e privacy by default – art. 25 del GDPR
Sulla base di quanto indicato all’interno dell’art. 25 del GDPR, il titolare[2] deve adottare misure idonee a garantire sin dalla progettazione, cioè by design, e per impostazione predefinita, cioè by default, il rispetto di tutti i principi in materia di trattamento di dati personali tra i quali, ad esempio, i principi di finalità e base giuridica del trattamento, e il principio di minimizzazione, secondo cui devono essere trattati solo i dati personali strettamente necessari al perseguimento delle finalità predeterminate.
Si tratta della disposizione del GDPR forse più rilevante in materia di sistemi AI, per via del potenziale impatto sulle specifiche di programmazione e settaggio: questi, infatti, devono essere sin dall’inizio programmati in modo da garantire il rispetto delle prescrizioni del GDPR, e allo stesso modo anche le configurazioni di default dovranno rispondere alle medesime necessità.
Processi decisionali automatizzati – art. 22 del GDPR
Sulla base di tale disposizione, all’interessato[3] viene riconosciuto il “diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”. In estrema sintesi, qualora il trattamento di dati sia totalmente automatizzato, e da questo possano derivare conseguenze dirette nella sfera personale dell’interessato, quest’ultimo si potrà opporre al trattamento (e, in alcuni casi, potrà altresì richiedere un intervento umano e contestare l’eventuale decisione sulla base di trattamenti automatizzati). .
La disposizione di cui all’art. 22 del GDPR ha una rilevanza diretta e significativa sull’operatività dei sistemi AI: considerato che il loro funzionamento è interamente automatizzato (e così anche le decisioni da questi adottate, o prese sulla base di output e risultati provenienti da essi) e solitamente non prevede interventi umani, l’adeguamento a tale prescrizione comporterebbe modiche e interventi sulle modalità di funzionamento degli stessi (dovrebbe, in pratica, essere limitata, vincolata o comunque sottoposta da una seppur minima supervisione umana la capacità decisionale autonoma dei sistemi AI)..
DPIA e consultazione preventiva – artt. 35 e 36 del GDPR
Ai sensi dell’art. 35 del GDPR, sussiste l’obbligo di svolgere una valutazione di impatto sulla protezione dei dati (Data protection impact assessment, “DPIA” – cioè, una valutazione analitica dei rischi per gli interessati che si pongono nell’ambito del trattamento considerato, e delle misure di sicurezza adottate per ridurre al minimo le probabilità di accadimenti negativi) in caso di trattamento che presenti rischi per diritti e libertà degli interessati. Sul punto, le autorità nazionali sono chiamate a stilare elenchi di trattamenti di dati personali che, a prescindere dalle circostanze concrete, comportano l’obbligo, in capo al titolare, di predisporre una DPIA.
Se – come già sta accadendo (e come ha già proceduto, in Italia, anche il Garante per la protezione dei dati personali[4]) – fossero assoggettati a DPIA tutti i (o la maggior parte dei) trattamenti che possono essere effettuati nell’ambito di sistemi AI, ciò consentirebbe, in modo generalizzato, di entrare nel merito delle dinamiche delle operazioni di trattamento poste in essere mediante sistemi AI, con riferimento sia al loro funzionamento, sia alle misure di sicurezza eventualmente adottate.
Inoltre, qualora dalla DPIA si rilevi la persistenza di rischi per i diritti e le libertà degli interessati, si dovrà ricorrere all’autorità di controllo competente, con la procedura di consultazione preventiva ai sensi dell’art. 36 del GDPR. Tale strumento, se utilizzato dai titolari del trattamento (cioè, nella maggior parte dei casi, i fornitori di servizi AI), potrebbe addirittura aprire una fase di collaborazione tra autorità e operatori del settore, volta a stabilire procedure e standard di trattamento.
Diritti degli interessati – artt. 15-ss del GDPR
Non devono essere dimenticate, ovviamente, le disposizioni del GDPR relative ai diritti degli interessati, il cui corretto enforcement potrebbe consentire la “apertura” dei sistemi AI (cioè, l’accesso a informazioni sul funzionamento, l’operatività e i dati trattati) almeno con riferimento alle garanzie da fornire in materia data protection.
Si pensi, ad esempio, alle disposizioni che consentono all’interessato di accedere ai suoi dati personali trattati dal titolare (art. 15 del GDPR), di ottenerne la rettifica (art. 16 del GDPR), la cancellazione (art. 17 del GDPR), la limitazione (art. 18 del GDPR), o di opporsi in tutto o in parte al trattamento (art. 21 del GDPR), oppure ancora a ottenere dal titolare una copia dei suoi dati personali trattati in formato “strutturato, di uso comune e leggibile da dispositivo automatico” (diritto di portabilità dei dati, ai sensi dell’art. 20 del GDPR).
____________________________________________________________
- Nel caso di specie, in virtù del principio di neutralità tecnologica le prescrizioni normative del GDPR devono essere adottate ed attuate a prescindere dal mezzo e dalle modalità mediante cui è posto in essere il trattamento di dati personali. All’atto pratico, non si tratta di disposizioni specificamente introdotte per regolare le implicazioni AI in materia privacy, ma di principi e prescrizioni valevoli in ogni caso. ↑
- Il titolare, in estrema sintesi, è il soggetto che tratta i dati personali (o determina in ogni caso i mezzi e le finalità del trattamento); nel caso di specie, si tratta spesso del fornitore del servizio erogato mediante il sistema AI. ↑
- Il soggetto interessato è il soggetto i cui dati personali sono trattati (nel caso di specie, si tratta spesso dell’utilizzatore del servizio fornito dal sistema AI). ↑
- Sul punto, acquista rilievo l’elenco di trattamenti di dati da assoggettare a DPIA, pubblicato nel mese di novembre 2018 dal Garante per la protezione dei dati personali: nell’elenco, risulta presente la stragrande maggioranza dei trattamenti posti in essere in ambito AI. ↑
