intelligenza Artificiale e tutela privacy

Intelligenza Artificiale e tutela privacy

Intelligenza Artificiale e tutela privacy: a che punto siamo?

Come si sta evolvendo la protezione dei dati personali e tutela privacy in rapporto all’Intelligenza Artificiale? Un punto di partenza per riflettere su questa relazione a volte complessa.

L’AI si sta sviluppando negli ultimi anni ad una velocità esponenziale, entrando nella quotidianità di tutti. Molti interrogativi sorgono spontanei se si pensa che l’apprendimento automatico (machine learning), su cui si basano i sistemi intelligenti, è progettato per elaborare un’enorme quantità di dati. Da dove provengono questi dati? Vengono trattati in maniera etica e nel rispetto dei diritti sociali e individuali? Come si coniugano tutela privacy e intelligenza artificiale?

Come funziona l’AI

L’Intelligenza Artificiale aumenta la nostra capacità di interpretare la realtà. Può essere applicata in tantissimi ambiti: per aiutare l’utente ad ottenere un suggerimento d’acquisto, definire un percorso, fare una traduzione, ricevere una diagnosi medica, fare una prenotazione o una chiamata telefonica, persino giocare una partita a scacchi.

Per ottenere quindi questi tipi di output, l’AI deve avere un numero di input (cioè i dati) tali da permettere di trarre conclusioni precise: il risultato migliore si potrà ottenere con una grande quantità di dati a disposizione o con l’autoapprendimento (machine learning).

I dati che “nutrono” l’Intelligenza Artificiale

I dati raccolti dall’AI per svolgere i suoi compiti possono riguardare diversi ambiti ed essere di differente provenienza. In particolare, sono:

-dati che permettono l’identificazione diretta (dati anagrafici e immagini);

-dati che permettono l’identificazione indiretta (ad esempio: il codice fiscale, l’indirizzo IP);

-dati che rivelano particolari caratteristiche degli individui, come l’origine etnica, le convinzioni religiose o filosofiche, le opinioni politiche, lo stato di salute, la vita e l’orientamento sessuali, i dati genetici, biometrici;

-dati giudiziari, cioè relativi a condanne penali o reati o connessi a misure di sicurezza;

-dati relativi alle comunicazioni elettroniche;

-dati sulla geolocalizzazione.

Tutti questi dati sono necessari ad “addestrare” l’IA, ma spesso, com’è ovvio, appartengono a qualcuno.

Intelligenza Artificiale e tutela privacy consenso informato dati personali

Intelligenza artificiale e diritto alla privacy: una relazione di scambio?

Quando visitiamo un sito web, spesso acconsentiamo con superficialità all’utilizzo dei nostri dati, forse perché per leggere tutto il contenuto delle informative privacy perderemmo ore, forse giorni! 

Quando accettiamo però di cedere parte della riservatezza dei dati che ci riguardano, dovremmo renderci conto di cosa questo significhi.

Da ogni nostra visita, clic e interazione, i siti web raccolgono, anche tramite l’AI, una mole di dati che viene poi utilizzata per proporre dei contenuti a noi affini, o per noi utili. Per questo si può dire che i dati generino valore. 

Le grandi piattaforme online (chiamate anche “imprese superstar”) sono infatti quelle che estraggono valore dall’enorme quantità di dati degli utenti, fornendo in cambio servizi vantaggiosi, finanziati in parte o del tutto dalla pubblicità. 

Dobbiamo però essere consapevoli dei meccanismi che stanno dietro a questi sistemi, poiché spesso a determinare una “buona” o “cattiva” intelligenza artificiale è l’uso che se ne fa.

Una delle forme negative di utilizzo dei dati è rappresentata ad esempio dalla manipolazione dell’opinione pubblica, attraverso la diffusione di fake news. Le campagne di disinformazione, in cui tutti almeno una volta si sono imbattuti sul web, sono il più comune (e più combattuto) utilizzo rischioso dei dati degli utenti. 

Le notizie mostrate possono infatti essere del tutto fasulle, o evidenziare soltanto una parte dell’opinione, un solo punto di vista, favorendo così la polarizzazione e la diffusione di discriminazione sociale.

Particolarmente rischioso è l’utilizzo di algoritmi di AI per automatizzare decisioni in campo sanitario, finanziario e giudiziario, poiché basandosi su un dataset ristretto potrebbero essere influenzate da pregiudizi e bias in un senso o nell’altro.

Anche in campo politico l’utilizzo dei dati personali degli utenti da parte dell’AI può risultare un argomento particolarmente spinoso. Come testimonia il caso Cambridge Analytica, il dibattito politico può essere influenzato dalle informazioni che riceviamo tramite Internet e i social network, fino ad arrivare, nella peggiore delle ipotesi, ad una società costantemente monitorata e sorvegliata. 

Per questo motivo si richiede particolare attenzione da parte del policymaker, che dovrà implementare nuove forme di protezione a tutela dei dati sensibili del consumatore e del cittadino-utente. 

protezione dei dati personali e tutela privacy online

Legislazione e nuovi scenari sulla protezione dati personali

Data l’esigenza di gestire, normalizzare e regolarizzare il flusso di dati personali necessari, tra l’altro, ad alimentare l’AI è stato elaborato un codice in materia di protezione dei dati personali.

La legislazione comunitaria europea ha accolto la sfida di stare al passo con la rapida evoluzione tecnologica, dapprima mediante la Direttiva 95/46, poi evolutasi in un vero e proprio Regolamento 2016/679 UE, il cosiddetto GDPR (General Data Protection Regulation)

Pur non essendovi un chiaro ed esplicito riferimento all’Intelligenza Artificiale, tale Regolamento si rivolge a chiunque acquisisca ed elabori dati personali da individui, compresi quindi anche coloro che fanno uso di sistemi di AI. Con il GDPR si richiede infatti di:

1 definire le finalità del trattamento

2 informare sull’uso che si fa dell’intelligenza artificiale

3 raccogliere il consenso al trattamento dei dati e alla profilazione

4 determinare la base giuridica

5 valutare l’impatto che l’uso dell’AI ha sugli individui

6 dare prospetto del funzionamento della tecnologia, per individuarne i criteri di funzionamento

7 intervenire quando si presentino delle violazioni dei diritti degli interessati

8 comunicare e informare in casi di data breach, ovvero in caso di eventuali violazioni dei dati personali

(fonte: Agenda Digitale – “Intelligenza artificiale, ecco come il GDPR regola la tecnologia di frontiera”, 11/10/19, di R. Goretta: https://www.agendadigitale.eu/sicurezza/privacy/intelligenza-artificiale-ecco-come-il-gdpr-regola-la-tecnologia-di-frontiera/)

In Italia il GDPR europeo viene recepito il 25/5/18, confermando l’attribuzione del ruolo di vigilanza all’Autorità Garante per la Protezione dei Dati Personali, la quale deve garantire appunto il diritto alla protezione dei dati personali e adottare i provvedimenti previsti dalla normativa.

L’autoapprendimento (machine learning) rappresenta però un nuovo elemento nella già difficile relazione tra intelligenza artificiale e tutela dati personali. Potrebbe infatti entrare in contrasto con l’art. 22 GDPR e il Considerando 71 dello stesso, nei quali viene espresso il divieto generale di sottoporre l’interessato (colui che cede la privacy dei dati) a processi decisionali automatizzati, privi di intervento umano.

In questo senso, un’evoluzione e un cambiamento autonomo delle condizioni di trattamento da parte dell’AI si configurerebbe come non supportato dalla base contrattuale e, pertanto, illecito.

Tuttavia, le ultime tendenze in fatto di intelligenza artificiale sostengono l’interazione continua tra uomo e macchina, dato che quest’ultima non sarebbe (ancora) così intelligente da operare in completa autonomia. Secondo il principio di accountability, inoltre, è il titolare del trattamento dati a mettere in atto “le misure tecniche e organizzative adeguate” per garantire (e dimostrare) la conformità al GDPR.

Viene inoltre introdotto dal Regolamento il principio di “Privacy by design”, secondo il quale, già dal momento della progettazione della tecnologia o del processo tramite cui verranno trattati i dati, si deve implementare la protezione degli stessi.

In tale ottica si colloca il recente studio “The Impact of the General Data Protection Regulation on artificial intelligence”, svolto nel contesto dell’EPRS (European Parliamentary Research Service), lo scorso Giugno 2020.

Assistiamo dunque a un ribaltamento di prospettiva, in cui la tecnologia stessa deve, ancor prima di esistere, essere preordinata per rispettare i diritti fondamentali della protezione dati sensibili.

In questo contesto rientra anche la pseudonimizzazione dei dati, analizzata dallo studio sopra citato come meccanismo per garantire l’efficienza dell’IA: in tutte le informazioni raccolte viene sostanzialmente ridotto il grado di “personalizzazione”, in parte o del tutto, come avviene con l’anonimizzazione.

La legislazione non ha ancora recepito gli impatti provenienti dalle innovazioni tecnologiche e scientifiche. L’obiettivo che si vuole raggiungere è infatti trovare il corretto equilibrio tra sviluppo tecnologico e tutela dei dati personali, tra intelligenza artificiale e privacy, in modo da favorire una sempre maggiore trasparenza dei sistemi AI, nell’ottica di una vera e propria etica digitale.

Comments are closed.