Nuova denuncia contro Amazon: la FTC contesta i dark patterns per l’iscrizione a Prime
Articoli correlati
- Audit degli algoritmi: la normativa UE lo prevede, ma non è ancora chiaro come farlo. Ecco perché
- Intelligenza artificiale e protezione dati personali: sfide e rischi delle “macchine predittive”
- TikTok, aperto tavolo di confronto con l’UE: focus su privacy e sicurezza dei servizi digitali
- Digital Services Act: questioni tecnico-giuridiche ancora aperte sulla sua applicazione
- Nuova denuncia contro Amazon: la FTC contesta i dark patterns per l’iscrizione a Prime
Articolo 1 di 5
LE RACCOMANDAZIONI
Intelligenza artificiale e protezione dati personali: sfide e rischi delle “macchine predittive”
Condividi questo articolo
L’uso dei sistemi di intelligenza artificiale fa emergere nuove sfide e maggiori rischi in ambito data protection: le macchine predittive hanno infatti un potenziale enorme. In questo senso, le recenti raccomandazioni dell’ICO mostrano come l’adozione di una corretta data strategy non sia sufficiente. Ecco perché
Pubblicato il 14 Nov 2022
Avvocato, Director Deloitte Legal
Trainee Lawyer Deloitte Legal
L’Artificial Intelligence (AI) sta assumendo un ruolo sempre più centrale nella trasformazione digitale della società e dell’economia. L’utilizzo di tale tecnologia garantisce in primo luogo la possibilità di effettuare previsioni, non solo rispetto al futuro, ma anche rispetto al presente e al passato.
È per questo che quando si fa riferimento a questi sistemi si parla anche di “macchine predittive”, permettendo il conseguimento di risultati estremamente efficaci a chi ne faccia uso, a livello anche di studio e ricerca, di sviluppo di applicazioni innovative in tutti gli ambiti (medico, bancario, assicurativo, mobilità ecc.), di fornitura di servizi customizzati e via dicendo.
Tuttavia, le sfide collegate a questo ambito sono estremamente significative e i possibili rischi (attuali e futuri) molto alti.
Tra questi, assumono rilevanza fondamentale anche i temi della sicurezza dei sistemi e affidabilità dei dati (di cui gli algoritmi si alimentano), della possibile totale automatizzazione di decisioni aventi impatti giuridici sulle persone, dei pregiudizi (bias) che possono viziare l’output dell’AI nel caso in cui l’algoritmo sia stato addestrato incorporando, anche involontariamente, set di informazioni connotate da schemi umani non immuni da condizionamenti sociali, con possibili effetti discriminatori.
Indice degli argomenti
- Ruolo chiave dell’UE nella disciplina del fenomeno
- Le raccomandazioni dell’ICO
- La centralità del presidio umano
Ruolo chiave dell’UE nella disciplina del fenomeno
Mentre Stati Uniti e Cina lottano per la supremazia tecnologica in questo settore, l’Unione Europea si sta impegnando per costruire un framework di regole perché sia garantita la sicurezza dei cittadini europei e il rispetto dei loro diritti fondamentali.
WHITEPAPER
I DATI sono il nuovo PETROLIO, ma sostenibile! Ecco come metterli al servizio delle aziende
Eprocurement
Esourcing
Inizio modulo
Leggi l'informativa sulla privacy
- Acconsento alla comunicazione dei dati a terzi appartenenti ai seguenti settori merceologici: servizi (tra cui ICT/digitali), manifatturiero, commercio, pubblica amministrazione. I dati verranno trattati per finalità di marketing tramite modalità automatizzate e tradizionali di contatto (il tutto come specificato nell’informativa)
Fine modulo
A tal fine, la Commissione ha proposto un regolamento (cd. AI Act) attualmente in discussione in seno al Parlamento Europeo (l’ultimo aggiornamento dell’iter approvativo risale al 3 novembre scorso). Questo intervento legislativo si pone in scia ad una serie di ulteriori iniziative intraprese in Europa negli ultimi anni in ambito AI, tra cui consultazioni pubbliche, linee guida, dichiarazioni e report.
L’intero impianto della proposta di AI Act poggia sull’approccio basato sul rischio (c.d risk based approach). Le tecnologie di intelligenza artificiale sono state infatti suddivise in tre categorie:
- quelle vietate, in quanto potenzialmente in grado di generare un rischio inaccettabile e dunque in contrasto con i valori europei;
- sistemi ad alto rischio, in quanto pongono significativi rischi per la salute e la sicurezza o per i diritti fondamentali delle persone;
- sistemi a rischio basso o minimo, per i quali sono previste restrizioni e tutele specifiche.
Quando il Regolamento europeo sarà approvato e diventerà efficace, i sistemi di AI dovranno rispettare una serie di requisiti obbligatori per essere ritenuti affidabili. Le regole saranno applicate tramite un sistema di governance a livello degli Stati membri e un meccanismo di cooperazione a livello europeo con l’istituzione di un Comitato per l’AI.
In attesa di tale normativa, occorre fare riferimento alla normativa attuale applicabile in materia, in primis il General Data Protection Regulation (GDPR).
Le raccomandazioni dell’ICO
Alcune autorità di sorveglianza in ambito privacy, recentemente, si sono attivate per rilasciare indicazioni e strumenti di lavoro per operatori e professionisti sul tema cruciale della tutela dei dati personali nell’ambito dell’uso di sistemi di AI, al fine di calare nel contesto in oggetto le norme del GDPR.
Da ultimo, l’Information Commissioner’s Office (ICO), il Garante inglese, ha pubblicato una serie di raccomandazioni nel documento denominato “How to use AI and personal data appropriately and lawfully”. Di seguito si richiamano alcune di esse, ritenute maggiormente operative.
- Adottare un approccio basato sul rischio nello sviluppo e nell’implementazione dell’AI. In concreto, ciò si traduce nel condurre una valutazione d’impatto (DPIA) approfondita in merito all’uso di una tecnologia ad alto rischio come l’AI, individuando i rischi per i dati personali e adottando misure di sicurezza adeguate perché il trattamento avvenga in conformità alle leggi applicabili. Può assumere rilevanza anche il confronto con player dello stesso settore che usino la stessa o simili tecnologie, per confrontarsi in merito ai potenziali rischi.
- Spiegare agli interessati il funzionamento del sistema di AI con un linguaggio semplice e chiaro (nonostante il livello tecnico possa essere molto complesso, in particolar modo nel contesto del cd. machine learning), precisando l’impatto dei trattamenti sulle persone: il livello informativo deve essere proporzionato a quest’ultimo.
- Rispettare il principio di minimizzazione dei dati. In pratica, per assicurarsi che i dati raccolti dal sistema di AI siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, è raccomandabile individuare tutte le fasi in cui il sistema di AI tratta i dati e organizzare, ad intervalli temporali definiti, momenti di verifica circa la effettiva necessità dei dati per la finalità per i quali sono stati raccolti. L’adozione di tecniche quali l’aggiunta di “rumore” ai dati o l’uso di dati sintetici nella fase di training possono risultare indicate.
- Nella fase preparatoria di sviluppo del sistema di AI, per attenuare i pregiudizi che potrebbero derivare dall’utilizzo di quest’ultimo, verificare l’accuratezza, l’affidabilità, la pertinenza e l’aggiornamento dei dati. Se necessario, per evitare errori nella fase di training, modificare i dati. In seconda battuta, valutare le conseguenze delle decisioni adottate dal sistema di AI, per comprendere se i rischi che ne derivano sono o meno accettabili. Eventualmente cambiare i meccanismi di apprendimento o modificare il modello, in presenza di bias. A seconda dello scopo dell’AI: (i) i risultati possono essere utilizzati per supportare una scelta umana, o (ii) le decisioni possono risultare esclusivamente automatizzate: gli interessati, in ogni caso, hanno il diritto di non essere soggetti a decisioni assunte solo dall’AI che abbiano effetti giuridici nei loro confronti. Perché ciò avvenga, è suggerito coinvolgere “controllori” adeguatamente formati per interpretare – ed eventualmente anche contraddire – gli output dell’AI.
- Garantire la sicurezza del sistema di AI. Per farlo, occorre adottare misure adeguate per mitigare i rischi, ponendo in essere vari adempimenti, fra cui risk assessment, mappatura dei sistemi, debugging (il processo che consiste nell’individuare e risolvere i problemi del modello), audit di sicurezza frequenti (svolti internamente o da parte di terzi), presidio costante delle anomalie.
- Nei rapporti con terze parti, quali ad esempio i fornitori esterni del sistema tecnologico usato dal titolare del trattamento per le proprie finalità, la collaborazione di questi è imprescindibile per garantire che l’uso dell’IA sia lecito. Occorre innanzitutto scegliere un fornitore affidabile (a seguito di apposito check), individuare correttamente i ruoli privacy (in linea di massima, il fornitore sarà un data processor) e le relative responsabilità (formalizzandole contrattualmente), verificare il rispetto del principio di privacy by design da parte del fornitore (acquisendo anche la documentazione che lo dimostri), ottenere la collaborazione del responsabile nello svolgimento della DPIA (prima di iniziare il trattamento), verificare eventuali trasferimenti di dati extra-UE (ed eventualmente adottare le necessarie misure), svolgere audit.
La centralità del presidio umano
L’attuale contesto di forte evoluzione tecnologica fa emergere nuove sfide e maggiori rischi in ambito data protection. Il contributo dell’ICO mostra come l’adozione di una corretta data strategy non sia sufficiente. Le macchine predittive hanno infatti un potenziale enorme: affinché, però, il loro uso non produca effetti indesiderati o dannosi, è necessaria una supervisione umana costante e attenta, da parte di figure tecniche e legali in grado di presidiare tutte le diverse fasi dell’AI, dallo sviluppo, all’utilizzo, al training, al monitoraggio e finanche alla dismissione del sistema di AI (se si pensa anche ai temi della data retention e della necessità di cancellare o anonimizzare i dati, una volta che le finalità per le quali sono stati raccolti siano esaurite).
Il framework normativo attuale non include ancora la normativa specifica in materia di AI (di prossima approvazione).
Tuttavia, applicando le regole attualmente vigenti in Europa in materia di protezione dei dati personali, osservando le indicazioni delle Autorità di controllo e allineandosi alle best practice createsi in questo ambito, è possibile implementare soluzioni in ambito AI con il necessario livello di sicurezza.
Valuta la qualità di questo articolo
B
Pietro Boccaccini
Avvocato, Director Deloitte Legal
L
Lidia Letterelli
Trainee Lawyer Deloitte Legal
Digital Product Passport: un’opportunità per il manifatturiero che vuol essere sostenibile
L'ANALISI