Intelligenze artificiali personalizzate, ma nel rispetto della privacy. Gli operatori economici, che offrono i propri servizi gestiti da sistemi di IA, devono osservare le disposizioni del Gdpr e, quindi, scrivere documenti interni di valutazione dell'impatto derivante dall'uso di queste tecniche.
Non bisogna, insomma, “partire in tromba”, ma verificare i passaggi formali e organizzativi richiesti dal Gdpr e monitorare costantemente la situazione normativa e le iniziative del Garante della privacy.
L'IA è, infatti, una sorvegliata speciale. In sede italiana, non a caso, il Garante ha dichiarato guerra al webscraping e cioè alla raccolta massiva di dati personali a fini di addestramento degli algoritmi di intelligenza artificiale (IA) da parte di soggetti terzi (comunicato del 22 novembre 2023), riservandosi interventi d'urgenza contro questa pesca a strascico e, nelle more, chiedendo di inviare all'indirizzo webscraping@gpdp.it contributi di idee per stopparla.
In sede europea, poi, siamo in attesa dell'approvazione del regolamento Ue sull'IA (ottimisticamente dovrebbe arrivare entro la prima metà del 2024), passato al setaccio dal Garante della privacy degli organismi dell'Ue (EDPS), che ha riscontrato parecchie criticità nel testo in discussione: mancano, in particolare, i divieti di uso dell'IA per catalogare le persone (social scoring), per il riconoscimento facciale e delle emozioni e per la valutazione della pericolosità dell'individuo ai fini dell'adozione di provvedimenti dell'autorità giudiziaria.
Così, come spesso accade, mentre gli strumenti legislativi viaggiano lentamente, la velocità dell'economia è stratosfericamente più elevata.
Peraltro, gli operatori non possono esimersi dal confrontare le loro scelte con le norme vigenti, tra cui quelle che impongono la valutazione di impatto privacy.
Per usare l'IA, la valutazione di impatto privacy (Dpia, acronimo di Data Protection Impact Assessment) è obbligatoria ai sensi dell’art. 35 Gdpr.
Ricorre, infatti, l'ipotesi prevista dal primo paragrafo dell'articolo citato e cioè l'uso di nuove tecnologie.
Non fare la Dpia espone ad una pesantissima sanzione amministrativa (fino a 10 milioni di euro).
Inoltre, è obbligatorio chiedere il parere al Responsabile della protezione dei dati (Dpo).
Si ritiene, al riguardo, che se un operatore economico vuole ricorrere a sistemi di IA è obbligato a nominare il Dpo: a ben vedere, le caratteristiche dell'IA sono tali da fare ricadere i trattamenti in una delle ipotesi di nomina obbligatoria previsti dall’art. 37 Gdpr. Per sua natura, infatti, il trattamento con IA richiede l'elaborazione massiva di dati.
Ai sensi dell’art. 25 Gdpr, il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate a garantire che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.
Se, utilizzando un sistema di IA, salta fuori che c'è la possibilità di una circolazione dei dati, ci vuole una fase di controllo umano.
Se non c'è il controllo umano, ci si espone alla sanzione amministrativa.
La Dpia deve contenere una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, se applicabile, l'interesse legittimo perseguito dal titolare del trattamento.
La descrizione deve essere sistematica e non sintetica. L'interessato, se lo desidera, deve poter ottenere la descrizione analitica di come è sviluppato il sistema.
Il Gdpr pretende che nella Dpia sia formulata una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità.
Stando alle parole del Gdpr, l'IA se non deve essere indispensabile, non deve essere nemmeno semplicemente utile, in quanto deve essere necessaria.
Questo significa che nella Dpia bisogna spiegare perché è “necessaria”, non limitandosi a vaghi richiami. Prendiamo la finalità commerciale e cioè lo scopo di lucro mediante vendita di beni e prodotti.
Per raggiungere questa finalità si potrà motivare la “necessità”, ad esempio, con ponderate e comprovate descrizioni delle dinamiche del mercato e della concorrenza, dell'evoluzione dei sistemi produttivi, dei cambiamenti dei sistemi di comunicazione, delle richieste da parte della comunità dei consumatori e clienti.
Si sottolinea che deve, comunque, trattarsi di argomenti riscontrabili su basi fattuali e non un esercizio di vuota tautologia autoreferenziale.
Peraltro, i termini del rapporto sono, da un lato, il trattamento (con l'IA) e, dall'altro, la finalità.
Così, se ci sono più finalità, la valutazione della necessità può dipendere dagli elementi del trattamento.
E qui entra in gioco l'altro requisito e cioè quello della proporzionalità. Il trattamento per una determinata finalità non deve esagerare.
Si esagera, ad esempio, quando si raccolgono dati superflui o quando si conservano per troppo tempo, allora, nell'ambito della “necessità”, bisogna apportare correttivi riconducibili alla “proporzione”.
A questo riguardo un tema spinoso è la finalità di addestrare l'IA, che è comune a tutti i sistemi di IA. Questa finalità è tale da non permettere a priori di distinguere dati utili e dati non utili: tutti i dati sono utili; l'IA è onnivora e non scarta nulla. Questo implica che chi vuole usare l'IA, per rimanere nei limiti della proporzionalità, deve trovare correttivi su altri livelli. Alla finalità di addestrare l'IA deve corrispondere un periodo di conservazione dei dati correlato ai tempi di apprendimento e, soprattutto, diverso da quello abbinato ad altre diverse finalità. La Dpia, allora, deve prendere posizione sul periodo necessario per l'apprendimento e deve differenziare i relativi tempi di conservazione dei dati per l'apprendimento rispetto ad altri scopi. Pertanto, allo stato, è contrario al Gdpr una conservazione illimitata, pretestuosamente giustificata dal fatto che l'IA impara sempre e di continuo in un ambito temporale non definibile.
Tutto ciò a meno che non si cambino le regole del gioco e il diritto Ue stabilisca che il progresso dell'IA implica deroghe alle regole a tutela della privacy e della protezione dei dati.
La Dpia deve contenere l'analisi dei rischi e il piano di intervento per prevenire e rimediare, nel caso che i rischi paventati diventino danni concreti.
In una situazione di avvio dell'uso diffuso e massivo di questi strumenti, che non si conoscono nemmeno bene nel loro funzionamento e che, anzi, si emanciperanno sempre più dal controllo umano, i rischi, ammesso che siano tutti classificabili, saranno in prospettiva sempre più difficilmente gestibili.
Detto questo, ai fini della valutazione di impatto da scrivere oggi, bisogna dare conto delle categorie di rischio conosciute (come inesattezze, discriminazioni e pregiudizi) e impiantare sistemi, aggiornati allo stato dell'arte, di continua verifica, correzione e ripristini del sistema di IA utilizzato.
Contestualmente alla Dpia, i soggetti privati, che usano sistemi di IA, devono individuare la base giuridica del trattamento. Questo significa che, a legislazione vigente, l'operatore privato, oltre alla valutazione di impatto, deve scrivere l'atto di analisi (o bilanciamento) del legittimo interesse (Lia), quando appunto ricorre, potendolo fare, al legittimo interesse.
L'operatore privato può ricorrere al legittimo interesse solo se i trattamenti, effettuati con l'uso di IA, non producono decisioni interamente automatizzate (senza intervento umano).
Se, invece, ci sono decisioni basate unicamente sul trattamento automatizzato effettuato da una IA, le basi giuridiche utilizzabili sono: necessità contrattuale; copertura con norma di diritto; consenso esplicito.
Di conseguenza, l'operatore privato può usare, come base giuridica, il legittimo interesse (che esonera dalla raccolta del consenso dell'interessato), solo se non si arriva a decisioni interamente automatizzate, che producono effetti giuridici sull'interessato o che incidono in modo significativo su un individuo.
Ad esempio, può rientrare nel legittimo interesse la stretta finalità di addestramento dell'IA, purché sia possibile definire il ciclo di tale attività con cancellazione dei dati personali al termine dell'addestramento. Al contrario, la conservazione dei dati già usati per l'addestramento, diventa un trattamento a parte, strumentale a una finalità diversa dal concluso addestramento, la quale deve essere giustificata con idonea base giuridica.
In ogni caso, se in una determinata ipotesi si ritenesse utilizzabile il legittimo interesse, allora si deve estendere la Lia scrivendola come un capitolo della Dpia o scrivendo un atto separato.
Se, poi, l'IA tratta dati sensibili, biometrici o genetici, arrivando a decisioni automatizzate, si deve raccogliere il consenso esplicito dell'interessato o si deve perseguire un interesse pubblico rilevante: in entrambe le ipotesi con misure rafforzate a presidio dell'individuo.
La pubblicazione di una valutazione d'impatto sulla protezione dei dati non è obbligatoria.
Tuttavia, soprattutto a proposito della IA, gli operatori economici devono prendere in considerazione la pubblicazione di almeno alcune parti, ad esempio di una sintesi o della conclusione della loro Dpia, anche per dimostrare la loro responsabilizzazione e la loro trasparenza.
Lo stralcio pubblicato non deve divulgare segreti commerciali o informazioni commerciali sensibili.
Fonte:
https://www.italiaoggi.it/news/sistemi-di-ia-personalizzati-a-misura-di-privacy-2619396#Echobox=1701045394
A cura di: