MODELLO ETICO E IA ALLA LUCE DEL GDPR: quali prospettive per le aziende? (PARTE 1)
di Arianna Bilancio
1. Modello etico dell’IA e GDPR: potenzialità e perplessità.
Nell’ultimo decennio, l’intelligenza artificiale si è sviluppata rapidamente, acquisendo tecniche scientifiche sempre più precise e conseguenti applicazioni di successo. Questi strumenti sono in grado di eseguire forme di analisi sempre più sofisticate ed accurate, dando vita a prodotti e servizi personalizzati nonché lavori efficienti. La rivoluzione sociale e giuridica che porta con sé l’IA necessita indispensabilmente di un supporto normativo chiaro ed inequivocabile. In questa sede verrà analizzato il Regolamento Generale sulla Protezione dei Dati (GDPR) UE 2016/679 nel quale è possibile risalire a questioni legate alla protezione dei dati nel contesto dell’IA, seppur non contenendo alcun riferimento esplicito ad essa. Ciò costituisce un problema di non poca rilevanza per le aziende che utilizzano l’IA, in quanto le loro iniziative potrebbero rivelarsi non del tutto conformi con i principi etici, vista l’insufficiente chiarezza del Regolamento sull’uso degli strumenti.
2. Rischi etici dell’IA.
L’implementazione di tali “sistemi intelligenti” impone, inevitabilmente, una profonda riflessione sulle possibili conseguenze che ne possono derivare, soprattutto quando ciò si traduce in una minaccia ai diritti fondamentali relativi agli individui coinvolti. In particolare, quando si parla di intelligenza artificiale declinata in attività di profilazione e in processi decisionali automatizzati, si rischia di limitare drasticamente l’esercizio di diritti ritenuti da sempre essenziali al libero dispiegarsi delle società democratiche, quali la libertà di espressione, il pluralismo dell’informazione, l’uguaglianza nelle possibilità di partecipazione alla vita sociale, il libero determinarsi della identità personale. Difatti, le decisioni algoritmiche e i contenuti prodotti da IA possono anche essere sbagliate o discriminatorie. Anche quando le valutazioni automatizzate degli individui sono accurate, non sono prive di problemi: possono produrre una reazione negativa su coloro i quali sono soggetti a sorveglianza pervasiva, valutazione persistente, influenza insistente e possibile manipolazione. Pertanto, alla luce di questi rischi, si rivelerà cruciale esaminare come il GDPR tratti e disciplini le intelligenze artificiali e di conseguenza come le aziende possano attuare delle mitigation measures.
3. Stato dell’arte: i riferimenti dell’IA nel GDPR.
Il termine “intelligenza artificiale” non è presente nel GDPR, così come neppure altri termini ad esso correlati. Difatti, il GDPR, proprio perché entrato in vigore nel 2016, è stato forgiato come normativa “technology-neutral” pur tenendo ovviamente in conto, in vari frangenti, i rischi connessi alla digitalizzazione. L’IA non è menzionata esplicitamente nel GDPR, ma molte disposizioni sono da considerarsi ad ogni modo applicabili ed alcune tematiche devono essere effettivamente reinterpretate. Prima fra tutte, la questione della trasparenza risulta essere un concetto imprescindibile in due momenti fondamentali: quando le informazioni dell’interessato vengono elaborate in un sistema informativo che include algoritmi (trasparenza ex-ante), o dopo i risultati specifici dati dall’algoritmo alimentato dalle informazioni dell’interessato (trasparenza ex post). Proprio negli artt. 13 e 14 del GDPR è previsto un obbligo di informazione su molteplici aspetti, prevedendo anche la fruizione di ulteriori informazioni nel caso i dati dell’interessato siano trattati per scopi diversi che non potevano essere previsti al momento della loro raccolta. Sempre nei suddetti articoli è rinvenibile un ulteriore obbligo di trasparenza delle applicazioni di IA, più precisamente ai processi decisionali automatizzati. In questi casi, il titolare del trattamento ha l’obbligo di fornire informazioni sull’esistenza del processo decisionale automatizzato e “informazioni significative sulla logica utilizzata, nonché sull’importanza e sulle conseguenze previste di tale trattamento per l’interessato”. In secondo luogo è sicuramente rilevante la valutazione d’impatto sulla protezione dei dati (DPIA), nonché l’eventuale consultazione preventiva, inseriti negli artt. 35 e 36 GDPR. L’art. 35 del GDPR, in particolare, stabilisce esplicitamente che in caso di attività di trattamento particolarmente delicate, tra le quali rientra “la valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione”, il titolare è tenuto ad eseguire una valutazione di impatto al fine di verificare se il trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche. In tal senso, le linee guida del WP29 offrono alcuni chiarimenti sul punto; in particolare, precisano quando una valutazione di impatto sia obbligatoria, chi debba condurla, in cosa essa consista e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum. È evidente come il GDPR e le linee guida del WP29 parlino di valutazioni da condurre sempre in funzione del contesto tecnologico del rischio che potrebbero arrecare, applicando un approccio risk – based.
1. Modello etico dell’IA e GDPR: potenzialità e perplessità.
Nell’ultimo decennio, l’intelligenza artificiale si è sviluppata rapidamente, acquisendo tecniche scientifiche sempre più precise e conseguenti applicazioni di successo. Questi strumenti sono in grado di eseguire forme di analisi sempre più sofisticate ed accurate, dando vita a prodotti e servizi personalizzati nonché lavori efficienti. La rivoluzione sociale e giuridica che porta con sé l’IA necessita indispensabilmente di un supporto normativo chiaro ed inequivocabile. In questa sede verrà analizzato il Regolamento Generale sulla Protezione dei Dati (GDPR) UE 2016/679 nel quale è possibile risalire a questioni legate alla protezione dei dati nel contesto dell’IA, seppur non contenendo alcun riferimento esplicito ad essa. Ciò costituisce un problema di non poca rilevanza per le aziende che utilizzano l’IA, in quanto le loro iniziative potrebbero rivelarsi non del tutto conformi con i principi etici, vista l’insufficiente chiarezza del Regolamento sull’uso degli strumenti.
2. Rischi etici dell’IA.
L’implementazione di tali “sistemi intelligenti” impone, inevitabilmente, una profonda riflessione sulle possibili conseguenze che ne possono derivare, soprattutto quando ciò si traduce in una minaccia ai diritti fondamentali relativi agli individui coinvolti. In particolare, quando si parla di intelligenza artificiale declinata in attività di profilazione e in processi decisionali automatizzati, si rischia di limitare drasticamente l’esercizio di diritti ritenuti da sempre essenziali al libero dispiegarsi delle società democratiche, quali la libertà di espressione, il pluralismo dell’informazione, l’uguaglianza nelle possibilità di partecipazione alla vita sociale, il libero determinarsi della identità personale. Difatti, le decisioni algoritmiche e i contenuti prodotti da IA possono anche essere sbagliate o discriminatorie. Anche quando le valutazioni automatizzate degli individui sono accurate, non sono prive di problemi: possono produrre una reazione negativa su coloro i quali sono soggetti a sorveglianza pervasiva, valutazione persistente, influenza insistente e possibile manipolazione. Pertanto, alla luce di questi rischi, si rivelerà cruciale esaminare come il GDPR tratti e disciplini le intelligenze artificiali e di conseguenza come le aziende possano attuare delle mitigation measures.
3. Stato dell’arte: i riferimenti dell’IA nel GDPR.
Il termine “intelligenza artificiale” non è presente nel GDPR, così come neppure altri termini ad esso correlati. Difatti, il GDPR, proprio perché entrato in vigore nel 2016, è stato forgiato come normativa “technology-neutral” pur tenendo ovviamente in conto, in vari frangenti, i rischi connessi alla digitalizzazione. L’IA non è menzionata esplicitamente nel GDPR, ma molte disposizioni sono da considerarsi ad ogni modo applicabili ed alcune tematiche devono essere effettivamente reinterpretate. Prima fra tutte, la questione della trasparenza risulta essere un concetto imprescindibile in due momenti fondamentali: quando le informazioni dell’interessato vengono elaborate in un sistema informativo che include algoritmi (trasparenza ex-ante), o dopo i risultati specifici dati dall’algoritmo alimentato dalle informazioni dell’interessato (trasparenza ex post). Proprio negli artt. 13 e 14 del GDPR è previsto un obbligo di informazione su molteplici aspetti, prevedendo anche la fruizione di ulteriori informazioni nel caso i dati dell’interessato siano trattati per scopi diversi che non potevano essere previsti al momento della loro raccolta. Sempre nei suddetti articoli è rinvenibile un ulteriore obbligo di trasparenza delle applicazioni di IA, più precisamente ai processi decisionali automatizzati. In questi casi, il titolare del trattamento ha l’obbligo di fornire informazioni sull’esistenza del processo decisionale automatizzato e “informazioni significative sulla logica utilizzata, nonché sull’importanza e sulle conseguenze previste di tale trattamento per l’interessato”. In secondo luogo è sicuramente rilevante la valutazione d’impatto sulla protezione dei dati (DPIA), nonché l’eventuale consultazione preventiva, inseriti negli artt. 35 e 36 GDPR. L’art. 35 del GDPR, in particolare, stabilisce esplicitamente che in caso di attività di trattamento particolarmente delicate, tra le quali rientra “la valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione”, il titolare è tenuto ad eseguire una valutazione di impatto al fine di verificare se il trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche. In tal senso, le linee guida del WP29 offrono alcuni chiarimenti sul punto; in particolare, precisano quando una valutazione di impatto sia obbligatoria, chi debba condurla, in cosa essa consista e la necessità di interpretarla come un processo soggetto a revisione continua piuttosto che come un adempimento una tantum. È evidente come il GDPR e le linee guida del WP29 parlino di valutazioni da condurre sempre in funzione del contesto tecnologico del rischio che potrebbero arrecare, applicando un approccio risk – based.