Come l’intelligenza artificiale deve cambiare con il Regolamento Privacy Europeo?

Intelligenza artificiale

Le tecnologie di intelligenza artificiale potrebbero trovare un notevole ostacolo nei diritti, gli obblighi e le sanzioni previste dal Regolamento Europeo sul trattamento dei dati personali. La definizione che ne dà Wikipedia è: l’intelligenza artificiale (AI) è l’intelligenza esibita dalle macchine. In informatica, una macchina “intelligente” è un agente razionale flessibile che percepisce il suo ambiente e prende le decisioni che massimizzano la sua possibilità di successo rispetto ad un certo obiettivo. Comunemente, il termine “intelligenza artificiale” si applica quando una macchina imita le funzioni “cognitive” che gli esseri umani associano con altre menti umane, come ad esempio l’”apprendimento” e la capacità di risolvere problemi.

Pertanto, le caratteristiche principali dell’AI sono:

  • la raccolta di grandi quantità di informazioni, anche dall’ambiente circostante 
  • la capacità di prendere decisioni autonome / intraprendere azioni volte a massimizzare le possibilità di successo.

L’esempio perfetto di una intelligenza artificiale è una self driving car che ha bisogno di prendere decisioni autonome sulla base di tutto ciò che accade su di una strada. Una conferma delle attuali preoccupazioni (e dei pregiudizi) relativi all’ AI è un nuovo studio del Federal Highway Research Institute, che è arrivato alla conclusione che la funzione di pilota automatico della Tesla Model S costituisce un considerable traffic hazard. Questo risultato è stato fortemente criticato dal CEO di Tesla, Elon Musk, che ha commentato in un tweet che tali studi “are not actually based on science” e ha ripetuto che “Autopilot is safer than manually driven cars.

Ma quando si tratta di intelligenza artificiale che potrebbe prendere decisioni che riguardano gli individui, nuove problematiche in materia di privacy sorgono, soprattutto alla luce del regolamento privacy europeo.

Come vengono trattati i dati?

La risposta a questa semplice domanda diventa molto più complessa con le tecnologie di intelligenza artificiale che si basano su grandi quantità di dati raccolti da fonti diverse. Tali macchine sono così avanzate che non sempre è possibile comprendere la finalità di utilizzo dei dati raccolti.

Pertanto, la problematica collegata a tale questione è se i dati processati dall’AI sono trattati in conformità alla legge. Se non è possibile comprendere la finalità di utilizzo dei dati, non si può essere certi che tale utilizzo rientri nell’ambito del consenso prestato dall’individuo o in una delle eccezioni al consenso.

E dal momento che la finalità del trattamento dei dati personali deve essere indicata nell’informativa privacy, i titolari del trattamento potrebbero finire nella situazione in cui rischiano di indicare nell’informativa o una finalità di utilizzo dei dati troppo ampia che potrebbe essere di conseguenza contestata oppure una finalità che riflette le intenzioni iniziali del titolare, ma è diversa dall’attività di trattamento di dati effettivamente compiuta dall’AI.

Quale sarà la posizione assunta dai Garanti privacy sull’argomento? Sono pronti a gestire le problematiche relative all’intelligenza artificiale?

E questo problema potrebbe avere un impatto anche sul diritto dei singoli di limitare le attività di trattamento dei loro dati personali. Se non è possibile procedere alla mappatura delle finalità per le quali i dati sono trattati, i titolari del trattamento potrebbero non essere in grado di soddisfare le richieste degli individui.

Si possono giustificare le decisioni automatizzate basate su dati?

Il regolamento privacy europeo prevede che l’individuo

ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”.

Le eccezioni a tale regola si applicano quando una decisione automatizzata o è prevista dalla legge, come ad esempio nel caso dei sistemi di prevenzione delle frodi, o è necessaria per stipulare un contratto o si basa sul consenso dell’individuo. Ma, in questi ultimi due scenari, le persone continueranno ad avere il diritto di ottenere l’intervento umano per esprimere il loro punto di vista e di contestare la decisione che è comunemente noto come il diritto di ricevere una giustificazione della decisione automatizzata.

L’esempio più frequente è quando un mutuo o una richiesta di lavoro viene rifiutato in quanto, secondo il sistema, l’individuo non soddisfa alcuni parametri. Tuttavia, il problema principale si pone quando l’AI diventa così complessa che le sue decisioni si basano su un numero così elevato di dati che in realtà non è possibile dare una giustificazione di una specifica decisione.

La soluzione potrebbe essere che l’intelligenza artificiale le cui decisioni potrebbero avere un impatto sugli individui deve essere strutturata in modo tale che sarà possibile “tracciare” la motivazione della decisione. Ma questo dipende anche da quale livello di giustificazione sarebbe sufficiente a soddisfare i criteri stabiliti nel Regolamento privacy europeo. E’ sufficiente dire che il richiedente di un mutuo non ha soddisfatto i parametri di merito del credito? O sarà richiesto per identificare il parametro specifico e se il parametro è diventato rilevante solo in quanto collegato ad una serie di altri parametri?

Che cosa succede in caso di decisioni sbagliate?

La complessità di un sistema di intelligenza artificiale crescerà nei prossimi anni. E tale complessità potrebbe rendere più difficile determinare quando un cyber-attacco si è verificato, e quindi un obbligo di notifica della data breach sussiste. Questa è una circostanza rilevante dal momento che il regolamento europeo protezione dei dati personali introduce l’obbligo di notificare un accesso non autorizzato ai dati personali alle autorità privacy competenti e alle persone i cui dati sono stati oggetto dell’accesso.

Recentemente abbiamo visto il caso che coinvolge il fornitore di telecomunicazioni inglese Talk Talk, sanzionato dall’Information Commissioner con una multa di £ 400.000 per non aver impedito un cyber-attacco che ha portato l’accesso ai dati di oltre 150.000 clienti. Ma cosa sarebbe successo se Talk Talk non fosse stata in grado di determinare se si fosse verificato un cyber-attacco e all’improvviso il suo sistema avesse cominciato a prendere decisione “insolite”? Date le sanzioni potenzialmente enormi previste dal regolamento privacy europeo, questo è un problema rilevante.

E questo è il problema comune di tecnologie smart, come quelle dell’Internet of Things. Un problema che è rilevante non solo sotto una prospettiva di conformità alla normativa privacy, ma anche in caso di controversie relative alle decisioni prese dai dispositivi di intelligenza artificiale. Se è possibile affermare che la scelta presa dal conducente per evitare un incidente è istintiva, non si può sostenere la stesso in relazione alla scelta presa dall’AI.

Inoltre, è stata la decisione della intelligenza artificiale conforme a principi etici? Qualora un’AI guidasse una self-driving car, la tecnologia deve essere anche programmata in modo che, se vi è il rischio di colpire un autobus scolastico, il veicolo cambi direzione anche se sembra essere la decisione sbagliata in base dati trattati?

Potresti trattare dati personali senza saperlo

La Corte di Giustizia europea ha emesso una decisione storica sulla definizione di dati personali: ha ritenuto infatti che un indirizzo IP dinamico è un dato personale non solo per il fornitore di servizi Internet (che ha gli strumenti per collegare l’indirizzo IP all’individuo allo stesso collegato), ma anche per il gestore di un sito web,

se questo gestore del sito ha i mezzi legali per identificare il visitatore con l’ausilio di ulteriori informazioni sul visitatore comunicate dal fornitore di di servizi Internet.

E questo era il caso rispetto al diritto tedesco secondo il quale, a quanto pare, il gestore di un sito può ottenere le informazioni necessarie per identificare il visitatore del sito dall’Internet provider tramite un’autorità competente che richieda le informazioni per preparare un procedimento penale, per esempio in caso di attacchi informatici.

Al contrario, la definizione di dati personali non include i dati per i quali l’identificazione della persona a cui si riferisce è vietata dalla legge o praticamente impossibile a causa del fatto che essa richiede uno sforzo sproporzionato in termini di tempi e costi per una persona fisica, in modo che il rischio di identificazione appaia in realtà essere insignificante.

Bisognerà verificare come la questione sarà affrontata nei prossimi anni. Tuttavia, già sussistono dei metodi per massimizzare l’utilizzo dei dati.

La privacy by design come la principale protezione contro possibili responsabilità

Con il principio di accountability che pone l’onere della prova di aver adempiuto agli obblighi in materia di protezione dei dati sul soggetto che viene indagato, la principale difesa per ogni business è l’implementazione di un approccio di privacy by design. La possibilità di avere documentato tramite un manuale ad hoc l’adozione di tutte le misure richieste dalla normativa privacy, può essere uno strumento prezioso in un contesto dove ci sono notevoli incertezze dovute principalmente alla rapida innovazione tecnologica e alla crescita del cyber crime.

Inoltre, sarà interessante capire quale approccio sta per essere preso in merito da parte dei Garanti europei. Ma il rischio è che potremmo avere un regolamento che non è al passo con i tempi ancora prima che diventi vincolante.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here