.png)
AI E PRIVACY: UN BINOMIO COMPLESSO
Articolo a cura di Giovanni Cannari e Lorenzo Cirenei
Revisione a cura di Federico Grossi
1. Raccolta e gestione dei dati in tema di AI: problemi di privacy e responsabilità
Il tema dell’intelligenza artificiale è ad oggi molto discusso, in un mondo che viaggia sempre più velocemente verso la digitalizzazione, consentendoci di ottenere un’efficienza senza precedenti. Tuttavia, per quanto sia innegabile che l’evoluzione tecnologica giochi un ruolo fondamentale nello sviluppo complessivo dell’economia mondiale, occorre interrogarsi sulle possibili controindicazioni che un’innovazione sempre più permeante nel tessuto sociale possa avere riguardo altri aspetti di valore assoluto, quali i diritti fondamentali. A tal proposito Geoffrey Hinton, uno dei padri dell’intelligenza artificiale, dopo aver lasciato Google ha definito i sistemi di machine learning come una “minaccia esistenziale”.
Prima di analizzare le conseguenze che potrebbero scaturire dall’utilizzo delle AI, qualche precisazione appare doverosa. Con il termine intelligenza artificiale ci riferiamo genericamente a determinate tipologie di software che permettono alle macchine nelle quali sono istallati di apprendere, pianificare e ragionare. In particolare, determinate AI sono equipaggiate con sistemi di machine learning che, mediante algoritmi di apprendimento automatico o tecniche statistiche, permettono alle stesse di migliorare nel tempo rafforzando la propria capacità di prendere decisioni e compiere predizioni. A tal fine, questi modelli devono essere addestrati mediante una enorme quantità di dati.
Sono svariate le modalità con le quali le società sviluppatrici raccolgono i dati di cui necessitano. Questi possono essere comprati da società terze, raccolti mediante crowdsourcing pubblico, selezionati mediante tecniche automatiche di raccolta, e così via. Nell’oceano di dati che negli anni sono stati prodotti e che tutt’oggi vengono generati è doveroso che le tecniche di raccolta e sfruttamento degli stessi sia quantomeno compatibile con le leggi in tema di privacy. A tal proposito, si apre il problema della responsabilità per società che, avvalendosi di sistemi avanzati di raccolta dati, rischiano di incorrere in fenomeni di data breach. Il problema è duplice, perché se è vero che non informando gli stakeholders riguardo la violazione avvenuta si può andare incontro a responsabilità di carattere non solo civilistico, ma anche penale, d’altro canto esternare il danno con lo scopo di mitigare la responsabilità vorrebbe dire autodenunciarsi comportando una diminuzione della fiducia nei confronti della società.
In questo quadro, gran parte della dottrina difende la tesi secondo cui una direzione è già tracciata dalla responsabilità civile; la soluzione prospettata sarebbe quella di continuare a fare riferimento alla normativa già esistente.
Il dilemma riguarda l’asincronia tra lo sviluppo tecnologico e la normativa in tema di privacy.
2. Il caso Chat GPT
In seguito al data breach subito dal software di intelligenza artificiale relazionale ChatGPT lo scorso 20 marzo, il Garante per la protezione dei dati personali ha disposto, con effetto immediato, la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, società statunitense che ha sviluppato e gestisce la piattaforma. Nel provvedimento sono stati rilevati la mancanza di una informativa agli utenti, l’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali e la mancata corrispondenza delle informazioni fornite da ChatGPT al dato reale, determinando in questo modo un trattamento dei dati personali inesatto. Inoltre, il Garante ha richiesto che il servizio fosse rivolto limitatamente ai maggiori di 18 anni, o ai maggiori di 13 anni a condizione che questi siano supervisionati da un adulto. Ancora, il software non disponeva di alcun filtro per la verifica dell’età degli utenti, rischiando in tal modo di esporli a risposte del tutto inidonee rispetto al loro grado di sviluppo.
A tal proposito OpenAI, che non ha una sede nell’Unione, ha designato un rappresentante all’interno dello Spazio economico europeo al fine di istaurare un agile dialogo con l’autorità. OpenAI aveva l’obbligo di comunicare entro un termine di 20 giorni le misure intraprese in conformità di quanto richiesto dal Garante, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.
Il 28 aprile l’organo di controllo italiano ha espresso soddisfazione per le soluzioni adottate dalla società americana, consentendo lo sblocco del chatbot. Ad oggi, il software richiede all’utente una verifica dell’età per l’accesso; tuttavia, la misura intrapresa potrebbe non essere adeguata, in quanto chiunque può accedere a ChatGPT semplicemente confermando di avere l’età idonea, senza che vi sia alcuna verifica effettiva in merito. In ogni caso, i provvedimenti attuati al momento appaiono essere solamente una soluzione temporanea; è infatti presumibile che sia solo questione di tempo perché il Garante sanzioni nuovamente OpenAI per la mancata soddisfazione dei criteri adottati.
Di più, il tema ulteriore ad emergere in questo contesto è che proprio le possibili in tema di verifica dell’età potrebbero essere la causa di nuovi problemi in tema di trattamento dei dati personali. Infatti, nel momento in cui il Garante vincolasse OpenAI a predisporre un meccanismo di verificazione dell’età denotato da maggiore analiticità non è al momento escludibile che, proprio a causa della raccolta di determinati dati personali ai fini della verifica, si possa ricadere comunque in una raccolta indebita degli stessi. Un tale fenomeno risulterebbe ancora più grave in considerazione del fatto che il procedimento di raccolta del dato avverrebbe in un momento temporalmente anteriore rispetto all’identificazione dell’età, rischiando così di raccogliere anche dati sensibili di minori.
3. La normativa europea in tema di privacy
In tema di diritto alla privacy sul piano europeo è rilevante il Regolamento (UE) 2016/679 (Regolamento generale sulla protezione dei dati o GDPR). Questo ha affermato una comune disciplina in tema di protezione e circolazione dei dati personali e, rispetto alle precedenti esperienze normative in tema di privacy, offre la protezione di tutte quante le informazioni ricollegabili ad una determinata persona, regolando il trattamento dei dati anche qualora questo venga svolto attraverso processi automatizzati.
La protezione promessa dal Regolamento viene perseguita mediante la definizione di alcuni principi di carattere generale. In primo luogo, viene esplicitato che non solo il trattamento del dato deve essere necessario, ossia raccolto ed utilizzato solamente per scopi determinati. In quest’ottica, il dato deve essere adeguato, pertinente, limitato rispetto alle finalità per cui è raccolto, esatto e, se necessario, aggiornato. Inoltre, la conservazione deve essere attuata in una forma che possa consentirne l’identificazione per un tempo non superiore al necessario, in maniera tale da garantirne l'integrità e la riservatezza. Tra le misure di protezione proposte dal GDPR le più utilizzate sono la cifratura e la pseudonimizzazione, che consentono di rendere il dato non più attribuibile a un individuo specifico in assenza di informazioni aggiuntive. Queste prerogative sono necessarie al fine di un trattamento lecito, corretto e trasparente dei dati.
Al momento della sua emanazione il GDPR già pareva cosciente della possibile evoluzione tecnologica in tema di AI. Nello specifico, l’articolo 9 del GDPR regola il trattamento dei c.d. dati sensibili di cui fanno parte sia quelli in grado di rilevare l’origine etnica, le opinioni politiche e le convinzioni filosofiche/religiose sia quelli relativi alla vita sessuale o alla salute. Particolare tutela viene concessa a tutte quante le informazioni che concernono aspetti privati e delicati della persona, in particolare, stabilendo che il trattamento di tali dati è vietato, a meno che non ricorrano particolari condizioni.
Rilevante appare anche l’articolo 22 del medesimo, che prescrive un divieto per la persona interessata ad essere soggetta ad una decisione esclusivamente basata su un processo automatizzato. Tuttavia, la regola appena esposta non trova applicazione qualora sia intervenuto il consenso dell’interessato, il quale si considera prestato solo se manifestato mediante dichiarazione o azione positiva inequivocabile ad autorizzare il trattamento dei propri dati personali.
Ad oggi il regolamento in tema di responsabilità e gestione del dato impone che la valutazione d’impatto sulla protezione dei dati definisca la natura, lo scopo e il contesto di qualsiasi operazione riguardante i dati personali, in modo tale da rendere chiaro il motivo per il quale questi vengono utilizzati.
4. Armonizzazione in tema di intelligenza artificiale: l'Europa verso l'AI Act
Ad aprile del 2021 la Commissione Europea ha presentato per la prima volta una Proposta di Regolamento nell’ambito della strategia europea per l’IA. Lo scopo è quello di definire regole direttamente applicabili su tutto il territorio europeo in materia di sviluppo, commercializzazione e utilizzo dell’Intelligenza Artificiale, garantendo così la libera circolazione di questi sistemi nell’Unione in modo controllato. L’approccio risk based adottato impone di classificare i sistemi di AI prendendo come parametro i rischi che questi possono comportare per i diritti fondamentali.
Il 6 dicembre 2022 il Consiglio europeo ha espresso il suo orientamento sulla Proposta della Commissione, apportando alcune modifiche al testo originario. In primo luogo, la proposta intende vietare le pratiche di utilizzo dell’Intelligenza Artificiale al fine di assegnare punteggi sociali ed ogni altra pratica che possa sfruttare le vulnerabilità di gruppi di persone in ragione della loro situazione sociale o economica. Il Consiglio europeo, in questo modo, non solo ribadisce l’obbiettivo di tutela del cittadino ma si pone in netto contrasto con le pratiche estremamente invasive adottate dalla realtà Cinese (Pechino, infatti, sta perseguendo l’iter di perfezionamento per edificare il sistema del credito sociale, basato sulla sorveglianza massiva, in un’ottica di accentuato controllo governativo assai distante dal modello europeo).
Inoltre, nella proposta viene prospettato che l’uso di sistemi di identificazione biometrica in tempo reale in spazi accessibili al pubblico da parte delle autorità possa essere autorizzato solo in quanto strettamente necessario, e perciò in casi eccezionalmente autorizzati. Una simile manifestazione di intenti della Commissione è anche collegata ad eventi che, nel corso degli scorsi anni, sono accaduti in Europa. Infatti, a seguito degli attacchi terroristici occorsi in Francia nel 2015 l’utilizzo di sistemi di AI a fini di prevenzione ha messo in luce una mancanza di trasparenza e privacy.
A fine Aprile 2023, il Parlamento europeo ha finalmente raggiunto un accordo, seppur provvisorio, sull’AI Act. Al momento, le prospettive riguardano una disciplina più severa per i “foundation model” come ChatGPT per scongiurare una manipolazione intenzionale di contenuti, unita all’esigenza imposta di una supervisione umana. Infine, sono previste garanzie ulteriori per i casi in cui i modelli di intelligenza artificiale ad alto rischio possano elaborare dati sensibili.
Sebbene non si sia ancora giunti a un accordo definitivo, il risultato ottenuto ad oggi può essere considerato come una buona notizia perché l’Unione sta procedendo verso il raggiungimento di un maggiore livello di certezza del diritto in un settore nel quale le autorità e l’opinione pubblica stanno seguendo posizioni spesso contrastanti, contraddittorie e protezionistiche.
Ad oggi, la scelta migliore pare quella di consentire l’utilizzo delle nuove tecnologie mantenendo pertanto un assetto liberista pur garantendo un controllo normativo.