È quasi pleonastico affermare come l’utilizzo dell’intelligenza artificiale sollevi diverse questioni relative alla protezione dei dati personali. Infatti, la tecnologia dell’AI si basa in gran parte su macchine, software ed algoritmi in grado di elaborare velocemente un numero elevatissimo di dati ed informazioni.
Il trattamento di dati è quindi una componente intrinseca di questa tecnologia, che ormai conosce numerose applicazioni nei più svariati ambiti, anche della vita privata. Si pensi ad esempio alla domotica, alla salute o alla gestione domestica in generale, con i cosiddetti assistenti digitali e le smart-home.
Approccio basato sul rischio e data protection by design and by default
L’importanza dei dati nel funzionamento dell’AI impone un’attenzione particolare ai principi fondamentali in materia di privacy, primi fra tutti l’approccio basato sul rischio e il principio di data protection by design and by default.
Chi tratta dati attraverso sistemi basati sull’AI deve, infatti, affrontare la protezione dei dati personali sin dalla progettazione degli stessi, adottando misure di sicurezza idonee a protezione dei diritti e delle libertà degli interessati. Inoltre, occorre adottare misure che garantiscano che siano trattati, per impostazione predefinita, soltanto i dati personali necessari per ogni specifica finalità del trattamento, in ossequio al principio di minimizzazione. A questo riguardo, tecniche e piattaforme di programmazione centrate sulla considerazione dei problemi di sicurezza sin dalle primissime fasi progettuali sono ampiamente note, com’è ad esempio il caso di Kubernets.
Le misure di sicurezza adottate, d’altronde, non possono essere generiche, ma devono essere idonee a far fronte al rischio intrinseco di ogni trattamento, tenendo conto dello stato dell’arte e delle caratteristiche tecniche dei sistemi coinvolti. È pertanto necessario che il titolare del trattamento svolto tramite sistemi di AI svolga, prima di procedere allo stesso, una puntuale analisi dei rischi finalizzata all’adozione di tali misure più adeguata.
I processi decisionali automatizzati
Tra i profili privacy più delicati in materia di AI vi è quello relativo ai processi decisionali automatizzati, ossia le decisioni basate unicamente su trattamenti automatizzati di dati personali, che possano includere valutazioni di aspetti personali dell’interessato e che producano effetti giuridici sullo stesso.
La normativa è quanto mai prudente nei confronti di tali processi, in quanto agli interessati è riconosciuto il diritto di non essere sottoposto a trattamenti che non includano l’intervento dell’uomo.
Il divieto in questione non è però assoluto, in quanto sono presenti alcune rilevanti eccezioni, tra cui:
- Il trattamento per finalità di monitoraggio e prevenzione delle frodi e dell’evasione fiscale;
- Il trattamento necessario per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
- Il trattamento a cui o l’interessato ha espresso il proprio consenso esplicito.
A tutela degli interessati, in caso di processi decisionali automatizzati è richiesta, oltre all’analisi dei rischi sopra richiamata, lo svolgimento di una specifica valutazione d’impatto prima di poter procedere al trattamento. Tale adempimento è tanto più ineludibile quando si utilizzi l’AI come strumento di elaborazione dei dati sottostanti. Occorre in proposito ricordare come uno dei rischi fondamentali, dal punto di vista della protezione dei dati personali, è che l’AI formuli congetture e inferenze sui singoli individui, sulla base di ricorrenze statistiche o di regolarità causali nell’osservazione dei dati, che poi possono determinare discriminazione a danno di singole persone o di gruppi sociali.
Trasparenza per intelligenza artificiale e data protection
Altro principio fondamentale cui attenersi nell’utilizzo di strumenti di AI è la trasparenza. Il titolare del trattamento, in particolare, deve sempre spiegare all’interessato come intende trattare i suoi dati personali in maniera semplice e puntuale. D’altro canto, il principio della responsabilizzazione del GDPR richiede che chi tratta i dati sia in pieno controllo delle logiche sottostanti ogni operazione di trattamento.
All’interessato deve altresì essere fornita la possibilità di prestare il proprio consenso, ove necessario, in maniera agevole e libera. Un eventuale diniego del consenso non dovrebbe, pertanto, precludere all’interessato di fruire totalmente dei servizi basati sull’AI, ma soltanto di quelli per cui il consenso al trattamento di dati personali appare necessario (si pensi ad un assistente robotico che possa selezionare musica sulla base dei gusti e delle preferenze dell’interessato).
Conclusioni
Un corretto utilizzo dell’intelligenza artificiale non può prescindere dal rispetto dei principi in materia privacy. Peraltro, i titolari del trattamento che utilizzano l’AI non possono approcciarsi in maniera acritica alla tematica, ma devono valutare ogni volta i rischi e gli impatti concreti del trattamento, adottando e documentando tutte le misure necessarie. Su questo ambito vi è già un certo consenso tra gli operatori sulla criticità dei sistemi di AI per la privacy. Tra le soluzioni tecnologiche individuate per prevenire gli effetti più perniciosi, ci sono il federated machine learning (reciproco dell’aggregazione di masse di dati in silos unici) e la cosiddetta explainability, un’area della ricerca dell’IT che utilizza tecniche sofisticate per incrementare la trasparenza tanto in sistemi semplici, come gli alberi decisionali, come in sistemi complessi, come le reti neuronali.
#Intelligenza Artificiale e data protection
