martedì, Dicembre 10, 2024
Uncategorized

Intelligenza artificiale e tutela dei dati personali alla luce del GDPR

– Sempre più sistemi d’IA si stanno specializzando nel processare informazioni in massa, senza intelligenza, pensiero o emozioni umane. Una macchina che non ha una propria individualità, ma che si comporta come un collettivo, esibendo le qualità di una società.

– Come un alveare?

– Sì. Aggrega i dati raccolti dagli individui e determina come agirebbe un gruppo, proprio come le api che viaggiano fra l’alveare e i fiori. La chiave per raggiungere questo sarà la creazione di una rete di IA. […] se il tuo obiettivo è controllare la società, questo è il miglior modello da usare. Ti consente di filtrare i dati e disseminare solo ciò che vuoi disseminare.


 (Metal Gear Solid: Peace Walker)

Le Intelligenze artificiali (IA) sono sistemi (software che agiscono nel cyberspazio o incorporati in hardware) che, con un certo grado di autonomia, analizzano l’ambiente in cui si trovano e compiono una serie di azioni al fine di raggiungere specifici obiettivi[1].

Esse, come tutte le grandi invenzioni della storia, stanno trasformando il nostro il modello di società in cui viviamo e il modo di agire all’interno di essa, ponendo nuove sfide ma anche nuovi problemi man mano che la loro tecnologia si sviluppa.

Nell’ultimo decennio la convergenza tra Big Data e machine learning ha reso l’IA protagonista e sfida del ventunesimo secolo, suscitando la nascita di interrogativi etico-giuridici in merito alla responsabilità giuridica dell’IA e le ripercussioni di processi decisionali automatizzati.

L’uso dell’IA, quale Data analyst per guidare comportamenti umani, comporta infatti nuove forme di trattamenti dei dati personali[2] e proprio in questo senso il tema dell’IA si intreccia con il problema della tutela dei diritti fondamentali e in particolare il diritto alla tutela dei dati personali[3].

Partendo da questa considerazione, appare allora utile ricercare le norme del Regolamento generale sulla protezione dei dati personali 2016/679 (GDPR) che trattano i processi decisionali automatizzati e provare a comprendere se e in che misura il GDPR fornisce risposte chiare e dirette in merito agli interrogativi attinenti la responsabilità giuridica dell’IA e alla regolamentazione de i processi decisionali automatizzati.

Al primo interrogativo sembrerebbe rispondere l’art. 4 del Regolamento, che al paragrafo 7 prevede che titolari del trattamento possono essere “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che (…) determina le finalità e i mezzi del trattamento di dati personali”.

Una parte della dottrina ha ritenuto che la formulazione aperta della norma non parrebbe escludere a priori la possibilità che il titolare sia anche un sistema autonomo[4]. L’art. 4 è la base da cui partire per rispondere anche per comprendere la regolamentazione e le implicazioni dei processi decisionali automatizzati.

Il GDPR si occupa delle decisioni automatizzate definendo la profilazione “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica” (art. 4 par. 4).

In tal senso l’ art. 22 par. 1,  specifica poi che “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione”[5].

La criticità del processo automatizzato si comprende laddove si considera non solo che le decisioni possono avvenire senza il coinvolgimento del lavoro umano, ma soprattutto che esse possono basarsi da dati ricavati da programmi (si pensi ai dati forniti dalla geolocalizzazione) o da profili creati precedentemente dall’interessato (quindi non solo dati forniti in via diretta per quello specifico trattamento).

Appare evidente, quindi, l’importanza dei problemi in merito alla reale portata dei diritti dell’interessato e alla determinatezza delle norme che li sanciscono. Sotto quest’ultimo profilo, parte della dottrina ha rilevato come le definizioni fornite dal GDPR in materia di profilazione sarebbero carenti quanto a determinatezza, risolvendosi in formule generiche e incapaci di fornire un quadro puntuale del trattamento automatizzato dei dati[6].

Conseguentemente, la carenza di determinatezza normativa mette a rischio gli stessi diritti alla protezione dei dati personali che lo stesso Regolamento riconosce, dal diritto a sapere chi sta trattando dati che riguardano una persona fisica a quello di poter conoscere le modalità automatizzate utilizzate.

Quanto al primo aspetto, come è stato riportato dagli studiosi dell’Oxford Institute, l’art. 22 soffre di una grave carenza laddove non menziona espressamente il diritto dell’interessato a essere informato sull’utilizzo del procedimento automatizzato[7]. Si è osservato come il diritto alla spiegazione descritto nel considerando 71 del GDPR[8], oltre ad essere una previsione giuridicamente non vincolante, sembra limitarsi alla generica informazione circa l’esistenza di un procedimento informatizzato.

L’importanza di questo assunto rileva in quanto difficilmente l’interessato potrà contestare una decisione non conoscendo il procedimento all’esito del quale è stata presa[9]. Benché l’art. 22 garantisca la possibilità di ottenere un intervento umano, ciò è possibile solo riguardo a processi esclusivamente automatizzati e nella misura in cui la decisione abbia effetti legali o “altri effetti significativi”.

Anche riguardo a questi due aspetti, l’Oxford Institute ha mosso critiche di oscurità sul significato da attribuire alla locuzione altri effetti significativi, oltre che di parzialità rispetto alla possibilità di azionare il diritto di ottenere l’intervento umano solo rispetto a procedimenti totalmente automatizzati e quindi privi di intervento umano in tutte le fasi.

Allo stesso tempo, però, si è osservato che il Regolamento impone severe restrizioni all’uso dell’IA nel trattamento dei dati personali. Come conseguenza potrebbero aumentare i costi e le difficoltà giuridiche dell’utilizzo dell’IA in una fase in cui la stessa  Commissione europea ha annunciato piani per aumentare i finanziamenti e rendere disponibili più dati per l’uso dell’IA[10].

Tali restrizioni nascono tuttavia per affrontare i motivati timori che ancora permangono nel contemperare i benefici che l’Intelligenza artificiale può portare all’umanità e il rischio di elidere i valori e i diritti fondanti la nostra società[11].  Si comprende allora la volontà del GDPR di riaffermare l’importanza dell’individuo di fronte all’utilizzo di IA[12], benché molti restano ancora i profili problematici legati al tema del rapporto tra Intelligenza Artificiale (IA) e tutela della privacy.

[1] F. Sarzana di S. Ippolito, M. Nicotra, Diritto della Blockchain, Intelligenza Artificiale e IoT, IPSOA, 2018.

[2] F. Pizzetti, Intelligenza artificiale e salute: il sogno dell’immortalità alla prova del GDPR, in https://www.agendadigitale.eu/sicurezza/intelligenza-artificiale-e-salute-il-sogno-dellimmortalita-alla-prova-del-gdpr/.

[3] Sul punto, F. Pizzetti, Intelligenza artificiale, protezione dei dati personali e regolazione, Giappichelli, 2018.

[4] V. supra n. 1.

[5] La regola, tuttavia, soffre di alcune eccezioni in ordine a specifiche decisioni quali, per esempio, quelle basate sul consenso esplicito dell’interessato.

[6] Ex pluribus, L. Bolognini, Follia Artificiale, Rubettino, 2018.

[7] S. Wachter, B. Mittelstadt, L. Floridi, Why a Right to Explanation of Automated Decision- Making Does Not Exist in the General Data Protection Regulation, 2016.

[8] Considerando n. 71: L’interessato dovrebbe avere il diritto di non essere sottoposto a una decisione, che possa includere una misura, che valuti aspetti personali che lo riguardano, che sia basata unicamente su un trattamento automatizzato e che produca effetti giuridici che lo riguardano o incida in modo analogo significativamente sulla sua persona (..).In ogni caso, tale trattamento dovrebbe essere subordinato a garanzie adeguate, che dovrebbero comprendere la specifica informazione all’interessato e il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione. Tale misura non dovrebbe riguardare un minore.

[9] V. supra n. 1.

[10] N. Wallace, The EU cannot shape the future of AI with regulation, in https://euobserver.com/opinion/142068.

[11] Sul punto, F. Pizzetti, Intelligenza artificiale, quali sfide per i Garanti Privacy, in https://www.agendadigitale.eu/cultura-digitale/intelligenza-artificiale-quali-sfide-per-i-garanti-privacy/.

[12] Sul punto si è espresso R. Panetta, Privacy by design e Gdpr: un’etica per l’Intelligenza artificiale, in https://www.agendadigitale.eu/sicurezza/privacy/privacy-by-design-e-gdpr-unetica-per-lintelligenza-artificiale/.

Ariella Fonsi

Laureata in Giurisprudenza nel 2017 presso l’Università LUISS “Guido Carli”, dal 2021 è abilitata all'esercizio della professione forense. Dopo aver conseguito il master in “Diritto e Impresa” erogato dalla 24ORE Business School di Milano, si occupa di contrattualista IT e di diritto dei dati.  

Un pensiero su “Intelligenza artificiale e tutela dei dati personali alla luce del GDPR

Lascia un commento