Vuoi ricevere i nostri aggiornamenti?
Intelligenza artificiale e protezione dei dati: una convivenza possibile?
AI e Dati
L’obiettivo di una legislazione europea sull’IA è quello di assicurare – come si legge Relazione di accompagnamento della Proposta di Regolamento sull’IA – che “i cittadini europei possano beneficiare di nuove tecnologie sviluppate e operanti in conformità ai valori, ai diritti fondamentali e ai principi dell’Unione”. (Ne abbiamo parlato nel nostro articolo qui)
Tra questi diritti riveste certamente un ruolo primario quello alla protezione dei dati personali.
Ne è prova il fatto che i temi privacy sono di primaria importanza sui tavoli di lavoro europei sull’AI, dove si cerca di trovare un equilibrio sostenibile tra innovazione (responsabile, etica, equa) e tutela dei dati personali e, quindi, degli individui a cui si riferiscono.
Anche il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (GEPD), nel loro parere congiunto del giugno del 2021, hanno dato il loro contributo con suggerimenti di emendamenti al fine di arricchire e migliorare la Proposta.
Oggi, nonostante EDPB e GEPD sottolineino che è “ancora lungo il percorso da compiere affinché dalla proposta possa scaturire un quadro giuridico ben funzionante, in grado di integrare efficacemente l’RGPD”, possiamo leggere la Proposta e il GDPR per individuare i principali punti di contatto.
A ben vedere, le implicazioni con la disciplina in tema di dati personali si rinvengono fin dalla lettura dei primi Considerando.
Tra i temi più rilevanti, troviamo: l’approccio basato sull’analisi del rischio e il principio di accountability, la qualità ed esattezza dei dati, il principio di privacy di design e by default, il principio di trasparenza, il meccanismo sanzionatorio.
- Approccio basato sull’analisi del rischio
La Proposta, in particolare l’art. 9 e il Considerando n. 42, prescrivono per ogni provider l’adozione di un sistema di gestione del rischio dai contorni simili a quello previsto dalla disciplina del GDPR.
Le norme della Proposta prescrivono infatti di mappare i rischi conosciuti e quelli prevedibili, di mitigarli e gestirli, di informare gli interessati della loro esistenza, di monitorare e aggiornare il sistema di gestione costantemente.
Un approccio che sembra scostarsi poco dall’analisi del rischio che il GDPR prescrive agli articoli 25 e 35. - La qualità ed esattezza dei dati
Quello della qualità e dell’accuratezza dei dati è uno dei requisiti per la messa in commercio dei sistemi di IA ad alto rischio.
È una specificità introdotta dall’art. 10 della Proposta, che prevede al comma 3 che i set di dati utilizzati per l’addestramento dei modelli debbano essere “pertinenti, rappresentativi, esenti da errori e completi”.
Nonostante ogni principio debba essere letto nello specifico contesto dove è inserito, è immediato il parallelismo con i principi applicabili al trattamento dei dati personali elencati all’art. 5 GDPR, dove si trovano, tra gli altri, il principio di minimizzazione, di esattezza, di integrità.
Per un approfondimento sul tema dell’esattezza dei dati e sul differente significato del termine in campo privacy e AI, si veda l’articolo: “AI ed esattezza dei dati: il quadro giuridico è sufficiente?” - Privacy by design e by default
L’art. 10 della Proposta introduce anche un approccio che sembra riflettere (almeno in parte) il principio di privacy by design e by default di cui all’art. 25 GDPR.
È infatti previsto che i sistemi di AI, e in particolare quelli che prevedono l’uso di dati per l’addestramento di modelli, sono sviluppati tenendo conto di una serie di profili imprescindibili, come: la raccolta di dati (b); le operazioni di trattamenti pertinenti ai fini della preparazione dei dati, compresi la pulizia dei dati, l’aggregazione, l’arricchimento (c); una valutazione preliminare della disponibilità, della quantità e dell’adeguatezza dei set di dati necessari (e); l’individuazione di eventuali lacune o carenze nei dati e il modo con cui possono essere colmate (g). Un metodo che sembra ricalcare l’approccio concettuale di mappatura, progettazione e analisi preventiva che fa da bussola alla disciplina sulla protezione dei dati personali. - Principio di trasparenza
L’art. 13 della Proposta prevede obblighi di trasparenza laddove afferma che “i sistemi di intelligenza artificiale ad alto rischio devono essere progettati e sviluppati in modo tale da garantire che il loro funzionamento sia sufficientemente trasparente da consentire agli utenti di interpretare l’output del sistema e utilizzarlo adeguatamente”.
Pur non prevedendo in modo esplicito l’intersecazione di tali adempimenti con il GDPR, pare logico il richiamo al principio di trasparenza previsto all’art. 5 del GDPR, che impone ai Titolari del trattamento di rendere gli interessati consapevoli di come saranno gestiti i dati in relazione allo specifico trattamento svolto, nonché dei rischi ad esso correlati.
Tale dovere di trasparenza si sostanzia nel rispetto dei doveri informativi di cui gli artt. 13 e 14 del GDPR che prevedono che il titolare informi gli interessati su come verranno gestiti i dati a lui riferiti e dei diritti esercitabili in materia di protezione dei dati. - I processi decisionali automatizzati
L’art. 14 della Proposta individua i casi in cui è necessaria un’attività di sorveglianza umana sul sistema di IA ad alto rischio, con l’obiettivo di prevenire o ridurre al minimo i rischi per la salute, la sicurezza o i diritti fondamentali degli individui. In tal senso, vengono quindi previste misure finalizzate a rendere consapevoli i soggetti a cui viene affidata la sorveglianza dei limiti del sistema di IA e di metterli in condizione di poter valutare criticamente gli output da esso prodotti, oltre che di discostarsene laddove necessario.
Anche in tal caso, tale previsione presenta affinità e, anzi, sembra porsi in contrasto, con quanto disposto dall’art. 22 del GDPR che prevede il diritto per gli interessati di non essere sottoposti ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che sia finalizzata all’assunzione di una decisione rilevante per la loro sfera giuridica.
L’art. 22 infatti non pone un divieto tout court, ma in deroga a tale limitazione prevede che il titolare possa assumere una decisione basata su un sistema automatizzato quando
è necessaria all’esecuzione del contratto con l’interessato
è autorizzata dal diritto dell’Unione, oppure
vi sia il consenso dell’interessato
Nel primo e nel terzo caso, l’interessato ha infatti il diritto a richiedere che nel processo decisionale automatizzato sia previsto l’intervento umano, di esprimere la propria opinione e di contestare la decisione.
Inoltre, tornando ai doveri informativi di cui al punto precedente, il titolare dovrà informare l’interessato dell’esistenza del sistema di decisione automatizzata, della logica che utilizza e delle conseguenze che tale trattamento avrà sulla sua persona, con ciò sollevando difficili problematiche correlate alla “spiegabilità” dei sistemi di IA. - Le sanzioni
L’art. 72 della Proposta di Regolamento prevede che il Garante europeo della protezione dei dati possa infliggere sanzioni amministrative pecuniarie alle istituzioni, alle agenzie e agli organismi dell’Unione che rientrano nell’ambito di applicazione del Regolamento IA, seguendo il criterio del “tetto massimo” come già previsto nel GDPR:
- fino a 500 0000 EUR per l’inosservanza del divieto delle pratiche di intelligenza artificiale di cui all’articolo 5;
- fino a 250 000 EUR per non conformità del sistema di IA ai requisiti di cui all’articolo 10 (dati e governance dei dati).
Nel commisurare la sanzione amministrativa, il Garante Europeo dovrà tenere conto della natura, della gravità e della durata della violazione, del grado di cooperazione con l’Autorità al fine di porre rimedio alla violazione e delle precedenti analoghe violazioni eventualmente commesse dal medesimo organismo.
Rubrica "AI LEGAL, un prisma da comporre"
Leggi gli altri articoli presenti nella nostra rubrica dedicata.