Messico: pubblicata la guida su privacy e intelligenza artificiale

 AI e Dati

L’Istituto nazionale messicano per la trasparenza, l’accesso alle informazioni e la protezione dei dati personali ha pubblicato le sue “Raccomandazioni per il trattamento dei dati personali” relative all’uso dell’intelligenza artificiale.

Vediamo cosa dice il documento.

In prima battuta, il documento sottolinea l’assenza di una definizione univoca di Intelligenza Artificiale (“IA”), fornendo un interessante schema cronologico di come essa sia stata intesa nel corso del tempo.

Spesso, infatti, vi è molta confusione su cosa effettivamente sia ricompreso sotto l’ombrello di definizione di “intelligenza artificiale”.

Una delle cause di questa confusione deriva dal fatto che attività apparentemente semplici per un essere umano sono in realtà difficili da riprodurre per i sistemi di IA. Se pensiamo ad esempio ad una semplice attività “umana” come raccogliere un oggetto, dovremmo considerare che si tratta di una sequenza di operazioni effettivamente complesse: guardare, identificare l’oggetto, pianificare l’attività e compierla con contrazione e forza muscolare adatta. Allo stesso modo, operazioni che per gli “umani” richiedono esperienza ed allenamento, come una partita di scacchi, risultano invece molto semplici per un computer: nient’altro che una serie di regole predeterminate da rispettare.

Sul punto, proprio recentemente in Italia, il Consiglio di Stato con sentenza 7891/2021 ha affermato che si parla di “intelligenza artificiale” nei casi in cui l’algoritmo contempla meccanismi di machine learning e crea un sistema che non si limita solo ad applicare le regole software e i parametri preimpostati (come fa invece l’algoritmo “tradizionale”) ma, al contrario, elabora costantemente nuovi criteri di inferenza tra dati e assume decisioni efficienti sulla base di tali elaborazioni, secondo un processo di apprendimento automatico (sul punto, leggi il nostro articolo).

INTELLIGENZA ARTIFICIALE E PROTEZIONE DEI DATI PERSONALI

Come specificato nella Guida messicana, i sistemi di intelligenza artificiale sono strettamente correlati agli aspetti di protezione dei dati personali proprio perché questi ultimi costituiscono l’input principale per il loro funzionamento. Tutte le attività svolte mediante IA sui dati personali comportano la raccolta, l’archiviazione, l’analisi, l’elaborazione o l’interpretazione di enormi quantità di informazioni (big data) che generano vari risultati, azioni o comportamenti da parte delle macchine: si pensi alla loro capacità di raccolta dei dati, alle attività di profilazione svolte, alla condivisione delle  informazioni attraverso vari componenti tra cui i sistemi GPS, gli altoparlanti, le telecamere per il rilevamento dei volti, i microfoni e così via.

Pertanto, quando un software, un prodotto o un dispositivo di IA si alimenta di dati personali tanto nelle fasi di sviluppo quanto nel corso del suo funzionamento, la disciplina di protezione dei dati personali troverà puntualmente applicazione.

Appare immediato ritenere quindi di fondamentale importanza che i produttori di sistemi di IA abbiano ben presenti gli adempimenti “privacy” da porre in essere.

PRIVACY BY DESIGN

L’istituto nazionale messicano ha sottolineato l’estrema importanza di un approccio privacy by design.

Cosa significa, in breve? Valutare e «disegnare» il trattamento di dati sin dalla fase della sua progettazione, in modo che il trattamento includa già nella sua “struttura” i principi di protezione dei dati: gli sviluppatori di IA dovrebbero adottare un approccio metodologico orientato alla gestione del rischio e all’accountability in modo proattivo, così da includere i “principi privacy” nelle pratiche, nelle procedure e negli strumenti utilizzati.

La guida fornisce poi un elenco di come applicare la privacy by design al settore dell’IA:

• Condividere le esigenze di protezione dei dati con gli sviluppatori  
• Avere il controllo su chi accede ai dati e su come vi accede
• Minimizzare i dati personali
• Prevedere modalità semplici per cancellare e rettificare i dati su richiesta dell’utente
• Ricorrere a tecniche di de-identificazione dei dati (cioè anonimizzazione o pseudonimizzazione), e all’aggregazione dei dati.
• Prestare attenzione ai quasi-identificatori che non sono identificatori univoci (ad esempio, sesso, codice postale, professione, lingue parlate), poiché se combinati tra loro possono re-identificare le persone.
• Quando l’IA è pensata per assumere decisioni sugli individui, occorre fornire informazioni sulla logica utilizzata.

SICUREZZA DEI DATI

Maggiore è la quantità di dati personali raccolti dai sistemi di IA in riferimento ad un unico individuo, maggiore è la probabilità che si verifichino interferenze con il diritto alla protezione dei dati personali degli individui e sarà altrettanto complicato tutelare tale diritto. Di conseguenza, gli sviluppatori di IA dovranno necessariamente prevedere misure di sicurezza in grado di proteggere gli individui.

L’anonimizzazione può certamente costituire una soluzione vantaggiosa, ma l’istituto nazionale messicano ha sottolineato che maggiore è appunto la quantità di dati, maggiore sarà la possibilità di re-identificazione dell’individuo. Sull’anonimizzazione dei dati, leggi i nostri approfondimenti.

La guida poi contiene poi un’utile tracciato delle misure che possono essere adottate nel rispetto di ciascuno dei principi privacy.

Rubrica "AI LEGAL, un prisma da comporre"

Leggi gli altri articoli presenti nella nostra rubrica dedicata.

VAI ALLA RUBRICA