Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter
Registrati
Back

Privacy&AI ai tempi del Coronavirus: riflessioni su geolocalizzazione e sistemi predittivi

06/04/2020
Silvia Stefanelli
Alice Giannini

L’epidemia Covid-19 ha puntato ancora di più i riflettori su i due temi più caldi del 2020: Intelligenza Artificiale e privacy.

Ad un mese di distanza dal lancio della politica europea sull’Intelligenza Artificiale (ve ne abbiamo parlato qui), l’Europa si trova ad affrontare una sfida cruciale, che definirà senza dubbio le politiche future.

In un battito di ciglia abbiamo visto fiorire articoli ed interviste in cui “la privacy” viene trattata come un concetto totalmente astratto, da dover sacrificare in modo assoluto per permettere il raggiungimento di un obiettivo comune. Siamo costantemente bombardati da  notizie dove viene chiesto di scegliere tra privacy e tecnologia,  privacy e salute, privacy e sicurezza, come se una escludesse per forza l’altra. Allo stesso tempo, si susseguono notizie sulla creazione di applicazioni e altri sistemi informatici basati sull’Intelligenza Artificiale dedicati al monitoraggio dei contagi.

Il diritto alla privacy altro non è che il diritto alla riservatezza, un diritto fondamentale collegato alla nozione della dignità umana: comporta il diritto di ognuno ad avere una vita privata, senza interferenze illecite. È distinto, seppur collegato, dal diritto alla protezione dei dati, che ha come obiettivo assicurare che le informazioni relative ad un soggetto vengano trattate correttamente. Il GDPR rappresenta il cuore della disciplina europea relativa al trattamento dei dati personali.

Ciò posto, come per altri diritti e libertà, è possibile che in situazioni determinate i diritti individuali alla privacy e alla data protection vengano “limitati” come risultato di un bilanciamento con altri diritti aventi portata pubblica, come nel caso della salute. Tuttavia, qualsiasi deroga di questo tipo deve trovare la sua base in una fonte legittima, che preveda i limiti e la proporzionalità della deroga allo scopo perseguito.

In questo senso si è anche espresso il Garante Italiano, Antonello Soro:

Non è vero che la privacy è il lusso che non possiamo permetterci in questo tempo difficile, perché essa consente tutto ciò che è ragionevole, opportuno e consigliabile fare per sconfiggere il coronavirus. La chiave è nella proporzionalità, lungimiranza e ragionevolezza dell’intervento. Oltre che nella sua temporaneità.

In questo articolo quindi cercheremo di fare un po’ di chiarezza sugli aspetti di data protection più rilevanti relativi all’applicazione di un sistema di IA in questo particolare periodo storico.

In particolare, ci occuperemo dello sviluppo di sistemi di IA per effettuare attività di screening, contact tracing e di valutazione del rischio di infezione. Riassumeremo anche gli ultimissimi criteri emanati dal Garante relativamente alla geolocalizzazione dei contagiati da coronavirus.

Possiamo individuare due aspetti chiave relativi all’applicazione di AI per combattere l’epidemia da Corona virus:

  1. trasparenza sulle modalità di trattamento e corretta informazione degli interessati.
  2. temporaneità, proporzionalità e accuratezza del trattamento dei dati;

Trasparenza sulle modalità di trattamento e corretta informazione degli interessati: le norme del GDPR relative all’IA

Nel caso in cui il trattamento sia il risultato di un processo decisionale automatizzato (all’interno del quale rientrano i trattamenti effettuati tramite l’utilizzo tecnologie di Intelligenza Artificiale) il GDPR impone requisiti obblighi informativi e di trasparenza ulteriori che devono essere necessariamente rispettati.

In particolare, l’art. 13 (2) lett. f)  prevede che l’interessato debba essere informato circa

“l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo […] e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato”.

Inoltre, secondo l’articolo 15 (1) lett. h) GDPR l’Utente ha il diritto di ottenere dal Titolare le informazioni contenute all’art. 13 (2) lett. f) di cui sopra.

Infine, l’articolo 22 GDPR prevede che

  1. L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
  2. Il paragrafo 1 non si applica nel caso in cui la decisione:a) sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento;
    b) sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato;
    c) si basi sul consenso esplicito dell'interessato.
  3. Nei casi di cui al paragrafo 2, lettere a) e c),il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

L’interessato, pertanto, deve essere in grado di esprimere il proprio consenso al trattamento dei dati in modo consapevole, il linguaggio utilizzato deve essere immediato e chiaro, in particolar modo poiché si tratta nella maggior parte di casi di raccolta di dati tramite app installate su smartphone personali.

L’informativa deve sempe essere il risultato di un bilanciamento da parte di colui che diffonderà al pubblico il software: da un lato vi è il diritto dell’interessato a ricevere informazioni più accurate possibili e dall’altro l’esigenza di semplificare concetti complessi e di costruire la fiducia degli interessati nella tecnologia, visto l’impatto che potrebbe avere sul loro benessere psicofisico.  

Temporaneità, proporzionalità e accuratezza del trattamento dei dati: i criteri da seguire per la geolocalizzazione dei contagiati dal Coronavirus previsti dal Garante italiano

In un’intervista ad Agenda Digitale del 29 Marzo 2020 il Garante italiano ha delineato i criteri che devono essere seguiti da parte di governi  per poter utilizzare un software per la geolocalizzazione di soggetti positivi al fine di analizzare l'andamento epidemiologico del Covid-19 o per ricostruire la catena dei contagi.

  • Gradualità: il governo deve innanzitutto valutare se soluzioni meno invasive possano essere sufficienti a fini di prevenzione;
  • Viene permessa l'acquisizione di trend anonimi di mobilità;
  • Se il governo invece intende acquisire dati identificativi è necessario innanzitutto che venga emanata una previsione normativa ad efficacia temporalmente limitata, dotata di adeguate garanzie. In particolare viene evidenziata la necessità che questa normativa sia conforme al principio di proporzionalità, analizzando in particolare lo scopo della raccolta dei dati;
  • Il Governo deve poi condurre un'analisi preliminare dell'effettiva idoneità della soluzione tecnologica scelta a conseguire risultati utili nell'azione di contrasto, in ordine proporzionale alle esigenze perseguite e sempre che misure meno invasive non debbano ritenersi idonee a conseguire i risultati sperati
  • Il Garante poi ha stabilito che l’elaborazione dei dati relativi alla geolocalizzazione degli individui debba essere per forza essere collegata al dato sanitario relativo alla positività o meno dei soggetti tracciati.

Per quanto attiene ai soggetti privati che elaboreranno il software, il Garante ha stabilito che:

  • I soggetti privati gestori delle infrastrutture tecnologiche dovrebbero essere in grado di porre il patrimonio informativo di cui dispongono a disposizione dell'autorità pubblica;
  • All’autorità pubblica dovrebbe essere riservata la fase dell'analisi dei dati (e dell'eventuale reidentificazione di questi). Questo è dettato dal maggiore rischio che quest’attività comporta, che può trovare garanzie adeguate negli organi statali.
  • Le società coinvolte nel progetto devono possedere idonei requisiti di affidabilità e trasparenza di azione.

L’intervento del Consiglio d’Europa

In data 30 marzo 2020 il Chair of the Committee of Convention 108 e il Data Protection Commissioner del Consiglio d’Europa sono intervenuti i con una dichiarazione congiunta relative al trattamento dei dati nell’ambito del contrasto alla diffusione del COVID-19.

 Per quanto riguarda nello specifico l’utilizzo di software di IA, nello statement vengono indicate i seguenti punti chiave da tenere in considerazione nella fase di sviluppo di sistemi predittivi:

  • Trasparenza e "explainability" dell’analisi tecnica svolta dall’IA;
  • Approccio precauzionale e una strategia di gestione del rischio (compreso il rischio di ri-identificazione nel caso di dati anonimi)
  • Qualità e minimizzazione dei dati;
  • Il ruolo della supervisione umana.

Conclusione

È assolutamente possibile lo sviluppo di tecnologie avanzate senza che vengano erosi inevitabilmente i diritti degli individui alla data protection e alla riservatezza. Anzi, è necessario -  in una situazione di emergenza come questa - che tali tecnologie vengano utilizzate per il bene comune.

L’intervento umano è fondamentale: è tramite questo che vengono infatti delineate le caratteristiche del software che poi opereranno di default il software stesso verrà utilizzato dagli interessati.

Per questo motivo è necessario che gli operatori del mercato sappiano come orientarsi all’interno della normativa sulla privacy e sulla data protection in un momento delicato come questo.

 

Fonti:

Coronavirus is forcing a trade-off between privacy and public health, Karen Hao, MIT Technology Review

The Public Interest and Personal Privacy in a Time of Crisis, Hu Yung

Rubrica "Sanità Digitale e Intelligenza Artificiale"

Leggi gli altri articoli presenti nella nostra rubrica dedicata.

VAI ALLA RUBRICA
Privacy Nuove Tecnologie
Share