La quantità di dati contenuta dalla rete è sterminata: secondo le stime, il volume complessivo delle informazioni digitalizzate è di circa 5 milioni di terabyte. Parte di questi dati è facilmente accessibile a chiunque, sia per la mancanza di misure di sicurezza, sia perché le informazioni sono state fornite dagli utenti in determinate occasioni (è il caso dei social media).

Anche i software di IA utilizzano questi dati, collocandosi spesso in un territorio di frontiera che non è ancora stato pienamente regolamentato. L’accordo raggiunto dall’Unione europea sull’Artificial Intelligence Act non è sufficiente per impedire situazioni problematiche. La facilità di accesso alle informazioni presenti in rete, infatti, rappresenta un potenziale rischio per la privacy. Perciò, è lecito chiedersi: chi utilizza intelligenze artificiali o software di trattamento automatizzato dei dati deve dotarsi di qualche misura di sicurezza particolare?

Trattamento dei dati personali

L’Unione europea disciplina la protezione dei dati personali con il Regolamento 2016/679 UE, noto con l’acronimo GDPR (General Data Protection Regulation, RGPD in italiano). Il Regolamento illustra le modalità che consentono di trattare i dati personali, laddove:

  • Per “trattamento” si intendono tutte le operazioni compiute sui dati, compresa raccolta, registrazione, organizzazione, conservazione, modifica, diffusione, uso, cancellazione, e così via.
  • Per “dati personali” si intendono le informazioni riguardanti una persona fisica identificabile direttamente (es. dati anagrafici) o indirettamente (es. codice fiscale, l’indirizzo IP, ecc.). Alcuni dati (c.d. dati particolari) sono costituiti da informazioni sensibili come i dati genetici, i dati biometrici e i dati relativi alla salute, e il loro trattamento è di norma vietato.

Il Regolamento introduce poi numerose novità, tra cui il principio di accountability, secondo il quale il titolare del trattamento (la persona fisica o giuridica che determina modalità e finalità del trattamento stesso) è obbligato a monte a mettere in atto tutte le misure tecniche e organizzative capaci di garantire, ed essere in grado di dimostrare, che il trattamento è effettuato in conformità con il GDPR. Ciò significa che tutte le operazioni identificabili come “trattamento” hanno l’obbligo di essere progettate ab origine per minimizzare i possibili rischi.

Profilazione e IA: rischi e misure di riduzione del rischio

La profilazione è particolarmente interessante quando si parla di tutela dei dati personali in relazione alle IA. Il GDPR definisce la profilazione come qualsiasi trattamento automatizzato che ha lo scopo di analizzare o prevedere aspetti come situazione economica, salute, interessi, preferenze, ubicazione, ecc. della persona a cui i dati si riferiscono. Data la capacità tipica delle IA nel reperire e correlare tra loro dati per ottenere predizioni di stampo sia quantitativo che qualitativo, non è illegittimo chiedersi se tali software possano garantire il rispetto dei principi del GDPR. Si pensi, ad esempio, al caso della c.d. marketing automation, una branca del digital marketing che punta a sfruttare le nuove tecnologie informatiche per realizzare una comunicazione multimediale targettizzata sui singoli individui.

Valutazione d’impatto

 

A questo proposito, l’art. 22, comma 1 del Regolamento statuisce che le decisioni prese unicamente sulla base di trattamenti automatizzati non rispettano i requisiti di sicurezza necessari. Dal punto di vista del legislatore europeo, ciò che rileva in operazioni come la profilazione è la cifra di rischio conseguente all’esclusione completa della componente umana dal processo decisionale.

Per questo motivo, il GDPR introduce presidi come la figura del Data Protection Officer (DPO) e l’istituto della valutazione d’impatto (DPIA). Mentre il DPO vigila sul fatto che il trattamento avvenga nel rispetto del Regolamento, la DPIA è una valutazione che viene svolta necessariamente qualora il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. La DPIA è sempre necessaria quando viene effettuato un trattamento automatizzato dei dati.

Sviluppare una IA a rischio (quasi) zero

 

In chiusura, è utile passare in rassegna gli elementi che possono contribuire alla creazione di software capaci di rispettare la normativa in materia di dati personali. Tali IA devono disporre di sistemi di sicurezza importanti, con algoritmi affidabili e che evitino errori di giudizio e incongruenze. I dati personali devono sempre essere trattati in conformità con i principi del GDPR, e i software devono conformarsi ai requisiti di trasparenza, correttezza e liceità. I programmatori e il titolare del trattamento devono essere compliant dal principio con le esigenze di accountability richieste dal legislatore europeo. Infine, la sorveglianza umana sull’IA non deve mai mancare, per assicurarsi che operazioni ad alto rischio come la profilazione non pregiudichino diritti, autonomia e libertà degli individui.