PROTEGGIAMO LA NOSTRA PRIVACY

La proliferazione di piattaforme di intelligenza artificiale e il loro impatto sulla nostra quotidianità solleva importanti questioni relativamente alla protezione dei dati personali. Il flusso di dati personali, necessari per l’intelligenza artificiale, deve essere gestito, normalizzato e opportunamente regolato. Il legislatore europeo ha risposto a questa necessità attraverso il Regolamento UE 2016/679 (GDPR) e il Regolamento Europeo sull’intelligenza artificiale attraverso (AI ACT).

Prima di entrare nel merito, cerchiamo di dare una definizione del concetto di intelligenza artificiale ovvero una tecnologia informatica che disegna una nuova interazione tra uomo e macchina, laddove delle piattaforme, appositamente progettate, sono in grado di emulare il funzionamento ed i processi di elaborazione dell’intelligenza umana, sono in grado di processare un numero elevato di informazioni, arrivando ad un risultato (output). In questo “ragionamento sintetico” la piattaforma impara dagli errori commessi (machine learning), escludendo tutte le soluzioni sbagliate e pervenendo ad una soluzione che essa stessa ritiene valida.

Quando parliamo di macchina che apprende dobbiamo fare una distinzione rispetto al processo di apprendimento umano che è cosa ben diversa. L’apprendimento è notoriamente un atto creativo dove colui che apprende non si limita ad essere un soggetto passivo, caratterizzandosi come un contenitore vuoto in cui vengono versate delle informazioni, ma partecipa nel processo di apprendimento spacchettando le nozioni, metabolizzandolo solo dopo averle fatte proprie (sulla base del propria provenienza culturale, condizionamenti ed esperienze) e dopo averle riconosciute come valide; solo al termine di questo processo di elaborazione la mente umana è in grado di produrre il proprio ragionamento.

Quindi cos’è l’intelligenza umana? È creatività, è esperienza, è intendere, concepire e comprendere una serie di informazioni. Nel caso dell’intelligenza artificiale occorre partire da una quantità sufficiente di input (che derivano dalla creatività umana) elaborati da una piattaforma secondo specifiche istruzioni, che l’uomo ha impartito; un encefalo sintetico addestrata (dall’uomo) a processare una serie finita di informazioni.

Una macchina, per quanto evoluta, nei propri processi di elaborazione in ogni caso non potrà avere dubbi e agire sulla base di un libero arbitrio, caratteristiche che caratterizzano la coscienza di se stessi e delle proprie decisioni…possiamo quindi stare tranquilli, per il momento, e non temere le conseguenze che Skynet o Matrix potrebbero produrre.  

Una particolare tipologia di intelligenza artificiale è quella generativa che è in grado di creare testi, immagini, video e altri contenuti multimediali attraverso l’utilizzo di modelli linguistici di grandi dimensioni (LLM).

Un esempio ormai famoso di intelligenza artificiale generativa è costituito dalla chatbot prodotta da Open AI.

L’Europa, già con il Regolamento Europeo per la protezione dei dati e successivamente con l’AI ACT ha manifestato importanti segnali in termini di tutele dei diritti fondamentali e della dignità delle persone nello sviluppo e nell’uso delle tecnologie AI.

Le applicazioni dell’intelligenza artificiale sono regolamentate e classificate in base al rischio di causare danni ai cittadini e rientrano principalmente in tre categorie: pratiche vietate, sistemi ad alto rischio, e altri sistemi.

Le pratiche vietate dalle applicazioni di AI sono ad esempio i sistemi di classificazione biometrica, l’estrapolazione di immagini facciali dal web o da registrazioni dei sistemi di video sorveglianza per creare banche dati di riconoscimento facciale. Il principio fondamentale è di escludere tutti quei sistemi che manipolano il comportamento umano o sfruttano le esposizioni digitali/vulnerabilità degli interessati.

L’identificazione biometrica in tempo reale in spazi accessibili al pubblico non è del tutto vietata bensì limitata, e gli usi ammessi richiedono una specifica autorizzazione di una Autorità Giudiziaria o di un’autorità indipendente. L’identificazione biometrica a posteriori è da considerarsi ad alto rischio e per potervi fare ricorso occorre la connessione ad un fatto reato e ad una attività di accertamento disposta da una Autorità Giudiziaria.

Occorre definire che i sistemi ad alto rischio, secondo l’AI ACT, sono quelli che pongono minacce significative alla sicurezza, alla salute o ai diritti fondamentali delle persone.
Gli altri sistemi, cioè i sistemi di intelligenza artificiale, che non annoverano le categorie dei sistemi ad alto rischio, come i modelli di AI generativa, dovranno rispettare una serie di requisiti di trasparenza segnalando che il contenuto è stato generato dall’AI, che non è illegale e risulta privo di riferimenti dei dati protetti dal copyright (che altrimenti vanno citati in dettaglio).

L’AI ACT propone anche la creazione di un Comitato Europeo per l’Intelligenza Artificiale per promuovere la cooperazione internazionale e garantire il rispetto del Regolamento.

Così come il GDPR, considerata la norma più nuova, avanzata, evoluta e adeguata per ciò che concerne il trattamento dei dati personali, l’AI ACT può essere considerato come il più articolato sistema normativo sull’intelligenza artificiale cui dovrebbero ispirarsi anche gli altri paesi, posto che l’intelligenza artificiale non è certamente materia da sottostimare e che va gestita cum grano salis, con consapevolezza e ragionevolezza, anche perché dall’uso ponderato che ne facciamo dipende la sua stessa evoluzione.

L’Intelligenza Artificiale per poter funzionare e per la sua stessa evoluzione ha bisogno anche dei nostri dati personali ovvero delle informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche anche particolari, le sue propensioni, tendenze, il suo stile di vita, le sue interazioni, la sua georeferenziazione.

È comprensibile quanto, con grande superficialità, noi cediamo i dati personali, comprimendo la nostra privacy, in cambio di quella che possiamo classificare come agiatezze del XXI secolo, come i campi pre-compilati gestiti dal nostro account.

Il GDPR pone particolare attenzione sul trattamento automatizzato dei dati personali. L’articolo 22 del GDPR, afferente il processo decisionale automatizzato delle persone fisiche, compresa la profilazione, stabilisce che l’Interessato ha il diritto di non essere sottoposto a una decisione basata esclusivamente sul trattamento automatizzato dei propri dati, a cominciare dalla profilazione, definita nell’articolo 4 del GDPR (definizioni), che produca effetti giuridici che lo riguardano o che incida allo stesso modo sulla sua persona in modo significativo.

Dalla lettura della prima parte dell’articolo 22, risulta quindi chiaro che nessuna tecnologia di Intelligenza Artificiale può risultare conforme al GDPR senza i limiti posti da un intervento umano. Nelle fasi di utilizzo dei sistemi di IA, nell’acquisizione ed elaborazione di dati personali degli utenti, è fondamentale definire le finalità del trattamento e raccogliere il consenso al trattamento automatizzato e alla profilazione.

Vale la pena di sottolineare che in merito alla definizione delle finalità del trattamento, un sistema basato sull’IA e sul machine learning potrebbe iniziare a trattare i dati anche per finalità diverse da quelle inizialmente comunicate.

Concetti come l’imprevedibilità, la complessità e un comportamento potenzialmente autonomo dei sistemi di intelligenza artificiale possono rendere difficoltosa la verifica sulla conformità alla disciplina vigente. “Le autorità preposte all’applicazione della legge e le persone interessate potrebbero non disporre dei mezzi per verificare come sia stata presa una determinata decisione con il coinvolgimento di sistemi di IA e, di conseguenza, se sia stata rispettata la normativa pertinente”[1].

In conclusione, l’intelligenza artificiale rappresenta un’opportunità senza precedenti per migliorare la nostra vita quotidiana, ma è fondamentale assicurarci che i dati personali siano trattati con la massima trasparenza e sicurezza. Pertanto, raccomando prudenza ai lettori nell’utilizzo di piattaforme di intelligenza artificiale in cui vengono condivisi dati personali. Prima di condividere qualsiasi informazione, assicuratevi di leggere attentamente le condizioni d’uso e di comprendere come i vostri dati saranno utilizzati e protetti.

Parafrasando Warren Buffet…”il vero rischio deriva dal non sapere cosa si sta facendo”

[1] Libro Bianco sull’intelligenza artificiale. Un approccio europeo sull’eccellenza e alla fiducia – pagina 13 – https://commission.europa.eu/document/download/d2ec4039-c5be-423a-81ef-b9e44e79825b_it?filename=commission-white-paper-artificial-intelligence-feb2020_it.pdf