Intelligenza Artificiale e tutela dei dati personali

29 giugno 2022Ultimo aggiornamento 28 novembre 2024
Tempo di lettura stimato: 10'
Si parla sempre più di Intelligenza Artificiale (IA). Nel corso dell’evento FUTURE OF DATA organizzato da MigliorAttivaMente - l’associazione che ho contribuito a fondare insieme ad Andrea Chiozzi di PrivacyLab e ad altri professionisti del settore – ne ho parlato con Michele Iaselli, Presidente dell'Associazione Nazionale per la Difesa della Privacy (ANDIP). 

Segue un estratto della nostra conversazione. 

Avvocato Bertaiola: Credi che l’Intelligenza Artificiale possa avere un ruolo e dare un contributo utile, senza doversi sostituire all'uomo? Quale ausilio può dare nella gestione e nella protezione del dato?

Professor Iaselli: Io ho iniziato a parlare di Intelligenza Artificiale in un libro del 1998. Sinceramente, la mia impressione è che oggi si stia utilizzando troppo questo termine. Molto spesso si fa riferimento a normali sistemi informatici che non hanno niente a che vedere con l’IA. "Va di moda" questa terminologia, ma basta solo fare un giro su internet, per vedere tantissimi riferimenti anche poco inerenti alla vera Intelligenza Artificiale. 

Cos’è l’Intelligenza Artificiale?

Professor Iaselli: Nel momento in cui si parla di Intelligenza Artificiale, dobbiamo dire che si tratta di sistemi di natura informatica, che dovrebbero emulare l'attività cognitiva dell'uomo e non limitarsi a imitare semplicemente dei comportamenti tipici dell'uomo.

Questo porta anche alla distinzione tra i sistemi esperti legali, che altro non sono che delle banche dati fondate sulla conoscenza esperta e che forniscono risposte a interrogativi ben precisi, con un procedimento di carattere deduttivo. 
Queste vanno poi differenziate dalle reti neurali, che rappresentano il vero presupposto del Machine Learning, e che dovrebbero portare il sistema informatico a ragionare come l'uomo e a imparare dall'errore. 

Questi sistemi informatici si fondano su degli algoritmi di apprendimento che all'inizio conoscono poco poi, man mano, attraverso la sperimentazione e la pratica continua, finiscono per non ripetere più gli stessi errori, per diventare effettivamente molto utili all'uomo, anche con pochi dati disponibili. 

Questo rappresenta il vero futuro dell'Intelligenza Artificiale, che non deve sostituire l'uomo, ma deve essere un sistema di supporto alla decisione che, secondo me, deve essere sempre umana.

GDPR, Intelligenza Artificiale e i suoi pericoli

Professor Iaselli: Dobbiamo sgomberare il campo da questi approcci di natura fantascientifica, dove pensiamo che ci siano dei sistemi che possano ragionare del tutto autonomamente sostituendo l'attività dell'uomo. Giustamente, il regolamento europeo 2016/679 (GDPR), all'articolo 22, fa un chiaro riferimento a questo pericolo.

Cioè al fatto che possiamo trovarci di fronte a dei processi decisionali del tutto autonomi, che quindi prescindono dalla valutazione discrezionale dell'uomo, ma che sono fondamentali in determinati campi. Si pensi appunto alla profilazione, nel caso esaminato all’articolo 22. Inevitabilmente si possono creare delle pericolosissime distorsioni, delle forme di discriminazione dei concetti che non sono ben compresi dallo stesso sistema di IA. 

Esempi di distorsioni: quando il canale YouTube è considerato discriminatorio dall’IA

Professor Iaselli: Faccio un esempio per tutti. Io sono un appassionato di scacchi e vedevo un canale YouTube dedicato a questo gioco, dove venivano illustrate delle partite. 
Il canale è stato considerato fortemente discriminatorio da un sistema di Intelligenza Artificiale e quindi messo al bando, in quanto il maestro, che spiegava le partite, diceva: "In questa posizione specifica, il bianco è superiore al nero”. Ma chiaramente parlava dei pezzi degli scacchi e invece il sistema non ha compreso il significato, perché pensava che si stesse parlando degli esseri umani.

Ecco come possono nascere delle distorsioni pericolosissime. Se non intervenisse l'uomo, in questi casi, potremmo avere delle conseguenze anche drammatiche

D'altro canto, i vari sistemi automatici che utilizzano le banche, le società di assicurazione, per la valutazione della clientela e dell'affidabilità della clientela sono tutti automatici ed estremamente pericolosi. Può essere considerato "non affidabile" un cliente per un mero errore di registrazione di un pagamento. Possiamo trovarci di fronte a dei rifiuti che invece non avrebbero fondamento. Ecco perché l'uomo è sempre necessario. 
È necessario che intervenga sul funzionamento di questi sistemi.

Sul fronte della privacy, al di là di queste forme di profilazione automatica, dobbiamo anche riflettere sul trattamento automatico dei dati di natura personale. Talvolta può trattarsi di dati particolarmente delicati - di natura sanitaria, per esempio - e proprio per questo motivo è importante che, nel momento in cui si lascia un certo spazio all'automatismo, ci siano sempre delle forme di controllo.

Quindi il livello di tutela degli interessati si deve innalzare inevitabilmente, per evitare di avere delle conseguenze poco piacevoli e degli effetti pregiudizievoli nei loro confronti.

Il ruolo dell’Intelligenza Artificiale nella protezione del dato

Avvocato Bertaiola: Il pericolo di pregiudizi e di discriminazioni operati dall’IA è uno dei temi filosofici, oltre che giuridici, su cui si confronta buona parte della letteratura, fin dagli esordi e a tutt'oggi ancora sentito. Al di là delle possibilità che possano derivare dall'affidamento delle decisioni prese dall'Intelligenza Artificiale, c'è un tema etico-morale di fondo che si porrà sempre in modo molto più frequente. 

Forse allora sarebbe il caso di ragionare più sul fatto che, invece di affidare all’IA le decisioni finali, sarebbe più opportuno affidare l'elaborazione dei dati a monte. Cioè quell'elaborazione - magari anche statistica – su una mole di dati che l'uomo difficilmente riuscirebbe a gestire, dato che non sarebbe in grado di avere una rappresentazione chiara e completa, e che la macchina sicuramente potrebbe fare meglio.

Quindi limitare l'intervento dell'Intelligenza Artificiale, che così si mette a servizio di quella umana.   

Dal punto di vista della protezione del dato, la tecnologia può essere di ausilio, ma non va confusa con l'Intelligenza Artificiale, che invece qualcosa può fare nella gestione del dato e quindi forse è auspicabile. 

Professor Iaselli: Sì lo deve fare, ma non dimentichiamo i problemi non solo di carattere giuridico, ma anche di carattere etico che solleva l'utilizzo di questo strumento, l'Intelligenza Artificiale in particolar modo. Ricordo di come abbiamo avuto diversi studi che si sono occupati degli aspetti etici e quindi, innanzitutto, è necessario che vengano garantiti, durante l'intero ciclo di vita del sistema di IA, dei requisiti fondamentali, che sono quelli, della legalità, dell’eticità e della robustezza.

I principi fondamentali da rispettare

Professor Iaselli: Da un punto di vista tecnico-sociale, i sistemi di Intelligenza Artificiale potrebbero comunque causare danni non intenzionali. Proprio per questo motivo, da un punto di vista strettamente etico, si parla della necessità che si ravvisino almeno quattro principi fondamentali, che sono: 
  1. Il principio del rispetto dell'autonomia umana: gli esseri umani che interagiscono con i sistemi artificiali devono comunque mantenere la propria autonomia, in auto determinazione, devono essere anche partecipi del funzionamento del sistema. Sono i diritti fondamentali su cui si fonda l'UE, che sono volti a garantire il rispetto delle libertà e delle autonomie degli esseri umani: i sistemi di IA non devono costringere, ingannare, manipolare.
  2. Il principio della prevenzione dei dati, per cui i sistemi di IA non devono causare danni, devono essere dei sistemi robusti e non devono essere in grado di influenzare negativamente gli esseri umani.
  3. Il principio di equità, per cui l'utilizzo dei sistemi di IA non deve mai ingannare gli utenti finali né ostacolare la libertà di scelta. Quindi l'equità implica anche che venga rispettato il principio di proporzionalità tra mezzi e fini.
  4. Il principio dell'esplicabilità, che è fondamentale per mantenere la fiducia degli utenti nei sistemi di IA. Significa essenzialmente trasparenza, far capire come funzionano concretamente questi sistemi. Cosa non facile, ma bisogna chiaramente di sforzarsi, perché non sempre è possibile spiegare perché un modello ha portato a una certa decisione.

Evitare la “scatola nera”: il ruolo del GDPR

Professor Iaselli: Abbiamo parlato di reti neurali. Talvolta le reti neurali possono portare anche a dei risultati del tutto imprevedibili. Non è semplice ma bisogna evitare la "scatola nera". Gli algoritmi devono comunque essere resi in qualche modo trasparenti, attraverso forme di tracciabilità, verificabilità e quindi di capacità del sistema stesso. Perché bisogna anche comprendere come questi algoritmi non vadano ad incidere negativamente sui diritti fondamentali degli interessati. Quindi una sorta di logica che sottintende al funzionamento di un sistema di IA.

Avvocato Bertaiola: Sono d'accordo, basti pensare alla possibilità che decisioni di tipo giudiziario possano essere prese sulla base di dati. Per esempio, la recidiva rispetto a sentenze di condanna o l'applicazione di misure restrittive della libertà, che sono sistemi già sperimentati oltreoceano e fanno molto discutere. Una scelta così delicata dovrebbe essere quanto meno controllabile, per verificare se qualcosa non ha funzionato o se ci sono delle specificità, nel caso concreto, che suggeriscano una scelta diversa. Nell’applicazione dell’Intelligenza Artificiale, i dati personali sono un patrimonio inestimabile, perché senza i dati difficilmente la macchina potrebbe generare decisioni. Visto il ruolo fondamentale che svolgono, la disciplina attuale in materia di protezione dati personali è adeguata o avrebbe la necessità di essere attualizzata?

Professor Iaselli: Il Regolamento fornisce degli strumenti che sono sicuramente utili. Gli stessi principi di impronta anglosassone, non solo l'accountability, ma principalmente quelli di privacy-by-design e privacy-by-default, sono fondamentali proprio in considerazione dell'avvento delle nuove tecnologie. 

E se vogliamo, l'emanazione del Regolamento è avvenuta proprio perché c'è un progresso tecnologico estremamente performante che l'uomo insegue con la regolamentazione

Effettivamente il GDPR ha il grande merito di aver introdotto dei principi importanti di carattere generale e anche degli adempimenti, vedi la valutazione d'impatto sulla protezione dei dati, che sono estremamente importanti, con riferimento ai sistemi di IA, che comportano un rischio elevato per i diritti e le libertà fondamentali.

Credo che il Regolamento europeo non potesse fare di più, perché una normativa di carattere generale deve avere un approccio il più possibile "tecnologicamente neutro". Cioè stabilisce dei principi di carattere generale che sono applicabili per tutti i sistemi, anche più evoluti dal punto di vista strettamente informatico. 

Quello che è necessario che ora si faccia è che organismi come il Comitato europeo per la protezione dei dati e le stesse Autorità Garanti, cerchino più nello specifico di intervenire nel regolamentare in maniera più dettagliata sui sistemi di Intelligenza Artificiale. Tutto questo comporta anche una preliminare analisi delle caratteristiche di questi sistemi.

E devo dire che la proposta di regolamento europeo della Commissione europea si fonda proprio su questo. Ha iniziato a individuare, con un approccio tendente verso il rischio, tutti i sistemi che comportano un rischio di maggiore intensità nei diritti e nelle libertà fondamentali, fino a quei sistemi che comportano un rischio più basso. Lo ha fatto prevedendo tutta una serie di adempimenti, che coinvolgono principalmente i fornitori dei sistemi di Intelligenza Artificiale, che dovranno rilasciare anche delle dichiarazioni di conformità sulla loro sicurezza e quindi di affidabilità per l'uomo.
 
Tutto questo porta a una maggiore responsabilizzazione di chi realizza e fornisce questi sistemi. La tendenza dovrà essere questa. La stessa Commissione Europea fa capire che adesso bisogna lavorare su questi aspetti. Abbiamo presenti i principi del GDPR. Adesso cerchiamo di applicarli in concreto.

C’è un problema di cultura

Professor Iaselli: Immagino che il Regolamento non basterà e che sarà necessario avere ulteriori provvedimenti che sottolineino altri aspetti molto importanti relativi all'utilizzo dei sistemi di IA, come quelli che disciplinano le responsabilità connesse a tali sistemi. È una tematica che ancora non è stata adeguatamente approfondita e che dovrà esserlo quanto prima.

Stiamo aspettando di avere i primi sistemi realmente funzionanti, perché, devo essere sincero, adesso se ne parla tanto, ma di sistemi effettivi di IA ancora non ce ne sono molti. 

A questo proposito potrebbe interessarti leggere: Sta arrivando il Metaverso e Le regole nel Metaverso.

Avvocato Bertaiola: Rispetto a un quadro generale così come delineato dal Regolamento e a un'auspicata normazione più di dettaglio e più operativa, quanto spazio rimane a quella cultura che necessariamente non viene regolamentata, non si trova nelle norme ma è propria di un atteggiamento dell'uomo, di una maggiore sensibilizzazione, una maggiore visione, un cambio di approccio? Quanto può pesare e contribuire? E quanto bisognerebbe investire su questo fronte?

Professor Iaselli: È un argomento affrontato da grandi studiosi. Ricordiamo, per esempio, Jonas sul principio di responsabilità. Jonas diceva che se sistemi estremamente evoluti dal punto di vista strettamente tecnologico vengono utilizzati in una società che non è pronta a recepire tali sistemi, gli effetti non saranno positivi. Addirittura, questi sistemi potrebbero prendere il sopravvento sull'uomo. 

Devono essere più controllabili da parte dell'uomo.

Quindi, questo monito di Jonas è valido anche per l'attuale società e rispetto alla situazione in cui ci troviamo. 

Perché si parla molto di Intelligenza Artificiale, ma c'è un basso livello di comprensione su quali siano realmente le caratteristiche di questi sistemi e quali sono i pericoli che si nascondono dietro al loro utilizzo.

Il Regolamento ce lo dice: noi dobbiamo sempre valutare con particolare attenzione quali sono i rischi legati al trattamento dei dati, specialmente sul fronte tecnologico. Se non facciamo questa attenta analisi e valutazione dei rischi, non saremo in grado di definire delle misure tecniche e organizzative adeguate, che ci consentano la minimizzazione dei rischi. 

Il problema è proprio questo: delle volte non ci rendiamo conto dell'importanza e della delicatezza di questi strumenti. Finiamo per parlarne con toni di particolare euforia, senza renderci conto del fatto che tutto va adeguatamente studiato, analizzato, approfondito, prima di essere poi realmente implementato e utilizzato.

Proprio per evitare di trovarci di fronte a sorprese, che si potrebbero evitare nel momento in cui noi, prioritariamente, abbiamo analizzato tutte le problematiche connesse all'utilizzo di questi strumenti.

Avvocato Bertaiola: Speriamo che a questo progresso normativo se ne affianchi uno culturale, di maggiore consapevolezza. Ciascuno dovrà mettere del suo, perché affidare scelte di tipo etico e morale ad una norma o a un provvedimento, sarebbe del tutto avventato. Sarebbe bene anche non spogliarsi da questo tipo di valutazione.

Vuoi saperne di più?

La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Presidente ANDIP (Associazione Nazionale per la Difesa della Privacy) Nuove tecnologie ed IA, Coordinatore Comitato scientifico Federprivacy, Funzionario Ministero Difesa, Avvocato e Docente Luiss

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy