Intelligenze artificiali e ignoranze naturali tra AI Act e GDPR

06 settembre 2024Ultimo aggiornamento 28 novembre 2024
Tempo di lettura stimato: 8'

La prima cosa che mi è venuta in mente quando è uscito l’AI Act è stata questa: “Fantastico! Andiamo a leggere! Andiamo a capirlo e a studiarlo!” 

Perché, per me, leggere un regolamento e capirlo, riuscire a dire, alla fine, “Sì l’ho fatto mio!”, è un po’ come fare del buon sesso. Quando fai del buon sesso lo capisci che sta andando bene: ha la dimensione giusta, ha il tempo giusto… 

Ma con l’AI Act faccio fatica. Non sono ancora riuscito a renderlo mio. Sto cercando di studiarlo, ma ancora mi si blocca. Ci sono delle cose che non scivolano in maniera naturale, per me. 

Quindi ho cercato di capire il perché. E ho cercato di capire quelle che sono le anime delle attività che noi facciamo come DPO e consulenti - men and women, è uguale – quando ci interfacciamo con legge e tecnologia. Ecco il risultato dei miei ragionamenti. 

Da men and women of law a men and women of Digital Age

In generale, nel nostro lavoro di DPO e consulenti, tocchiamo la tecnologia sempre di più. Da consulenti del trattamento dati personali, stiamo diventando consulenti della società tecnologica, della società dell'informazione. Non solo documenti, ma anche tecnologia, insomma. Quindi tutti noi, legali e non legali, dobbiamo capire come si tirano i cavi

Se paragoniamo il nostro lavoro a un concerto, dove tutto deve essere perfetto, capiamo se abbiamo fatto tutto bene, se gli strumenti suonano alla perfezione, cioè se riusciamo a dare le indicazioni corrette. Così sì che allora tutto suonerà alla perfezione. E questo si fa se la tecnologia la capiamo davvero. Dobbiamo governare la parte della legge, l’impatto privacy dell’intelligenza artificiale, sapendo che, però, non è più l'unica parte importante da considerare.   

Non possiamo continuare a mettere dei dischi in vinile, quando la musica si ascolta con lo smartphone. Lo potevamo fare nel 2016, quando la parte legale era importantissima e rimane importantissima. Ma oggi non è più solo quello.

Il nostro lavoro di DPO, di consulenti che devono accompagnare l'azienda a gestire tutto il contesto digitale nel trattamento di informazioni, non può prescindere né dalla parte law né dalla parte tecnica. Dobbiamo essere dei men and women of Digital Age, cioè, dobbiamo avere le capacità e la competenza per governare una serie di argomenti che non sono più solo di un settore.  E uno di questi è l’intelligenza artificiale. 

L’intelligenza artificiale non è un software, un server, un servizio digitale come gli altri

L'intelligenza artificiale è uno degli strumenti per fare dei trattamenti anche di dati personali e le aziende lo useranno sia come titolari che come responsabili. Certe aziende si studieranno dei sistemi basati sull’intelligenza artificiale da poter rivendere al mercato e altre invece acquisiranno e utilizzeranno sistemi per vendere servizi e prodotti. 

La difficoltà è che, quando parliamo di intelligenza artificiale, non la possiamo paragonare a nessun altro strumento digitale. Non è un server. Non è un computer. Non è un firewall. Non è un software. Soprattutto ha una terza dimensione, che si chiama multidimensionalità e che gli strumenti digitali normali non hanno. 

L’intelligenza artificiale ha tre dimensioni, non si gestisce con un foglio Excel 

Quando valutiamo gli impatti e le misure di sicurezza, quando facciamo le DPIA per i nostri clienti, normalmente abbiamo due dimensioni. Non tre. L’intelligenza artificiale ha forme e modelli comportamenti completamente differenti gli uni dagli altri e se non li conosciamo, non riusciamo a capire l'impatto e il rischio che questi modelli hanno.

Quindi la parte tecnologica diventa pregnante nella valutazione del rischio. Rischio che c'è nella AI Act ma anche nel GDPR.

Anche perché l'intelligenza artificiale è deduttiva. Deduce. Quindi è capace di dirmi, guardandomi, quali birre andrò a bere stasera (tutte, così siamo d'accordo perché ho sete). Come lo fa? Deduce attraverso decine di modelli differenti di reti neurali, modelli differenti di apprendimento, modelli differenti di rinforzo, modelli differenti legati al comportamento. Abbiamo una terza dimensione, che nei normali sistemi elettronici non avevamo.Dobbiamo capire che l’intelligenza artificiale non è un foglio di Excel. Non è una base dati.

È un oggetto con capacità deduttive più o meno importanti che viene addestrato. Poi ci sono modelli diversi: alcuni possono continuare a imparare, altri no. 

E queste sono tutte condizioni che dobbiamo conoscere, se dobbiamo fare una valutazione del rischio. È fondamentale. Se non lo impariamo, continuiamo coi nostri Excel e c’è il rischio che ce la raccontiamo e che diciamo “Tranquilli, il rischio è basso!” quando non lo è, perché non governiamo questa parte. 

Dobbiamo studiare l’intelligenza artificiale, altrimenti restiamo nell’ignoranza naturale

Ci siamo tutti seduti. Abbiamo smesso di studiare. Siamo rimasti – tanti, tutti, pochi, però vedo una fetta importante… - al 2018/2019. Diciamo le stesse cose. Affrontiamo problemi diversi nello stesso modo, sperando di ottenere un risultato diverso. 

Questo cambiamento lo dobbiamo governare. E gli strumenti come l'intelligenza artificiale che trattano dati personali – alcuni, non tutti, dipende da cosa gli facciamo fare – dobbiamo conoscerli.Per esempio, ho partecipato alla convention di una grossa azienda italiana, che ha organizzato un evento con tutte le prime linee del management e ha dedicato una giornata a workshop sull’AI. L’obiettivo era capire come l'intelligenza artificiale avrebbe potuto migliorare il lavoro interno ed eventualmente il business.

Bene. È venuto fuori di tutto. Le robe più belle. L’HR ha portato un progetto pilota già aperto, dove ci sono dei bot che vanno a vedere Facebook, contatti e quant’altro dei possibili candidati che mandano i curricula. Lo fanno con l'intelligenza artificiale, che dà una valutazione a stelline. 

Poi c'era il responsabile della formazione interna, che aveva avuto l'idea di creare un sistema di intelligenza artificiale che prendesse tutte le malattie, tutti i permessi, le interazioni all'interno dell’azienda, per capire la fedeltà dei dipendenti e se c'era la possibilità che un dipendente andasse via, per potergli fare un'offerta migliore.

Quando ho alzato la manina per dire “Attenzione…”, tutti giù a rispondere: “Eh, ma allora falliamo… Gli altri lo fanno, perché dobbiamo essere solo noi a non farlo? Come al solito sei il signor no…”

Io non faccio il DPO e dico quel che mi pare. Nello specifico, non ho detto: non devi correre la maratona di 40 km. Ho detto che, se lo sport che hai fatto fino a oggi è andare al bar per bere lo spritz e ritorno, poi dopodomani ti metti a correre la maratona di 40 km, se ti va bene, non la finisci, se ti va male, ti stecchi… Ne ho parlato anche al PRIVACY DAY FORUM 2024 di Federprivacy. Guarda il video del mio intervento:

Immagine che contiene testo, persona, uomo, Portavoce Descrizione generata automaticamente

Allora, come consulenti, come DPO,
riusciamo ad accompagnare le aziende senza che abbiano reazioni isteriche? Riusciamo a dire: “Bell'idea. Allora serve un'intelligenza artificiale che faccia questo e non questo. Serve uno strumento che abbia queste caratteristiche e non queste. Poi dobbiamo aggiornare le informative, vedere che trattamenti dobbiamo fare. Analizziamo. Fatto questo, vai tranquillo, fai quello che vuoi.”

L’AI ha aperto le porte a tante belle idee. Non sto dicendo che siano perversioni. Sono belle idee. Ma se il DPO o il consulente dell'azienda non ha quella posizione che serve per dire “Tutto bello, ma i dati personali?” perché non è consapevole, non conosce la tecnologia e le sue implicazioni, allora, secondo me, ci troviamo davanti a situazioni di ignoranza naturale.

Perché, se io sono competente su una cosa, non ho nessun problema a dirti: “Fallo!” Quando diciamo “se”, è perché non abbiamo studiato abbastanza.

E quando parliamo di utilizzo dell’intelligenza artificiale, il nostro lavoro evolve.

Un sistema di intelligenza artificiale non si valuta con la checklist

La parte di trattamento dati è fondamentale e importantissima. Questa è la base. Vuol dire che, quando scelgo un fornitore, lo andrò a valutare ai sensi dell'articolo 28 e valuterò anche il fornitore che mi eroga il servizio di intelligenza artificiale. E come lo valuto? Con una checklist? Non si riesce a valutare un sistema di intelligenza artificiale con la checklist. 

Se un DPO dà al cliente una checklist che dice “Sei sicuro che non trattieni i dati? Sei sicuro che…” gli sta solo facendo compilare l'assicurazione, che, se per caso qualcosa non va bene, il DPO è a posto. 

Aggiungo un punto. Una cosa da accertare col titolare è questa: “Sei sicuro che ci sia l'accesso in maniera tale da poter garantire il machine unlearning?”

Trovo fondamentale la capacità della rete di scordarsi una porzione delle cose che ha imparato. Altrimenti, per far scordare una rete neurale, la si uccide e se ne fa un'altra con dei dati diversi (è vero che non soffre, almeno per ora). 

Machine unlearning: se non c’è, cambia 

La macchina che disimpara. È una cosa che ritengo fondamentale e che dovrebbe entrare nella testa di DPO e consulenti. Se chiedi al cliente: “Nel sistema di intelligenza artificiale che usi c'è il machine unlearning? Non c’è? Allora cambia.” 

Perché, se non c’è, non riesci a tornare indietro. 

Dobbiamo purtroppo modificare i nostri metodi per riuscire a verificare i fornitori e capire le misure che servono all'intelligenza artificiale, ai sensi dell’art 32, perché non saranno lineari. 

È questa la vera grande sfida: riuscire a far dialogare gli esperti di intelligenza artificiale con chi vede l'evoluzione di legge nella logica dei regolamenti (AI Act e GDPR)

Non vince chi fa l’one man band

Spesso sento dire da DPO e consulenti: “Il cliente mi ha chiesto: ma con l’AI Act come sei messo?”

E il consulente: “Tranquillo, ho tutto sotto controllo”

È un comportamento che dobbiamo eliminare, secondo me. Non possiamo continuare con atteggiamenti di questo tipo. Quelli da un one man band: io sono bravo a suonare in strada, sono fantastico, suono tutti gli strumenti. 

Siamo tutti dei fenomeni? Non ci credo. 

Dobbiamo cominciare anche a ragionare a livello di rete, di network (io sono cintura nera su questo, tu su quello, lui su quell’altro). Perché, da soli, il rischio dell’one man band è altissimo. È altissimo il rischio di non riuscire ad accompagnare le aziende a una transizione e a un utilizzo coerente e corretto degli strumenti digitali, tra cui l'intelligenza artificiale. Perché non li governiamo. 

Non siamo più dei meri consulenti sul trattamento dell'informazione, ma dobbiamo anche essere capaci di valutare come questa informazione viene trattata

Bisogna essere disruptive, cioè, cominciare a pensare di essere consulenti digitali. E nella consulenza sugli strumenti, la base è chiaramente il trattamento dei dati. 

Prima, però, serve consapevolezza. E la mia grande paura è che non siamo pronti noi consulenti. Non le aziende. Questo sarà il grande sforzo: gestire la complessità. E ai consulenti e ai DPO dico: per gestire la complessità, siate creativi!

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è il fondatore di PRIVACYLAB, per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy