A cura di Matteo Quartieri, Privacy Analyst, CIPP/E & CIPM, OneTrust Italia

Lo sviluppo e utilizzo di tecnologie di intelligenza artificiale (AI) rappresenta ad oggi uno dei settori più all’avanguardia nel mondo tecnologico e digitale. L’utilizzo di tali tecnologie è caratterizzato da un enorme potenziale e rappresenta una possibilità per rivoluzionare interi settori industriali, nonché incrementare e ottimizzare la produttività del lavoro, con il fine ultimo di consentire progressi importanti verso forme di sviluppo sostenibile.

L’impatto dell’AI sulle imprese sarà di enorme rilevanza e implicherà una vera e propria rivoluzione delle loro operazioni, tanto nei processi interni quanto nei rapporti con clienti e fornitori esterni.

Per questo motivo numerosi paesi e organizzazioni a livello globale stanno facendo, negli ultimi mesi, passi in avanti verso una regolamentazione generale di questa tipologia di tecnologie. La Commissione Europea, per esempio, ha pubblicato, nel febbraio 2020, un Libro Bianco sull’Intelligenza Artificiale, con il fine di creare un ecosistema europeo per l’AI in grado di portare benefici a cittadini, aziende e servizi di pubblico interesse.

Il Consiglio d’Europa (CdE) ha pubblicato, nel Gennaio 2019, Linee-Guida in Materia di Intelligenza Artificiale e Protezione Dei Dati, volte a delineare i principi fondamentali che le tecnologie di AI devono rispettare per garantire il rispetto dei diritti umani.

In ambito nazionale, il Ministero dello Sviluppo Economico ha pubblicato, nel Luglio 2020, Proposte per una strategia italiana per l’intelligenza artificiale, seguite, nell’Ottobre 2020, dalla Strategia italiana per l’intelligenza artificiale, sulla quale è stata lanciata una consultazione pubblica (chiusasi a fine Ottobre).

Ciò denota come le tematiche sollevate dall’utilizzo di tecnologie di AI siano al centro del dibattito pubblico, Italiano, Europeo ed internazionale.

Binomio: AI e privacy

Uno delle principali punti di interesse in relazione all’utilizzo dell’AI sono le sue implicazioni in materia di protezione dei dati personali, in particolare come lo sviluppo d tali tecnologie posso essere portato avanti nel rispetto della disciplina privacy europea e nazionale.

Prima di addentrarci in queste intersezioni di disciplina, conviene però soffermarsi sul concetto di AI stesso.

Che cosa è l’intelligenza artificiale?

Il termine intelligenza artificiale (AI) si riferisce all’idea di sistemi hardware o software che sono in grado di elaborare e/o trattare informazioni e completare determinate azioni in una maniera che rispecchia l’intelligenza umana. Non esiste una definizione univoca di AI, e le stesse definizioni mutano a seconda del framework di riferimento. Ad ogni modo, se osservata dal punto di vista delle sue implicazioni privacy, l‘IA deve essere collegata a decisioni automatizzate poste in essere sulla base di una disponibilità di dati su larga scala, cd. machine learning.

Implicazioni privacy

Come sottolineato dal CdE, lo sviluppo e l’utilizzo dell’AI deve garantire il rispetto e i diritti alla tutela della vita privata e alla protezione dei dati personali. Pertanto, i principi generali in materia di protezione dei dati personali devono riflettersi nello sviluppo ed utilizzo di tecnologie di AI. Tra i principi fondamentali il rispetto dei quali il CdE ritiene necessario ci sono quelli offerti dalla Convenzione 108+:

  • liceità
  • correttezza
  • specificazione della finalità del trattamento
  • proporzionalità del trattamento
  • Privacy by Design e Privacy by Default
  • principio di responsabilizzazione (cd. accountability)
  • trasparenza
  • sicurezza dei dati
  • gestione dei rischi

L’utilizzo di tecnologie di AI è inoltre indissolubilmente legato al diritto degli individui, garantito dal GDPR (Art. 22), di non essere sottoposti a decisioni basate unicamente sul trattamento automatizzato (compresa la profilazione), che producano effetti giuridici rilevanti sui soggetti interessati stessi, senza che le loro opinioni vengano prese in considerazione.

Un aspetto fondamentale che il CdE sottolinea è il fatto che un’innovazione responsabile nel settore dell’AI necessita di un approccio incentrato sulla prevenzione e attenuazione dei potenziali rischi del trattamento dei dati personali, in piena ottica di accountability.

Leggi e regolamenti in materia di AI

Qui di seguito un elenco, non esaustivo, di ulteriori leggi, regolamenti, standard ed iniziative finalizzate alla regolamentazione dell’IA, a testimonianza di come la materia stia assumendo un ruolo di primaria importanza in numerosi organi decisionali a livello internazionale, europea e nazionale.

  • Regno Unito – Information Commissioner’s Office (ICO): linee guida su AI
  • Dubai: linee guida e principi in materia di AI
  • USA – National Institute of Standards and Technology (NIST): 4 principi per una AI spiegabile
  • USA – Federal Trade Commission (FTC): usare l’AI e gli algoritmi
  • Canada – direttiva governativa sulle decisioni automatizzate
  • Brasile – proposta di legge sui principi, diritti e doveri per l’utilizzo dell’AI
  • Per ulteriore documentazione si veda di seguito la sezione ‘Come OneTrust puo’ aiutare’

Principi fondamentali in materia AI

Nello sviluppo e utilizzo di tecnologie di AI è necessario tenere in considerazione i seguenti principi, per far si che la tecnologia sia improntata alla protezione dei dati personali che tratta ed elabora, come detto, sopra tutto su larga scala.

Responsabilizzazione (cd. accountability)

Le aziende ed organizzazioni dovranno distribuire responsabilità al proprio interno, nonchè essere in grado di dimostrare il rispetto della legislazione e dei principi applicabili. Dovranno pertanto:

  • implementare sistemi di gestione del rischio
  • predisporre policy e procedure sull’utilizzo di tecnologie AI
  • rivedere ad intervalli regolari le policy e procedure stesse, modificandole ed adattandole se necessario

Trasparenza e spiegabilità

È necessario essere in grado di assicurare e provare che tutti i soggetti coinvolti nell’utilizzo e sviluppo di tecnologie di AI siano al corrente e comprendano i processi, le procedure ed i sistemi applicabili.

Correttezza ed esattezza

Le organizzazioni che utilizzano tecnologie di AI dovranno assicurare che il prodotto della tecnologia sia ragionevole e non discriminatorio, nonchè formatosi sulla base di informazioni corrette ed appropriate.

Sicurezza

Le tecnologie di AI dovranno essere sviluppate in modo da assicurare la sicurezza delle informazioni e dati personali oggetto di trattamento.

Human-centric

Lo sviluppo di tecnologie di AI deve sempre coinvolgere l’essere umano nei suoi processi e decisioni.

Privacy by Design e Privacy by Default(protezione dei dati fin dalla progettazione e protezione per impostazione predefinita)

In tutte le fasi del trattamento, compresa la raccolta dei dati, gli sviluppatori, i produttori e i fornitori di servizi e tecnologie di AI devono adottare un approccio volto a tutelare i diritti umani fin dalla progettazione dei tali servizi ed evitare qualsiasi potenziale pregiudizio, anche involontario o occulto, nonché il rischio di discriminazione o altri effetti negativi sui diritti umani e le libertà fondamentali degli individui.

Risorse ulteriori

Come OneTrust può aiutare

OneTrust DataGuidance – Portale su AI consente l’accesso a tutte le linee guida, ai frameworks e alle iniziative citate nell’articolo.

Tutte le informazioni su OneTrust sono consultabili sul sito onetrust.it.

Per informazioni dettagliate sulla soluzione di gestione dei rischi, clicca qui.