Articolo di: Andrea Lisi e Edoardo Limone
Il trattamento dei dati personali eseguito per mezzo di algoritmi d’intelligenza artificiale rientra nella categoria dei trattamenti automatizzati, attualmente previsti dal GDPR (Art. 2 “Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali…”). In particolare, l’art. 22 del GDPR[1] si occupa di questi aspetti, cercando – in caso di processi decisionali automatizzati relativi a persone fisiche, compresa la profilazione – di favorire un utilizzo corretto, trasparente e consapevole di questi strumenti, in modo da garantire pienamente i diritti e le libertà degli interessati coinvolti.
Valutare l’impiego degli algoritmi di intelligenza artificiale
L’algoritmo d’intelligenza artificiale è senz’altro uno strumento informatico utile a supportare l’organizzazione nello svolgimento di compiti complessi. E i sistemi di intelligenza artificiale rappresentano una delle tecnologie più recenti ed il loro utilizzo, legato ai dati personali, rientra tra i trattamenti innovativi di cui, quindi, si occupa (e preoccupa) lo European Data Protection Board e per i quali è obbligatoria l’effettuazione di una valutazione d’impatto (altresì chiamata DPIA – Data Protection Impact Assessment)[2].
È quindi opportuno fare chiarezza su alcuni aspetti: è certamente possibile utilizzare l’intelligenza artificiale per trattare dati personali, ma è obbligatoria una valutazione d’impatto prima di procedere al trattamento. È bene ricordare che l’Autorità Garante per la Protezione dei Dati Personali, con l’Allegato 1 del Provvedimento 467 dell’11 ottobre 2018 (pubblicato sulla Gazzetta Ufficiale n. 269 del 19 novembre 2018), ha definito le tipologie di trattamenti da sottoporre a valutazione d’impatto. Le tipologie sono 12 e alla numero 7 viene riportato: “Trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogni qualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01[3]”.
(Ri)Conoscere la complessità
Tecnicamente l’obbligatorietà tracciata dal Garante è più che comprensibile: non solo il trattamento tramite intelligenza artificiale è di per sé un trattamento automatizzato, ma è anche oggetto di una complessità non trascurabile. Se un’organizzazione arriva a valutare l’impiego di un algoritmo d’intelligenza artificiale è per farsi supportare in compiti complessi ed onerosi, non per lo svolgimento di elaborazioni banali; un esempio è il supporto ai processi di selezione del personale, o l’integrazione dell’algoritmo all’interno di un Decision Support System per l’affiancamento nel processo decisionale o – come previsto nel già citato art. 22 del GDPR – una tecnica evoluta di profilazione che incroci e automatizzi gusti, abitudini, interessi di utenti on line avviando campagne di comunicazione particolarmente pervasive e ficcanti. La complessità va intesa quindi almeno in due direzioni: la quantità dei dati da elaborare e la complessità del trattamento.
La DPIA dovrà quindi rispondere ai rischi derivanti da questi due aspetti al fine di scongiurare quelli più comuni, di cui uno tra i più importanti è quello della discriminazione algoritmica. Non bisogna dimenticare che il Garante, nel 2023, ha prodotto un decalogo per l’impiego dell’Intelligenza Artificiale in ambito sanitario. Il decalogo si presta ad essere adottato in qualsiasi altro ambito e tra le rischiosità segnalate c’è per l’appunto quella della discriminazione algoritmica.
Il ruolo fondamentale della DPIA
La DPIA assume quindi un ruolo fondamentale per la creazione di un’infrastruttura incentrata su privacy & security by design anche se, in verità, sono ancora molti i casi in cui il documento non è presente o non è correttamente redatto nelle organizzazioni (pubbliche o private) che si stanno avvicinando all’affascinante mondo dell’IA.
All’interno della DPIA sarà necessario descrivere il trattamento e quindi fornire informazioni su come agirà l’algoritmo: quali sono i processi che deve compiere, quali dati dovrà utilizzare, perché deve compiere quei processi e perché deve utilizzare quei dati. Sarà necessario individuare i rischi, contrapporre contromisure sia tecniche che organizzative. In sostanza, come è normale in una DPIA, bisognerà dare evidenza della consapevolezza (accountability) del trattamento e motivarne l’esistenza da parte dell’organizzazione che vuole implementare l’algoritmo.
Infine, crediamo che sia opportuno fare una riflessione: dal 2016 il GDPR sta affrontando sfide tecnologiche sempre più complesse che, però, riesce a fronteggiare in modo efficace. Il motivo è facilmente spiegabile: quando un trattamento viene analizzato correttamente, rispettando i principi di trasparenza, accountability, di minimizzazione, di proporzionalità, risulta difficile autorizzare qualcosa di dannoso per i diritti e le libertà degli utenti.
Lo scenario di adozione
Certamente il titolare del trattamento, (soggetto responsabile della DPIA), dovrà farsi supportare dal fornitore del servizio (e dallo sguardo attento del Data Protection Officer) nella redazione della valutazione d’impatto, ma se la collaborazione nasce e si sviluppa in modo adeguato, il risultato finale non potrà che essere ottimale.
Immaginando quindi uno scenario di adozione adeguato, l’organizzazione sarà al corrente del set di dati richiesto dal trattamento, sarà al corrente delle modalità con cui agirà l’algoritmo (senza conoscere necessariamente i dettagli che potrebbero essere protetti dal segreto industriale). Sarà quindi al corrente della tipologia di computazione svolta dall’algoritmo e potrà approntare eventuali processi di mitigazione del rischio come previsto dal Regolamento europeo.
In conclusione, il GDPR – se correttamente applicato – dando concreta esecuzione ai principi fondamentali espressi nell’art. 5, ma anche negli articoli 22, 24, 25, 32 e 35, può già costituire un ottimo strumento operativo per avviare sistemi di Intelligenza Artificiale che siano anche garantisti per gli interessati coinvolti, pur se non è ancora in vigore il testo specifico in materia costituito dall’AI Act.
L’Anticipated voluntary compliance di cui oggi si discute, si può raggiungere interpretando correttamente e in modo rigoroso ciò che già il dettato normativo europeo ci offre in modo lungimirante.
[1] Articolo 22
Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
1. L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
2. Il paragrafo 1 non si applica nel caso in cui la decisione:
a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
c) si basi sul consenso esplicito dell’interessato.
3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.
[2] L’implementazione di una DPIA ovviamente è indispensabile per dare piena attuazione allo stesso art. 22 prima richiamato, (oltre che per favorire un’applicazione della privacy by design e privacy by default, come previsto nell’art. 25 del GDPR).
In particolare, il considerando 71 che si riferisce proprio alle tecniche automatizzate di profilazione, come previste dall’art. 22, specifica che “al fine di garantire un trattamento corretto e trasparente nel rispetto dell’interessato, tenendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati, è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca tra l’altro effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero che comportano misure aventi tali effetti. Il processo decisionale automatizzato e la profilazione basati su categorie particolari di dati personali dovrebbero essere consentiti solo a determinate condizioni”.
[3] Nel richiamato documento dell’Autorità Garante nazionale Si fa riferimento alle Guidelines on Data Protection Impact Assessment (DPIA) (wp248rev.01) del EDPB (info: https://ec.europa.eu/newsroom/article29/items/611236)
