È possibile utilizzare l’AI e rispettare il GDPR? Risponde il Garante francese

Elaborare i dati sfruttando la potenza dell’Intelligenza Artificiale senza compromettere la privacy. Il Garante francese illustra la via attraverso delle linee guida e il piano d’azione

E’ certamente vero che i problemi della pentola li sa solo il coperchio, ma l’intensità, l’ecletticità e la velocità con cui l’Intelligenza Artificiale ha pervaso ogni ambito ha fatto saltare il coperchio e inserito ogni cosa dentro una grande pentola a forma di mondo.

Le varie autorità privacy stanno cercando di evitare che tutti noi trasformiamo in realtà la metafora della rana bollita: l’acqua di per sé sembra ancora calda abbastanza per preoccuparci, ma sufficientemente tiepida da poter agire.

Il Garante privacy francese si è espresso in materia definendo 10 linee guida e un piano d’azione per poter garantire il rispetto del GDPR pur utilizzando l’AI per la raccolta dati:

Definire lo scopo dell’Intelligenza artificiale

L’obiettivo per cui i sistemi di intelligenza artificiale vengono progettati e utilizzati dovrebbe essere stabilito durante la fase di progettazione iniziale, essere in linea con gli obiettivi dell'organizzazione ed essere facilmente comprensibile.

Stabilire una base giuridica per il trattamento

Il GDPR prevede sei basi giuridiche: consenso, rispetto degli obblighi legali, esecuzione del contratto, interesse pubblico, interessi vitali e interesse legittimo.

Se l’addestramento di un sistema di IA comporta il trattamento di dati personali identificabili, è necessario disporre di una base giuridica che in molti casi è rappresentata dal consenso esplicito dell'utente.

Compilazione del database riguardante i dati di allenamento

Per utilizzare la seconda volta i dati già esistenti nella formazione sui sistemi di intelligenza artificiale, è necessario garantire che la formazione stessa sia in linea con gli scopi per cui i dati sono stati raccolti in primo luogo.

Minimizzazione dei dati

Prima di elaborare i dati è necessario determinare quali categorie di dati sono assolutamente essenziali per l’addestramento dell’IA, perché saranno solo questi a essere utilizzati secondo il principio di proporzionalità.

Ricordiamoci inoltre che fasi diverse potrebbero richiedere quantità e tipologia diverse di dati.

Conservazione dei dati

Non è possibile archiviare i dati personali per sempre, ma solo finché c’è bisogno per scopi di elaborazione specifici, anche se la CNIL per i sistemi di IA mantiene flessibilità, consentendo periodi di conservazione prolungati.

Il motivo è presto detto: la conservazione potrebbe essere utile per creare set di dati per la formazione, sviluppare nuovi sistemi o garantire la tracciabilità e misurare le prestazioni nel tempo durante la produzione.

Inoltre se i dati vengono conservati per scopi di ricerca scientifica, possono essere conservati per periodi ancora più lunghi.

Supervisione e miglioramento continuo

Il riutilizzo dei dati è consentito per i sistemi di intelligenza artificiale.
Un fornitore di sistema può ri-utilizzare legalmente i dati se:

• Ottiene il permesso dal titolare del trattamento per riutilizzare i dati
• Riesce a garantire trasparenza e riesce a informare le persone
• Garantisce il rispetto dei diritti degli interessati e la conformità della nuova attività di trattamento.
  
  

Offrire garanzia per i rischi 

A onori corrispondo oneri come a benefici corrispondono pericoli: se, nello scenario peggiore, un modello di intelligenza artificiale subisse un attacco alla privacy riuscito e i dati personali venissero esposti, si tratterebbe di una violazione dei dati.

La CNIL suggerisce che tale modello debba essere tempestivamente rimosso.
‍

Fornire informazioni agli utenti

Il principio di trasparenza del GDPR impone alle aziende di informare gli utenti sul trattamento dei loro dati. Tali informazioni devono essere concise, chiare, comprensibili e facilmente accessibili, utilizzando un linguaggio semplice, come richiede il GDPR.

La CNIL, tuttavia, afferma che in situazioni in cui i dati non vengono raccolti direttamente dagli individui, il diritto di essere informati potrebbe essere esentato, soprattutto se informarli è impossibile o richiede sforzi eccessivi, come nel trattamento dell’intelligenza artificiale per la ricerca scientifica.
‍

Garantire l’esercizio dei diritti all’interessato

Gli individui hanno i diritti degli interessati. Il titolare del trattamento deve spiegare loro come esercitare tali diritti e gli interessati dovrebbero ricevere una risposta entro un mese.

I sistemi di intelligenza artificiale che trattano dati personali devono soddisfare i principi GDPR per i diritti delle persone. Questi diritti proteggono le persone dalle conseguenze di un sistema automatizzato, consentendo loro di comprendere e, se necessario, contestare il relativo trattamento dei dati.
‍

Supervisionare le decisioni automatizzate per evitare la discriminazione algoritmica

A parte gli altri diritti degli individui, gli individui hanno il diritto di evitare decisioni completamente automatizzate, spesso derivanti dalla profilazione, che hanno impatti legali o personali significativi. 

Le uniche eccezioni a decisioni automatizzate sono:

• Quando l'utente fornisce il consenso esplicito;
• Quando la decisione è contrattualmente necessaria;
• Quando la decisione è legalmente autorizzata.

In ogni caso gli utenti hanno comunque diritto di:

• Conoscere la decisione automatizzata;
• Comprendere la logica decisionale;
• Sfidare la decisione e condividere la loro prospettiva;
• Richiedere l'intervento umano per la revisione della decisione.
  ‍

Il piano d’azione sull’AI della CNIL

La CNIL ha inoltre pubblicato un piano d'azione che consiste in:

• Comprendere l'impatto dell'intelligenza artificiale. 
• Studiare come funzionano i sistemi di intelligenza artificiale e i loro effetti sulle persone. 
• Esaminare la protezione dei dati web pubblici dallo scraping, la salvaguardia dei dati condivisi dagli utenti dei sistemi di intelligenza artificiale e la comprensione delle implicazioni per i diritti delle persone riguardanti i dati utilizzati per addestrare l'intelligenza artificiale e i risultati forniti dai sistemi di intelligenza artificiale.
• Aiutare le organizzazioni a creare un’intelligenza artificiale che rispetti i dati personali attraverso la condivisione di consigli e migliori pratiche su argomenti legati all'intelligenza artificiale, come regole per la condivisione e il riutilizzo dei dati e la progettazione di sistemi di intelligenza artificiale generativa.
• Sostenere gli innovatori dell’intelligenza artificiale in Francia e in Europa con un nuovo bando di progetto per il loro sandbox normativo del 2023 e parleranno di più con gruppi di ricerca, centri di ricerca e sviluppo e sviluppatori di sistemi di intelligenza artificiale.
• Controllare e supervisionare i sistemi di intelligenza artificiale.