Per AI e privacy arriva il decalogo del Garante francese
La dirompenza dell’intelligenza artificiale va oscurando ogni ulteriore interesse digitale: metaverso, blockchain, Internet of Things perdono appeal in favore dei cyber. Ma non si tratta di mondi alternativi, potendo l’AI nutrire ed evolvere (o involvere) quelle stesse tecnologie digitali.
L’AI è, e sempre più sarà, una componente imprescindibile e specializzata per funzioni: la troveremo nel settore delle automazioni industriali, tra i tools editoriali, tra quelli gestionali, nel settore degli investimenti, nell’alimentazione. Difficile escludere qualsivoglia area: un cervello debitamente istruito, capace di pensare, sintetizzare indicazioni, proporre soluzioni, dare consigli è una risorsa ovunque preziosa.
Galoppano gli investimenti in soluzioni e sistemi basati sull’AI: dal report dell’Osservatorio Artificial Intelligence della School of Management del Politecnico di Milano emerge che nel 2023 il mercato italiano ha registrato un incremento del 52% (quasi doppiando il +32% messo a segno nel 2022) per un valore complessivo di 760 milioni. In ambito europeo l’Ue ha varato per il periodo 2021-2027 il progetto Europa Digitale dotandolo di 7,5 miliardi e in esso a novembre 2023 ha stanziato 290 milioni destinati allo sviluppo di progetti AI.
In questo contesto i player che operano nelle varie fasi di sviluppo di sistemi di AI, anche quelle sperimentali e preparatorie, debbono valutare la compatibilità con il Gdpr (Reg Ue 2016/679) delle scelte svolte nell’individuazione delle banche rese disponibili al sistema di AI: la raccolta e il trattamento dei dati, funzionali ad alimentarne la conoscenza, implicano il rispetto delle regole portate dalla suddetta disciplina (senza sconti). Alle linee guida pubblicate dal Garante Privacy italiano si è aggiunto nel settembre scorso uno specifico contributo operativo dell’omologa autorità francese (Cnil).
In estrema sintesi, le linee guida del Cnil raccomandano un preliminare assesment sulle banche dati da utilizzarsi tenendo conto delle loro finalità specifiche in chiave AI. Fermo l’obbligo di accertarsi che la banca dati utilizzata sia di per sé legittima, ove la finalità dell’utilizzo non rispetti quello della raccolta originaria l’operatore prima dell’impiego del database dovrà rendere idonea informativa a ciascun interessato. L’autorità raccomanda altresì la preliminare minimizzazione dei dati personali contenuti nei database procedendo, se possibile, alla loro anonimizzazione. Un trattamento di dati eseguito per istruire un sistema di AI per finalità sanitarie e che coinvolga dati di pazienti non funzionali a tal fini sarebbe eccessivo, quindi illegittimo.
Quanto poi ad elaborazione dati e funzionamento dei sistemi AI, ribadendo orientamenti già espressi dall’autorità italiana il Cnil rammenta l’inammissibilità di provvedimenti e/o decisioni che incidano sulle libertà fondamentali degli interessati in via esclusivamente automatizzata e che in ogni caso le funzionalità e i parametri di funzionamento degli algoritmi di estrazione e valutazione dei dati debbono trovare idonea e trasparente rappresentazione nella documentazione informativa agli interessati.
Prescrizioni di natura operativa che, malgrado l’origine transalpina, attuando precise regole del Gdpr (in particolare i principi di «privacy by design» e di «privacy by default») sono applicabili a qualsivoglia player che, trattando dati personali di terzi ovvero delineando strumenti che opereranno tale trattamento, presti la propria attività nell’ambito della creazione, gestione, alimentazione e finalizzazione di sistemi di AI. Prescrizioni di cui tener conto già nella fase preparatoria dell’attività. Una falsa partenza aprirebbe una falla nel successivo processo di sviluppo.
