MODELLO ETICO E IA ALLA LUCE DEL GDPR: quali prospettive per le aziende? (PARTE 2)
di Arianna Bilancio
4. Prospettive di adeguamento normativo per le aziende che utilizzano IA.
Alla luce di quanto detto fino ad ora, tutti gli attori devono in ogni caso impegnarsi per una corretta applicazione del GDPR. Difatti, è possibile individuare dei piccoli accorgimenti affinché venga garantito un adeguato livello di compliance alla normativa esistente, per quanto non prettamente centrato sulle intelligenze artificiali. Sebbene i sistemi di IA siano da considerarsi estremamente complessi, la trasparenza rimane un concetto imprescindibile, sempre garantito nei confronti degli interessati. Ciò comporta la fruizione di informazioni tali da consentire di comprendere il fine ultimo dei trattamenti effettuati, senza dover necessariamente utilizzare tecnicismi, poiché le informazioni devono essere facilmente comprensibili. Ebbene, ottemperare a questo obbligo di trasparenza non è agevole, visto il difficile bilanciamento tra informazioni complesse e fruizione di spiegazioni semplici. Pertanto, le aziende potrebbero aprire un canale di comunicazione ad hoc e fornire spiegazioni più o meno specifiche, con un diverso livello di approfondimento, a tutti gli interessati che lo richiedano. Riveste, altresì, un ruolo importante il concetto di consenso degli interessati nell’ambito di tali trattamenti. Di base, il consenso deve possedere i requisiti di consapevolezza, libertà e specificità, così come richiesti dal GDPR. Tuttavia questi requisiti risultano essere di difficile adempimento, a fronte della complessità dei sistemi stessi, facendo venire meno soprattutto quello della libertà. Pertanto, per questo tipo di trattamento, bisognerà di solito rilevare la base giuridica non solo sul consenso ma, in alternativa o in aggiunta, ad altre basi giuridiche . Infatti, proprio nel caso Chat GPT, il Garante per la protezione dei dati personali chiede di modificare la base giuridica contrattuale proponendo, oltre al consenso, la base giuridica dell’interesse legittimo. Ad esempio, nell’ambito della ricerca scientifico - sanitaria, nel caso di utilizzo di “sistemi intelligenti”, le basi giuridiche rilevanti potrebbero essere due: il consenso dell’interessato e la rilevanza sociale di tali scopi. Un ulteriore aspetto che le aziende dovrebbero tenere in considerazione è quello basato sull’attuazione di misure preventive volte ad eliminare o mitigare i potenziali rischi di cui l’intelligenza artificiale è portatrice, tra questi ad esempio i bias degli algoritmi cognitivi. Nondimeno, il GDPR pone importanza sulla privacy by design e by default, includendo il principio di protezione dei dati fin dalla progettazione.
5. Lacune del GDPR in materia IA: verso nuove proposte normative.
Affermare che il GDPR non sia compatibile con l’IA sarebbe scorretto, poiché la sua interpretazione ed applicazione possono essere effettuate in modo da non ostacolare lo sviluppo delle nuove tecnologie. Tuttavia, la sua applicazione, richiede uno sforzo di bilanciamento di interessi non sempre agevole. Il suddetto bilanciamento risulta complesso nella misura in cui molte clausole potrebbero considerarsi vaghe e, per questo motivo, soggette ad un’interpretazione libera. In un panorama caratterizzato dal ruolo crescente di sistemi basati sull’IA, la mancanza di una disciplina chiara ed inequivocabile rende estremamente elevato il rischio che le disposizioni contenute nel GDPR diventino una norma facilmente eludibile. Al momento è ineccepibile che sussista la necessità di una specifica regolamentazione etica e giuridica legata alle IA, come anche evidenziato dal Garante italiano nel G7 del 7 e dell’8 settembre 20225 . Ad oggi, il legislatore europeo non è rimasto indifferente a tutto ciò e, difatti, il 14 giugno 2023 è stato approvato dal Parlamento Europeo l’AI Act che evidenzia un chiaro interesse delle istituzioni europee in tal senso. La proposta normativa contiene requisiti ed obblighi relativi all’uso dell’IA, i cui destinatari sono gli sviluppatori, gli operatori e gli utenti. Le questioni affrontante sono relative alla privacy, alla sicurezza e all’etica, che finalmente trova esplicito spazio in un regolamento europeo. Più specificatamente, l’etica è declinata come dignità umana, giustizia e non discriminazione, per cui, nei sistemi di IA decisionale, vigerà l’obbligo di evitare discriminazioni indebite. Le Autorità già dotate delle competenze e dell’esperienza per “governare” l’intelligenza artificiale sono i Garanti della privacy, i quali nell’assenza di una disciplina specifica sull’intelligenza artificiale e sull’utilizzo di dati personali ad essa riferiti, sono impegnati da anni in codesta attività. Rimane, comunque, fuori da ogni dubbio che il trattamento dei dati personali comporti in ogni caso l’applicazione del GDPR, attivando conseguentemente le competenze del Garante Privacy. Nonostante tali premesse, però, l’attuale bozza dell’AI Act non affida la governance ai Garanti, ma lascia agli Stati il potere di definire l’Autorità nazionale “di governo” dell’intelligenza artificiale.
4. Prospettive di adeguamento normativo per le aziende che utilizzano IA.
Alla luce di quanto detto fino ad ora, tutti gli attori devono in ogni caso impegnarsi per una corretta applicazione del GDPR. Difatti, è possibile individuare dei piccoli accorgimenti affinché venga garantito un adeguato livello di compliance alla normativa esistente, per quanto non prettamente centrato sulle intelligenze artificiali. Sebbene i sistemi di IA siano da considerarsi estremamente complessi, la trasparenza rimane un concetto imprescindibile, sempre garantito nei confronti degli interessati. Ciò comporta la fruizione di informazioni tali da consentire di comprendere il fine ultimo dei trattamenti effettuati, senza dover necessariamente utilizzare tecnicismi, poiché le informazioni devono essere facilmente comprensibili. Ebbene, ottemperare a questo obbligo di trasparenza non è agevole, visto il difficile bilanciamento tra informazioni complesse e fruizione di spiegazioni semplici. Pertanto, le aziende potrebbero aprire un canale di comunicazione ad hoc e fornire spiegazioni più o meno specifiche, con un diverso livello di approfondimento, a tutti gli interessati che lo richiedano. Riveste, altresì, un ruolo importante il concetto di consenso degli interessati nell’ambito di tali trattamenti. Di base, il consenso deve possedere i requisiti di consapevolezza, libertà e specificità, così come richiesti dal GDPR. Tuttavia questi requisiti risultano essere di difficile adempimento, a fronte della complessità dei sistemi stessi, facendo venire meno soprattutto quello della libertà. Pertanto, per questo tipo di trattamento, bisognerà di solito rilevare la base giuridica non solo sul consenso ma, in alternativa o in aggiunta, ad altre basi giuridiche . Infatti, proprio nel caso Chat GPT, il Garante per la protezione dei dati personali chiede di modificare la base giuridica contrattuale proponendo, oltre al consenso, la base giuridica dell’interesse legittimo. Ad esempio, nell’ambito della ricerca scientifico - sanitaria, nel caso di utilizzo di “sistemi intelligenti”, le basi giuridiche rilevanti potrebbero essere due: il consenso dell’interessato e la rilevanza sociale di tali scopi. Un ulteriore aspetto che le aziende dovrebbero tenere in considerazione è quello basato sull’attuazione di misure preventive volte ad eliminare o mitigare i potenziali rischi di cui l’intelligenza artificiale è portatrice, tra questi ad esempio i bias degli algoritmi cognitivi. Nondimeno, il GDPR pone importanza sulla privacy by design e by default, includendo il principio di protezione dei dati fin dalla progettazione.
5. Lacune del GDPR in materia IA: verso nuove proposte normative.
Affermare che il GDPR non sia compatibile con l’IA sarebbe scorretto, poiché la sua interpretazione ed applicazione possono essere effettuate in modo da non ostacolare lo sviluppo delle nuove tecnologie. Tuttavia, la sua applicazione, richiede uno sforzo di bilanciamento di interessi non sempre agevole. Il suddetto bilanciamento risulta complesso nella misura in cui molte clausole potrebbero considerarsi vaghe e, per questo motivo, soggette ad un’interpretazione libera. In un panorama caratterizzato dal ruolo crescente di sistemi basati sull’IA, la mancanza di una disciplina chiara ed inequivocabile rende estremamente elevato il rischio che le disposizioni contenute nel GDPR diventino una norma facilmente eludibile. Al momento è ineccepibile che sussista la necessità di una specifica regolamentazione etica e giuridica legata alle IA, come anche evidenziato dal Garante italiano nel G7 del 7 e dell’8 settembre 20225 . Ad oggi, il legislatore europeo non è rimasto indifferente a tutto ciò e, difatti, il 14 giugno 2023 è stato approvato dal Parlamento Europeo l’AI Act che evidenzia un chiaro interesse delle istituzioni europee in tal senso. La proposta normativa contiene requisiti ed obblighi relativi all’uso dell’IA, i cui destinatari sono gli sviluppatori, gli operatori e gli utenti. Le questioni affrontante sono relative alla privacy, alla sicurezza e all’etica, che finalmente trova esplicito spazio in un regolamento europeo. Più specificatamente, l’etica è declinata come dignità umana, giustizia e non discriminazione, per cui, nei sistemi di IA decisionale, vigerà l’obbligo di evitare discriminazioni indebite. Le Autorità già dotate delle competenze e dell’esperienza per “governare” l’intelligenza artificiale sono i Garanti della privacy, i quali nell’assenza di una disciplina specifica sull’intelligenza artificiale e sull’utilizzo di dati personali ad essa riferiti, sono impegnati da anni in codesta attività. Rimane, comunque, fuori da ogni dubbio che il trattamento dei dati personali comporti in ogni caso l’applicazione del GDPR, attivando conseguentemente le competenze del Garante Privacy. Nonostante tali premesse, però, l’attuale bozza dell’AI Act non affida la governance ai Garanti, ma lascia agli Stati il potere di definire l’Autorità nazionale “di governo” dell’intelligenza artificiale.