Etica dell’AI: essere conforme al GDPR quando la tua organizzazione usa l’Intelligenza Artificiale

 

Recentemente introdotto in Europa, il regolamento GDPR (General Data Protection Regulation) ha trasformato lo scenario della privacy dei dati. Focalizzandosi sul diritto alla privacy di ciascun individuo, la UE ha di fatto assunto un ruolo di guida globale sul tema della protezione dei dati personali. Questo post non pretende di essere un manuale dettagliato sul GDPR, ma si propone di delineare una panoramica di alcuni suoi concetti specifici che dovrebbero essere presi in considerazione rispetto all’intelligenza artificiale (AI) e alle sue ricadute etiche.

AI e GDPR vanno di pari passo

Se da un lato il GDPR appare come un grande ostacolo per l’implementazione dell’AI, rappresenta nel contempo un’opportunità per garantire che nella sua applicazione tu stia effettivamente tutelando al massimo la privacy delle persone coinvolte. Per le aziende che trattano dati, il GDPR finirà per creare una sorta di trust pubblico per l’AI. L’uso trasparente di quest’ultima, con un focus sulla privacy, la farà di fatto apprezzare da quel pubblico generalista ancora oggi prudente di fronte al suo utilizzo e alle eventuali brecce nei rispettivi dati. Detto questo, le normative sulla data privacy continuano ad evolversi, ma il GDPR è qualcosa di destinato a rimanere e regolamenterà l’intelligenza artificiale per molto tempo a venire.

Nell’articolo pubblicato sulla rivista MIT Review e intitolato Humans + Bots, Djamel Mostafa di Orange Bank ha evidenziato, rispetto al GDPR, una certa difficoltà relativa alle regole di raccolta dei dati destinati a quegli strumenti di AI studiati per migliorare la Customer Experience. “Si tratta di sistemi complessi basati sul deep learning e sulle reti neurali artificiali, ancora simili a una scatola nera che, ad esempio, nel settore bancario non sempre è conforme con il requisito di ‘spiegabilità’”, ha affermato Mostafa.

Più dati significa non solo una raccolta in più luoghi, ma anche una conservazione per periodi di tempo maggiori. Ecco che con i requisiti del GDPR che stabiliscono che i dati non debbano invece essere conservati oltre il necessario rispetto allo scopo dichiarato, non risulta chiaro se l’innovazione finirà per restarne soffocata. Se questi dati migliorano la Customer Experience, quale sarà il prezzo da pagare in termini di privacy di un utente? I suoi dati sono del resto essenziali per migliorare la precisione dell’AI in termini di personalizzazione della Customer Experience. Possono essere necessari anni per accumularne di sufficienti per avere informazioni credibili sul customer journey. Una data di scadenza dei dati potrebbe quindi compromettere l’efficacia dello strumento in uso. Come ha fatto notare MIT Review, esiste in tal senso un confine sottile nell’uso dell’AI perché un certo grado di personalizzazione possa essere considerato invasivo nei confronti di un cliente.

Decisioni e profilazioni automatizzate

Un insieme specifico di disposizioni contenute nel GDPR sono mirate a decisioni basate sull’AI, in particolare quelle che riguardano i processi di tipo ADM (Automated Decision Making, ossia processo decisionale automatizzato) e di profilazione. Per profilazione si intende ogni forma di elaborazione automatica di dati personali consistente nel loro uso per valutare determinati aspetti personali relativi a un individuo naturale. Questo potrebbe includere l’analisi di comportamento online a fini di attività marketing/pubblicitarie personalizzate, l’analisi dello storico creditizio per creare un profilo di credito di ciascuno, o l’analisi di qualifiche e presenza online per valutare le competenze di un candidato.

L’ADM viene invece definito come il processo decisionale che si affida a mezzi automatici senza intervento umano. Un ambito che potrebbe comprendere qualsiasi cosa che va da un algoritmo che decide se a una persona debba essere concesso un prestito, oppure se un candidato dovrebbe accedere a un colloquio di lavoro, o ancora quale agente di call-center sia più adeguato a rispondere a un dubbio espresso da un cliente.

La tua organizzazione dovrebbe quindi tenere presenti i seguenti argomenti quando si serve di strumenti ADM e di profilazione.

Raccolta delle informazioni.

Il primo passo da compiere è garantire che l’organizzazione abbia una chiara comprensione dei dati personali raccolti e di come vengano elaborati. Dovrà quindi documentare quali dati vengono raccolti (quale tipologia, da chi e tramite quali canali). Inoltre, è importante documentare e comprendere come agisce l’ADM (quali dati usa, quali decisioni prende) e se e dove un processo decisionale automatizzato impatta in modo significativo.

Valutazione del rischio.

La tua organizzazione dovrebbe eseguire un DPIA (Data Protection Impact Assessment, ovvero valutazione d’impatto sulla protezione dei dati) prima di trattare i dati personali con un ADM. Si tratta di un processo di valutazione degli eventuali rischi per la privacy prodotti da decisioni automatiche. L’obiettivo del DPIA è di esaminare i rischi a cui i dati, e quindi le persone interessate, sono eventualmente esposti nel corso dell’intero ciclo di vita. Assicurati quindi che il DPIA soppesi i rischi durante ciascuna fase del trattamento dei dati e, qualora evidenzi un qualsiasi rischio, di sviluppare e implementare strategie di mitigazione.

Getta le basi per un’elaborazione legale.

Il GDPR pone dei limiti all’uso dell’ADM quando la decisone potrebbe produrre ‘effetti giuridici’ o che ‘incidano in modo analogo’ sulla persona, per i soggetti interessati (ad esempio il diritto di voto, l’esercizio dei diritti contrattuali o le conseguenze che influenzano le circostanze, il comportamento o le scelte di un singolo individuo). Se l’ADM provoca queste conseguenze significative, viene richiesto un titolare del trattamento per ricevere il consenso dalla persona interessata o eseguire quel processo ADM che permette di rispettare uno specifico obbligo contrattuale con quest’ultima.

Se il tuo ADM non ha un effetto giuridico o analogamente significativo sull’individuo, la tua organizzazione può ancora utilizzarlo se è per “interesse legittimo” della tua organizzazione (sempre tenendo conto dei diritti dell’individuo). Quindi, ad esempio, se l’ADM sta indirizzando le chiamate agli agenti di call-center, l’interesse legittimo si configurerebbe come una migliore risoluzione dei problemi del cliente, trovando un giusto equilibrio rispetto a un impatto minimo sul cliente finale.

Gestire terze parti.

Se la tua azienda si affida a una terza parte per i servizi ADM, è importante che conduca la diligence appropriata. Accertati di comprendere i controlli di sicurezza e privacy applicati dal tuo fornitore e di essere a tuo agio con questi controlli. Chiedi al tuo vendor se possiede delle adeguate certificazioni di settore, che possano essere di aiuto in fase di valutazione. Inoltre, dovresti anche coinvolgerlo nel completamento del DPIA.

AI e GDPR progrediscono

Lilian Edwards, docente di diritto presso la University of Strathclyde, sottolinea come i big data da usarsi nell’AI siano un ostacolo quando si punta alla limitazione della raccolta e conservazione dei dati. “Sfidano la trasparenza e la nozione di consenso, poiché non puoi acconsentire legalmente senza sapere qual è lo scopo per cui acconsenti,” ha affermato Edwards, “per trasparenza algoritmica si intende la possibilità di vedere come si giunge a una decisione, cosa tuttavia impossibile con i sistemi di machine-learning in quanto non sono software governati da regole”. L’attenzione sul come i dati vengano usati e perché vengano raccolti non è destinata ad attenuarsi. Dobbiamo decidere se il progresso per amore del progresso è più importante rispetto a un uso pensato e mirato dei dati. Tuttavia, questo stop momentaneo potrebbe rappresentare la barriera etica necessaria per un progresso sociale e non tecnologico.

Questo blog fa parte di una serie di interventi che approfondiscono le problematiche legate a un’etica dell’AI.

Partecipa al dibattito sull’etica dell’AI.

Condividi:

Genesys ChatQuick links
Close Widget

Come possiamo aiutarvi oggi?

Genesys ChatAssistenza dal vivo