<\/p>\n
Recentemente introdotto in Europa, il regolamento GDPR (General Data Protection Regulation) ha trasformato lo scenario della privacy dei dati. Focalizzandosi sul diritto alla privacy di ciascun individuo, la UE ha di fatto assunto un ruolo di guida globale sul tema della protezione dei dati personali. Questo post non pretende di essere un manuale dettagliato sul GDPR, ma si propone di delineare una panoramica di alcuni suoi concetti specifici che dovrebbero essere presi in considerazione rispetto all\u2019intelligenza artificiale (AI) e alle sue ricadute etiche.<\/p>\n
AI e GDPR vanno di pari passo<\/strong><\/p>\n Se da un lato il GDPR appare come un grande ostacolo per l\u2019implementazione dell’AI, rappresenta nel contempo un\u2019opportunit\u00e0 per garantire che nella sua applicazione tu stia effettivamente tutelando al massimo la privacy delle persone coinvolte. Per le aziende che trattano dati, il GDPR finir\u00e0 per creare una sorta di trust pubblico per l\u2019AI. L\u2019uso trasparente di quest\u2019ultima, con un focus sulla privacy, la far\u00e0 di fatto apprezzare da quel pubblico generalista ancora oggi prudente di fronte al suo utilizzo e alle eventuali brecce nei rispettivi dati. Detto questo, le normative sulla data privacy continuano ad evolversi, ma il GDPR \u00e8 qualcosa di destinato a rimanere e regolamenter\u00e0 l\u2019intelligenza artificiale per molto tempo a venire.<\/p>\n Nell\u2019articolo pubblicato sulla rivista MIT Review e intitolato Humans + Bots, Djamel Mostafa di Orange Bank ha evidenziato, rispetto al GDPR, una certa difficolt\u00e0 relativa alle regole di raccolta dei dati destinati a quegli strumenti di AI studiati per migliorare la Customer Experience. \u201cSi tratta di sistemi complessi basati sul deep learning e sulle reti neurali artificiali, ancora simili a una scatola nera che, ad esempio, nel settore bancario non sempre \u00e8 conforme con il requisito di \u2018spiegabilit\u00e0\u2019\u201d, ha affermato Mostafa.<\/p>\n Pi\u00f9 dati significa non solo una raccolta in pi\u00f9 luoghi, ma anche una conservazione per periodi di tempo maggiori. Ecco che con i requisiti del GDPR che stabiliscono che i dati non debbano invece essere conservati oltre il necessario rispetto allo scopo dichiarato, non risulta chiaro se l\u2019innovazione finir\u00e0 per restarne soffocata. Se questi dati migliorano la Customer Experience, quale sar\u00e0 il prezzo da pagare in termini di privacy di un utente? I suoi dati sono del resto essenziali per migliorare la precisione dell\u2019AI in termini di personalizzazione della Customer Experience. Possono essere necessari anni per accumularne di sufficienti per avere informazioni credibili sul customer journey. Una data di scadenza dei dati potrebbe quindi compromettere l\u2019efficacia dello strumento in uso. Come ha fatto notare MIT Review, esiste in tal senso un confine sottile nell\u2019uso dell\u2019AI perch\u00e9 un certo grado di personalizzazione possa essere considerato invasivo nei confronti di un cliente.<\/p>\n Decisioni e profilazioni automatizzate<\/strong><\/p>\n Un insieme specifico di disposizioni contenute nel GDPR sono mirate a decisioni basate sull\u2019AI, in particolare quelle che riguardano i processi di tipo ADM (Automated Decision Making, ossia processo decisionale automatizzato) e di profilazione. Per profilazione si intende ogni forma di elaborazione automatica di dati personali consistente nel loro uso per valutare determinati aspetti personali relativi a un individuo naturale. Questo potrebbe includere l\u2019analisi di comportamento online a fini di attivit\u00e0 marketing\/pubblicitarie personalizzate, l\u2019analisi dello storico creditizio per creare un profilo di credito di ciascuno, o l\u2019analisi di qualifiche e presenza online per valutare le competenze di un candidato.<\/p>\n L\u2019ADM viene invece definito come il processo decisionale che si affida a mezzi automatici senza intervento umano. Un ambito che potrebbe comprendere qualsiasi cosa che va da un algoritmo che decide se a una persona debba essere concesso un prestito, oppure se un candidato dovrebbe accedere a un colloquio di lavoro, o ancora quale agente di call-center sia pi\u00f9 adeguato a rispondere a un dubbio espresso da un cliente.<\/p>\n La tua organizzazione dovrebbe quindi tenere presenti i seguenti argomenti quando si serve di strumenti ADM e di profilazione.<\/p>\n Raccolta delle informazioni.<\/em><\/strong><\/p>\n Il primo passo da compiere \u00e8 garantire che l\u2019organizzazione abbia una chiara comprensione dei dati personali raccolti e di come vengano elaborati. Dovr\u00e0 quindi documentare quali dati vengono raccolti (quale tipologia, da chi e tramite quali canali). Inoltre, \u00e8 importante documentare e comprendere come agisce l\u2019ADM (quali dati usa, quali decisioni prende) e se e dove un processo decisionale automatizzato impatta in modo significativo.<\/p>\n Valutazione del rischio.<\/em><\/strong><\/p>\n La tua organizzazione dovrebbe eseguire un DPIA (Data Protection Impact Assessment, ovvero valutazione d\u2019impatto sulla protezione dei dati) prima di trattare i dati personali con un ADM. Si tratta di un processo di valutazione degli eventuali rischi per la privacy prodotti da decisioni automatiche. L\u2019obiettivo del DPIA \u00e8 di esaminare i rischi a cui i dati, e quindi le persone interessate, sono eventualmente esposti nel corso dell\u2019intero ciclo di vita. Assicurati quindi che il DPIA soppesi i rischi durante ciascuna fase del trattamento dei dati e, qualora evidenzi un qualsiasi rischio, di sviluppare e implementare strategie di mitigazione.<\/p>\n Getta le basi per un\u2019elaborazione legale.<\/em><\/strong><\/p>\n Il GDPR pone dei limiti all\u2019uso dell\u2019ADM quando la decisone potrebbe produrre \u2018effetti giuridici\u2019 o che \u2018incidano in modo analogo\u2019 sulla persona, per i soggetti interessati (ad esempio il diritto di voto, l\u2019esercizio dei diritti contrattuali o le conseguenze che influenzano le circostanze, il comportamento o le scelte di un singolo individuo). Se l\u2019ADM provoca queste conseguenze significative, viene richiesto un titolare del trattamento per ricevere il consenso dalla persona interessata o eseguire quel processo ADM che permette di rispettare uno specifico obbligo contrattuale con quest\u2019ultima.<\/p>\n Se il tuo ADM non ha un effetto giuridico o analogamente significativo sull\u2019individuo, la tua organizzazione pu\u00f2 ancora utilizzarlo se \u00e8 per \u201cinteresse legittimo\u201d della tua organizzazione (sempre tenendo conto dei diritti dell\u2019individuo). Quindi, ad esempio, se l\u2019ADM sta indirizzando le chiamate agli agenti di call-center, l\u2019interesse legittimo si configurerebbe come una migliore risoluzione dei problemi del cliente, trovando un giusto equilibrio rispetto a un impatto minimo sul cliente finale.<\/p>\n Gestire terze parti.<\/em><\/strong><\/p>\n Se la tua azienda si affida a una terza parte per i servizi ADM, \u00e8 importante che conduca la diligence appropriata. Accertati di comprendere i controlli di sicurezza e privacy applicati dal tuo fornitore e di essere a tuo agio con questi controlli. Chiedi al tuo vendor se possiede delle adeguate certificazioni di settore, che possano essere di aiuto in fase di valutazione. Inoltre, dovresti anche coinvolgerlo nel completamento del DPIA.<\/p>\n AI e GDPR progrediscono<\/strong><\/p>\n Lilian Edwards, docente di diritto presso la University of Strathclyde, sottolinea come i big data da usarsi nell’AI<\/a> siano un ostacolo quando si punta alla limitazione della raccolta e conservazione dei dati. \u201cSfidano la trasparenza e la nozione di consenso, poich\u00e9 non puoi acconsentire legalmente senza sapere qual \u00e8 lo scopo per cui acconsenti,\u201d ha affermato Edwards, \u201cper trasparenza algoritmica si intende la possibilit\u00e0 di vedere come si giunge a una decisione, cosa tuttavia impossibile con i sistemi di machine-learning in quanto non sono software governati da regole\u201d. L\u2019attenzione sul come i dati vengano usati e perch\u00e9 vengano raccolti non \u00e8 destinata ad attenuarsi. Dobbiamo decidere se il progresso per amore del progresso \u00e8 pi\u00f9 importante rispetto a un uso pensato e mirato dei dati. Tuttavia, questo stop momentaneo potrebbe rappresentare la barriera etica necessari<\/a>a<\/u> per un progresso sociale e non tecnologico.<\/p>\n