Intelligenza Artificiale e Privacy

Negli ultimi anni l’entusiasmo generale per l’intelligenza artificiale (AI) è rimasto costantemente in crescita a fronte di una concreta applicazione in diversi ambiti dell’agire umano.

Anche filosoficamente, l’IA solleva interrogativi profondi sulla natura della mente, della coscienza e dell’intelligenza. Se consideriamo l’intelligenza come la capacità di risolvere problemi, apprendere dall’esperienza e adattarsi a nuovi contesti, l’IA ci costringe a rivedere i confini tra l’umano e il non umano.

Federico Faggin, pioniere del microprocessore, offre una prospettiva unica su questi temi. Secondo Faggin, la coscienza non può essere infatti ridotta a un algoritmo; essa rappresenta una dimensione soggettiva, emotiva e spirituale che va oltre le capacità dell’IA. Faggin sottolinea che, mentre l’IA può imitare alcuni aspetti dell’intelligenza umana, non può tuttavia replicare la creatività e la consapevolezza proprie della coscienza umana.

Per quanto la speculazione filosofica è sicuramente produttiva e utile a comprendere la realtà delle cose, l’AI è ormai un qualcosa di concreto, qualcosa dell’oggi e non più del domani. E l’adozione di queste tecnologie solleva interrogativi riguardo alla privacy degli utenti, in particolare alla luce del Regolamento Generale sulla Protezione dei Dati (GDPR) e delle recenti proposte normative, come l’AI ACT.

Il GDPR: possibili problematiche (Minimizzazione e trasparenza)

Il GDPR, entrato in vigore nel 2018, ha stabilito un quadro normativo rigoroso per la protezione dei dati personali nell’Unione Europea. Questo regolamento impone obblighi stringenti alle organizzazioni che trattano dati personali, inclusi requisiti di trasparenza, consenso informato e diritto all’accesso. La natura intrinsecamente analitica dell’AI, che richiede spesso l’elaborazione di grandi volumi di dati personali, ha messo in evidenza le tensioni tra innovazione tecnologica e tutela della privacy.

Sono diversi gli aspetti critici che vengono evidenziati nell’utilizzo delle AI, in particolare l’intelligenza artificiale generativa a fini generali (come Chat GPT).

L’IA innanzitutto richiede la raccolta e la conservazione di enormi quantità di dati per “addestrare” gli algoritmi. Questo pone un problema di minimizzazione del dato, un principio fondamentale del GDPR che stabilisce che i dati devono essere limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

A riguardo è già intervenuta l’Autorità Garante Privacy italiana. Nel maggio 2024 ha pubblicato un provvedimento come nota informativa che individua le possibili azioni di contrasto alla raccolta massiva di dati personali dal web (web scraping) per finalità di addestramento dei modelli di intelligenza artificiale generativa. Dunque l’obbiettivo del documento è quello di fornire alcune misure che siti web pubblici e privati dovrebbero adottare per impedire il web scraping di dati da loro pubblicati: creazione di aree riservate, inserimento di clausole ad hoc nei termini di servizio, monitoraggio del traffico di rete e intervento sui bot.

Un’altra problematica significativa riguarda l’opacità degli algoritmi utilizzati nei modelli di machine learning. Questa mancanza di trasparenza non solo limita la conoscibilità dei processi decisionali automatizzati, ma solleva anche serie preoccupazioni sulla protezione dei dati personali in particolare sul come queste informazioni vengano utilizzate o protette, rendendo molto complesso per le aziende che utilizzano tali sistemi poter garantire il rispetto del principio di trasparenza e il diritto di accesso.

Un ultimo aspetto critico da evidenziare riguarda l’utilizzo dei dati inseriti nelle chat per addestrare ulteriormente l’intelligenza artificiale. Pertanto, non ci riferiamo solo al dataset di addestramento iniziale, ma anche alle informazioni fornite dall’utente durante la conversazione con l’AI generativa, che possono essere utilizzate per perfezionare il sistema.

Nelle informative sulla privacy di questi servizi (alcuni estratti sono riportati di seguito) si menziona genericamente l’obiettivo di “migliorare e sviluppare i Servizi e condurre ricerche, ad esempio sviluppando nuove funzionalità” utilizzando dati di log, dati di utilizzo, informazioni del dispositivo e sulla posizione, cookie. In particolare, viene esplicitato che sarà possibile “utilizzare i Contenuti forniti dall’utente per migliorare i nostri Servizi, ad esempio per addestrare i modelli che alimentano” il sistema di AI.

Le implicazioni sulla privacy sono quindi evidenti, poiché i Contenuti comprendono “i Dati personali che l’utente fornisce negli input per i Servizi (“Contenuti”), incluse le richieste (i cosiddetti prompt) e gli altri contenuti che l’utente carica, come file, immagini e file audio, in base alle funzionalità utilizzate”.

Questo problema era già presente nell’arricchimento degli algoritmi che, ad esempio, permettono il funzionamento dei social network. Oggi si ripropone in maniera amplificata, poiché gli usi e le richieste rivolte alle AI a fini generali sono molto più ampi rispetto a quelli di un social network.

Si può dunque arrivare a possibili conflitti con il GDPR, ad esempio se un’azienda dovesse inserire documenti contenenti dati personali dei clienti all’interno di tali sistemi AI a fini generali per ottenere supporto. Questa attività comporterebbe la divulgazione dei dati a un soggetto terzo non vincolato da un contratto sulla privacy, che utilizzerebbe i dati per una finalità ulteriore (addestrare i modelli AI) rispetto all’uso previsto dei dati personali del cliente.

Infine, è opportuno segnalare un adempimento specifico per le aziende che trattino dati personali utilizzando nuove tecnologie: la Valutazione d’Impatto sulla Protezione dei Dati (DPIA). La DPIA rappresenta uno strumento essenziale per garantire che il trattamento dei dati personali avvenga nel pieno rispetto dei diritti e delle libertà degli individui. Questo adempimento diventa obbligatorio quando si impieghino tecnologie avanzate, come l’intelligenza artificiale (IA), che possano comportare rischi elevati per la privacy a causa della loro capacità di elaborare grandi quantità di dati e prendere decisioni autonome.

L’obbligo di effettuare la DPIA in caso di utilizzo dell’IA deriva dalla necessità di valutare preventivamente l’impatto di tali tecnologie sulla protezione dei dati personali. Questo processo consente di identificare e mitigare potenziali rischi, quali la discriminazione algoritmica, la violazione della privacy e l’uso improprio dei dati. Inoltre, la DPIA aiuta le organizzazioni a dimostrare la conformità al GDPR, promuovendo trasparenza e fiducia tra gli utenti. Attraverso una DPIA ben condotta, le aziende possono non solo evitare sanzioni legali, ma anche migliorare la propria reputazione e la fiducia dei clienti, dimostrando un impegno concreto nella tutela dei dati personali e nella responsabilità etica nell’utilizzo dell’IA.

L’AI ACT: Un Nuovo Paradigma Normativo

In risposta alle sfide poste dall’AI e in supporto al GDPR, la Commissione Europea ha approvato l’AI ACT, un regolamento che mira a creare un quadro normativo specifico per le tecnologie di intelligenza artificiale. Questo atto legislativo si propone di classificare i sistemi di AI in base al rischio, imponendo requisiti più severi per le applicazioni ad alto rischio. Tuttavia, la relazione tra l’AI ACT e il GDPR è cruciale: entrambi i regolamenti devono operare in sinergia per garantire la protezione dei dati personali.

L’AI ACT include disposizioni specifiche che richiedono la trasparenza e l’affidabilità dei sistemi di intelligenza artificiale, enfatizzando l’importanza di pratiche di trattamento responsabile dei dati. Ciò implica che le organizzazioni che utilizzano AI devono non solo garantire la conformità al GDPR, ma anche integrare considerazioni etiche e di responsabilità sociale nel loro sviluppo e utilizzo delle tecnologie.

Verso un Futuro Sostenibile

Il rapporto tra intelligenza artificiale e privacy è complesso ma inscindibile. Mentre il GDPR fornisce un quadro robusto per la protezione dei dati, l’AI ACT rappresenta un passo fondamentale verso la regolamentazione dell’AI. È essenziale che le aziende adottino un approccio proattivo, integrando la compliance normativa con pratiche etiche e responsabili.

In un contesto in cui l’AI è destinata a diventare sempre più presente, la sfida principale rimarrà quella di bilanciare l’innovazione con la protezione della privacy. Solo attraverso un dialogo costante tra legislatori, tecnici e utilizzatori sarà possibile garantire un futuro in cui l’intelligenza artificiale possa crescere senza compromettere i diritti fondamentali delle persone.