Unione Europea e il Libro Bianco sull’Intelligenza Artificiale: rapporto con la protezione dei dati personali

Unione Europea e il Libro Bianco sull’Intelligenza Artificiale: rapporto con la protezione dei dati personali

Sommario: 1. Introduzione – 2. IA e protezione dei dati personali – 3. Prospettive

 

 

1. Introduzione

L’evoluzione sempre più veloce della tecnologia e della robotica hanno inevitabilmente portato a delle riflessioni sull’utilizzo di determinate tecnologie in ogni campo del diritto, dai procedimenti amministrativi al diritto penale, nonché al sistema sanitario e dei servizi pubblici essenziali.

Oltre agli esperimenti e alle introduzioni a livello legislativo in diversi stati, di norme che prevedono utilizzo di software sostitutivi dell’attività umana, le istituzioni comunitarie hanno da tempo avviato lavori che mirano a sviluppare e disciplinare l’uso delle Intelligenze Artificiali (IA). Ragionamenti di questo tipo devono necessariamente bilanciare l’avanzare delle tecnologie con la tutela dei diritti costituzionali degli stati membri che sono alla base dell’Unione Europea, combattendo al contempo le resistenze di chi non vuole ancora accettare la sostituzione dell’attività “umana” con algoritmi e intelligenze artificiali. Dato che i Big Data1 sono ormai lo strumento alla base delle attività economiche, e considerando che l’Europa si trova alcuni passi indietro rispetto agli USA, dove vengono utilizzati gli algoritmi anche nei procedimenti penali, l’Unione si è mossa per colmare il gap e spingere ad un massiccio utilizzo delle nuove tecnologie. Per poter adempiere a questo fine, l’istituzione sovranazionale intende avere il totale controllo delle IA da un punto di vista legislativo, adeguando la legislazione comunitaria, e di sviluppo tecnologico; infatti negli ultimi tre anni il finanziamento europeo dedicato alle ricerche in materia è aumentato del 70%, arrivando a 1,5 miliardi di euro rispetto al triennio precedente.2

Il parlamento UE ha gettato le basi di queste riflessioni con una risoluzione conosciuta come Carta della Robotica3. In questo documento, passando dai riferimenti a Frankestein alle tre leggi sulla robotica di Asimov4, si pone fra i vari obiettivi quello di presentare una proposta di atto legislativo sulle questioni giuridiche relative allo sviluppo e all’utilizzo della robotica e dell’intelligenza artificiale prevedibili nei prossimi 10-15 anni, in associazione a strumenti non legislativi quali linee guida e codici di condotta.5 Passo successivo è avvenuto nel 2018, emanando ad Aprile il comunicato Artificial Intelligence for Europe e a Maggio istituendo un Gruppo Indipendente di Esperti ad Alto Livello sull’Intelligenza Artificiale, insieme all’Alleanza Europea sull’Intelligenza Artificiale; tutto ciò al fine di preparare l’Unione all’imminente cambiamento socio-economico derivante dalle intelligenze artificiali. Il nuovo corso delle istituzioni europee delineatosi dopo le elezioni del Maggio 2019 ha voluto imprimere un decisivo impulso a tale sviluppo emanando il 16 febbraio 2020 il Libro Bianco sull’intelligenza artificiale – Un approccio europeo all’eccellenza e alla fiducia, attraverso cui la Commissione si impegna a favorire i progressi scientifici, a preservare la leadership tecnologica dell’UE e a garantire che le nuove tecnologie siano al servizio di tutti gli europei e ne migliorino la vita rispettandone i diritti .6 Tale prospettiva implica inevitabilmente un dibattito sui risvolti etici e di tutela della privacy, nonché della responsabilità degli atti emanati a seguito di procedimenti automatizzati e la conseguente tutela giurisdizionale.

2. IA e protezione dei dati personali

La raccolta di milioni di dati da parte di soggetti pubblici e privati utilizzati con svariati fini comporta in primis lo scontro con il diritto alla riservatezza e la protezione dei dati personali. Pertanto ogni statuizione concernente l’utilizzo di IA deve rispettare, oltre che i principi costituzionali e le normative nazionali, la normativa data dal Regolamento sulla protezione dei dati personali, il GDPR.7 Dal rapporto fra il Regolamento e le applicazioni pratiche, già realtà in vari ambiti in diversi stati dell’Unione,8 emerge che le disposizioni interessate del GDPR riguardano essenzialmente tre profili: l’intervento umano, l’accesso ai dati e la non discriminazione.

Il principio alla base della decisione automatizzata (ADM, Automated decision making), ossia quella frutto di un procedimento svolto totalmente da un software, è quello che prevede che è diritto dell’interessato “non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona” .9 Tale principio, sancito dall’Art.22 GDPR, richiama il considerando 71 del medesimo regolamento, e si può racchiudere essenzialmente nella non esclusività della decisione automatizzata; in ossequio a tale principio potrebbe derivare che i procedimenti automatizzati dovrebbero quindi prevedere delle procedure parallele da attivare in caso di emergenza e affidate esclusivamente all’essere umano.10 Tuttavia il secondo comma dello stesso articolo pone dei casi in cui una decisione algoritmica può essere adottata senza alcun intervento umano, ossia quando essa si rende necessaria per concludere un contratto con il titolare del trattamento, quando è autorizzato dal diritto dello stato o dell’UE o quando il titolare stesso ne dia consenso esplicito. Questa parte della disposizione sembrerebbe limitare la portata della tutela che è in realtà garantita, almeno in parte, dagli altri principi espressi dal GDPR. L’intervento umano si esplica in un secondo fondamentale aspetto, quello dell’accountability, ossia della responsabilità del titolare del trattamento sancito dall’Art.24 GDPR. Ai sensi di questa norma il responsabile dovrà adottare le misure tecniche e organizzative necessarie affinchè siano rispettate tutte le previsioni del GDPR stesso.

Ma l’apporto dell’uomo, ai sensi dell’Art.25 e del considerando 78 del GDPR, deve essere presente in una fase ancora antecedente all’utilizzo concreto dei dati personali nello svolgimento di procedimenti decisionali; infatti è previsto che già in fase di progettazione e produzione si deve tener conto del fatto che i software che ne deriveranno dovranno consentire agli utilizzatori una adeguata protezione dei dati personali, principio definito privacy by design. Questa seconda disposizione, seppur sottovalutata, è ancora più importante perché sancisce che non è l’utilizzatore soltanto a dover proteggere i soggetti destinatari dei procedimenti, ma tutto il sistema produttivo e di sviluppo tecnologico deve tutelare sin dalla progettazione i diritti garantiti dal GDPR.11

Il secondo profilo di rilievo è quello che attiene alla intellegibilità, e quindi accesso, all’algoritmo. Esso, prima che dalle singole disposizioni, deriva dal considerando 7 secondo cui è opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche. Ciò porta ad una interpretazione del dato personale come oggetto di un diritto di proprietà delle persone fisiche e in quanto totale suscettibile di piena conoscibilità in merito a contenuti ed utilizzo da parte del titolare.12 Corollari derivanti da questo principio sono le disposizioni degli Artt.13,14 e 15 GDPR, costituenti la sezione rubricata “Informazione e accesso ai dati personali”. Il diritto all’informazione qui tutelato ha una portata doverosamente ampia, andando oltre alla mera notifica di ‘esistenza’ del processo automatizzato e imponendo il dovere del titolare del trattamento di fornire anche informazioni aggiuntive che siano “significative” sulla “logica” utilizzata dall’algoritmo applicato al trattamento, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato .13 Infatti l’art.14 par.2 identifica una lista di informazioni aggiuntive che devono essere comunicate all’interessato e al punto g) si fa riferimento nello specifico al caso di procedimenti affidati a macchine, prevedendo che si può accedere alle informazioni sulla esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. Medesima informazione è anche suscettibile di richiesta di accesso ai sensi dell’Art.5 par 2 lett. h). Queste statuizioni si sono concretizzate in importanti pronunce giurisdizionali nel nostro ordinamento dove, insieme alla tutela della trasparenza di cui alla l.241/1990, si è giunti alla concessione del diritto di accesso all’algoritmo che aveva portato all’elaborazione di una graduatoria di mobilità14, statuito con la sentenza del TAR Lazio sez. III bis n.3796/2017.

Il terzo fondamentale profilo di tutela dato dal GDPR alle decisioni automatizzate attiene alla non discriminazione. Il già richiamato considerando 71, nella seconda parte, impone che il titolare del trattamento utilizzi procedure matematiche che impediscano effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero che comportano misure aventi tali effetti. Il processo decisionale automatizzato e la profilazione basati su categorie particolari di dati personali dovrebbero essere consentiti solo a determinate condizioni. Ciò implica che per evitare che si verifichi la cd.discriminazione algoritmica il titolare del trattamento dovrà porre in essere misure tecniche ed organizzative adeguate al fine di garantire che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori di misure matematiche o statistiche, e che impedisca effetti discriminatori nei confronti delle persone sulla base del trattamento dei dati per attività di profilazione.

Effetti discriminatori derivanti dall’uso di algoritmi non sono soltanto astratti ma si sono già verificati e hanno portato negli USA ad un leading case in materia, il caso Loomis o caso COMPAS (Correctional offender management profiling for alternative sanctions) del 201615, sul quale tutto il mondo dell’IA applicata al diritto deve riflettere. Il caso tratta di un procedimento penale nel quale venne utilizzato uno strumento informatico atto a prevedere il rischio di recidiva sulla base di dati relativi a gruppi sociali di riferimento, appunto il Compas, il quale è risultato discriminatorio in quanto calcolava un rischio di recidiva estremamente maggiore per i soggetti di colore.

3. Prospettive

Alla luce delle predette considerazioni possiamo ritenere esistente una solida base dal quale partire per proseguire nello sviluppo che la nuova Commissione UE vuole dare alle IA e alla Robotica riuscendo a tutelare i diritti senza rallentare un progresso scientifico e tecnologico che in USA e Giappone e già avanti di molti rispetto al “vecchio continente”. Tuttavia quello che ad esempio è accaduto in Italia con la graduatoria della Buona Scuola e ancor di più il caso Loomis in USA deve far comprendere che determinati strumenti possono facilmente sfuggire dal pieno controllo umano e causare effetti deleteri, senza considerare il fatto che essendo l’uomo ad immettere inizialmente i dati nel software, possono già esserci errori in partenza.

Le prospettive della Commissione europea espresse nelle conclusioni del Libro Bianco sull’intelligenza artificiale sottolineano come essa può contribuire a individuare soluzioni ad alcune delle sfide sociali più urgenti, tra cui la lotta ai cambiamenti climatici e al degrado ambientale, le sfide legate alla sostenibilità e ai cambiamenti demografici, la protezione delle nostre democrazie e, ove tale uso sia necessario e proporzionato, la lotta alla criminalità. Pertanto se si mira giustamente ad adoperare le IA in siffatti contesti è necessario non limitarsi ai principi fino ad ora richiamati, rendendosi necessaria una continua dialettica costruttiva fra scienziati ed operatori del diritto per evitare, nei limiti del possibile, di dover avere a che fare con problemi prima imprevedibili soltanto dopo che hanno causato danni e lesioni ai diritti accertati dalle corti giurisdizionali.

 


1 Per una definizione basilare di Big Data Analytics: very large sets of data that are produced by people using the internet, and that can only be storedunderstood, and used with the help of special tools and methods . in https://dictionary.cambridge.org/
2B.ROMANO, Dati e intelligenza artificiale, così la Ue colmerà il gap digitale con gli Usa, ne ilsole24ore.com 19.02/2020; https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/excellence-trust-artificial-intelligence_it
3Risoluzione 16 febbraio 2017 recante raccomandazioni alla Commissione concernenti norme di diritto civile sullarobotica (2015/2103(INL). https://www.europarl.europa.eu/ . Il quale segue un più generale Progetto di relazione recante raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica 2015/2013
4Isaac Asimov (1920-1992) elaborò le tre leggi della robotica: 1. Un robot non può recar danno a un essere umano né può permettere che, a causa del proprio mancato intervento, un essere umano riceva danno.2. Un robot deve obbedire agli ordini impartiti dagli esseri umani, purché tali ordini non contravvengano alla Prima Legge.3. Un robot deve proteggere la propria esistenza, purché questa autodifesa non contrasti con la Prima e con la Seconda Legge.
5Punti 51,52,53 della raccomandazioni della Carta della Robotica. E.STRADELLA, La regolazione della Robotica e dell’Intelligenza artificiale: il dibattito, le proposte, le prospettive. Alcuni spunti di riflessione, in www.medialws.eu
6Commissione UE, 19.02.20 COM(2020) https://ec.europa.eu/
7Regolamento UE 2016/679 https://www.garanteprivacy.it/
8Vedasi il caso Buona Scuola in Italia. Un algoritmo è stato adoperato per stilare una graduatoria di mobilità scolastica; un errore ha fatto sì che non sono stati rispettati i criteri di trasferimento, causando una serie infinita di ricorsi e una profonda riflessione giurisprudenziale sulle intelligenze artificiali nel procedimento amministrativo. I.A.NICOTRA – V.VARONE, L’algoritmo intelligente ma non troppo, in Rivista AIC n.4/2019
9Art.4 GDPR definisce profilazione “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”
10A.SIMONCINI, Profili costituzionali dell’amministrazione algoritmica, in Riv. Trim, Diritto pubblico n.4/2019
11R.GORETTA, Intelligenza artificiale, ecco come il GDPR regola la tecnologia di frontiera, in www.agendadigitale.eu 10 ottobre 2019
12F.PIZZETTI, Intelligenza artificiale, dati personali e regolazione, Giappichelli 2018
13E.TROISI, AI e GDPR: l’Automated Decision Making, la protezione dei dati e il diritto alla ‘intellegibilità´ dell’algoritmo, in European Journal of Privacy Law & Technologies , Giappichelli http://www.ejplt.tatodpr.eu/
14Caso della Buona Scuola, op.cit.
15Supreme Court of Wisconsin, State of Wisconsin v. Eric L. Loomis, Case no. 2015AP157-CR, 5 April – 13 July 2016
consulenza_per_privati_e_aziende          consulenza_per_avvocati

Salvis Juribus – Rivista di informazione giuridica
Ideatore, Coordinatore e Capo redazione Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
The following two tabs change content below.
Praticante avvocato. Mi occupo, attraverso associazioni culturali senza scopo di lucro, di diffondere il diritto negli istituti secondari. Principali materie di studio: Diritto Amministrativo, Costituzionale, Antitrust.

Articoli inerenti