Intelligenza Artificiale: il Garante privacy francese immagina un piano d’azione

In attesa del regolamento europeo IA, il Garante francese della privacy vara studi, principi e supporti concreti agli operatori. Tra le prime applicazioni, la videosorveglianza alle Olimpiadi 2024

A fronte delle recenti notizie sull’Intelligenza Artificiale (AI), e in particolare sulla cosiddetta AI generativa come ChatGPT, l’Autorità Garante per la protezione dei dati francese (CNIL) ha ritenuto opportuno pubblicare un piano d’azione suddiviso in 4 parti, per stimolare un’implementazione dei sistemi di intelligenza artificiale che rispetti la privacy degli interessati e sia compliant con la normativa in tema di data protection delle persone fisiche.

Sempre su ChatGPT, l’Autorità Garante per la protezione dei dati italiana ha emesso un provvedimento con cui ha disposto, con effetto immediato, la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società statunitense che ha sviluppato e gestisce tale piattaforma, contestualmente aprendo un’istruttoria.

Che cos’è l’AI generativa

Prima di continuare con l’analisi – seppur breve – di quanto pubblicato dalla CNIL, è bene chiarire cosa si debba intendere per “AI generativa”. Con tale termine, infatti, ci si riferisce a sistemi capaci di creare testi, immagini e/o altri contenuti – su input (istruzioni) umano – tanto simili a contenuti realizzati da esseri umani che finiscono a volte per rendere difficile distinguere chi li abbia generati.

Questi sistemi si “nutrono” di grandi quantità di dati (big data) e da questi e con questi imparano e si “allenano”. Perché ciò sia possibile, però, è necessario che l’utente specifichi chiaramente le proprie richieste (query) per ottenere i risultati attesi, cosicché si sviluppa un vero e proprio know-how attorno alla a tali richieste (prompt engineering, branca dell’intelligenza artificiale che permette al sistema di AI di decifrare ed elaborare il linguaggio naturale, o NLP, dell’utente per arrivare ai risultati voluti/richiesti dallo stesso).

I lati oscuri

Tuttavia, la comprensione del loro funzionamento, delle loro possibilità e dei loro limiti, nonché delle ricadute legali, etiche e tecniche relative al loro sviluppo e al loro utilizzo sono ancora ampiamente dibattute.

Una per tutte la questione relativa all’effetto “black box” (scatola nera) che investe la trasparenza, la spiegabilità e la comprensibilità effettiva del funzionamento degli algoritmi e dei risultati cui arrivano (outputs). In parole povere, riuscire a capire e a sapere davvero il processo attraverso cui un sistema intelligente ci restituisce una data informazione o risposta il più delle volte è avvolto nel buio.

A ben vedere, quindi, parlando di AI i profili relativi alla protezione dei diritti del cittadino e al rispetto dei principi etici sono ormai temi caldi all’ordine del giorno.

Le posizioni della Ue

Basti pensare a quanti interventi sul punto sono stati sollecitati e proposti anche a livello europeo, come ad esempio la Risoluzione del Parlamento europeo per un Codice etico-deontologico per l’AI (del 16 febbraio 2017), la Strategia europea per un approccio etico all’AI della Commissione europea (dell’aprile 2018), le Linee Guida etiche per una AI affidabile della Commissione europea del 2019, il White Paper sull’intelligenza artificiale della Commissione europea (del 19 febbraio 2020), o ancora il Framework sugli aspetti etici dell’AI dello European Parliament Research Service (del settembre 2020).

In tale contesto, da una parte, va riconosciuto come la CNIL lavori già da parecchi anni con l’intento di anticipare i trend e dare risposta alle sfide poste dall’introduzione e dall’utilizzo di sistemi intelligenti, e dall’altra è il caso di evidenziare come i suoi futuri sforzi si concentreranno – per quanto è dato sapere – sui temi della videosorveglianza intelligente e dell’utilizzo dell’AI per il contrasto alle frodi.

Il piano francese

Nello stesso spirito l’Autorità francese ha da poco presentato un piano “d’attacco” incentrato su 4 punti fondamentali:

1. studio e comprensione del funzionamento e dell’impatto sulle persone di tali sistemi di AI;
2. supervisione dei sistemi finalizzata allo sviluppo di AI rispettose dei principi di data protection e privacy;
3. supporto agli innovatori nel campo dell’AI;
4. monitoraggio dei sistemi al fine della protezione delle persone.

Considerando che la protezione dei dati personali è una questione importante per la progettazione e l’utilizzo di questi strumenti, un’analisi sintetica dei punti sopra citati può essere svolta come segue:

1. Lo studio del funzionamento e dell’impatto dell’AI dovrà necessariamente passare attraverso punti nevralgici quali

• la correttezza e la trasparenza del trattamento dei dati;
• la protezione dei dati pubblicamente accessibili sul Web, in contrasto con le pratiche di raccolta massiva di dati (scraping) per progettare sistemi di AI;
• la protezione dei dati trasmessi nell’utilizzo di questi strumenti, dalla raccolta all’elaborazione, fino al ri-utilizzo;
• le conseguenze sui diritti degli interessati con riguardo ai dati raccolti, forniti dai sistemi o anche creati dall’AI (ad es. nel caso dell’AI generativa);
• la protezione contro derive pregiudizievoli e/o discriminatorie;
• i problemi di sicurezza.

2. Lo sviluppo di sistemi di intelligenza artificiali rispettosi dei principi etici e dei dettami della data protection è un tema su cui la CNIL è già intervenuta proattivamente fornendo contenuti dottrinali di supporto, come negli ambiti già citati della videosorveglianza intelligente o più in generale dell’AI, e anche mediante guide di supporto ai professionisti. I prossimi passi saranno, invece, in favore di:

– una Guida alle norme applicabili alla condivisione e al riutilizzo dei dati liberamente accessibili su Internet e attualmente utilizzati per l’apprendimento di molti modelli di intelligenza artificiale;

– pubblicazioni in tema di progettazione di sistemi di AI e creazione di database per l’apprendimento automatico;

– raccomandazioni concrete, in particolare per quanto riguarda il design dell’IA.

A seguire, poi, verranno affrontati i seguenti argomenti:

• l’utilizzo del regime della ricerca scientifica per la costituzione e il riutilizzo delle banche dati della formazione;
• l’applicazione del principio di finalità all’IA;
• la spiegazione della ripartizione delle responsabilità tra chi costituisce i database, chi sviluppa i modelli a partire da questi dati e chi utilizza tali modelli;
• le regole e le buone pratiche applicabili alla selezione dei dati per la formazione, nel rispetto dei principi di accuratezza e minimizzazione dei dati;
• la gestione dei diritti delle persone fisiche e in particolare i diritti di accesso, rettifica e opposizione;
• le norme applicabili in materia di periodo di conservazione dei dati (data retention);
• riflessioni etiche sull’uso e la condivisione di modelli di apprendimento automatico, la prevenzione e correzione di pregiudizi e discriminazioni, o sulla certificazione di Sistemi di intelligenza artificiale.

3. Il piano di supporto ad attori innovativi nell’ecosistema AI in Francia e in Europa è, in realtà, già stato avviato, ed ha assunto tre “forme”:

– una “sandbox” (creata già 2 anni fa) per sostenere progetti e attori innovativi, in particolare basati sull’IA. La CNIL aprirà presto un nuovo bando per progetti per l’edizione 2023, che riguarderà in particolare l’uso dell’intelligenza artificiale nel settore pubblico;

– uno specifico programma di sostegno ai provider di videosorveglianza intelligente nell’ambito della sperimentazione prevista dalla legge relativa ai Giochi Olimpici e Paralimpici del 2024;

– un nuovo programma di “sostegno rafforzato” per assistere le imprese innovative nella loro conformità al GDPR.

4. Per il monitoraggio dei sistemi finalizzato alla protezione delle persone è essenziale lo sviluppo di strumenti che consentano di controllare i sistemi di IA sia a priori che a posteriori, pertanto nel corso del 2023 la CNIL ha previsto di concentrarsi su controlli mirati in ambito di:

– rispetto delle regole sulla videosorveglianza intelligente da parte di soggetti pubblici e privati;

– utilizzo dell’intelligenza artificiale per la lotta alle frodi (ad es. previdenziali);

– denunce presentate all’Autorità (ad es. contro la società OpenAI che gestisce il servizio ChatGPT).

La CNIL, inoltre, verificherà in particolar modo che chi tratta dati personali per sviluppare, addestrare o utilizzare sistemi di intelligenza artificiale abbia correttamente effettuato una valutazione dell’impatto sulla protezione dei dati (DPIA) per documentare i rischi e ha adottato misure per ridurli; adottato misure per informare in maniera chiara e trasparente le persone interessate; prevedeva misure per l’esercizio dei diritti delle persone adeguate al particolare contesto in oggetto.

In attesa del regolamento europeo

Risulta evidente, quindi, come questo sforzo del Garante francese sia da intendersi nel senso di semplificare, agevolare o comunque di “preparare il terreno” per l’entrata in vigore dell’AI Act (Regolamento sull’Intelligenza Artificiale), ad oggi ancora in discussione, oltre che mirato a stabilire regole chiare che proteggano i dati personali dei cittadini europei al fine di contribuire allo sviluppo di sistemi di intelligenza artificiale rispettosi della data protection.

Anna Capoluongo