GDPR ed Intelligenza Artificiale: interpretazione ed applicazione

Ancora molti considerano il diritto della privacy difficile da tutelare specie di fronte ad uno sviluppo tecnologico che considera i dati delle persone sempre più come una merce scambiabile sul mercato ed utilizzabile per le più diverse finalità.

È immediatamente percepibile la prospettiva che di fronte al nuovo GDPR l’obiettivo essenziale sia quello del contenimento dei costi, implementando il livello di sicurezza dei trattamenti solo al fine di evitare le sanzioni elevate che il GDPR prevede e che costituiscono per gli operatori economici la preoccupazione maggiore.

Ciò non può non essere che sbagliato.

Pochi purtroppo hanno appreso e sviluppato l’opportunità offerta dal nuovo testo normativo europeo a tutto vantaggio della capacità di reggere alle sfide del mercato, anche ben oltre il rispetto del diritto.

Tecnologie relative a Big Data, Data analysis, Machine Learning e, infine l’ uso molteplice e poliforme dell’Intelligenza Artificiale e dell’Internet delle Cose implica necessariamente che la sicurezza assurga ad una rilevanza sempre più strategica nella sostenibilità sociale e nelle imprese, introducendo metodologie e strumenti di risk management che trovano nella “sicurezza delle informazioni” una riserva determinante per l’evoluzione di questo processo.

Direi che due saranno gli impatti più significativi per operatori economici e non:

1) Aumenterà la sicurezza: nel settore del monitoraggio di sicurezza ci saranno gli sviluppi più interessanti dal punto di vista tecnologico. L’Intelligenza Artificiale sarà assoluto protagonista dell’innovazione tecnologica.

2) Diminuirà la quantità di dati processati: minore sarà la quantità di informazioni non rilevanti e, di conseguenza, la qualità del dato diverrà progressivamente più importante della quantità.

Sebbene risultino piuttosto inflazionate espressioni quali “i dati sono il nuovo petrolio” è innegabile che l’Internet delle Cose (applicata anzitutto al settore automotive e alla domotica) cambierà il nostro modo di vivere, fornendo a imprese e società di servizi nuove sconfinate praterie di attività. I dati governano le scelte in ogni ambito, non solo strettamente economico finanziario, quanto piuttosto politico e culturale; ciò impone una più rapida ed efficiente gestione degli stessi.

Tradotto: processi decisionali più veloci, accurati e trasparenti, per fronteggiare efficacemente i timori nutriti verso la “scatola nera” degli algoritmi.

Auspico pertanto che operatori, imprese ed autorità possano comprendere fino in fondo che:

proteggere i dati non può prescindere dalla garanzia della loro qualità, dalla verifica della loro origine, dal controllo che il loro utilizzo avvenga secondo regole che garantiscano il corretto raggiungimento delle finalità per le quali essi sono raccolti e utilizzati

e auspico anche che gli “interessati” (individui) possano acquisire sempre più consapevolezza relativamente all’importanza dei dati e siano più sensibili alle modalità di processazione e alle motivazioni per cui queste informazioni verranno utilizzate.

La sfida sarà trovare il giusto equilibrio tra le promesse ed i rischi di un trattamento fortemente automatizzato su larga scala dei dati; sarà rendere le nuove tecnologie una risorsa e non un pericolo per le libertà ed i diritti degli individui. Sarà garantire l’assoluta qualità dei dati, il loro aggiornamento, la loro adeguatezza rispetto alle finalità da perseguire.

Non sarà sfuggito che tutti questi aspetti costituiscono il contenuto più innovativo e più importante della nuova normativa europea e che la cyber-sicurezza avrà un ruolo di prim’ordine in tutto ciò.

Cyber sicurezza

Secondo il pioniere italiano nel campo dell’intelligenza artificiale e della robotica, Prof. Marco Sovalmico, la I.A. è

una disciplina appartenente all’informatica, che studia i fondamenti teorici, le metodologie e le tecniche che consentono la progettazione di sistemi hardware e sistemi di programmi software, capaci di fornire all’elaboratore elettronico prestazioni che, a un osservatore comune, sembrerebbero essere di pertinenza esclusiva dell’intelligenza umana”

Il National Institute of Standard and Technology definisce la Cyber sicurezza come il processo di protezione delle informazioni attraverso la prevenzione, rilevazione e risposta agli attacchi. All’interno c’è di tutto: ci sono le macchine, il lavoro, i processi e le persone (le risorse umane ossia l’anello più debole della catena della sicurezza). Proprio le macchine costituiscono l’elemento principe, il fattore attraverso cui valutare la qualità e l’efficacia delle strategie di sicurezza: ne sono noti esemplari in grado di riprodurre appieno le funzioni di intelligenza umana, sistemi capaci di autoregolarsi, per svolgere livelli di automazione di attività complesse.

Attualmente i professionisti della sicurezza possono fare ricorso all’IA per:

  1. prevedere le minacce ed adattarsi ad esse;
  2. identificare ed eliminare le vulnerabilità esistenti;
  3. rilevare ed arrestare cyber attacchi con una velocità ed efficienza che non è sempre possibile ottenere con l’analisi umana.

Si pensi alle soluzioni biometriche che confrontano le caratteristiche fisiche dell’utente con quelle memorizzate dal sistema, si pensi alle impronte digitali e alle impronte palmari, al riconoscimento della voce, del reticolo venoso della retina dell’occhio, al controllo dinamico della firma.

La biometria comportamentale garantisce l’autenticazione continua degli utenti ed utilizza il machine learning per eseguire il punteggio di rischio: può contribuire significativamente a ridurre i tassi di frode e migliorare il livello di sicurezza inibendo gli attacchi cibernetici che utilizzano credenziali rubate.

Non solo, i dati generati da queste soluzioni contribuiscono a trovare soluzioni analitiche per individuare in modo più rapido e accurato il comportamento anomalo dell’utente.

Intelligenza Artificiale e Machine Learning

Lo stato dell’arte

Amazon, Google così come Microsoft già da tempo hanno realizzato una serie di funzionalità basate sull’AI quali il riconoscimento facciale nelle foto online e la traduzione linguistica di testi e voce nei rispettivi servizi cloud. AWS, Google Cloud e Azure, i tre cloud dei colossi Amazon, Google e Microsoft includono queste funzionalità di AI nelle loro piattaforme. Amazon, Google e Microsoft, e in misura minore aziende come Apple, IBM, Oracle, Salesforce e SAP, ma anche giganti cinesi come Alibaba e Baidu, dispongono di massicce risorse informatiche e del numero di talenti necessari per creare valide “utility” basate sulle AI incorporando l’apprendimento automatico nelle loro app.

Aziende di ogni tipo e dimensione ne sono inevitabilmente attratte.

In altri termini, il cloud sarà il modo in cui la maggior parte delle aziende utilizzerà l’intelligenza artificiale e il modo con cui i fornitori di tecnologia potranno ricavare alti profitti.

Gli scenari

La partita sull’AI è evidentemente iniziata e si gioca in tre campi distinti con regole di gioco molto diverse tra loro. In America il modello si basa sul cosiddetto market driven, che prevede il mercato come unico regolatore dello sviluppo e dell’innovazione; in Cina è l’interesse di stato a guidare tutto; infine nel Vecchio Continente con la General Data Protection Regulation (GDPR) dove sembrerebbe addirittura la governance politica al centro dell’innovazione tecnologica (per fare un esempio Macron, il presidente francese avrebbe annunciato lo stanziamento di 1,5 miliardi di euro in fondi pubblici per lo sviluppo dell’AI).

Le applicazioni AI hanno le potenzialità di cambiare profondamente il mondo, le relazioni tra gli individui e gli equilibri nazionali e internazionali. Come prevedibile, ciò genera molte preoccupazioni e pregiudizi, in via principale afferenti ai profili di safety e di security.

Cybersecurity ed automazione: uno dei tanti binomi inscindibili ed imprescindibili da interpretare ed implementare in chiave GDPR e privacy.

Proprio in termini di implementazione e dunque di compliance,

il rilascio del consenso per il trattamento dei dati sarà probabilmente l’aspetto più complesso da sviluppare.

Consenso al trattamento dei dati personali, elaborazione algoritmica dei dati, profilazione utenti ed accountability: una riflessione

Le condizioni relative al rilascio del consenso previste dalla nuova normativa sono molto più rigorose e sarà necessario adottare una chiara separazione tra il trattamento dei dati basato sul consenso e il trattamento che non lo richiede affatto.

L’utilizzo di strumenti di AI quali tra i maggiori la biometria in chiave di autenticazione, l’elaborazione del linguaggio naturale-antispam-phishing, il machine e deep learning impiegato in analisi della sicurezza, l’automazione ed orchestrazione di sicurezza ineriscono in maniera estremamente rilevante con le prescrizioni del regolamento europeo n. 2016/679 relative al trattamento automatizzato dei dati personali che possa sfociare in decisioni che sono proprie della macchina e non dell’uomo.

L’art. 22 GDPR, nello specifico, ribadisce come principio generale che l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida allo stesso modo significativamente sulla sua persona.

Tale disposizione non si applica quando la decisione:

a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento, oppure

b) sia autorizzata dal diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato, oppure

c) si basi sul consenso esplicito dell’interessato.

L’art. 24 del GDPR, inoltre, introducendo il basilare “principio di accountability” prevede che tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento metta in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento. Dette misure dovranno essere riesaminate e aggiornate qualora necessario. Inoltre, se ciò è proporzionato rispetto alle attività di trattamento, le predette misure dovranno includere l’attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

Da un lato, dunque, emerge la necessaria, esaustiva e comprensibile conoscibilità all’esterno ed in particolare al complesso degli stakeholder del corretto utilizzo delle risorse e della produzione di risultati in linea con gli scopi istituzionali; dall’altro, l’esigenza di introdurre logiche e meccanismi di maggiore responsabilizzazione interna alle aziende e alle reti di aziende relativamente all’impiego di tali risorse e alla produzione dei correlati risultati.

Considerando inoltre sempre in ambito di trattamento automatizzato l’introduzione del principio giuridico noto come diritto all’ottenimento di una motivazione e di contestazione su decisioni automatizzate (art.22 terzo comma), è evidente come si aprano scenari complessi quanto problematici nel momento in cui i processi decisionali di IA, sebbene sicuri, saranno tuttavia fondati su una base di dati enorme, rispetto alla quale non sarà possibile fornire una specifica motivazione.

Altrettanto critici saranno inoltre i casi in cui il trattamento automatizzato delle informazioni personali possa essere ottenuto illecitamente: stante la mole immensa di dati trattati da una IA può verosimilmente verificarsi l’ipotesi in cui, la decisione venga presa, anche, sulla base di dati ottenuti in assenza del consenso (o per consenso prestato per finalità diverse).

L’impatto che tutte le nuove Smart Technologies , dalla IoT alla Intelligenza Artificiale determineranno per le aziende in ottica di responsabilità potrebbe generare il rischio di empasse difficilmente gestibili anche in ottica giuridico-legale.

A mio avviso la migliore soluzione dipenderà dalla migliore strategia di difesa messa in atto dai singoli operatori: non dimentichiamo che l’onere probatorio è, in ambito GDPR, a carico del titolare del trattamento dati e del responsabile del trattamento.

Sarà imprescindibile per le aziende dotarsi di documenti probanti l’adozione di tutte le misure necessarie a garantire la protezione dei dati personali, in base a quanto stabilito dal Regolamento GDPR e dalla Direttiva NIS.

Fondamentale sarà il ruolo rivestito da un’ attenta predisposizione di Privacy & Security Policies.

Conclusioni

La qualità dei dati deve sempre essere definita sulla base delle finalità per le quali essi sono trattati. Allo stesso tempo le finalità sono alla base delle modalità con le quali i dati sono usati e quindi dei loro trattamenti.

Lesinare sulla scelta degli esperti di protezione dei trattamenti dei dati di cui avvalersi, così come sulle implementazioni strumentali ed organizzative è la scelta peggiore che possa fare oggi un imprenditore avveduto, un manager pubblico capace, un decisore che, a qualunque livello, debba assumersi la responsabilità di garantire il benessere suo e dei suoi utenti.

Dott. Barbara Calderini — Legal specialist@ Beenomio

0 commenti

Lascia un Commento

Vuoi partecipare alla discussione?
Fornisci il tuo contributo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *