Intelligenza artificiale in azienda: cosa fare in attesa dell’AI Act

Con la recentissima Opinion 44 del 23 ottobre 2023, lo European Data Protection Supervisor ha riportato l’attenzione sulle questioni privacy sottese al c.d. “Artificial Intelligence Act”, cioè la proposta di regolamento UE volta a stabilire delle regole comuni in tutto il territorio comunitario in merito all’intelligenza artificiale, sempre più urgenti anche nel nostro paese, come testimoniato dal blocco – poi revocato – di ChatGPT da parte del Garante Privacy.

1. Le raccomandazioni di EDPS ed EDPB sull’intelligenza artificiale

In seguito alla presentazione da parte della Commissione europea della propria proposta di regolamento per armonizzare le regole sull’intelligenza artificiale negli Stati Membri, l’European Data Protection Board e l’European Data Protection Supervisor hanno pubblicato, in data 18 giugno 2021, una Joint Opinion nella quale hanno sottolineato il fatto che la proposta di regolamento ha implicazioni estremamente rilevanti per la protezione dei dati, mettendo in luce alcuni punti fondamentali.

Anzitutto, le autorità privacy europee, accogliendo con favore l’approccio della proposta basato sul rischio, sottolineano la necessità di introdurre l’obbligo di effettuare sempre valutazioni ex ante della conformità dell’utilizzo dell’AI al GDPR, ed in particolare al principio di minimizzazione del trattamento.

Inoltre, le autorità raccomandano che siano inseriti una serie di divieti inerenti l’utilizzo dei dati biometrici ai fini di riconoscimento automatico in spazi accessibili al pubblico, come il volto, le impronte digitali, la voce, o ancora l’utilizzo degli stessi al fine di categorizzare le persone in base a dati particolari di cui all’art. 9 GDPR (ad esempio inerenti la salute, l’etnia, l’orientamento sessuale).

Un altro aspetto fondamentale evidenziato nella Joint Opinion 5/2021 e ripreso dall’EDPS nell’Opinion 44/2023 è il ruolo attivo e centrale della autorità per la protezione dei dati comunitarie e nazionali nel monitoraggio dell’utilizzo dell’AI e del rispetto del regolamento.

L’EDPS viene identificato nella proposta come organismo di vigilanza del mercato dell’AI, tuttavia i suoi compiti non sono identificati con la necessaria chiarezza (ad esempio, non è espressamente prevista la competenza dell’EDPS a pronunciarsi su eventuali reclami); inoltre, l’EDPS pretende che siano affidate risorse umane e finanziarie adeguate al fine di dare seguito in modo efficace e concreto ai compiti assegnati all’organismo di vigilanza.

Infine, l’EDPS rinnova la raccomandazione, già espressa nella Joint Opinion con l’EDPB, di designare, come autorità nazionali di controllo dell’AI ai sensi dell’art. 59 della proposta di regolamento, le autorità nazionali di protezione dei dati, in quanto esperte in materia di riservatezza, valutazione del rischio, impatto sui diritti e le libertà fondamentali, interpretazione e implementazione della normativa europea.

2. La vicenda di ChatGTP in italia

In attesa dell’approvazione del regolamento, le autorità nazionali hanno già iniziato, forti dei compiti di vigilanza affidati loro dal GDPR, a svolgere un ruolo di controllo sull’impiego dell’intelligenza artificiale ed in particolare sui trattamenti dei dati che ne conseguono.

Emblematico in tal senso è stato il provvedimento del 30 marzo 2023 del Garante Privacy, con il quale lo stesso ha “bloccato” l’utilizzo in Italia di ChatGPT, la celebre chatbot sviluppata da OpenAI, che si basa sull’intelligenza artificiale generativa e sull’apprendimento automatico adattivo. Il Garante ha rilevato diverse violazioni del GDPR, tra cui: i) l’assenza di alcuna informativa agli utenti; ii) l’assenza di idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al suo funzionamento; iii) l’assenza di verifica dell’età dell’utente; iv) l’occasionale inesattezza del trattamento, in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale.

OpenAI ha poi provveduto ad adottare una serie di misure per rendere ChatGPT rispettosa della normativa privacy, circostanza di cui lo stesso Garante ha dato atto in una nota del 28 aprile 2023, e di conseguenza la chatbot è tornata disponibile per gli utenti italiani.

La vicenda in esame ha messo in luce il concreto rischio che l’utilizzo dell’intelligenza artificiale, se non adeguatamente regolato, possa compromettere fortemente la privacy delle persone i cui dati vengono trattati dagli strumenti creati con l’AI, sotto vari profili: comunicazione illecita di dati, profilazione indesiderata, conservazione senza limiti, difficoltà nell’esercizio dei diritti degli interessati.

3. Le cautele per le aziende che utilizzano l’AI

In attesa dell’approvazione definitiva dell’AI ACT, prevista per l’inizio del prossimo anno, qualora le aziende desiderino usare strumenti che sfruttano l’intelligenza artificiale, dovranno senz’altro farlo prestando particolare attenzione al rispetto dei principi del GDPR.

Per proseguire con l’esempio di ChatGPT, senz’altro sarà necessario, nel rispetto del principio di minimizzazione selezionare accuratamente i dati utilizzati nel processo di addestramento, al fine anche di evitare distorsioni o pregiudizi indesiderati, e dunque un trattamento inesatto di dati personali.

Occorrerà in ogni caso, come per qualsiasi altro trattamento, svolgere tutti gli adempimenti richiesti dalla normativa privacy, quali: (i) redigere, se necessario ai sensi dell’art. 35 GDPR, una valutazione di impatto privacy; (ii) predisporre adeguata informativa; (iii) raccogliere consensi espliciti per i trattamenti decisionali interamente automatizzati; (iv) adottare una politica di estrema cautela sulla verifica dell’età, se i servizi sono offerti a minori di età, ed in generale chiare procedure aziendali, da comunicare agli incaricati al trattamento; (v) aggiornare il registro dei trattamenti.

Fondamentale sarà poi la formazione dei dipendenti, ed in generale di tutti coloro che utilizzeranno gli strumenti basati sull’intelligenza artificiale: questi ultimi rappresentano senz’altro una grande opportunità di crescita per le aziende, e proprio per questo è necessario che queste ultime inizino sin da subito ad attrezzarsi per utilizzare questi strumenti in modo lecito e con il minor rischio possibile per l’azienda.

Potrebbero infatti emergere criticità non solo con riguardo alla riservatezza dei dati personali, ma anche circa l’eventuale divulgazione di informazioni aziendali confidenziali, o semplicemente il mancato raggiungimento dei risultati attesi a causa dell’utilizzo improprio o dei limiti di questi innovativi strumenti, molti dei quali sono ancora in via di sviluppo e dunque non di certo infallibili.

Lo Studio è a disposizione per qualsiasi chiarimento