Privacy e strumenti basati sull'intelligenza artificiale generativa, alla luce dell’AI Act
Siamo in piena rivoluzione industriale. L’intelligenza artificiale generativa (GAI), strumento potentissimo che ci permette di creare testi, immagini, video a partire da un semplice comando, è sempre più utilizzata dalle persone e dalle aziende. Una tecnologia, che ha impatti potenzialmente devastanti, sotto il profilo etico, sociale e politico.
Gli strumenti GAI infatti possono generare deepfake, cioè immagini e video realistici, utilizzati per diffondere informazioni false, manipolare l’opinione pubblica e danneggiare la reputazione personale o professionale di un individuo. Per non parlare dei pericoli legati a spam, phishing e fake news.
Ma la potenza e la pervasività di questa tecnologia hanno e avranno impatti significativi anche sulla protezione dei dati personali. Non è un caso che l’AI Act, il nuovo regolamento europeo che definisce le linee del campo da gioco da rispettare, quando si tratta di intelligenza artificiale, metta al centro il tema della protezione dati.
Ancora una volta, dall’Unione Europea arriva la spinta – anzi, la cogenza - a valutare cum grano salis e a monte le implicazioni legali, etiche e tecniche dell’uso di nuovi strumenti sui diritti delle persone.
Le criticità riguardano diversi aspetti: la natura dei dati raccolti, il processo di raccolta e i possibili rischi, proprio perché gli strumenti di intelligenza artificiale hanno bisogno di quantità enormi di dati per essere addestrate e funzionare. Dati che possono essere anche personali, particolari e comportamentali, cioè, raccolti attraverso il monitoraggio dell’attività online e senza passare da un consenso esplicito dell’utente.
La raccolta può essere automatica (web scraping) quando le informazioni provengono dai siti web, può passare dall’interazione con l’utente o avvenire tramite accordi commerciali con piattaforme di terze parti. Gli utenti potrebbero non capire che i loro dati vengono raccolti e usati dall’intelligenza artificiale e per quali finalità (magari per scopi diversi da quelli dichiarati e senza il loro consenso). A questi rischi se ne aggiunge uno sempre più rilevante, a fronte dell’aumento e della gravità degli attacchi informatici: la sicurezza. La raccolta e l'archiviazione di grandi quantità di dati personali aumentano il rischio che si verifichino data breach.
(Nella foto: Andrea Chiozzi, founder di PrivacyLab, speaker al Privacy Day Forum 2024)
Come muoversi? Innanzitutto, informando chiaramente gli utenti affinché sappiano quali dati vengono raccolti, perché e come vengono utilizzati, e adottando politiche di privacy dettagliate e accessibili.
Le persone non devono diventare di gomma per trovare e capire questi documenti. La trasparenza – concetto richiamato e sottolineato molto bene dall’AI Act – è fondamentale. E poi servono misure tecniche e organizzative: riservatezza, anonimizzazione, crittografia, sistemi di monitoraggio per rilevare e gestire data breach.
Agire con accountability è ancora più una cogenza, a fronte di questo tipo di tecnologia in continua evoluzione. E l’AI Act, infatti, punta a tracciare le linee del campo da gioco, per farci ragionare e valutare caso per caso le conseguenze dell’uso dell’intelligenza artificiale. Lo fa partendo dalla classificazione dei livelli di rischio per la sicurezza, i diritti fondamentali e l'interesse pubblico, e imponendo rigorosi requisiti di conformità quando il rischio è alto, come nel caso dei sistemi di reclutamento del personale che sfruttano l’intelligenza artificiale.
Richiede alle aziende di adottare misure per proteggere i dati personali e garantire la trasparenza e la responsabilità nell'uso di questi strumenti, compreso l’obbligo di implementare sistemi di monitoraggio e compliance ai requisiti dell'AI Act. Punta soprattutto agli sviluppatori, che per primi devono valutare l’impatto etico e privacy dei loro sistemi di intelligenza artificiale generativa, prima di implementarli. Come nel caso del GDPR, individua nella formazione, che è alla base della consapevolezza, un’ulteriore cogenza per chi sceglie di utilizzare strumenti di questo tipo.
Ancora una volta, ci troviamo a gestire un tema complesso che, forse più del GDPR, ci chiarisce che non basta la forma, non basta il bollino “conforme”. Le implicazioni sono molte e potenzialmente deflagranti. Penso che, oggi più che mai, sia necessario fare squadra e mettere insieme competenze legali e tecnologiche per gestire il futuro che ci aspetta.