Attenzione ad integrare Intelligenze Artificiali di terze parti nella propria impresa!
Le recenti innovazioni nell’ambito dello sviluppo di intelligenze artificiali (di seguito anche “IA”) stanno portando all’interno della realtà di tutti i giorni quello che fino a pochi anni fa era solo fantascienza. Avere a portata di mano un “cervello elettronico” in grado svolgere non solo attività manifatturiere, ma anche di prestazione d’opera intellettuale, come ad esempio redigere e leggere contratti o scrivere articoli di giornale, può non tanto sostituire l’attività umana, quanto rafforzarla, moltiplicandone esponenzialmente la produttività.
Tuttavia, se ciascuna impresa sviluppasse la sua propria IA, i costi supererebbero di gran lunga i benefici e la stessa IA avrebbe accesso ad una limitata quantità di dati dai quali imparare, di conseguenza limitando le proprie potenzialità.
Pertanto, le esigenze di economia di scala nonché l’effetto network positivo, applicato ai dati dai quali l’IA deve “imparare”, fanno sì che poche società offrano i servizi relativi all’IA ad una moltitudine di altri soggetti, incluse le aziende del settore terziario. Questo permette alle aziende di risparmiare sui costi di sviluppo dell’IA e, allo stesso tempo, permette alla società che offrono i servizi dell’IA di raccogliere e utilizzare i dati che ricevono dai clienti per sviluppare ulteriormente il proprio prodotto e di conseguenza offrire un servizio migliore.
Questo feedback loop positivo di dati raccolti e dati prodotti provoca, però, incognite a livello di tutela dei dati personali, in quanto anch’essi potrebbero venire coinvolti in tale circolo virtuoso, rischiando, se non adeguatamente tutelati, di trasformarlo in un circolo vizioso.
Di tale problematica, ha voluto farsi apripista nell’affrontarla, proprio il Garante per la Protezione dei Dati Personali italiano, mettendo in discussione i trattamenti effettuati dalla società Statunitense OpenAI L.L.C. attraverso l’ormai famoso “ChatGPT”. L’azione del Garante ha provocato una serie di reazioni da parte degli altri Garanti europei culminata poi nella creazione, da parte del Comitato Europeo per la Protezione dei Dati, di una task force dedicata alle problematiche poste da tale Intelligenza Artificiale.
Senza trattare la questione specifica di ChatGPT, già ampiamente affrontata da numerosi altri articoli, ciò che qui si vuole approfondire sono le questioni, legate alla tutela dei dati personali, che in generale sorgono quando una società o un ente vogliono implementare IA di terze parti nelle proprie attività.
Infatti, qualora, ad esempio, l’IA venga utilizzata per analizzare un contratto e riassumerne i tratti salienti oppure per redigerne uno, tali attività comportano, nella quasi totalità dei casi, il trattamento di numerosi dati personali, potenzialmente inclusi quelli relativi a categorie particolari ex art. 9 del GDPR. Trattando dati personali, la società terza che fornisce tramite cloud tali servizi ricade ampiamente nella definizione, ex art. 4 par. 1 lett. 8 di “Responsabile del trattamento” e dunque dovrà venire nominata tale ex art. 28 del GDPR con tutte le conseguenze e valutazioni del caso.
(Nella foto: l'Avv. Matteo Alessandro Pagani, Delegato Federprivacy nell'area metropolitana di Milano)
Inoltre, bisognerà verificare dove si trovano localizzati i server nei quali tale AI risiede. Infatti, essi potrebbero trovarsi al di fuori dell’Unione Europea, comportando di conseguenza la necessità di verificare se il Paese terzo nel quale si trovano i server risulti essere ritenuto adeguato ex art. 45 del GDPR. In alternativa, la società che si avvale dell’IA nell’analisi e nella redazione dei contratti dovrà procedere stabilendo delle garanzie adeguate ex art. 46 del GDPR oppure valutare l’esistenza o meno di una delle deroghe previste dall’art. 49 del GDPR. L’utilizzo di un’IA, poi, può ben rientrare nella situazione, descritta non solo nel GDPR all’art. 35 ma anche nelle linee guida del Gruppo di Lavoro 29 in materia di valutazione d’impatto sulla protezione dei dati, dell’uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative.
Questo comporta, da parte della società che si avvale dell’IA, la necessità di procedere, ex art. 35 del GDPR, ad effettuare una “Valutazione d’Impatto” e, qualora il rischio residuo non risulti sufficientemente attenuato oppure non sia stato correttamente identificato, dovrà altresì procedere con una consultazione preventiva ex art. 36 del GDPR. Non mancano inoltre gli obblighi di trasparenza verso gli interessati, dovendo la società procedere a rendere edotto l’interessato tramite l’informativa ex artt. 13 e, qualora necessario 14 del GDPR.
Ciò pone delle sfide interessanti in quanto, nonostante l’IA sia ormai argomento di tutti i giorni sulle testate giornalistiche e nell’ambito delle discussioni dell’opinione pubblica, bisogna fare in modo che l’interessato possa facilmente comprendere che cosa comportino i trattamenti nei quali verrà coinvolta anche l’IA.
Collegata a tale sfida è la problematica di ricevere, qualora necessario, un consenso che rispetti i requisiti di cui alla sua definizione ex art. 4 par. 1 n. 11 nonché le condizioni di cui all’art. 7 del GDPR. Infatti, ad esempio, come può essere il consenso frutto di una manifestazione di volontà “informata” se l’interessato non capisce le attività dell’IA descritte nell’informativa perché spiegate con termini troppo tecnici?
Infine, per quanto probabilmente non rientrino nell’esempio di cui sopra, bisognerà anche valutare se l’attività effettuata tramite IA non violi l’art. 22 del GDPR, ossia il diritto a non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che indica in modo analogo significativamente sulla sua persona.
Questi sono solo alcuni degli spunti di riflessione provocati dall’implementazione dell’IA nell’ambito dei servizi forniti da un’impresa, i quali certamente risentono di uno scenario in costante evoluzione. Per affrontare tale scenario, risulta quindi essenziale l’approccio technology neutral con il quale è stata redatta la maggior parte della normativa sulla protezione dei dati personali. E tale approccio ci permette, nonostante i repentini cambiamenti tecnologici, di affrontare le nuove sfide con i giusti strumenti di ragionamento.
In conclusione, l’integrazione dell’Intelligenza Artificiale nella vita di tutti i giorni porterà sicuramente incredibili benefici, per i quali, però, solo un’accorta compliance con la normativa privacy permetterà che essi si estendano anche al pubblico, composto da interessati, e non solo alle aziende che la implementeranno.