Abbiamo affrontato in altro articolo il problema dell’utilizzo da parte dell’AI di materiali protetti da diritti di proprietà intellettuale e connessi al fine di machine learning. Nello ‘scandagliare’ il contenuto di siti e banche di dati o in quanto riceve input che li contengano, l’AI si ‘nutre’ però anche di informazioni che costituiscono ‘dati personali’. Il concetto di dati personali come si ricava dalla normativa europea (il Gdpr) è molto ampio e include qualsiasi informazione riferita o riferibile a un individuo vivente. I dati personali sono non soli i dati anagrafici, ma anche ogni altra informazione collegata alla persona, incluse la sua immagine (che peraltro è protetta anche dai diritti di immagine) e le sue abitudini e pattern online.
Il Gdpr trova poi applicazione a tutte le attività che vengono svolte in relazione ai dati personali, inclusi per esempio la mera registrazione, copia, associazione dei dati, per citare alcune delle attività coinvolte nei processi di AI. Ciascuna attività relativa ai dati personali svolta in ambito non meramente personale – che prende il nome tecnico di ‘trattamento’ – richiede tra l’altro il consenso dell’interessato (e cioè della persona a cui i dati si riferiscono), o la presenza di altra base giuridica che lo giustifichi. Questo ostacolo potrebbe essere in prima battuta superato nel caso di trattamento dei dati a fini di machine learning, ipotizzando che si possa evocare la base
giuridica prevista dal Gdpr del “legittimo interesse” dello sviluppatore e/o utilizzatore dell’AI quanto alle attività di machine learning. Questa ipotesi, che sembra a prima vista una soluzione percorribile, va tuttavia verificata caso per caso.
Ad ogni modo, secondo le regole del Gdpr, l’interessato deve essere sempre informato dei trattamenti svolti sui suoi dati, anche nel caso in cui i dati in questione siano trattati in presenza di un “legittimo interesse”, e non sulla base del suo consenso. Inoltre, l’interessato ha sempre un ‘diritto di acceso’, e cioè il diritto di contattare l’impresa, per ricevere informazioni su quali dati personali siano eventualmente trattati e a che fini, e per opporsi ove consentito al trattamento. Queste regole possono evidentemente complicare l’utilizzo di dati personali nelle attività di addestramento dell’AI. La mancata informativa agli interessati i cui dati personali sono stati utilizzati a fini di machine learning è stata del resto già contestata dal Garante per la protezione dei dati personali a OpenAI in un provvedimento inibitorio urgente che ha avuto ampia eco
mediatica, ed è tuttora oggetto di un procedimento presso il Garante. Questi rilievi possono essere solo superati mediante la diffusione di informative ai soggetti i cui dati possono essere eventualmente utilizzati ai fini qui descritti. Un esempio è l’informativa che è stata pubblicata da OpenAI a seguito dei rilievi del Garante.
Resta tuttavia il tema del diritto d’accesso degli interessati. La possibilità di fornire ai soggetti che lo richiedano informazioni dettagliate sull’effettivo utilizzo dei loro dati e sulle modalità di detto utilizzo nel contesto dello sviluppo dell’AI appare non solo molto oneroso, ma anche impossibile. Allo steso modo, in caso di opposizione, non risulta possibile (e quindi richiedibile) che lo sviluppatore o utilizzatore torni indietro al punto in cui l’AI si trovava prima di trattare i dati in questione. Mentre sembra possibile richiedere che, nei casi previsti dalla legge (e dunque tra l’altro quanto l’interesse del soggetto cui si riferiscono i dati prevalgono su quelli dell’impresa), gli output che eventualmente contengano i dati personali non siano utilizzati.
L’utilizzo dell’AI pone dunque questioni delicate anche dal punto di vista della data protection, che impongono agli sviluppatori/utilizzatori di porsi il tema della legittimità delle attività svolte dall’AI dal punto di vista del trattamento dei dati personali. Gli sviluppatori dovranno dunque fare in modo che questi trattamenti avvengano nel rispetto delle regole sull’esistenza di una adeguata base giuridica e informativa. Gli utilizzatori dovranno chiedere agli sviluppatori garanzie sotto questo profilo. Entrambi dovranno adottare policy che consentano di riscontrare le eventuali richieste di accesso degli interessati.
Fonte : Wired
