Il regolamento tarda ad arrivare. nel frattempo ci pensano le singole autorità nazionali – il caso francese (cnil)

October 19, 2023 by Alberto Bozzo Diritto Rovescio
Home | Diritto Rovescio | Il regolamento tarda ad arrivare. nel frattempo ci pensano le singole autorità nazionali – il caso francese (cnil)

Alberto Bozzo

Alberto Bozzo

La tecnologia dell’intelligenza artificiale è al centro dell’era digitale e sta alimentando molte delle scoperte odierne. Tuttavia, nonostante il fascino che l’IA suscita in tutto il mondo, dall’automazione dei compiti agli algoritmi predittivi e oltre, l’UE sembra avere una reazione più cauta e riflessiva rispetto alla celebrazione.

Nell’attesa che l’AI ACT venga alla luce, singole autorità nazionali stanno approcciando una regolamentazione settoriale mediante lo strumento delle linee guida

Il 12 ottobre 2023, la Commissione nazionale per l’informatica e le libertà (CNIL) ha pubblicato le sue prime linee guida per aiutare le imprese e le organizzazioni a conformarsi al Regolamento generale sulla protezione dei dati (GDPR) durante lo sviluppo e l’utilizzo dell’intelligenza artificiale (AI) che utilizza dati personali o che incide sulle persone.

La guida si concentra principalmente sulla conformità durante le fasi di sviluppo dei sistemi, piuttosto che durante la fase di implementazione.

L’obiettivo chiaro della CNIL è quello di rassicurare il settore, fornendo una prima serie di linee guida. Il punto principale sottolinea che lo sviluppo dei sistemi di intelligenza artificiale e le considerazioni sulla privacy possono coesistere in modo armonioso.

“Lo sviluppo dei sistemi di intelligenza artificiale è compatibile con le sfide della tutela della privacy. Inoltre, considerare questo imperativo porterà all’emergere di dispositivi, strumenti e applicazioni etici e in linea con i valori europei. È in base a questi condizioni affinché i cittadini possano riporre la loro fiducia in queste tecnologie.” 

D’altronde lo sviluppo dell’intelligenza artificiale sta portando grandi opportunità tecnologiche in diversi settori dell’economia e della società.

Ad esempio, nell’ambito della sanità, i sistemi di intelligenza artificiale possono essere utilizzati per diagnosticare malattie, identificare patologie e migliorare la qualità dell’assistenza sanitaria.

Nella pubblica amministrazione, l’intelligenza artificiale può essere utilizzata per migliorare l’efficienza dei servizi e semplificare le procedure amministrative.

Inoltre, le imprese possono utilizzare l’intelligenza artificiale per aumentare la produttività e migliorare la qualità dei prodotti e dei servizi offerti.

La guida è composta da 7 schede informative che approfondiscono i principi fondamentali del GDPR applicati allo sviluppo dei sistemi di intelligenza artificiale.

Di fronte a queste nuove sfide, la CNIL promuove l’innovazione responsabile che esplora le più recenti tecnologie di intelligenza artificiale proteggendo le persone.

Nel gennaio del 2023, è stato creato un servizio specifico per l’intelligenza artificiale, al fine di rafforzare le competenze sui sistemi di IA e comprendere meglio i rischi per la privacy. Questa iniziativa è stata presa in vista dell’imminente entrata in vigore del regolamento europeo sull’IA.

Il servizio di intelligenza artificiale (SIA) creato all’interno della CNIL sarà composto da 5 persone specializzate in diritto e ingegneria. Questo servizio sarà assegnato al dipartimento tecnologie e innovazione della CNIL, diretto da Bertrand PAILHES,

Le principali missioni del dipartimento di intelligenza artificiale saranno:

  • facilitare la comprensione di come funzionano i sistemi di IA all’interno della CNIL, ma anche per professionisti e privati;
  • consolidare le competenze della CNIL nella conoscenza e nella prevenzione dei rischi per la privacy legati all’implementazione di questi sistemi;
  • preparare l’entrata in applicazione del regolamento europeo sull’IA (attualmente in discussione a livello europeo);
  • sviluppare relazioni con gli attori dell’ecosistema.

La SIA svolgerà un ruolo importante

nella gestione dei reclami legati all’utilizzo di sistemi di intelligenza artificiale; fornirà assistenza nella valutazione delle eventuali carenze riscontrate e nell’adozione di misure correttive adeguate;

contribuirà al lavoro del Comitato europeo per la protezione dei dati (GEPD) e condurrà anche progetti sperimentali legati al LINC;

Lo studio del Consiglio di Stato

La CNIL ha recentemente evoluto la sua posizione riguardo all’utilizzo dell’intelligenza artificiale nelle amministrazioni, in risposta ad uno studio del Consiglio di Stato pubblicato il 30 agosto 2022.

Il Consiglio di Stato ha riconosciuto che l’intelligenza artificiale sta facendo passi da gigante, offrendo un grande potenziale per assistere l’uomo in molti compiti. Nonostante ci siano ancora timori, il suo utilizzo potrebbe migliorare notevolmente la qualità dei servizi pubblici erogati dalle amministrazioni.

Il Consiglio di Stato evidenzia che, nonostante l’Intelligenza Artificiale sia attualmente utilizzata solo in ambiti specifici come la gestione dell’illuminazione pubblica, la circolazione automobilistica, la difesa e la sicurezza, non esiste alcun settore dell’azione pubblica che non possa beneficiare dei sistemi di intelligenza artificiale.

In altre parole, l’AI è in grado di migliorare ed ottimizzare le attività di qualsiasi settore dell’amministrazione pubblica.

Il Consiglio di Stato ha richiesto l’implementazione di una politica proattiva per l’utilizzo dell’intelligenza artificiale, al fine di servire l’interesse generale e migliorare l’efficienza del settore pubblico.

Lo studio del Consiglio di Stato guarda anche al futuro quadro normativo sull’IA, attualmente in fase di elaborazione a livello europeo. Sottolinea quindi “  la fortissima adesione tra la regolamentazione dei [futuri] sistemi di IA e quella dei dati, in particolare quelli personali”.

Al fine di garantire una maggiore coerenza tra i due regimi, il Consiglio di Stato raccomanda che la Commission Nationale de l’Informatique et des Libertés (CNIL) diventi l’autorità nazionale per il controllo dei sistemi di intelligenza artificiale (IA) ai sensi del regolamento.

Un nuovo servizio

D’ora in poi, senza attendere l’evoluzione del quadro giuridico, verrà creato un servizio per rispondere ad una questione sociale sempre più importante: l’intelligenza artificiale.

La creazione del servizio AI è stata motivata dalla necessità di affrontare le sfide legate alla trasparenza e alla comprensione di una tecnologia spesso percepita come una “scatola nera”. L’obiettivo è quello di garantire una regolamentazione equilibrata e di consentire alle organizzazioni, alle persone interessate e alla CNIL di controllare i rischi per la vita privata. In questo modo, il servizio AI può aiutare a promuovere un uso responsabile e sicuro della tecnologia.

Ad oggi la azione del CNIL si è concretizzata in tre modi:

  • l’identificazione delle questioni etiche e legali legate all’uso dell’IA,
  • l’indagine di casi che coinvolgono l’uso dell’intelligenza artificiale e la produzione di strumenti e risorse che facilitano la conoscenza di questa tecnologia;
  • gestione dei rischi associati .

Un percorso che parte da lontano

Già dal 2017, la CNIL ha organizzato un ampio dibattito pubblico sugli algoritmi e l’intelligenza artificiale, integrato dalla consultazione dei cittadini.

La CNIL ha già avuto modo da molti anni di lavorare regolarmente sul tema dell’intelligenza artificiale attraverso casi di implementazione operativa (le cosiddette telecamere “intelligenti” o “aumentate” negli spazi pubblici , il Libro bianco sugli assistenti vocali o ancora il lavoro relativo all’implementazione del riconoscimento facciale che implementa l’elaborazione dell’intelligenza artificiale).

Poi ha pubblicato un dossier il 5 aprile 2022, dove vengono dettagliate le sfide che l’intelligenza artificiale presenta e le condizioni necessarie per implementare sistemi di IA che rispettino i principi chiave del GDPR.

I contenuti pubblicati sono destinati a chiunque sia interessato all’intelligenza artificiale, sia al grande pubblico che ai professionisti. In particolare, viene fornita una guida di autovalutazione dei sistemi di intelligenza artificiale per i professionisti.

Uno sguardo al futuro

Molte organizzazioni pubbliche e private desiderano creare banche dati per la formazione e lo sviluppo dell’intelligenza artificiale. Tuttavia, la legalità di certi usi è stata messa in discussione presso la CNIL. Il lavoro futuro ha come obiettivo quello di chiarire la posizione della CNIL su questo punto e di promuovere buone pratiche, rispettando i requisiti del GDPR e della proposta di regolamento sull’IA attualmente in discussione a livello europeo.

È importante fornire alle organizzazioni un quadro per analizzare le norme sulla protezione dei dati personali al fine di garantire il rispetto dei diritti e delle libertà fondamentali degli individui. Questo permette loro di creare o utilizzare banche dati in modo responsabile e in conformità con le leggi sulla privacy.

Queste risorse fanno parte di una strategia europea per promuovere l’eccellenza nell’intelligenza artificiale e garantire l’affidabilità di queste tecnologie. L’obiettivo principale è lo sviluppo di un solido quadro normativo per l’IA, basato sui diritti umani e sui valori fondamentali, al fine di conquistare la fiducia dei cittadini europei.

Gli elementi proposti sono rivolti a tre pubblici distinti:

il grande pubblico 

interessato al funzionamento dei sistemi di IA, alle loro implicazioni nella nostra vita quotidiana o che desidera testarne il funzionamento;

a costoro si offre

  1. Breve presentazione delle sfide dell’intelligenza artificiale per la protezione dei dati, illustrata da esempi quotidiani.
  2. Selezione non esaustiva di libri, film o risorse online destinati ai curiosi e agli iniziati per comprendere come funziona l’intelligenza artificiale, demistificarla e comprenderne le sfide.
  3. Definizioni relative ai campi dell’intelligenza artificiale e del machine learning che è fondamentale comprendere per poter comprendere le problematiche.

professionisti

(titolari del trattamento o subappaltatori) che implementano trattamenti di dati personali basati su sistemi di intelligenza artificiale, o che desiderano farlo e che si chiedono come garantire la propria conformità al GDPR;

A costoro si offre

Un richiamo ai principi fondamentali della legge sulla protezione dei dati e del GDPR da seguire nell’attuazione del trattamento dei dati personali basato su sistemi di intelligenza artificiale, nonché le posizioni della CNIL su alcuni aspetti più specifici.

Uno strumento di analisi che consente alle organizzazioni di valutare autonomamente la maturità dei propri sistemi di IA rispetto al GDPR e alle migliori pratiche sul campo, in vista della futura regolamentazione europea.

specialisti 

(ricercatore di intelligenza artificiale, esperto di scienza dei dati, ingegnere di machine learning , ecc.) : per le persone che manipolano quotidianamente l’intelligenza artificiale, che sono curiose delle sfide che l’intelligenza artificiale pone per la protezione dei dati e che sono interessate allo stato della arte su queste questioni.

Sulla base delle competenze esistenti della CNIL e degli incontri con attori pubblici e privati, verranno proposte raccomandazioni per la creazione di una banca dati finalizzata allo sviluppo o miglioramento di un sistema di intelligenza artificiale.

La CNIL vuole garantire certezza giuridica ai protagonisti dell’intelligenza artificiale 

La Commissione Nazionale per l’Informatica e le Libertà (CNIL) ha recentemente incontrato i principali attori francesi dell’intelligenza artificiale, tra cui aziende, laboratori e autorità pubbliche, al fine di garantire una maggiore certezza giuridica nell’utilizzo di questa tecnologia.

La CNIL ha pubblicato una serie di linee guida sull’utilizzo dell’IA per il rispetto dei dati personali, che coprono alcune delle questioni più importanti.

quale è lo scopo delle linee guida?

Le schede informative sono documenti che forniscono informazioni specifiche sui sistemi di intelligenza artificiale. Tali schede riguardano esclusivamente la fase di sviluppo e si applicano solo al trattamento dei dati personali soggetti al Regolamento generale sulla protezione dei dati (GDPR).

È certo che nessun dato personalenon è presente nel database  : le schede non trovano applicazione (anche se alcune raccomandazioni, di carattere di buona pratica, possono essere rilevanti);

Certo è che ci sono dati personali  : valgono le schede (si tenga presente che i testi europei stabiliscono la regola secondo cui i dati “misti” sono disciplinati dal GDPR, se le due tipologie di dati sono indissolubilmente legate);

È possibile che siano presenti dati personali  : questo è un caso comune in cui la raccolta di dati personali non è espressamente desiderata. Per esempio :presenza residua di persone o targhe nelle immagini;occorrenze di cognomi, nomi, indirizzi, ecc. in dati testuali come commenti o “prompt”, ecc.

Determinare il regime giuridico applicabile

Quando si crea un database per addestrare un sistema di intelligenza artificiale, è importante rispettare la normativa sulla privacy riguardo ai dati personali.

Durante le fasi di sviluppo e implementazione di un sistema di IA, è necessario determinare il regime giuridico applicabile per ogni trattamento distinto di dati personali.

La CNIL può offrire assistenza nella determinazione del regime applicabile durante la fase di sviluppo.

Definire uno scopo

La creazione di un database contenente dati personali per l’addestramento di un sistema di IA è un trattamento di dati personali che, in applicazione del GDPR, deve perseguire uno scopo (o obiettivo) “determinato, legittimo ed esplicito. La CNIL aiuta a definire gli scopi tenendo conto delle specificità dello sviluppo dei sistemi di IA.

o: i sistemi di intelligenza artificiale che utilizzano dati personali o che potenzialmente hanno un impatto sugli individui devono essere sviluppati e utilizzati per uno scopo specifico e legittimo.

Ciò significa che le aziende e le organizzazioni devono considerare attentamente lo scopo del proprio sistema di IA prima di raccogliere o utilizzare dati personali e assicurarsi che lo scopo del sistema di IA sia debitamente determinato e compatibile con i principi del GPDR.

La finalità del trattamento è l’obiettivo perseguito con l’utilizzo dei dati personali. Tale obiettivo deve essere determinato, cioè stabilito a monte, fin dalla definizione del progetto e figurare nel registro delle attività di trattamento . Deve anche essere esplicito, cioè conosciuto e comprensibile. Infine, deve essere legittimo, cioè compatibile con le missioni dell’organizzazione.

Il principio della finalità richiede che i dati personali siano utilizzati solo per un obiettivo specifico (scopo) definito in anticipo. In termini di IA, la CNIL ammette che un operatore non può definire tutte le sue future applicazioni in fase di addestramento dell’algoritmo, a condizione che la tipologia di sistema e le principali funzionalità possibili siano state ben definite.

Poiché i dati sono raccolti per una finalità determinata e legittima, non devono essere successivamente trattati in modo incompatibile con tale finalità iniziale. Il principio della finalità limita il modo in cui il titolare del trattamento può utilizzare o riutilizzare questi dati in futuro.

Le finalità devono essere descritte con precisione, e una finalità troppo generica come “sviluppo e miglioramento di un sistema di IA” non è considerata valida.

il principio di trasparenza  : la finalità del trattamento deve essere portata a conoscenza degli interessati affinché possano conoscere il motivo della raccolta dei diversi dati che li riguardano e comprendere l’uso che ne verrà fatto;

il principio di minimizzazione  : i dati selezionati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;

Il principio di minimizzazione non impedisce, secondo la CNIL, l’addestramento degli algoritmi su insiemi di dati molto grandi. I dati utilizzati devono, tuttavia, in linea di principio, essere stati selezionati per ottimizzare l’addestramento dell’algoritmo evitando l’utilizzo di dati personali non necessari. In tutti i casi, alcune precauzioni per garantire la sicurezza dei dati sono essenziali;

Le imprese e le organizzazioni dovrebbero evitare di raccogliere o utilizzare più dati di quelli necessari per il corretto funzionamento del sistema di intelligenza artificiale e dovrebbero implementare misure organizzative e tecniche per eliminare i dati personali non necessari.

il principio della limitazione dei periodi di conservazione  : i dati possono essere conservati solo per un periodo limitato che deve essere definito in base alla finalità per la quale sono stati raccolti.

la CNIL conferma che il principio di conservazione limitata dei dati non impedisce di prevedere durate prolungate per le banche di formazione, purché ciò sia possibile. essere giustificato dallo scopo legittimo dei sistemi di IA.

Determinare la qualificazione giuridica dei fornitori di sistemi di IA

I fornitori di sistemi di IA che desiderano costruire i propri database di apprendimento contenenti dati personali devono determinare la propria qualifica ai sensi del GDPR: possono essere titolari del trattamento , contitolari del trattamento o subappaltatori .

Garantire la liceità del trattamento

L’organizzazione che desidera creare un database di apprendimento contenente dati personali e poi utilizzarlo per addestrare un algoritmo deve garantire che il trattamento sia autorizzato dalla legge.

Il titolare del trattamento deve definire, in ogni caso, una base giuridica e deve effettuare, a seconda della modalità di raccolta o di riutilizzo dei dati, alcuni ulteriori controlli.

Esistono diversi modi per creare un database a scopo didattico, che può essere utilizzato cumulativamente:

  • i dati vengono raccolti direttamente dalle persone;
  • i dati vengono raccolti indirettamente da fonti aperte su Internet;la CNIL ritiene che il riutilizzo dei set di dati, in particolare dei dati accessibili pubblicamente su Internet, sia possibile per addestrare l’IA, previa verifica che i dati non siano stati raccolti in modo manifestamente illecito e che lo scopo del riutilizzo sia compatibile con la raccolta iniziale. 

effettuare una valutazione d’impatto

Costruire un database per addestrare un sistema di intelligenza artificiale può creare un rischio elevato per i diritti e le libertà delle persone. In questo caso è obbligatoria una valutazione d’impatto sulla protezione dei dati.

La Data Protection Impact Analysis (DPIA) è un processo che consente di mappare e valutare i rischi del trattamento che influiscono sulla protezione dei dati personali e di stabilire un piano d’azione per ridurli a un livello accettabile. Questo approccio, facilitato dagli strumenti messi a disposizione dalla CNIL , è particolarmente utile per controllare i rischi legati ad un trattamento prima della sua attuazione, ma anche per garantirne il monitoraggio nel tempo.

Considerare la protezione dei dati nella progettazione del sistema (privacy by design)

Per garantire lo sviluppo di un sistema di IA che rispetti la protezione dei dati, è necessario effettuare un’analisi preventiva in fase di progettazione del sistema. Questa scheda descrive dettagliatamente i passaggi.

Quando si pensa alle scelte progettuali di un sistema di IA occorre rispettare i principi di protezione dei dati, e in particolare il principio di minimizzazione . Questo approccio opera su cinque livelli. Un titolare del trattamento deve quindi interrogarsi:

  • l’obiettivo del sistema che desidera sviluppare;
  • l’architettura tecnica del sistema che si intende progettare e che avrà un impatto sulle caratteristiche del database;
  • le fonti dei dati utilizzate (vedi scheda sulla conformità del trattamento alla legge, sulle fonti aperte, sui soggetti terzi, ecc.);
  • tra queste fonti, la selezione dei dati strettamente necessari , avuto riguardo all’utilità dei dati e al potenziale impatto che la loro raccolta ha sui diritti e sulle libertà delle persone interessate;
  • la validità delle scelte precedentemente effettuate. Questa convalida può assumere forme diverse (non esclusive) come la realizzazione di uno studio pilota o il parere di un comitato etico .

Considerare la protezione dei dati nella raccolta e nella gestione dei dati

Lo sviluppo di un sistema di intelligenza artificiale richiede di garantire una gestione e un monitoraggio rigorosi dei dati di apprendimento. L

Una volta identificati i dati e le loro fonti, il fornitore del sistema di IA deve implementare la raccolta e costruire il proprio database.

Il GDPR offre un quadro innovativo e protettivo per l’intelligenza artificiale

Le recenti discussioni hanno sollevato preoccupazioni riguardo ai principi di definitività, minimizzazione, conservazione limitata e riutilizzo limitato derivanti dal GDPR e il loro impatto sulle ricerche e le applicazioni dell’intelligenza artificiale.

Alcuni esperti sostengono che questi principi potrebbero rallentare o addirittura impedire lo sviluppo di alcune ricerche o applicazioni dell’intelligenza artificiale.

La CNIL risponde a queste obiezioni confermando la compatibilità della ricerca e sviluppo sull’IA con il GDPR, a condizione che non vengano superate alcune linee rosse e siano rispettate determinate condizioni.

Conclusioni

La prima versione del documento rappresenta una risorsa di grande valore per le aziende e le organizzazioni coinvolte nei sistemi di intelligenza artificiale. Il documento non è limitato solo alla giurisdizione francese, ma può essere applicato in qualsiasi paese soggetto al GDPR. Inoltre, il documento afferma che lo sviluppo dell’intelligenza artificiale e le considerazioni sulla privacy possono coesistere armoniosamente, a condizione che vi sia una governance solida e un’attenta supervisione dei contenuti.

La guida in questione rappresenta l’inizio dell’evoluzione della dottrina CNIL, che si prefigge di affrontare le sfide sollevate dall’utilizzo dell’intelligenza artificiale. In particolare, la guida si concentra sulla minimizzazione e conservazione dei dati personali.

In effetti, l’addestramento dei sistemi di intelligenza artificiale richiede una grande quantità di dati, spesso dati personali, che vengono utilizzati per proteggere la privacy delle persone. Tuttavia, l’utilizzo di algoritmi di intelligenza artificiale può comportare alcuni rischi per i diritti delle persone, come la creazione di informazioni false, la moltiplicazione di processi decisionali completamente automatizzati o la possibilità di nuove forme di monitoraggio e sorveglianza delle persone. È quindi importante bilanciare l’utilizzo di tali algoritmi con la tutela dei diritti delle persone.