Regole e Rischi: L’Impatto della Normativa sull’IA e la Protezione dei Dati

Navigare il crossover tra protezione dei dati e regolamentazione dell’IA

Il dati è il carburante che alimenta l’intelligenza artificiale (IA). Senza dati, non c’è molto su cui le IA possono essere intelligenti.

Le versioni del Regolamento Generale sulla Protezione dei Dati (GDPR) del Regno Unito e dell’UE si applicano a diversi settori e si estendono potenzialmente ben oltre il Regno Unito e l’UE. Le organizzazioni che operano qualsiasi sistema di IA per elaborare dati personali dovranno probabilmente conformarsi al GDPR o ad altre normative sulla protezione dei dati applicabili. Le violazioni possono comportare multe enormi. Nel 2023, l’autorità di protezione dei dati italiana ha avviato un’indagine su OpenAI, creatore di ChatGPT, risultando in multe di €15 milioni per violazioni degli obblighi GDPR relativi all’uso di dati personali per addestrare il proprio modello.

Regole sulla protezione dei dati: sotto osservazione normativa

Per aiutare le aziende a conformarsi, l’Information Commissioner’s Office (ICO) del Regno Unito e il European Data Protection Board hanno emesso una serie di materiali di guida. Costantemente in evoluzione, offrono supporto alle aziende per l’interpretazione della legge esistente e per la preparazione alla legislazione in arrivo.

La guida ICO affronta le Valutazioni d’Impatto sulla Protezione dei Dati (DPIAs), che consentono di analizzare i flussi e la logica dei dati per identificare i danni “allocativi” e “rappresentativi”. Questi possono includere l’uso di uno strumento di IA nella selezione del personale che discrimina sulla base di genere.

Le organizzazioni non possono semplicemente allontanarsi dall’AI black box e dire di non avere idea di cosa stia accadendo al suo interno. Devono essere in grado di spiegare, in modo trasparente, come vengono generate le decisioni e gli output dell’IA; le inferenze fatte dal sistema di IA; come vengono creati nuovi dati personali e i diritti dell’individuo sui dati modificati. Ciò può essere davvero difficile da fare.

Comprendere i flussi di dati dell’IA e garantire trasparenza sono cruciali per la conformità e l’innovazione. Le aziende devono essere proattive nell’affrontare queste sfide per costruire fiducia e soddisfare i loro requisiti normativi.

Nuovi concetti di supporto stanno emergendo. Il GDPR identifica già gli “interessi legittimi” come una base legittima in base alla quale un’azienda può utilizzare i dati personali. Qualsiasi azienda che si basa su questa base deve valutare e bilanciare i benefici dell’uso dei dati personali rispetto ai diritti e alle libertà dell’individuo. Ciò può essere sia complesso che incerto.

Ora, il concetto di interessi legittimi riconosciuti è proposto nel Data (Use and Access) Bill del Regno Unito, attualmente in fase di approvazione in parlamento. Potrebbe portare chiarezza nel identificare quelle situazioni in cui le aziende possono fare affidamento sui motivi di interessi legittimi per l’elaborazione dei dati. Tra gli esempi proposti c’è l’uso dell’IA per aiutare a proteggere le persone vulnerabili.

Tuttavia, più il data controller è lontano dalla fonte originale dei dati, meno è probabile che possa fare affidamento sulla base degli interessi legittimi. In altre parole, è più probabile che sia disponibile in relazione ai dati personali raccolti direttamente dall’individuo, e meno probabile quando i dati personali sono ottenuti da fonti pubbliche.

Regolamento UE sull’IA: un cambiamento globale

L’IA, proprio come Internet, il cloud e altre innovazioni tecnologiche precedenti, è soggetta a regole e normative che sono neutre rispetto alla tecnologia e mirano a tutti gli aspetti della società. Includono leggi sulla privacy dei dati, legislazione contro la discriminazione, norme sulla proprietà intellettuale e obblighi di responsabilità.

Tuttavia, l’influenza dell’IA è così monumentale che ha la sua legislazione specifica per la tecnologia. Il Regolamento UE sull’IA è entrato in vigore nell’agosto 2023, con un potenziale impatto al di fuori dell’UE. È la prima collezione completa di leggi specifiche per l’IA al mondo. Ha un’applicazione trasversale ai settori, un chiaro approccio basato sul rischio e multe salate, fino a €35 milioni o il 7% del fatturato globale, per le violazioni.

Il legislatore dell’UE ha cercato di bilanciare i grandi benefici dell’IA con i suoi significativi rischi. Con il suo background nella legislazione sulla sicurezza dei prodotti, il Regolamento UE sull’IA classifica l’IA in base al rischio. Proibisce l’IA che esegue attività come il social scoring o la manipolazione subliminale. Ha obblighi onerosi per i sistemi di IA ad alto rischio, come quelli utilizzati nella biometria o nell’applicazione della legge.

Un’aggiunta dell’ultimo minuto alla legislazione, dovuta all’irrefrenabile crescita di ChatGPT dopo il suo lancio nel novembre 2022, è il cosiddetto sistema di IA a uso generale (GPAI). Le regole GPAI entreranno in vigore questo agosto.

Il contesto attuale è caratterizzato da un ambiente di contrattazione amico dei fornitori di IA. I fornitori stanno limitando le loro responsabilità ai più ristretti obblighi contrattuali. Per quanto possibile, stanno cercando di trasferire i rischi legali e finanziari sugli acquirenti e forniranno impegni minimi, se non addirittura assenti, in relazione al Regolamento UE sull’IA o al GDPR.

Priorità di conformità per gli utenti di IA

Le aziende e le funzioni di approvvigionamento si stanno abituando a soddisfare gli obblighi GDPR dove le loro IA utilizzano o interagiscono con dati personali. Ora, tuttavia, devono non solo rispettare i loro obblighi GDPR in relazione alla nuova tecnologia IA, ma anche conformarsi al Regolamento UE sull’IA.

Come prepararsi per la conformità:

• Pianificare la dovuta diligenza sui fornitori che utilizzano l’IA per elaborare dati personali per comprendere i flussi e la logica dei dati, il modo in cui vengono generati input e output, e le inferenze fatte.
• Durante le trattative contrattuali, cercare adeguate protezioni contrattuali dai fornitori di sistemi di IA riguardo al funzionamento dell’IA e alla conformità agli obblighi legislativi.
• Richiedere un adeguato coinvolgimento umano e supervisione nel funzionamento dell’IA e nelle decisioni che essa prende.
• Praticare la privacy by design. Incorporare considerazioni e meccanismi di protezione dei dati nella fase più precoce dello sviluppo del sistema di IA, piuttosto che rifarli in seguito.
• Condurre regolari DPIA per identificare rischi e modi per mitigarli man mano che i sistemi di IA evolvono.
• Rimanere aggiornati sulle normative sulla protezione dei dati e le leggi sull’IA in evoluzione; coinvolgere i regolatori e esperti del settore o legali; prepararsi ad adattarsi.

Le aziende stanno solo iniziando a sperimentare con l’IA e si trovano di fronte a una grande convergenza di legislazioni, regole, responsabilità e linee guida, spesso redatte in fretta. Crea un ambiente di conformità impegnativo. Ma, come osserva un esperto, la nebbia si diraderà un po’ e la razionalità diventerà più chiara man mano che il Regolamento UE sull’IA sarà attuato nei prossimi 18 mesi. I principi del GDPR sono direttamente rilevanti per la regolamentazione dell’IA e, se rispettati, non dovrebbero ostacolare l’innovazione né l’uso dell’IA.

Le aziende devono rimanere agili e proattive nelle loro strategie di conformità per garantire di essere pronte ad adattarsi a nuove normative e avanzamenti tecnologici. È essenziale la collaborazione con le parti interessate, inclusi esperti legali, fornitori di tecnologia e regolatori, per navigare nelle complessità della conformità all’IA. Lavorando insieme, le aziende possono garantire non solo la conformità, ma anche di essere all’avanguardia nello sviluppo etico dell’IA.