Intelligenza artificiale (IA), dati personali e consenso

L'addestramento dei sistemi IA è solo l'ultima frontiera in tema di uso dei dati degli utenti raccolti online dalle aziende. Tuttavia, il modo in cui tali dati vengono utilizzati, il tipo di consenso necessario o come tutto ciò sarà regolamentato è spesso oggetto di dibattito.
Blog / Intelligenza artificiale (IA), dati personali e consenso
Pubblicato da Usercentrics
21 mins to read
Nov 24, 2023

L’intelligenza artificiale (IA) sembra ormai essere ovunque e ha già attirato finanziamenti, investimenti e attenzione dei media. Si tratta dell’ultima tendenza in ambito tecnologico o di un fenomeno che sta cambiando e continuerà a cambiare in modo tangibile ogni aspetto del nostro modo di creare e lavorare? Chi è il proprietario dei dati di input e dei risultati?

Si dice che lo sviluppo dell’intelligenza artificiale poggi su tre pilastri: algoritmi, hardware e dati. I dati sono l’elemento meno chiaro, e il consenso dell’utente ha un ruolo centrale.

Il rapido progresso nell’ambito dell’addestramento dell’IA e degli utilizzi di questa tecnologia ha sollevato dubbi sul consenso degli utenti e sulle implicazioni etiche derivanti dall’uso dei dati personali. Se per addestrare l’IA si utilizzano i dati degli utenti, questi ultimi possono rivendicare dei diritti sui risultati prodotti? Le organizzazioni che necessitano di dati per addestrare l’IA devono ottenere il consenso per i dati già pubblicati online? Per quante e quali specifiche finalità i fornitori di servizi e strumenti di IA necessitano del consenso esplicito degli utenti?

Che cos’è l’intelligenza artificiale (IA)?

L’intelligenza artificiale consiste nello sviluppo di macchine in grado di eseguire attività che in genere richiedono l’intelligenza umana. Ciò include aree come il riconoscimento testuale o vocale, la risoluzione dei problemi e i processi decisionali. Lo sviluppo dell’IA richiede spesso l’immissione di grandi quantità di dati per aiutare i sistemi ad “apprendere”.

Che cos’è l’apprendimento automatico?

L’apprendimento automatico (machine learning) è un sottoinsieme dell’intelligenza artificiale finalizzato allo sviluppo di algoritmi e modelli che consentono ai computer di imparare dai dati e di fare previsioni o prendere decisioni senza essere esplicitamente programmati per farlo. Consente ai computer di “imparare” dagli esempi e migliorare le prestazioni nel tempo.

Cosa sono i modelli linguistici di grandi dimensioni (LLM)?

I modelli linguistici di grandi dimensioni (LLM, large language models) sono una novità recente in ambito di ricerca sull’IA e sono progettati per comprendere e generare un linguaggio simile a quello umano. ChatGPT di OpenAI e Bard di Google sono esempi di LLM accessibili al pubblico. Alcuni strumenti sviluppati utilizzando tali modelli possono essere utilizzati per l’ottimizzazione per i motori di ricerca (SEO), i contenuti marketing e altri scopi aziendali.

Lo scopo dell’addestramento è quello di permettere agli LLM di comprendere la struttura, il significato e il contesto del linguaggio umano, in modo che possano, per esempio, fornire risposte più accurate quando vengono interrogati dalle persone.

Gli LLM sono addestrati su grandi quantità di testo estratto da libri, articoli, siti web e altre fonti. Finora si sono verificati problemi di privacy dei dati a causa dell’estrazione e dell’analisi dei contenuti senza il consenso degli autori o dei proprietari. È possibile che si trattasse di dati sensibili utilizzati senza consenso.

Che cos’è l’addestramento dell’IA?

L’addestramento dell’IA, o addestramento dell’apprendimento automatico, consiste nell’insegnare a un sistema di intelligenza artificiale ad apprendere modelli, fare previsioni o prendere decisioni in base ai dati forniti. L’addestramento è essenziale per sviluppare sistemi di IA in grado di eseguire attività specifiche, riconoscere modelli, fornire informazioni accurate o formulare giudizi ponderati.

Il processo di addestramento prevede una serie di passaggi. In breve, si acquisiscono i dati pertinenti, che vengono predisposti per l’uso, quindi si scelgono le attività che il modello dovrà eseguire con i set di dati di addestramento e si procede all’inserimento dei dati e all’analisi. Infine, è necessario far sì che i risultati o le previsioni corrispondano agli esiti effettivi o migliorino la precisione e garantire che il modello di IA funzioni bene su tutti i set di dati, compresi quelli reali, e non solo su quelli utilizzati per l’addestramento. I modelli di IA devono superare tutti questi passaggi per essere pronti per un uso più ampio.

Ambiguità nell’uso dei set di dati per l’addestramento dell’IA

Le organizzazioni potrebbero chiedere cosa si intende per “uso” dei dati personali. In quale misura è necessario intervenire affinché i dati non siano più considerati personali? Ad esempio, per ottenere dati utilizzabili dal modello di addestramento, potrebbe essere necessario trasformarli rispetto al formato in cui sono stati raccolti. Inoltre, una data società deve ottenere il consenso all’uso dei dati per l’addestramento dei modelli di IA anche se opera unicamente a scopo di ricerca e non per fini commerciali? Forse l’accesso sarà consentito solo ai ricercatori.

Con quali dati viene addestrata l’IA?

L’IA può essere addestrata con molti tipi di dati. Le esigenze variano in base all’uso a cui il sistema è destinato, ad esempio rispondere a domande, prendere decisioni, generare grafiche o testo, ecc.

Di seguito sono indicati alcuni tipi comuni di dati per l’addestramento dell’IA:

  • Testo: ad esempio estratto da libri, articoli, siti web o social media; utilizzato per traduzione, sentiment analysis, sviluppo di chatbot, ecc.
  • Immagini: da un numero elevato di immagini categorizzate; utilizzate per il riconoscimento delle immagini, il rilevamento degli oggetti e la creazione di immagini
  • Audio: ad esempio parole pronunciate, suoni o modelli acustici; utilizzato per il riconoscimento vocale, gli assistenti vocali e i modelli di analisi audio
  • Dati video: provenienti da sequenze video; utilizzati per analisi video, sorveglianza, creazione di video e apprendimento di modelli temporali
  • Dati di gioco: estratti da dati e interazioni di gioco; utilizzati per sviluppare il gioco e la strategia
  • Dati strutturati: ad esempio estratti da database o fogli di calcolo; utilizzati per l’analisi predittiva, i sistemi di raccomandazione o il rilevamento di frodi
  • Dati dei sensori: estratti da videocamere, lidar, radar, ecc.; utilizzati per sistemi di veicoli autonomi, automazione industriale, ecc.
  • Dati sanitari: estratti da esami di diagnostica per immagini, quali radiografie e RM, cartelle cliniche e dati clinici dei pazienti; utilizzati per assistenza nella diagnosi, nel trattamento e nella ricerca
  • Dati finanziari: estratti da dati esistenti provenienti di mercati e dalle registrazioni delle transazioni; utilizzati per prevedere il prezzo delle azioni, la valutazione del credito e il rilevamento di frodi
  • Dati genomici: estratti da sequenze di DNA, marcatori genetici e altri dati biologici correlati; utilizzati per la medicina personalizzata e per migliorare la comprensione della genetica
  • Dati di simulazione: estratti di dati generati da simulazioni; utilizzati per apprendere il comportamento dei sistemi in condizioni diverse

Ambiguità sull’utilizzo di diverse tipologie di dati per l’addestramento dell’IA

Molti dei dati per l’addestramento dell’intelligenza artificiale sono esplicitamente citati nelle leggi sulla privacy dei dati. Spesso si tratta di dati personali e di PII, ovvero informazioni di identificazione personale. Alcuni di questi dati sono anche classificati dalle leggi sulla privacy come sensibili, il che significa che potrebbero causare danni maggiori se fossero consultati o utilizzati senza autorizzazione.

I dati sanitari, genomici e finanziari sono esempi particolarmente significativi di dati personali sensibili. Per i dati sensibili in genere è richiesto il consenso dell’utente ai fini della raccolta o dell’utilizzo ai sensi della legge sulla privacy, mentre per i dati personali non sensibili a volte è richiesto solo il consenso alla vendita o all’uso per pubblicità mirate, profilazione, ecc.

Va inoltre sottolineato che non tutti i gruppi di dati per l’addestramento sono uguali. Qualità, quantità, diversità e autorizzazione all’uso possono variare ampiamente. Ciò può influire notevolmente sulla capacità di “apprendimento” e sulle prestazioni dei sistemi. In alcuni casi può essere richiesto il consenso all’uso di alcuni tipi di dati all’interno di un gruppo ma non di altri. Anche dati scarsamente equilibrati o non eterogenei possono produrre risultati distorti, a volte con contenuti offensivi o ai limiti della legalità, come nel caso dei sistemi che generano suggerimenti discriminatori o identificazioni imprecise.

Ai sensi di molte leggi sulla privacy, le persone interessate hanno il diritto di chiedere la correzione dei propri dati da parte dell’entità che li ha raccolti nel caso in cui siano incompleti o imprecisi. Cosa succede se i dati sono corretti ma vengono utilizzati per produrre risultati imprecisi? Quali diritti possono rivendicare gli interessati? L’uso di queste tecnologie pone molti quesiti complessi per le autorità di regolamentazione, tra cui l’etica dell’automazione.

Consenso, IA e dati personali

Secondo le previsioni della società di ricerca Gartner, entro la fine del 2023 i dati personali del 65% della popolazione mondiale saranno protetti da normative sulla privacy dei dati ed entro il 2024 tale percentuale salirà al 75%. Gli unici aspetti che cambiano più velocemente della copertura normativa sulla privacy sono la tecnologia stessa e le richieste di dati, che sono alla base di tutto, dalle innovazioni scientifiche alle campagne di marketing.

Ma i dati non sono come l’aria. Non possono essere usati liberamente da chiunque. Molti dei dati esistenti a cui le organizzazioni desiderano accedere sono generati dalle persone e, pertanto, sono tutelati da diritti in materia di protezione e di accesso. Oggi i consumatori sono sempre più informati sulla privacy dei dati e sui loro diritti in materia di dati personali, anche se non sempre conoscono nel dettaglio come operano i sistemi di intelligenza artificiale e altre funzioni.

Con l’approvazione di un crescente numero di normative sulla privacy in tutto il mondo, le organizzazioni devono essere sempre più attente ad adempiere alle proprie responsabilità in materia di privacy dei dati. L’importanza delle normative sulla privacy e dei diritti dei consumatori è corroborata dall’imposizione di sanzioni potenzialmente onerose, come quelle previste ai sensi del Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea.

È importante conoscere la provenienza dei set di dati per l’addestramento dell’IA?

Le potenziali fonti di dati degli utenti sono sempre più numerose, soprattutto quelle online, come le piattaforme e le app social. Le aziende possono avere difficoltà a determinare le proprie responsabilità in materia di privacy dei dati se hanno la sede in un paese e utenti in tutto il mondo, poiché sono tenute a rispettare diverse normative sulla privacy. Molte di queste leggi sono extraterritoriali, nel qual caso diritti e tutele dipendono solo dal luogo di residenza degli utenti, non dalle sedi delle aziende.

Molti consumatori non fanno molta attenzione alla quantità di dati che creano ogni giorno, a chi può accedervi e a come potrebbero essere utilizzati. I bambini non danno importanza o non comprendono appieno il concetto di generazione o trattamento dei dati degli utenti, anche se la maggior parte delle leggi sulla privacy dei dati richiede ulteriori protezioni e consenso per l’accesso ai loro dati. Il consenso in genere deve essere fornito da un genitore o da un tutore legale se il bambino è al di sotto di una determinata soglia di età stabilita da ciascuna legge.

Alcune leggi sulla privacy dei dati non disciplinano i dati personali resi pubblici dalle persone, tra cui quelli generati sulle piattaforme social. Probabilmente post, commenti e foto per alcune persone non rappresentano una grande preoccupazione in termini di privacy. Ma cosa dire invece di messaggi privati o chat, che potrebbero contenere materiali molto più sensibili?

Una volta raccolti i dati, idealmente con il consenso dell’utente, le persone dovrebbero sapere come vengono trattati. La maggior parte delle leggi sulla privacy prevede che il titolare del trattamento, ovvero l’entità responsabile della raccolta e dell’utilizzo dei dati, informi gli utenti su quali dati verranno raccolti e per quali scopi. Se tali scopi cambiano, molte leggi sulla privacy prevedono che il titolare del trattamento informi gli utenti e ottenga un nuovo consenso. Con l’addestramento dell’IA, questo processo potrebbe richiedere molti dettagli specifici ed essere soggetto a cambiamenti frequenti.

Difficoltà di acquisizione del consenso degli utenti all’utilizzo dell’IA

Poiché molti sistemi di intelligenza artificiale sono ancora sperimentali e generano risultati non prevedibili, il rispetto di alcuni requisiti di privacy dei dati può essere difficoltoso. Le organizzazioni possono comunicare agli utenti lo scopo per cui intendono utilizzare i dati, ma è possibile che il loro uso effettivo, il modo in cui vengono modificati o i risultati che producono generino risultati diversi dal previsto.

Gli utenti devono essere informati in anticipo di eventuali variazioni messe in atto, ma chi svolge il lavoro potrebbe venire a conoscenza della modifica solo dopo la sua attuazione. Se vengono analizzate grandi quantità di dati in tempo reale, i meccanismi tradizionali per ottenere il consenso degli utenti, come i banner dei cookie, potrebbero non essere abbastanza rapidi o granulari o essere comunque insufficienti.

I sistemi di IA rivolti agli utenti possono essere potenzialmente manipolatori e indurre le persone a fornire inconsapevolmente determinate informazioni. I sistemi possono inoltre rivelare connessioni più sofisticate e nebulose tra i punti dati, consentendo l’identificazione e la profilazione a un livello mai visto prima. Questo potenzialmente può trasformare qualsiasi dato in informazioni personali identificabili o sensibili. Gli attuali requisiti di consenso potrebbero non disciplinare adeguatamente questa materia.

Mentre le pratiche manipolatorie dell’interfaccia utente e dell’esperienza utente, comunemente note come dark pattern, sono sempre più spesso condannate e, in alcuni casi, regolamentate, esse tendono a focalizzarsi su tattiche già note. Il responsive design potrebbe consentire lo sviluppo di nuove e più sofisticate metodologie di manipolazione degli utenti.

La controversia su Zoom e il consenso degli utenti

La popolare piattaforma per videoconferenze Zoom ha aggiornato i suoi Termini di servizio a marzo 2023, attività piuttosto comune per un’azienda. Tuttavia, due sezioni sembravano avere ampie implicazioni per le autorizzazioni di Zoom relative ai dati degli utenti, definiti “Dati generati dal servizio”, che includono telemetria, utilizzo del prodotto, diagnostica e dati o contenuti simili generati utilizzando Zoom e raccolti dall’azienda durante l’utilizzo della piattaforma.

In base ai Termini di servizio aggiornati, Zoom deteneva tutti i diritti sui Dati generati dal servizio, inclusi i diritti di modifica, distribuzione, elaborazione, condivisione, gestione e archiviazione “per qualsiasi scopo, nella misura e nel modo consentiti dalla legge applicabile”. È stato esplicitamente menzionato il diritto di Zoom di utilizzare i dati degli utenti per l’apprendimento automatico e l’intelligenza artificiale, inclusi modelli e algoritmi di addestramento e ottimizzazione.

Pertanto, Zoom potrebbe raccogliere una serie di dati degli utenti sull’utilizzo della piattaforma e impiegarli in vari modi, ad esempio per l’addestramento dell’IA, senza dover chiedere il consenso esplicito degli utenti o consentire loro di rifiutare tale consenso.

Questo può essere legale ai sensi delle attuali leggi sulla privacy in vigore negli Stati Uniti, dove Zoom ha la sede centrale (il paese non ha una singola legge federale, ma solo una serie di leggi a livello statale), ma non è legale ai sensi del GDPR dell’UE, che richiede, tra gli altri requisiti, che il consenso sia “informato”, (Considerando 32 GDPR).

Ai sensi del GDPR, affinché il consenso sia valido, è necessario che venga ottenuto prima dell’inizio della raccolta dei dati e che gli utenti siano informati in modo chiaro e comprensibile. I Termini di servizio di Zoom sono piuttosto criptici, così come quelli di molte altre aziende.

La risposta di Zoom alla controversia sulla modifica dei Termini di servizio

La reazione alla scoperta e alla divulgazione dei Termini di servizio è stata notevole. Le aziende temevano che le informazioni proprietarie provenienti da riunioni riservate potessero essere utilizzate senza consenso o che Zoom sarebbe diventata titolare dei loro contenuti creativi, come interviste per video o podcast.

Alcune aziende statunitensi che utilizzano Zoom per scopi legati all’assistenza sanitaria erano terrorizzate dalle possibili violazioni dell’Health Insurance Portability and Accountability Act (HIPAA) in termini di privacy. Uno dei timori era che l’azienda potesse entrare in possesso dei contenuti delle sessioni terapeutiche dei pazienti e utilizzarli. È possibile che questa non fosse l’intenzione dell’azienda, ma la percezione del pubblico ha sempre e comunque un forte peso.

Zoom ha risposto con un ulteriore aggiornamento dei Termini di servizio per chiarire l’uso dei dati, affermando che non avrebbe addestrato i propri modelli di IA con contenuti audio, video o chat dei clienti senza il loro previo consenso.

Inoltre, ha aggiunto alla sezione 10.2 la seguente affermazione: “Zoom non utilizza audio, video, chat, condivisioni di schermo, allegati o altri contenuti dei clienti simili alle comunicazioni (come risultati dei sondaggi, whiteboard e reazioni) per addestrare modelli di intelligenza artificiale proprietari o di terze parti“.

Diversi utenti hanno tuttavia continuato a esprimere preoccupazione in merito alle autorizzazioni apparentemente ad ampio raggio concesse a Zoom in caso di consenso e molti non hanno ancora compreso esattamente cosa si intende per “Contenuto generato dal servizio”.

Le aziende tecnologiche, i Termini di servizio e il consenso: altre sfide

È importante notare che Zoom non è un’anomalia. Altre aziende utilizzano l’intelligenza artificiale per le funzioni delle loro piattaforme. Google la utilizza per creare trascrizioni delle chiamate su Google Meet (con risultati altalenanti). Anche Meta, la casa madre di Facebook, è stata scoperta a “nascondere” il consenso all’uso dei dati degli utenti nella pubblicità personalizzata nei suoi Termini di servizio nel 2022. Nel gennaio 2023, all’azienda è stato vietato di utilizzare i dati personali a scopo pubblicitario con questo tipo di “consenso”, di cui la maggior parte degli utenti era all’oscuro. Da allora, Meta ha dichiarato di voler cambiare il proprio modello e di richiedere il consenso per la pubblicità nell’UE.

Altre aziende sono state colte in flagrante nel tentativo di utilizzare tattiche poco trasparenti analoghe. In alcuni casi celavano il “consenso” o autorizzazioni discutibili all’interno dei termini di servizio, sapendo che pochi utenti li leggono con attenzione. Nella migliore delle ipotesi, si tratta di un comportamento disonesto e, nella peggiore, di una pratica illegale, in quanto molte normative richiedono il consenso informato.

La necessità di maggiore chiarezza in tema di addestramento dell’IA, di contenuti generati dagli utenti sulle piattaforme e di consenso è evidente e diventerà un problema sempre più pressante nel tempo.

In che modo le aziende possono utilizzare i dati in modo etico con un valido consenso degli utenti?

Le aziende che acquisiscono dati per l’addestramento dell’IA o per altri usi possono e devono garantire di aver ottenuto il consenso dalle fonti o dagli utenti. In alcuni casi questo potrebbe essere un requisito indispensabile per collaborare con partner o fornitori.

Il consenso sta diventando importante anche per la strategia di monetizzazione. Ad esempio, sempre più spesso, gli inserzionisti più importanti chiedono la prova del consenso alla raccolta dei dati degli utenti prima di accettare di collaborare con gli sviluppatori di app.

Le aziende che raccolgono i dati degli utenti dalle proprie piattaforme e dagli utenti per l’addestramento dell’IA o per altri scopi hanno la responsabilità diretta di ottenere un consenso valido e di rispettare le leggi sulla protezione dei dati. Esistono diversi modi in cui le aziende possono ottenere la conformità e il consenso valido.

Trasparenza: le leggi sulla privacy richiedono notifiche chiare e accessibili e le aziende devono fornire agli utenti informazioni comprensibili sulle modalità di utilizzo e di elaborazione dei loro dati, incluso l’addestramento dell’IA. Man mano che cambia il modo di utilizzare i dati personali, le aziende devono aggiornare le proprie informative sulla privacy, informare gli utenti e, ai sensi di molte leggi sulla privacy, ottenere di nuovo il consenso per i nuovi utilizzi dei dati personali.

Consenso granulare: gli utenti devono poter accettare o rifiutare la raccolta e il trattamento dei propri dati personali con cognizione di causa, ad esempio approvando alcuni tipi di trattamento, come pubblicità mirata o addestramento dell’IA, ma non altri, come la vendita dei dati. Ciò contribuisce a far sì che le persone siano informate, requisito essenziale per la validità del consenso secondo la maggior parte delle leggi sulla privacy.

Meccanismi intuitivi: così come è necessario che le notifiche siano chiare e accessibili, è altrettanto importante che gli utenti comprendano facilmente come accettare o rifiutare il consenso. Le informazioni sul trattamento dei dati devono essere disponibili e gli utenti devono avere la possibilità di accettare o rifiutare il consenso a livello granulare. Inoltre, gli utenti devono poter rifiutare il consenso con la stessa facilità con cui lo accettano e, ai sensi di molte leggi sulla privacy, devono anche poter modificare facilmente le proprie preferenze di consenso.

Familiarità con le normative: le varie giurisdizioni prevedono leggi sulla privacy differenti con requisiti e modelli di consenso diversi. È importante che le aziende sappiano quali leggi devono rispettare e come farlo. La consultazione o la nomina di un consulente legale qualificato o di un esperto di privacy, ad esempio un responsabile della protezione dei dati (DPO), può essere di aiuto ed è richiesta da alcune leggi sulla privacy. Tale figura aiuta a delineare linee guida e processi, aggiornare le operazioni e gestire la sicurezza dei dati e il relativo trattamento.

Quali diritti hanno gli utenti delle piattaforme online sui loro dati?

I diritti dei consumatori in relazione ai propri dati personali dipendono da una serie di fattori, tra cui il paese di residenza e le leggi sulla privacy in vigore, la destinazione d’uso della piattaforma, i dati che l’utente fornisce o genera sulla stessa e i relativi termini di servizio.

Nell’Unione europea le aziende che si occupano della raccolta e del trattamento dei dati personali devono ottenere il consenso dell’utente per svolgere la loro attività. Questo vale anche per le piattaforme di social media, i blog, i siti web governativi o i negozi di e-commerce. I dati degli utenti possono essere raccolti per apprendere come viene utilizzato un sito e migliorarne il funzionamento, per agevolare l’evasione degli ordini online, per mostrare annunci pubblicitari o per addestrare modelli di IA.

Le piattaforme di tutto il mondo utilizzate per attività finanziarie o per l’assistenza sanitaria hanno requisiti più severi in materia di privacy e sicurezza, in virtù del tipo di informazioni che gestiscono, disciplinati da molteplici normative.

In alcune giurisdizioni, è comunque permesso mostrare un banner dei cookie in cui l’utente conferma che, continuando a utilizzare il sito o il servizio, acconsente alla raccolta e all’utilizzo dei suoi dati personali. Nell’UE e in altre giurisdizioni, tuttavia, questo non è accettabile ed è necessario un consenso granulare.

L’uso dei cookie online è in declino, in quanto esistono tecnologie più moderne e sofisticate in grado di svolgere l’attività dei cookie. La domanda che ci poniamo oggi e ci porremo in futuro non è tanto come l’IA utilizza o può utilizzare i cookie, quanto in che modo può accelerarne la sostituzione.

Apple e Mozilla hanno bloccato i cookie di terze parti e Google prevede di smettere di utilizzarli del tutto. I nuovi strumenti e metodi consentono, tra le altre cose, di gestire meglio la privacy e il consenso ai dati, e possono migliorare la qualità dei dati degli utenti.

Gli attuali modelli di consenso ai cookie potrebbero essere inadeguati per l’IA, poiché i sistemi di intelligenza artificiale sono in grado analizzare grandi quantità di dati in tempo reale, in contrasto con gli strumenti che analizzano i dati dai cookie attivi nel tempo. Per ottenere il consenso prima dell’inizio della raccolta o dell’utilizzo dei dati, con gli attuali pop-up, l’utente dovrebbe essere tempestato di banner di consenso con una velocità e una frequenza che ne renderebbero impossibile l’elaborazione da parte di un essere umano.

I modelli di IA possono consentire annunci pubblicitari più efficaci o esperienze di utilizzo personalizzate senza affidarsi alla raccolta di informazioni personali identificabili, poiché sono in grado di analizzare grandi quantità di dati molto rapidamente e di raggruppare le persone in segmenti di pubblico in base ai comportamenti. Se il sistema non ha bisogno di raccogliere i dati dell’utente, il consenso, almeno per la raccolta dei dati, potrebbe non essere necessario.

Probabilmente leggi e best practice continuerebbero a richiedere che gli utenti siano informati su come potrebbero essere monitorati e analizzati i loro comportamenti e su come potrebbero essere utilizzate queste informazioni, ad esempio per creare annunci pubblicitari o esperienze di acquisto personalizzati. Ma i dati personali degli utenti non possono essere venduti se non vengono raccolti.

Che cos’è la Normativa sull’IA dell’UE?

La Normativa sull’IA (AI Act) dell’UE è una legge sull’intelligenza artificiale (IA) proposta dalla Commissione europea. Si tratta della prima legge al mondo per la regolamentazione dell’intelligenza artificiale a tutto tondo. L’obiettivo è quello di bilanciare gli usi positivi della tecnologia mitigando quelli negativi e codificando dei diritti. Un altro obiettivo consiste nel chiarire le principali domande attuali e future sullo sviluppo dell’IA e di rendere la legge uno standard globale, come è avvenuto con il GDPR.

In base a questa legge, le applicazioni della tecnologia di IA verrebbero assegnate a una di queste categorie:

Rischio inaccettabile: l’IA con rischi inaccettabili sarebbe completamente vietata, ad esempio il sistema di credito sociale del governo cinese

Alto rischio: intelligenza artificiale con rischi potenziali, consentita se conforme ai requisiti IA e alla valutazione di conformità prevista, ad esempio uno strumento che classifica i candidati a un impiego mediante la scansione dei curriculum

Rischio medio: intelligenza artificiale con obblighi di trasparenza specifici, consentita ma soggetta a requisiti informativi, ad esempio bot che possono essere utilizzati per la personificazione

Rischio minimo o nullo: intelligenza artificiale senza rischi rilevanti, consentita senza restrizioni

Disposizioni relative al consenso nella Normativa sull’IA

L’AI Act è attualmente in bozza e può subire delle variazioni prima di essere convertito in legge. Al momento il consenso dell’utente e la privacy e la protezione dei dati sono trattati nei relativi statuti su diversi fronti:

Alto rischio: è necessario il consenso esplicito per l’uso di sistemi di IA ad alto rischio, ad esempio infrastrutture critiche, impiego, assistenza sanitaria e forze dell’ordine.

Trasparenza: i fornitori di IA devono comunicare chiaramente le finalità, le capacità e le limitazioni dei sistemi per permettere agli utenti di prendere decisioni e comprendere il potenziale impatto sui loro diritti.

Diritto ai chiarimenti: gli utenti hanno il diritto di ottenere spiegazioni chiare in merito alle decisioni dei sistemi di IA.

Diritto al controllo dell’utente: gli utenti devono avere la possibilità di rinunciare, disattivare o disinstallare i sistemi di IA, in particolare quando sono in gioco diritti o interessi fondamentali (ai sensi di alcune leggi sulla privacy, gli utenti hanno il diritto di rinunciare al “processo decisionale automatizzato”).

Privacy e protezione dei dati: la Normativa sull’IA enfatizza la necessità di minimizzare i dati, limitare le finalità e mettere in atto misure di salvaguardia per proteggere i dati personali quando si utilizzano sistemi di IA, in linea con le normative esistenti sulla privacy dei dati come il GDPR.

Conclusione e futuro dell’IA e del consenso

L’intelligenza artificiale non è un fenomeno passeggero. Le sue capacità e i suoi casi d’uso potenziali continueranno a evolvere rapidamente. Si tratta di una sfida dal punto di vista della regolamentazione, in quanto l’elaborazione e l’aggiornamento delle leggi in genere hanno tempi molto più lunghi rispetto alla velocità di sviluppo delle tecnologie.

Tuttavia, gli utenti non devono essere soggetti al principio del “caveat emptor”, soprattutto online, per quanto riguarda i nuovi utilizzi dei dati personali e le sfide in tema di privacy. Le autorità di regolamentazione devono elaborare e aggiornare leggi che siano chiare e complete, ma sufficientemente flessibili da essere interpretabili e applicabili nel presente e in futuro.

Le organizzazioni devono sapere a quali normative sulla privacy devono attenersi, conoscerne i contenuti e comprenderne le implicazioni a livello operativo. Tutto questo va monitorato regolarmente e, in caso di variazioni, comunicato chiaramente. Cercare di introdurre modifiche ai termini di utilizzo o di utilizzare i dati raccolti per nuovi scopi senza chiedere nuovamente il consenso dell’utente è un modo immediato per danneggiare la reputazione del marchio, oltre a essere illegale in molte giurisdizioni. L’acquisizione di maggiori conoscenze in tema di dati personali e privacy da parte dei consumatori imporrà alle aziende comunicazioni sempre più chiare sulla raccolta e sull’utilizzo dei dati.

Le aziende devono inoltre adottare best practice, come la privacy by design, per garantire il rispetto delle persone, che rappresentano la fonte dei loro dati, e della legge. Ciò contribuirà anche a garantire l’ottenimento del consenso e la raccolta e l’utilizzo dei dati limitatamente agli usi consentiti dalla legge per tutte le operazioni, che si tratti di evadere ordini di e-commerce o di addestrare nuovi modelli di IA.

L’IA è solo l’ultima tecnologia in ordine di tempo ad aver presentato nuove sfide a consumatori, aziende e autorità di regolamentazione. Non è la prima e non sarà l’ultima. Ma le best practice per raggiungere la conformità, creare fiducia negli utenti e far crescere con successo le aziende (o occuparsi di scienza) continuano a essere le stesse e vanno a vantaggio sia delle organizzazioni sia dei consumatori.

Per ulteriori informazioni, contatta ora i nostri esperti.

Usercentrics non fornisce consulenza legale e le informazioni sono fornite esclusivamente a scopo educativo. Si consiglia sempre di rivolgersi a consulenti legali o esperti di privacy qualificati per questioni e operazioni relative alla privacy e alla protezione dei dati.