Intelligenza artificiale (IA), dati personali e consenso

L'addestramento dei sistemi IA è solo l'ultima frontiera in tema di uso dei dati degli utenti raccolti online dalle aziende. Tuttavia, il modo in cui tali dati vengono utilizzati, il tipo di consenso necessario o come tutto ciò sarà regolamentato è spesso oggetto di dibattito.
I dati per l’addestramento dell'IA è l'ultima frontiera dell’uso dei dati degli utenti da parte delle aziende, ma che consenso è necessario?
Blog / Intelligenza artificiale (IA), dati personali e consenso
Pubblicato da Usercentrics
21 mins to read
Nov 24, 2023

L’intelligenza artificiale (IA) sembra ormai essere ovunque e ha già attirato finanziamenti, investimenti e attenzione dei media. Si tratta dell’ultima tendenza in ambito tecnologico o di un fenomeno che sta cambiando e continuerà a cambiare in modo tangibile ogni aspetto del nostro modo di creare e lavorare? Chi è il proprietario dei dati di input e dei risultati?

Si dice che lo sviluppo dell’intelligenza artificiale poggi su tre pilastri: algoritmi, hardware e dati. I dati sono l’elemento meno chiaro, e il consenso dell’utente ha un ruolo centrale.

Il rapido progresso nell’ambito dell’addestramento dell’IA e degli utilizzi di questa tecnologia ha sollevato dubbi sul consenso degli utenti e sulle implicazioni etiche derivanti dall’uso dei dati personali. Se per addestrare l’IA si utilizzano i dati degli utenti, questi ultimi possono rivendicare dei diritti sui risultati prodotti? Le organizzazioni che necessitano di dati per addestrare l’IA devono ottenere il consenso per i dati già pubblicati online? Per quante e quali specifiche finalità i fornitori di servizi e strumenti di IA necessitano del consenso esplicito degli utenti?

Che cos’è l’intelligenza artificiale (IA)?

L’intelligenza artificiale consiste nello sviluppo di macchine in grado di eseguire attività che in genere richiedono l’intelligenza umana. Ciò include aree come il riconoscimento testuale o vocale, la risoluzione dei problemi e i processi decisionali. Lo sviluppo dell’IA richiede spesso l’immissione di grandi quantità di dati per aiutare i sistemi ad “apprendere”.

Che cos’è l’apprendimento automatico?

L’apprendimento automatico (machine learning) è un sottoinsieme dell’intelligenza artificiale finalizzato allo sviluppo di algoritmi e modelli che consentono ai computer di imparare dai dati e di fare previsioni o prendere decisioni senza essere esplicitamente programmati per farlo. Consente ai computer di “imparare” dagli esempi e migliorare le prestazioni nel tempo.

Cosa sono i modelli linguistici di grandi dimensioni (LLM)?

I modelli linguistici di grandi dimensioni (LLM, large language models) sono una novità recente in ambito di ricerca sull’IA e sono progettati per comprendere e generare un linguaggio simile a quello umano. ChatGPT di OpenAI e Bard di Google sono esempi di LLM accessibili al pubblico. Alcuni strumenti sviluppati utilizzando tali modelli possono essere utilizzati per l’ottimizzazione per i motori di ricerca (SEO), i contenuti marketing e altri scopi aziendali.

Lo scopo dell’addestramento è quello di permettere agli LLM di comprendere la struttura, il significato e il contesto del linguaggio umano, in modo che possano, per esempio, fornire risposte più accurate quando vengono interrogati dalle persone.

Gli LLM sono addestrati su grandi quantità di testo estratto da libri, articoli, siti web e altre fonti. Finora si sono verificati problemi di privacy dei dati a causa dell’estrazione e dell’analisi dei contenuti senza il consenso degli autori o dei proprietari. È possibile che si trattasse di dati sensibili utilizzati senza consenso.

Che cos’è l’addestramento dell’IA?

L’addestramento dell’IA, o addestramento dell’apprendimento automatico, consiste nell’insegnare a un sistema di intelligenza artificiale ad apprendere modelli, fare previsioni o prendere decisioni in base ai dati forniti. L’addestramento è essenziale per sviluppare sistemi di IA in grado di eseguire attività specifiche, riconoscere modelli, fornire informazioni accurate o formulare giudizi ponderati.

Il processo di addestramento prevede una serie di passaggi. In breve, si acquisiscono i dati pertinenti, che vengono predisposti per l’uso, quindi si scelgono le attività che il modello dovrà eseguire con i set di dati di addestramento e si procede all’inserimento dei dati e all’analisi. Infine, è necessario far sì che i risultati o le previsioni corrispondano agli esiti effettivi o migliorino la precisione e garantire che il modello di IA funzioni bene su tutti i set di dati, compresi quelli reali, e non solo su quelli utilizzati per l’addestramento. I modelli di IA devono superare tutti questi passaggi per essere pronti per un uso più ampio.

Ambiguità nell’uso dei set di dati per l’addestramento dell’IA

Le organizzazioni potrebbero chiedere cosa si intende per “uso” dei dati personali. In quale misura è necessario intervenire affinché i dati non siano più considerati personali? Ad esempio, per ottenere dati utilizzabili dal modello di addestramento, potrebbe essere necessario trasformarli rispetto al formato in cui sono stati raccolti. Inoltre, una data società deve ottenere il consenso all’uso dei dati per l’addestramento dei modelli di IA anche se opera unicamente a scopo di ricerca e non per fini commerciali? Forse l’accesso sarà consentito solo ai ricercatori.

Con quali dati viene addestrata l’IA?

L’IA può essere addestrata con molti tipi di dati. Le esigenze variano in base all’uso a cui il sistema è destinato, ad esempio rispondere a domande, prendere decisioni, generare grafiche o testo, ecc.

Di seguito sono indicati alcuni tipi comuni di dati per l’addestramento dell’IA:

  • Testo: ad esempio estratto da libri, articoli, siti web o social media; utilizzato per traduzione, sentiment analysis, sviluppo di chatbot, ecc.
  • Immagini: da un numero elevato di immagini categorizzate; utilizzate per il riconoscimento delle immagini, il rilevamento degli oggetti e la creazione di immagini
  • Audio: ad esempio parole pronunciate, suoni o modelli acustici; utilizzato per il riconoscimento vocale, gli assistenti vocali e i modelli di analisi audio
  • Dati video: provenienti da sequenze video; utilizzati per analisi video, sorveglianza, creazione di video e apprendimento di modelli temporali
  • Dati di gioco: estratti da dati e interazioni di gioco; utilizzati per sviluppare il gioco e la strategia
  • Dati strutturati: ad esempio estratti da database o fogli di calcolo; utilizzati per l’analisi predittiva, i sistemi di raccomandazione o il rilevamento di frodi
  • Dati dei sensori: estratti da videocamere, lidar, radar, ecc.; utilizzati per sistemi di veicoli autonomi, automazione industriale, ecc.
  • Dati sanitari: estratti da esami di diagnostica per immagini, quali radiografie e RM, cartelle cliniche e dati clinici dei pazienti; utilizzati per assistenza nella diagnosi, nel trattamento e nella ricerca
  • Dati finanziari: estratti da dati esistenti provenienti di mercati e dalle registrazioni delle transazioni; utilizzati per prevedere il prezzo delle azioni, la valutazione del credito e il rilevamento di frodi
  • Dati genomici: estratti da sequenze di DNA, marcatori genetici e altri dati biologici correlati; utilizzati per la medicina personalizzata e per migliorare la comprensione della genetica
  • Dati di simulazione: estratti di dati generati da simulazioni; utilizzati per apprendere il comportamento dei sistemi in condizioni diverse

Ambiguità sull’utilizzo di diverse tipologie di dati per l’addestramento dell’IA

Molti dei dati per l’addestramento dell’intelligenza artificiale sono esplicitamente citati nelle leggi sulla privacy dei dati. Spesso si tratta di dati personali e di PII, ovvero informazioni di identificazione personale. Alcuni di questi dati sono anche classificati dalle leggi sulla privacy come sensibili, il che significa che potrebbero causare danni maggiori se fossero consultati o utilizzati senza autorizzazione.

I dati sanitari, genomici e finanziari sono esempi particolarmente significativi di dati personali sensibili. Per i dati sensibili in genere è richiesto il consenso dell’utente ai fini della raccolta o dell’utilizzo ai sensi della legge sulla privacy, mentre per i dati personali non sensibili a volte è richiesto solo il consenso alla vendita o all’uso per pubblicità mirate, profilazione, ecc.

Va inoltre sottolineato che non tutti i gruppi di dati per l’addestramento sono uguali. Qualità, quantità, diversità e autorizzazione all’uso possono variare ampiamente. Ciò può influire notevolmente sulla capacità di “apprendimento” e sulle prestazioni dei sistemi. In alcuni casi può essere richiesto il consenso all’uso di alcuni tipi di dati all’interno di un gruppo ma non di altri. Anche dati scarsamente equilibrati o non eterogenei possono produrre risultati distorti, a volte con contenuti offensivi o ai limiti della legalità, come nel caso dei sistemi che generano suggerimenti discriminatori o identificazioni imprecise.

Ai sensi di molte leggi sulla privacy, le persone interessate hanno il diritto di chiedere la correzione dei propri dati da parte dell’entità che li ha raccolti nel caso in cui siano incompleti o imprecisi. Cosa succede se i dati sono corretti ma vengono utilizzati per produrre risultati imprecisi? Quali diritti possono rivendicare gli interessati? L’uso di queste tecnologie pone molti quesiti complessi per le autorità di regolamentazione, tra cui l’etica dell’automazione.

Consenso, IA e dati personali

Secondo le previsioni della società di ricerca Gartner, entro la fine del 2023 i dati personali del 65% della popolazione mondiale saranno protetti da normative sulla privacy dei dati ed entro il 2024 tale percentuale salirà al 75%. Gli unici aspetti che cambiano più velocemente della copertura normativa sulla privacy sono la tecnologia stessa e le richieste di dati, che sono alla base di tutto, dalle innovazioni scientifiche alle campagne di marketing.

Ma i dati non sono come l’aria. Non possono essere usati liberamente da chiunque. Molti dei dati esistenti a cui le organizzazioni desiderano accedere sono generati dalle persone e, pertanto, sono tutelati da diritti in materia di protezione e di accesso. Oggi i consumatori sono sempre più informati sulla privacy dei dati e sui loro diritti in materia di dati personali, anche se non sempre conoscono nel dettaglio come operano i sistemi di intelligenza artificiale e altre funzioni.

Con l’approvazione di un crescente numero di normative sulla privacy in tutto il mondo, le organizzazioni devono essere sempre più attente ad adempiere alle proprie responsabilità in materia di privacy dei dati. L’importanza delle normative sulla privacy e dei diritti dei consumatori è corroborata dall’imposizione di sanzioni potenzialmente onerose, come quelle previste ai sensi del Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea.

È importante conoscere la provenienza dei set di dati per l’addestramento dell’IA?

Le potenziali fonti di dati degli utenti sono sempre più numerose, soprattutto quelle online, come le piattaforme e le app social. Le aziende possono avere difficoltà a determinare le proprie responsabilità in materia di privacy dei dati se hanno la sede in un paese e utenti in tutto il mondo, poiché sono tenute a rispettare diverse normative sulla privacy. Molte di queste leggi sono extraterritoriali, nel qual caso diritti e tutele dipendono solo dal luogo di residenza degli utenti, non dalle sedi delle aziende.

Molti consumatori non fanno molta attenzione alla quantità di dati che creano ogni giorno, a chi può accedervi e a come potrebbero essere utilizzati. I bambini non danno importanza o non comprendono appieno il concetto di generazione o trattamento dei dati degli utenti, anche se la maggior parte delle leggi sulla privacy dei dati richiede ulteriori protezioni e consenso per l’accesso ai loro dati. Il consenso in genere deve essere fornito da un genitore o da un tutore legale se il bambino è al di sotto di una determinata soglia di età stabilita da ciascuna legge.

Alcune leggi sulla privacy dei dati non disciplinano i dati personali resi pubblici dalle persone, tra cui quelli generati sulle piattaforme social. Probabilmente post, commenti e foto per alcune persone non rappresentano una grande preoccupazione in termini di privacy. Ma cosa dire invece di messaggi privati o chat, che potrebbero contenere materiali molto più sensibili?

Una volta raccolti i dati, idealmente con il consenso dell’utente, le persone dovrebbero sapere come vengono trattati. La maggior parte delle leggi sulla privacy prevede che il titolare del trattamento, ovvero l’entità responsabile della raccolta e dell’utilizzo dei dati, informi gli utenti su quali dati verranno raccolti e per quali scopi. Se tali scopi cambiano, molte leggi sulla privacy prevedono che il titolare del trattamento informi gli utenti e ottenga un nuovo consenso. Con l’addestramento dell’IA, questo processo potrebbe richiedere molti dettagli specifici ed essere soggetto a cambiamenti frequenti.

Difficoltà di acquisizione del consenso degli utenti all’utilizzo dell’IA

Poiché molti sistemi di intelligenza artificiale sono ancora sperimentali e generano risultati non prevedibili, il rispetto di alcuni requisiti di privacy dei dati può essere difficoltoso. Le organizzazioni possono comunicare agli utenti lo scopo per cui intendono utilizzare i dati, ma è possibile che il loro uso effettivo, il modo in cui vengono modificati o i risultati che producono generino risultati diversi dal previsto.

Gli utenti devono essere informati in anticipo di eventuali variazioni messe in atto, ma chi svolge il lavoro potrebbe venire a conoscenza della modifica solo dopo la sua attuazione. Se vengono analizzate grandi quantità di dati in tempo reale, i meccanismi tradizionali per ottenere il consenso degli utenti, come i banner dei cookie, potrebbero non essere abbastanza rapidi o granulari o essere comunque insufficienti.

I sistemi di IA rivolti agli utenti possono essere potenzialmente manipolatori e indurre le persone a fornire inconsapevolmente determinate informazioni. I sistemi possono inoltre rivelare connessioni più sofisticate e nebulose tra i punti dati, consentendo l’identificazione e la profilazione a un livello mai visto prima. Questo potenzialmente può trasformare qualsiasi dato in informazioni personali identificabili o sensibili. Gli attuali requisiti di consenso potrebbero non disciplinare adeguatamente questa materia.

Mentre le pratiche manipolatorie dell’interfaccia utente e dell’esperienza utente, comunemente note come dark pattern, sono sempre più spesso condannate e, in alcuni casi, regolamentate, esse tendono a focalizzarsi su tattiche già note. Il responsive design potrebbe consentire lo sviluppo di nuove e più sofisticate metodologie di manipolazione degli utenti.

La controversia su Zoom e il consenso degli utenti

La popolare piattaforma per videoconferenze Zoom ha aggiornato i suoi Termini di servizio a marzo 2023, attività piuttosto comune per un’azienda. Tuttavia, due sezioni sembravano avere ampie implicazioni per le autorizzazioni di Zoom relative ai dati degli utenti, definiti “Dati generati dal servizio”, che includono telemetria, utilizzo del prodotto, diagnostica e dati o contenuti simili generati utilizzando Zoom e raccolti dall’azienda durante l’utilizzo della piattaforma.

In base ai Termini di servizio aggiornati, Zoom deteneva tutti i diritti sui Dati generati dal servizio, inclusi i diritti di modifica, distribuzione, elaborazione, condivisione, gestione e archiviazione “per qualsiasi scopo, nella misura e nel modo consentiti dalla legge applicabile”. È stato esplicitamente menzionato il diritto di Zoom di utilizzare i dati degli utenti per l’apprendimento automatico e l’intelligenza artificiale, inclusi modelli e algoritmi di addestramento e ottimizzazione.

Pertanto, Zoom potrebbe raccogliere una serie di dati degli utenti sull’utilizzo della piattaforma e impiegarli in vari modi, ad esempio per l’addestramento dell’IA, senza dover chiedere il consenso esplicito degli utenti o consentire loro di rifiutare tale consenso.

Questo può essere legale ai sensi delle attuali leggi sulla privacy in vigore negli Stati Uniti, dove Zoom ha la sede centrale (il paese non ha una singola legge federale, ma solo una serie di leggi a livello statale), ma non è legale ai sensi del GDPR dell’UE, che richiede, tra gli altri requisiti, che il consenso sia “informato”, (Considerando 32 GDPR).

Ai sensi del GDPR, affinché il consenso sia valido, è necessario che venga ottenuto prima dell’inizio della raccolta dei dati e che gli utenti siano informati in modo chiaro e comprensibile. I Termini di servizio di Zoom sono piuttosto criptici, così come quelli di molte altre aziende.

La risposta di Zoom alla controversia sulla modifica dei Termini di servizio

La reazione alla scoperta e alla divulgazione dei Termini di servizio è stata notevole. Le aziende temevano che le informazioni proprietarie provenienti da riunioni riservate potessero essere utilizzate senza consenso o che Zoom sarebbe diventata titolare dei loro contenuti creativi, come interviste per video o podcast.

Alcune aziende statunitensi che utilizzano Zoom per scopi legati all’assistenza sanitaria erano terrorizzate dalle possibili violazioni dell’Health Insurance Portability and Accountability Act (HIPAA) in termini di privacy. Uno dei timori era che l’azienda potesse entrare in possesso dei contenuti delle sessioni terapeutiche dei pazienti e utilizzarli. È possibile che questa non fosse l’intenzione dell’azienda, ma la percezione del pubblico ha sempre e comunque un forte peso.

Zoom ha risposto con un ulteriore aggiornamento dei Termini di servizio per chiarire l’uso dei dati, affermando che non avrebbe addestrato i propri modelli di IA con contenuti audio, video o chat dei clienti senza il loro previo consenso.

Inoltre, ha aggiunto alla sezione 10.2 la seguente affermazione: “Zoom non utilizza audio, video, chat, condivisioni di schermo, allegati o altri contenuti dei clienti simili alle comunicazioni (come risultati dei sondaggi, whiteboard e reazioni) per addestrare modelli di intelligenza artificiale proprietari o di terze parti“.

Diversi utenti hanno tuttavia continuato a esprimere preoccupazione in merito alle autorizzazioni apparentemente ad ampio raggio concesse a Zoom in caso di consenso e molti non hanno ancora compreso esattamente cosa si intende per “Contenuto generato dal servizio”.

Le aziende tecnologiche, i Termini di servizio e il consenso: altre sfide

È importante notare che Zoom non è un’anomalia. Altre aziende utilizzano l’intelligenza artificiale per le funzioni delle loro piattaforme. Google la utilizza per creare trascrizioni delle chiamate su Google Meet (con risultati altalenanti). Anche Meta, la casa madre di Facebook, è stata scoperta a “nascondere” il consenso all’uso dei dati degli utenti nella pubblicità personalizzata nei suoi Termini di servizio nel 2022. Nel gennaio 2023, all’azienda è stato vietato di utilizzare i dati personali a scopo pubblicitario con questo tipo di “consenso”, di cui la maggior parte degli utenti era all’oscuro. Da allora, Meta ha dichiarato di voler cambiare il proprio modello e di richiedere il consenso per la pubblicità nell’UE.

Altre aziende sono state colte in flagrante nel tentativo di utilizzare tattiche poco trasparenti analoghe. In alcuni casi celavano il “consenso” o autorizzazioni discutibili all’interno dei termini di servizio, sapendo che pochi utenti li leggono con attenzione. Nella migliore delle ipotesi, si tratta di un comportamento disonesto e, nella peggiore, di una pratica illegale, in quanto molte normative richiedono il consenso informato.

La necessità di maggiore chiarezza in tema di addestramento dell’IA, di contenuti generati dagli utenti sulle piattaforme e di consenso è evidente e diventerà un problema sempre più pressante nel tempo.

In che modo le aziende possono utilizzare i dati in modo etico con un valido consenso degli utenti?

Le aziende che acquisiscono dati per l’addestramento dell’IA o per altri usi possono e devono garantire di aver ottenuto il consenso dalle fonti o dagli utenti. In alcuni casi questo potrebbe essere un requisito indispensabile per collaborare con partner o fornitori.

Il consenso sta diventando importante anche per la strategia di monetizzazione. Ad esempio, sempre più spesso, gli inserzionisti più importanti chiedono la prova del consenso alla raccolta dei dati degli utenti prima di accettare di collaborare con gli sviluppatori di app.

Le aziende che raccolgono i dati degli utenti dalle proprie piattaforme e dagli utenti per l’addestramento dell’IA o per altri scopi hanno la responsabilità diretta di ottenere un consenso valido e di rispettare le leggi sulla protezione dei dati. Esistono diversi modi in cui le aziende possono ottenere la conformità e il consenso valido.

Trasparenza: le leggi sulla privacy richiedono notifiche chiare e accessibili e le aziende devono fornire agli utenti informazioni comprensibili sulle modalità di utilizzo e di elaborazione dei loro dati, incluso l’addestramento dell’IA. Man mano che cambia il modo di utilizzare i dati personali, le aziende devono aggiornare le proprie informative sulla privacy, informare gli utenti e, ai sensi di molte leggi sulla privacy, ottenere di nuovo il consenso per i nuovi utilizzi dei dati personali.

Consenso granulare: gli utenti devono poter accettare o rifiutare la raccolta e il trattamento dei propri dati personali con cognizione di causa, ad esempio approvando alcuni tipi di trattamento, come pubblicità mirata o addestramento dell’IA, ma non altri, come la vendita dei dati. Ciò contribuisce a far sì che le persone siano informate, requisito essenziale per la validità del consenso secondo la maggior parte delle leggi sulla privacy.

Meccanismi intuitivi: così come è necessario che le notifiche siano chiare e accessibili, è altrettanto importante che gli utenti comprendano facilmente come accettare o rifiutare il consenso. Le informazioni sul trattamento dei dati devono essere disponibili e gli utenti devono avere la possibilità di accettare o rifiutare il consenso a livello granulare. Inoltre, gli utenti devono poter rifiutare il consenso con la stessa facilità con cui lo accettano e, ai sensi di molte leggi sulla privacy, devono anche poter modificare facilmente le proprie preferenze di consenso.

Familiarità con le normative: le varie giurisdizioni prevedono leggi sulla privacy differenti con requisiti e modelli di consenso diversi. È importante che le aziende sappiano quali leggi devono rispettare e come farlo. La consultazione o la nomina di un consulente legale qualificato o di un esperto di privacy, ad esempio un responsabile della protezione dei dati (DPO), può essere di aiuto ed è richiesta da alcune leggi sulla privacy. Tale figura aiuta a delineare linee guida e processi, aggiornare le operazioni e gestire la sicurezza dei dati e il relativo trattamento.

Quali diritti hanno gli utenti delle piattaforme online sui loro dati?

I diritti dei consumatori in relazione ai propri dati personali dipendono da una serie di fattori, tra cui il paese di residenza e le leggi sulla privacy in vigore, la destinazione d’uso della piattaforma, i dati che l’utente fornisce o genera sulla stessa e i relativi termini di servizio.

Nell’Unione europea le aziende che si occupano della raccolta e del trattamento dei dati personali devono ottenere il consenso dell’utente per svolgere la loro attività. Questo vale anche per le piattaforme di social media, i blog, i siti web governativi o i negozi di e-commerce. I dati degli utenti possono essere raccolti per apprendere come viene utilizzato un sito e migliorarne il funzionamento, per agevolare l’evasione degli ordini online, per mostrare annunci pubblicitari o per addestrare modelli di IA.

Le piattaforme di tutto il mondo utilizzate per attività finanziarie o per l’assistenza sanitaria hanno requisiti più severi in materia di privacy e sicurezza, in virtù del tipo di informazioni che gestiscono, disciplinati da molteplici normative.

In alcune giurisdizioni, è comunque permesso mostrare un banner dei cookie in cui l’utente conferma che, continuando a utilizzare il sito o il servizio, acconsente alla raccolta e all’utilizzo dei suoi dati personali. Nell’UE e in altre giurisdizioni, tuttavia, questo non è accettabile ed è necessario un consenso granulare.

L’uso dei cookie online è in declino, in quanto esistono tecnologie più moderne e sofisticate in grado di svolgere l’attività dei cookie. La domanda che ci poniamo oggi e ci porremo in futuro non è tanto come l’IA utilizza o può utilizzare i cookie, quanto in che modo può accelerarne la sostituzione.

Apple e Mozilla hanno bloccato i cookie di terze parti e Google prevede di smettere di utilizzarli del tutto. I nuovi strumenti e metodi consentono, tra le altre cose, di gestire meglio la privacy e il consenso ai dati, e possono migliorare la qualità dei dati degli utenti.

Gli attuali modelli di consenso ai cookie potrebbero essere inadeguati per l’IA, poiché i sistemi di intelligenza artificiale sono in grado analizzare grandi quantità di dati in tempo reale, in contrasto con gli strumenti che analizzano i dati dai cookie attivi nel tempo. Per ottenere il consenso prima dell’inizio della raccolta o dell’utilizzo dei dati, con gli attuali pop-up, l’utente dovrebbe essere tempestato di banner di consenso con una velocità e una frequenza che ne renderebbero impossibile l’elaborazione da parte di un essere umano.

I modelli di IA possono consentire annunci pubblicitari più efficaci o esperienze di utilizzo personalizzate senza affidarsi alla raccolta di informazioni personali identificabili, poiché sono in grado di analizzare grandi quantità di dati molto rapidamente e di raggruppare le persone in segmenti di pubblico in base ai comportamenti. Se il sistema non ha bisogno di raccogliere i dati dell’utente, il consenso, almeno per la raccolta dei dati, potrebbe non essere necessario.

Probabilmente leggi e best practice continuerebbero a richiedere che gli utenti siano informati su come potrebbero essere monitorati e analizzati i loro comportamenti e su come potrebbero essere utilizzate queste informazioni, ad esempio per creare annunci pubblicitari o esperienze di acquisto personalizzati. Ma i dati personali degli utenti non possono essere venduti se non vengono raccolti.

Che cos’è la Normativa sull’IA dell’UE?

La Normativa sull’IA (AI Act) dell’UE è una legge sull’intelligenza artificiale (IA) proposta dalla Commissione europea. Si tratta della prima legge al mondo per la regolamentazione dell’intelligenza artificiale a tutto tondo. L’obiettivo è quello di bilanciare gli usi positivi della tecnologia mitigando quelli negativi e codificando dei diritti. Un altro obiettivo consiste nel chiarire le principali domande attuali e future sullo sviluppo dell’IA e di rendere la legge uno standard globale, come è avvenuto con il GDPR.

In base a questa legge, le applicazioni della tecnologia di IA verrebbero assegnate a una di queste categorie:

Rischio inaccettabile: l’IA con rischi inaccettabili sarebbe completamente vietata, ad esempio il sistema di credito sociale del governo cinese

Alto rischio: intelligenza artificiale con rischi potenziali, consentita se conforme ai requisiti IA e alla valutazione di conformità prevista, ad esempio uno strumento che classifica i candidati a un impiego mediante la scansione dei curriculum

Rischio medio: intelligenza artificiale con obblighi di trasparenza specifici, consentita ma soggetta a requisiti informativi, ad esempio bot che possono essere utilizzati per la personificazione

Rischio minimo o nullo: intelligenza artificiale senza rischi rilevanti, consentita senza restrizioni

Disposizioni relative al consenso nella Normativa sull’IA

L’AI Act è attualmente in bozza e può subire delle variazioni prima di essere convertito in legge. Al momento il consenso dell’utente e la privacy e la protezione dei dati sono trattati nei relativi statuti su diversi fronti:

Alto rischio: è necessario il consenso esplicito per l’uso di sistemi di IA ad alto rischio, ad esempio infrastrutture critiche, impiego, assistenza sanitaria e forze dell’ordine.

Trasparenza: i fornitori di IA devono comunicare chiaramente le finalità, le capacità e le limitazioni dei sistemi per permettere agli utenti di prendere decisioni e comprendere il potenziale impatto sui loro diritti.

Diritto ai chiarimenti: gli utenti hanno il diritto di ottenere spiegazioni chiare in merito alle decisioni dei sistemi di IA.

Diritto al controllo dell’utente: gli utenti devono avere la possibilità di rinunciare, disattivare o disinstallare i sistemi di IA, in particolare quando sono in gioco diritti o interessi fondamentali (ai sensi di alcune leggi sulla privacy, gli utenti hanno il diritto di rinunciare al “processo decisionale automatizzato”).

Privacy e protezione dei dati: la Normativa sull’IA enfatizza la necessità di minimizzare i dati, limitare le finalità e mettere in atto misure di salvaguardia per proteggere i dati personali quando si utilizzano sistemi di IA, in linea con le normative esistenti sulla privacy dei dati come il GDPR.

Conclusione e futuro dell’IA e del consenso

L’intelligenza artificiale non è un fenomeno passeggero. Le sue capacità e i suoi casi d’uso potenziali continueranno a evolvere rapidamente. Si tratta di una sfida dal punto di vista della regolamentazione, in quanto l’elaborazione e l’aggiornamento delle leggi in genere hanno tempi molto più lunghi rispetto alla velocità di sviluppo delle tecnologie.

Tuttavia, gli utenti non devono essere soggetti al principio del “caveat emptor”, soprattutto online, per quanto riguarda i nuovi utilizzi dei dati personali e le sfide in tema di privacy. Le autorità di regolamentazione devono elaborare e aggiornare leggi che siano chiare e complete, ma sufficientemente flessibili da essere interpretabili e applicabili nel presente e in futuro.

Le organizzazioni devono sapere a quali normative sulla privacy devono attenersi, conoscerne i contenuti e comprenderne le implicazioni a livello operativo. Tutto questo va monitorato regolarmente e, in caso di variazioni, comunicato chiaramente. Cercare di introdurre modifiche ai termini di utilizzo o di utilizzare i dati raccolti per nuovi scopi senza chiedere nuovamente il consenso dell’utente è un modo immediato per danneggiare la reputazione del marchio, oltre a essere illegale in molte giurisdizioni. L’acquisizione di maggiori conoscenze in tema di dati personali e privacy da parte dei consumatori imporrà alle aziende comunicazioni sempre più chiare sulla raccolta e sull’utilizzo dei dati.

Le aziende devono inoltre adottare best practice, come la privacy by design, per garantire il rispetto delle persone, che rappresentano la fonte dei loro dati, e della legge. Ciò contribuirà anche a garantire l’ottenimento del consenso e la raccolta e l’utilizzo dei dati limitatamente agli usi consentiti dalla legge per tutte le operazioni, che si tratti di evadere ordini di e-commerce o di addestrare nuovi modelli di IA.

L’IA è solo l’ultima tecnologia in ordine di tempo ad aver presentato nuove sfide a consumatori, aziende e autorità di regolamentazione. Non è la prima e non sarà l’ultima. Ma le best practice per raggiungere la conformità, creare fiducia negli utenti e far crescere con successo le aziende (o occuparsi di scienza) continuano a essere le stesse e vanno a vantaggio sia delle organizzazioni sia dei consumatori.

Per ulteriori informazioni, contatta ora i nostri esperti.

Usercentrics non fornisce consulenza legale e le informazioni sono fornite esclusivamente a scopo educativo. Si consiglia sempre di rivolgersi a consulenti legali o esperti di privacy qualificati per questioni e operazioni relative alla privacy e alla protezione dei dati.

Domande frequenti - FAQ

Che cos'è l'intelligenza artificiale (IA)?

L’intelligenza artificiale è lo sviluppo di macchine in grado di eseguire attività che in genere richiedono l’intelligenza umana. Include aree come riconoscimento testuale o vocale, risoluzione dei problemi e processo decisionale. Lo sviluppo dell’IA richiede spesso l’immissione di grandi quantità di dati per aiutare i sistemi ad “apprendere”.

Che cos'è l'apprendimento automatico?

L’apprendimento automatico (machine learning) è un sottoinsieme dell’intelligenza artificiale finalizzato allo sviluppo di algoritmi e modelli che consentano ai computer di imparare dai dati e di fare previsioni o prendere decisioni senza essere esplicitamente programmati. Consente ai computer di “imparare” dagli esempi e migliorare le prestazioni nel tempo.

Cosa sono i modelli linguistici di grandi dimensioni (LLM)?

I modelli linguistici di grandi dimensioni (Large Language Models) sono una novità recente in ambito di ricerca sull’IA e sono progettati per comprendere e generare un linguaggio simile a quello umano. ChatGPT di OpenAI e Bard di Google sono esempi di LLM accessibili al pubblico. Alcuni strumenti sviluppati utilizzando tali modelli possono essere utilizzati per l’ottimizzazione per i motori di ricerca (SEO), i contenuti marketing e altri scopi aziendali.

Come vengono addestrati i sistemi di IA?

L’addestramento dell’IA consiste nell’insegnare a un sistema di intelligenza artificiale ad apprendere modelli, fare previsioni o prendere decisioni in base ai dati forniti. L’addestramento è essenziale per sviluppare sistemi di IA in grado di eseguire attività specifiche, riconoscere modelli, fornire informazioni accurate o formulare giudizi ponderati.

Di seguito viene fornita un’analisi dettagliata del processo di addestramento dell’IA:

  1. Raccolta dei dati: la prima fase consiste nel raccogliere dati pertinenti e rappresentativi che fungono da input per l’addestramento del modello di IA. La qualità e la diversità dei dati hanno un’influenza diretta sulle prestazioni del modello.
  2. Pre-elaborazione dei dati: i dati non elaborati spesso richiedono un processo di pulizia, trasformazione e strutturazione per essere utilizzati a scopo di addestramento. Questa fase comporta la rimozione dei dati di disturbo, la gestione dei valori mancanti e la standardizzazione dei dati.
  3. Ingegneria delle funzionalità: implica la selezione e la trasformazione di attributi rilevanti (funzionalità) nei dati che verranno utilizzati dal modello per effettuare le previsioni. Se eseguita correttamente, l’ingegneria delle funzionalità può influire in modo significativo sulle prestazioni del modello.
  4. Selezione del modello: a seconda del problema, viene scelto un algoritmo o un modello di apprendimento automatico adatto. Modelli diversi hanno capacità differenti e sono più adatti a tipi di attività specifici, come regressione, classificazione o clustering.
  5. Addestramento: la fase centrale del processo. Durante l’addestramento vengono presentati al modello i dati di input insieme agli output desiderati. Il modello regola i propri parametri interni in modo iterativo per ridurre al minimo la differenza tra le previsioni e i risultati effettivi.
  6. Funzione di perdita: viene utilizzata per quantificare la corrispondenza tra le previsioni del modello e i risultati effettivi. L’obiettivo dell’addestramento consiste nel ridurre al minimo la funzione di perdita, per permettere al modello di migliorare la capacità di previsione nel tempo.
  7. Ottimizzazione: le tecniche di ottimizzazione, come la discesa del gradiente, vengono utilizzate per ottimizzare i parametri del modello in modo da ridurre al minimo la funzione di perdita.
  8. Convalida: per garantire che il modello addestrato utilizzi correttamente la generalizzazione su dati nuovi e non visti, viene utilizzato un set di dati di convalida distinto per valutarne le prestazioni. Questa fase aiuta a prevenire l’overfitting, che fa sì che il modello funzioni correttamente per i dati di addestramento ma non per quelli nuovi.
  9. Ottimizzazione degli iperparametri: molti modelli sono dotati di iperparametri, ovvero impostazioni che influenzano il processo di apprendimento. Questi devono essere regolati in modo da trovare l’equilibrio ottimale tra underfitting e overfitting.
  10. Test e implementazione: una volta che il modello funziona bene sia sui dati di addestramento sia su quelli di convalida, può essere testato su un apposito set di dati per valutarne le prestazioni reali. Se i risultati si rivelano soddisfacenti, il modello può essere utilizzato.

Il processo di addestramento dell’IA include una serie di dati, algoritmi e ottimizzazioni iterative finalizzati a creare un modello in grado di formulare previsioni o decisioni accurate. È importante notare che l’addestramento di un modello di IA richiede competenze, un’attenta valutazione e una comprensione del problema specifico per garantire risultati efficaci e affidabili.

Su quali dati personali vengono addestrati i sistemi di IA?

L’intelligenza artificiale può essere addestrata su molti tipi di dati, a seconda delle funzioni che il sistema deve essere in grado di svolgere, ad esempio rispondere a domande, prendere decisioni, generare grafiche o testi, ecc.

Di seguito sono indicati alcuni tipi comuni di dati per l’addestramento dell’IA:

  • Testo: ad esempio estratto da libri, articoli, siti web o social media; utilizzato per traduzione, sentiment analysis, sviluppo di chatbot, ecc.
  • Immagini: da un numero elevato di immagini categorizzate; utilizzate per il riconoscimento delle immagini, il rilevamento degli oggetti e la creazione di immagini
  • Audio: ad esempio parole pronunciate, suoni o modelli acustici; utilizzato per il riconoscimento vocale, gli assistenti vocali e i modelli di analisi audio
  • Dati video: provenienti da sequenze video; utilizzati per analisi video, sorveglianza, creazione di video e apprendimento di modelli temporali
  • Dati di gioco: estratti da dati e interazioni di gioco; utilizzati per sviluppare il gioco e la strategia
  • Dati strutturati: ad esempio estratti da database o fogli di calcolo; utilizzati per l’analisi predittiva, i sistemi di raccomandazione o il rilevamento di frodi
  • Dati dei sensori: estratti da videocamere, lidar, radar, ecc.; utilizzati per sistemi di veicoli autonomi, automazione industriale, ecc.
  • Dati sanitari: estratti da esami di diagnostica per immagini, quali radiografie e RM, cartelle cliniche e dati clinici dei pazienti; utilizzati per assistenza nella diagnosi, nel trattamento e nella ricerca
  • Dati finanziari: estratti da dati esistenti provenienti dai mercati e dalle registrazioni delle transazioni; utilizzati per prevedere il prezzo delle azioni, la valutazione del credito e il rilevamento di frodi
  • Dati genomici: estratti da sequenze di DNA, marcatori genetici e altri dati biologici correlati; utilizzati per la medicina personalizzata e per migliorare la comprensione della genetica
  • Dati di simulazione: estratti di dati generati da simulazioni; utilizzati per apprendere il comportamento dei sistemi in condizioni diverse

Quali sono i problemi associati all'utilizzo dei dati personali per l'addestramento dell'IA?

Il principale timore in tema di utilizzo dei dati personali per i set di addestramento dell’IA è rappresentato dall’ottenimento o meno del consenso da parte dei proprietari di tali dati. I dati personali differiscono per tipo e sensibilità. Alcuni possono essere utilizzati per identificare un individuo e altri possono essere pericolosi se utilizzati in modo improprio.

Le informazioni sanitarie e finanziarie sono esempi particolarmente significativi di dati personali sensibili. Per i dati sensibili in genere è richiesto il consenso dell’utente ai fini della raccolta o dell’utilizzo ai sensi della legge sulla privacy, mentre per i dati personali non sensibili a volte è richiesto solo il consenso alla vendita o all’uso per pubblicità mirate, profilazione, ecc.

Non tutti i batch di dati di addestramento sono uguali. Qualità, quantità, diversità e autorizzazione all’uso possono variare ampiamente. Ciò può influire notevolmente sulla capacità di “apprendimento” e sulle prestazioni dei sistemi. Anche dati scarsamente equilibrati o non eterogenei possono produrre risultati distorti, a volte con contenuti offensivi o ai limiti della legalità, come nel caso dei sistemi che generano raccomandazioni discriminatorie o identificazioni imprecise.

Che tipo di consenso all'uso dei dati personali è richiesto per l'addestramento dell'IA?

Esistono diversi fattori che determinano la necessità o meno di ottenere il consenso dell’utente all’uso dei dati personali per l’addestramento dell’IA. Come nel caso della controversia su Zoom, bisogna considerare, ad esempio, se l’addestramento dell’IA è citato nei termini di servizio di un’azienda. In tal caso, è possibile che non sia necessario un ulteriore consenso. Tuttavia, in alcune giurisdizioni questo non è sufficiente, ad esempio nell’UE ai sensi del GDPR, ed è necessario ottenere il consenso esplicito all’uso dei dati personali nei set di addestramento all’IA e informare gli utenti su tale utilizzo prima di raccogliere i dati destinati a tale attività.

Le aziende devono sapere dove risiedono i propri clienti e utenti, conoscere le leggi sulla privacy pertinenti in vigore nelle varie giurisdizioni e aggiornare di conseguenza le proprie operazioni in tema di privacy dei dati. Ai sensi di molte leggi sulla privacy, le aziende, pur avendo il consenso alla raccolta dei dati personali, non possono aggiungere l’addestramento dell’IA come obiettivo per la raccolta e l’utilizzo dei dati senza aver aggiornato la loro informativa sulla privacy e, secondo altre leggi, aver ottenuto il consenso per il nuovo utilizzo. In molte giurisdizioni, inoltre, gli utenti devono poter rifiutare il consenso all’uso dei propri dati a un livello granulare, incluso l’addestramento dell’IA.

Alcune leggi sulla privacy dei dati non disciplinano i dati personali resi pubblici dalle persone, tra cui quelli generati sulle piattaforme social. Tuttavia, non è ancora del tutto chiaro in che modo ciò influirebbe sull’uso dei dati personali ai fini dell’addestramento dell’IA. Ad esempio, sarebbe più probabile che post, commenti, foto e così via fossero considerati messaggi pubblici e non privati.

È possibile ottenere il consenso dell'utente all'uso dell'IA?

I sistemi di intelligenza artificiale spesso sono ancora sperimentali e producono risultati non prevedibili. Le organizzazioni possono comunicare agli utenti lo scopo per cui intendono utilizzare i dati, il che normalmente deve avvenire in anticipo, ma è possibile che il loro uso effettivo, il modo in cui vengono modificati o i risultati che producono generino risultati diversi dal previsto.

Se vengono analizzate grandi quantità di dati in tempo reale, i meccanismi tradizionali per ottenere il consenso degli utenti, come i banner dei cookie, potrebbero non essere abbastanza rapidi o granulari o essere comunque insufficienti.

I sistemi di IA possono causare problemi di privacy dei dati?

I sistemi di IA rivolti agli utenti possono essere potenzialmente manipolatori e indurre le persone a fornire inconsapevolmente determinate informazioni. I sistemi possono inoltre rivelare connessioni più sofisticate e nebulose tra i punti dati, consentendo l’identificazione e la profilazione a un livello mai visto prima. Ciò potenzialmente può trasformare qualsiasi dato in informazioni personali identificabili o sensibili. Gli attuali requisiti di consenso potrebbero non disciplinare adeguatamente questa materia.

Mentre le pratiche manipolatorie dell’interfaccia utente e dell’esperienza utente, comunemente note come dark pattern, sono sempre più spesso condannate e, in alcuni casi, regolamentate, queste tendono a focalizzarsi su tattiche già note. Il responsive design potrebbe consentire lo sviluppo di nuove e più sofisticate metodologie di manipolazione degli utenti.

L'addestramento dell'IA influisce sul consenso ai cookie?

L’uso dell’intelligenza artificiale può in effetti accelerare la fine dell’utilizzo dei cookie, soprattutto quelli di terze parti, poiché offre funzioni in grado di fornire risultati migliori senza richiedere necessariamente la raccolta dei dati personali.

Gli attuali modelli di consenso ai cookie potrebbero essere inadeguati per l’IA, poiché i sistemi di intelligenza artificiale possono analizzare grandi quantità di dati in tempo reale rispetto agli strumenti che analizzano i dati dai cookie attivi nel tempo. Per ottenere il consenso prima dell’inizio della raccolta o dell’utilizzo dei dati, con i pop-up correnti l’utente dovrebbe essere tempestato di banner di consenso con una velocità e una frequenza che ne renderebbero impossibile l’elaborazione da parte di un essere umano.

In che modo le aziende dovrebbero ottenere il consenso all'addestramento dell'IA?

Le aziende che raccolgono i dati degli utenti dalle proprie piattaforme e dagli utenti per l’addestramento dell’IA o per altri scopi hanno la responsabilità diretta di ottenere un consenso valido e di rispettare le leggi sulla protezione dei dati. Le best practice per ottenere il consenso all’addestramento dell’IA sono le stesse previste per la conformità alla privacy dei dati.

  • Fornire anticipatamente agli utenti notifiche chiare e accessibili sulle modalità di utilizzo dei dati e ottenere un nuovo consenso in caso di variazione delle finalità
  • Assicurarsi che gli utenti siano in grado di accettare o rifiutare il consenso a livello granulare, ad esempio per tutti gli utilizzi o solo per alcuni. Assicurarsi che gli utenti possano rifiutare e accettare il consenso con la stessa facilità, modificare le preferenze di consenso o ritirare facilmente il consenso in futuro.
  • Conoscere le leggi sulla privacy dei dati e le responsabilità delle aziende. Esaminare regolarmente i processi di raccolta e trattamento dei dati per assicurarsi che le notifiche e le informazioni sul consenso siano aggiornate.

Il GDPR disciplina l'intelligenza artificiale e il consenso?

Il Regolamento generale sulla protezione dei dati non menziona esplicitamente l’intelligenza artificiale ma, come nel caso di una serie di altre leggi sulla privacy dei dati, fa riferimento a “processi decisionali automatizzati”, che possono includere sistemi di IA.

L’IA sarebbe quindi trattata come qualsiasi altro utilizzo dei dati personali: gli utenti dovrebbero conoscere la finalità dei propri dati personali prima che vengano raccolti e sarebbe necessario ottenere il consenso per tale utilizzo prima di qualsiasi attività di raccolta o trattamento.

Che cos'è la Normativa sull'IA dell'UE?

La Normativa sull’IA (AI Act) dell’UE è una legge sull’intelligenza artificiale (IA) proposta dalla Commissione europea. Gli obiettivi della legge sono:

  • Bilanciare gli usi positivi della tecnologia con i rischi
  • Ridurre i rischi attuali e futuri e gli utilizzi negativi della tecnologia
  • Codificare i diritti dei consumatori
  • Chiarire i dubbi attuali e futuri in tema di sviluppo dell’IA
  • Rendere la legge in questione uno standard globale (come il GDPR)

In base a questa legge, le applicazioni della tecnologia di IA verrebbero assegnate a una categoria:

  • Rischio inaccettabile: divieto assoluto di utilizzo
  • Alto rischio: utilizzo consentito in base a valutazione e conformità
  • Rischio medio: utilizzo consentito, fatto salvo il rispetto degli obblighi di trasparenza
  • Rischio minimo o nullo: consenso senza restrizioni se non vengono identificati rischi rilevanti