Il Garante della privacy francese (Cnil) ha approvato le sue raccomandazioni per guidare le aziende nell’interpretazione delle norme pensate per chi sviluppa l’intelligenza artificiale. Presentate un anno fa e poi aperte alla consultazione pubblica, sono state pubblicate a giugno in un periodo molto particolare per chi si occupa di privacy.
Da quando, a fine 2024, è uscito il report di Draghi sul bisogno di semplificare le norme europee, incluse quelle sul digitale, la Commissione europea ha iniziato a proporre una serie di semplificazioni, inclusa una revisione del regolamento sulla protezione dei dati (Gdpr). La prima proposta in tal senso è piuttosto tiepida, ma ci si aspetta sia solo il primo passo ad una possibile revisione più ampia, richiesta da molti stakeholder, anche per favorire lo sviluppo dell’intelligenza artificiale.
Intelligenza artificiale, uno step alla volta
Se siamo arrivati a questo punto è perché da quando ChatGPT ha fatto la sua comparsa nel novembre del 2022, chi si occupa di scrivere ma anche di far applicare le leggi, si è trovato sulle prime un po’ spaesato. Per ricordare un attimo il contesto di quel periodo, l’AI Act, il regolamento europeo sull’intelligenza artificiale ora in vigore, era nel pieno della sua trattativa politica, e, in quel momento, non aveva affatto una sezione dedicata alle AI per finalità generali (general purpose AI o GpAI). Fu il parlamento europeo a dover lavorare ad una nuova sezione ad hoc. Come sappiamo però, i garanti della privacy non si fecero attendere troppo e nel marzo 2023 il Garante italiano comunicò ad OpenAI l’inizio di una investigazione che portò al blocco di un mese delle attività, col clamore dei tanti che accusavano il Garante di fermare l’innovazione. Un mese dopo, però, ChatGPT era tornato disponibile per tutti e con una serie di miglioramenti a beneficio della privacy degli utenti di tutto il mondo. Da allora, in ordine di tempo, l’ultimo caso simile in Italia è stato quello di DeepSeek.
La corsa all’uso dei sistemi di intelligenza artificiale ha portato a chiedere ai regolatori maggior chiarezza su come applicare le norme sulla protezione dei dati, pensate oltre un decennio fa, alle sfide odierne. Da un lato, infatti, il Gdpr è una norma tecnologicamente neutra, che si basa su dei principi che ogni azienda può applicare in modo autonomo al suo specifico caso d’uso. Dall’altro, visti gli ingenti investimenti richiesti quando si sviluppa un nuovo sistema di AI, il rischio che poi tutto sia dichiarato illecito e si debba ricominciare da zero è troppo alto per non voler da subito che i regolatori siano chiari su come applicare la norma. Proprio per questi motivi i garanti europei, negli ultimi anni, hanno iniziato a pubblicare delle linee guida per rispondere a queste domande. Le ultime approvate sono quelle francesi, che riportano esempi concreti di come si possa bilanciare rispetto dei diritti e innovazione.
Le raccomandazioni del Garante della privacy francese
Quando non è possibile chiedere il consenso agli interessati per poter usare i loro dati personali al fine di sviluppare un sistema di intelligenza artificiale, il Gdpr consente l’uso del legittimo interesse dell’azienda. Questo uso deve essere chiaro e consentito dalla legge, deve essere necessario (non ci sono metodi alternativi meno invasivi) e il beneficio che reca all’azienda non deve essere ottenuto alle spese dei diritti fondamentali delle persone.
Alcuni usi sono legittimi a priori
Se, normalmente, ogni volta che si usa il legittimo interesse occorre fare questa valutazione di legittimità, la Cnil ci dice in modo chiaro che si possono considerare validi gli obiettivi di “effettuare ricerche scientifiche (in particolare per le organizzazioni che non possono fare affidamento sul pubblico interesse); facilitare l’accesso pubblico a determinate informazioni; sviluppare nuovi sistemi e funzionalità per gli utenti di un servizio; offrire un chatbot per assistere gli utenti; migliorare un prodotto o un servizio per aumentarne le prestazioni; sviluppare un sistema di AI per individuare contenuti o comportamenti fraudolenti”. In ogni caso, gli scopi devono essere chiariti agli interessati, e, se non è chiaro come il modello sarà usato, occorrerà almeno dire se l’obiettivo riguarda la ricerca scientifica, un interesse commerciale, uno scopo interno o esterno all’azienda.
Valutare la necessità
La società deve dimostrare che, per raggiungere quell’obiettivo, l’unico modo è usare quei dati personali, anche senza il permesso degli interessati. Se si pensa al fine dell’individuazione di frodi informatiche, magari quando si usa un’app bancaria, si tratta di un interesse legittimo dell’azienda, che deve tutelare la sicurezza dei propri sistemi informatici e i conti dei propri clienti. L’interesse della banca, in questo caso, supera quello dei soggetti senza lederne i diritti e non ha bisogno, pertanto, di ottenerne il consenso.
Altro principio da tenere in considerazione, e fonte di qualche mal di testa per gli addetti ai lavori, è il rispetto del principio di minimizzazione dei dati, che impone che si possano usare solo i dati necessari e non oltre. Si tratta di un principio che in apparenza può collidere con la necessità di usare un’enorme quantità di dati per l’allenamento dei modelli di intelligenza artificiale. In tal senso la Cnil suggerisce di lavorare a delle modalità che cerchino di usare il minor numero di dati possibile. Ad esempio, se in alcuni casi è possibile usare dati anonimizzati o dati sintetici, senza intaccare l’efficacia dell’addestramento, si consiglia di optare per questa soluzione.
Bilanciare gli obiettivi dell’azienda e i diritti degli interessati
Un’importante indicazione che fornisce la Cnil è quella di considerare in modo positivo i casi in cui lo sviluppo dell’AI può avere un effetto benefico sulla collettività. Può trattarsi di un effetto positivo nel settore della salute (come usare dati sanitari per sviluppare una AI che scopre i tumori in giorni invece che in anni), o per facilitare l’accesso ai servizi da parte di persone con disabilità (potrebbero essere degli occhiali che creano sottotitoli in tempo reale per i non udenti), migliorare l’accesso all’educazione (potrebbe essere il caso di un chatbot può spiegare in modo semplice concetti complessi). A proprio favore può giocare il fatto che si usi un’intelligenza artificiale per rispettare un obbligo di legge come l’individuazione di contenuti non adatti ai minori sui social network.