L’IA generativa, capace di creare testi, immagini e audio, solleva questioni significative relative al data protection. Con l'avvicinarsi dell'applicazione dell'AI Act, le imprese si trovano a dover navigare le acque delle normative, cercando un equilibrio tra il rispetto della privacy e l'avanzamento tecnologico. Di seguito, verranno esplorati i principali doveri e considerazioni per una gestione adeguata.
L'avanzamento tecnologico degli ultimi anni ha aumentato l'interesse nell'uso degli strumenti di intelligenza artificiale, sia in ambito professionale che personale. È evidente che, oggi, i sistemi di intelligenza artificiale sono diventati una parte integrante della vita quotidiana, spingendo le aziende a riflettere sulle implicazioni del loro uso, in particolare per quanto riguarda la protezione dei dati, data la vasta quantità di informazioni personali trattate da queste tecnologie.
Questo è particolarmente vero per le soluzioni di intelligenza artificiale generativa, che comprendono strumenti avanzati basati su algoritmi di apprendimento automatico progettati per produrre una vasta gamma di output, capaci di svolgere compiti creativi come la creazione di testi, immagini o suoni.
Pertanto, in attesa dell'entrata in vigore dell'A.I. Act e considerando l'attuale utilizzo di tali tecnologie nei contesti aziendali, è fondamentale esaminare e riflettere sulle implicazioni legate al rispetto dei principali obblighi imposti dal Regolamento (UE) 679/2026, conosciuto come GDPR, che regola la raccolta e il trattamento dei dati personali.
Nei paragrafi successivi, si offriranno spunti sui concetti più importanti in questo ambito, con l'obiettivo di fornire riflessioni utili per quelle aziende che dovranno confrontarsi con il mercato dell'intelligenza artificiale.
Cos'è l'IA Generativa?
Per comprendere adeguatamente la nozione di "Intelligenza Artificiale generativa" (IA generativa) è necessario prima chiarire cosa si intenda per "Intelligenza Artificiale"
Il termine “Intelligenza Artificiale” è impiegato per descrivere qualsiasi tipo di tecnologia o sistema che, ricevendo certi dati in ingresso, è in grado di produrre un risultato specifico in uscita. Tale definizione è stata elaborata dal legislatore europeo nel corso del processo legislativo che ha condotto all'adozione del noto AI Act, la cui pubblicazione sulla Gazzetta Ufficiale europea è avvenuta a metà luglio. Secondo questa normativa, un sistema di IA è un sistema automatizzato progettato per operare a vari livelli di autonomia, capace di mostrare capacità adattative post-installazione. Questo sistema, attraverso gli obiettivi dichiarati o sottintesi, elabora gli input ricevuti per generare specifici output, come previsioni, contenuti, raccomandazioni o decisioni, che possono avere impatti significativi sugli ambienti fisici o virtuali.
La scelta legislativa dell’Europa di adottare una definizione di Intelligenza Artificiale tecnologicamente neutra rispecchia la natura stessa di queste tecnologie, destinate a evolvere nel tempo. Questo approccio normativo ha aperto la strada alla classificazione di nuove forme di IA, tra cui l'IA generativa.
L'IA generativa è un sottoinsieme dell'Intelligenza Artificiale che impiega modelli di apprendimento automatico progettati per generare una vasta gamma di output. Questi modelli sono capaci di eseguire una varietà di compiti e applicazioni, come la creazione di testi, immagini o audio. Fondamentalmente, l'IA generativa si basa su ciò che viene definito "modelli di base", ovvero modelli di apprendimento ricchi di informazioni che sono essenziali per l'addestramento e il funzionamento efficace delle tecnologie di IA generativa. Tali modelli fungono anche da punto di riferimento per lo sviluppo e il perfezionamento di altri sistemi di IA generativa derivati.
Sia che si tratti di sistemi di Intelligenza Artificiale "pura" sia di sistemi di IA generativa, è comune – se non nella totalità, certamente nella maggior parte dei casi – che vi sia una raccolta e un trattamento di dati personali. L'interazione tra l'IA e le normative sulla protezione dei dati personali solleva per le aziende un importante tema di conformità normativa e di bilanciamento tra i diritti e le libertà degli individui, i cui dati personali vengono trattati da queste tecnologie e che al tempo stesso ne subiscono gli effetti, e le necessità di produzione e di inserimento sul mercato di tali tecnologie.
Data Protection applicata all’IA generativa
Quando parliamo di sistemi e tecnologie di IA, non possiamo trascurare il tema della protezione dei dati personali, poiché questi ultimi rappresentano una risorsa essenziale per lo sviluppo di tali tecnologie.
Si parla spesso di "dare i dati in pasto alla macchina" per descrivere il ruolo cruciale che i dati hanno come nutrimento per l'IA. In particolare, i dati personali, essendo completi e direttamente riconducibili a un individuo, offrono una completezza strutturale superiore rispetto ai dati anonimi o pseudonimizzati, il che ha significative conseguenze informative durante il processo di apprendimento della macchina.
Proprio in questo contesto, l'impiego dell'IA solleva la necessità critica di valutare se e come i principi e le misure di salvaguardia della protezione dei dati possano essere integrati nel rapporto dialettico con le tecnologie di intelligenza artificiale.
Gli adempimenti aziendali
Riflettiamo insieme su alcune delle principali applicazioni del GDPR nell'ambito delle tecnologie di Intelligenza Artificiale, identificando i principi più rilevanti e gli adempimenti necessari per le aziende:
- Obbligo di Legittimità: è fondamentale assicurare che il trattamento dei dati personali realizzato mediante l'uso di tecnologie di IA sia legittimo, ovvero supportato da una base giuridica adeguata come previsto dall'articolo 6 del GDPR.
- Principio di Minimizzazione dei Dati: minore è il volume di dati personali trattati dall'IA, maggiori sono i benefici in termini di riduzione dei rischi per i soggetti interessati.
- Limitazione della Conservazione: i dati personali devono essere cancellati immediatamente dopo aver raggiunto gli scopi per cui sono stati raccolti, conformemente al principio di limitazione della conservazione.
- Trasparenza e Informazione: è necessario rispettare il principio di trasparenza e fornire informazioni chiare sui processi di trattamento dei dati personali, attraverso un'informativa adeguata per i soggetti interessati.
- Valutazione d'Impatto sulla Protezione dei Dati (DPIA): considerata la natura del trattamento dei dati effettuato dall'IA, che può presentare rischi elevati per i diritti e le libertà fondamentali delle persone, diventa essenziale effettuare una DPIA.
- Esattezza dei Dati: è importante valutare che i dati personali trattati dall'IA siano il più accurati possibile, in ottemperanza al principio di esattezza previsto dall'articolo 5, comma 1, lettera d) del GDPR.
- Risk Assessment: è cruciale valutare il contesto di trattamento per identificare le misure tecniche e organizzative più adatte a garantire la sicurezza dei dati trattati.
La raccolta dei dati per l’AI generativa
Per garantire la liceità del trattamento dei dati personali, è cruciale che i responsabili del trattamento scelgano una delle basi giuridiche previste dall'articolo 6 del GDPR, come il consenso degli interessati, il legittimo interesse o l’adempimento di un compito di interesse pubblico. A seconda del contesto specifico del trattamento e del tipo di attività imprenditoriale, una base giuridica può essere più adatta di un'altra.
Ad esempio, nel caso del consenso, è necessario assicurarsi che la decisione dell'interessato sia libera, inequivocabile, informata e priva di qualsiasi forma di costrizione. Invece, l'adozione del legittimo interesse come base giuridica richiede l’esecuzione di un balancing test per verificare che gli interessi del titolare prevalgano sugli interessi, i diritti e le libertà fondamentali degli interessati, garantendo comunque il loro diritto di opt-out.
In questo scenario, emergono alcune questioni cruciali riguardo ai presidi di protezione dei dati:
- Aspettative degli Interessati: Fino a che punto un individuo può ragionevolmente aspettarsi che i suoi dati personali vengano trattati dall'IA per scopi specifici, come l'addestramento della macchina, senza informazioni adeguate e dettagliate sul processo di formazione dell'IA generativa e sulle modalità di raccolta dei dati?
- Principio di Necessità: Il trattamento dei dati mediante IA rispetta il principio di necessità, considerando che tali soluzioni, per loro natura, richiedono una vasta raccolta di dati personali per fornire output affidabili? Esistono alternative più proporzionate che rispettano i diritti degli interessati, come l'uso di dati sintetici, che potrebbero raggiungere gli stessi obiettivi?
- Conservazione dei Dati: Come assicurare un periodo di conservazione appropriato per i dati personali utilizzati nell'addestramento dell'IA? La tecnologia potrebbe mantenere la stessa efficacia se fosse implementato un meccanismo di cancellazione dei dati al termine di un specifico periodo di conservazione?
Il tema della minimizzazione dei dati presenta delle sfide significative in questo contesto, rendendo il dibattito ancora più complesso.
Implicazioni del GDPR sull’uso dell’AI generativa
Come precedentemente menzionato, l'Intelligenza Artificiale generativa per ottimizzare e potenziare le proprie prestazioni necessita di consumare un'ampia quantità di informazioni e, di conseguenza, di dati personali. Questo requisito si trova in netto contrasto con il principio di minimizzazione delineato dall'articolo 5, paragrafo 1, lettera C del GDPR, che sostiene un principio opposto. In merito a questo, l'European Data Protection Supervisor (EDPS), l'autorità europea incaricata di supervisionare il trattamento dei dati personali da parte degli organi e delle istituzioni europee, offre una prospettiva interpretativa. Secondo un recente parere dell'EDPS, l'uso di una grande quantità di dati non garantisce necessariamente migliori risultati, e il massiccio impiego di dati personali può tradursi in rischi concreti sia per gli sviluppatori sia per i destinatari degli effetti di tali tecnologie. L'EDPS suggerisce quindi di privilegiare la qualità dei dati piuttosto che la loro quantità, al fine di assicurare il rispetto del principio di minimizzazione.
Nel contesto dell'utilizzo di tecnologie di Intelligenza Artificiale generativa, si presenta la necessità di assicurare che i dati personali trattati siano precisi e continuamente aggiornati. È essenziale che i sistemi di IA generativa siano progettati per utilizzare informazioni che possano essere puntualmente aggiornate. Ciò implica un obbligo per gli sviluppatori e gli utilizzatori di verificare le fonti da cui i dati provengono e i processi in atto per mantenere l'attualità dei dati. Parallelamente, i titolari del trattamento devono implementare misure efficaci per verificare regolarmente l'accuratezza dei dati e correggere eventuali errori. Questo è fondamentale per prevenire, ad esempio, la generazione di risultati inadeguati e le cosiddette "allucinazioni" dell'IA generativa, dove il sistema produce output non corretti o fuorvianti.
Ciò che è stato evidenziato non implica solamente la necessità di verificare i dataset utilizzati per l'addestramento, ma anche di monitorare continuamente le risposte dell'IA per identificare e correggere eventuali errori. In questo contesto, un'efficace strategia di mitigazione del rischio include la supervisione umana all'interno del processo, essenziale per mantenere elevati gli standard di accuratezza. Questi standard, a loro volta, devono essere garantiti e rispettati anche dai fornitori delle soluzioni di IA, tramite specifici vincoli contrattuali che riguardano la qualità e l'esattezza dei dati forniti. Tale supervisione è inoltre prescritta dall'A.I. Act per certe categorie di sistemi intelligenti che comportano rischi significativi, sottolineando l'importanza di un controllo umano costante nel ciclo di vita dell'IA.
Dal punto di vista informativo, è fondamentale che il titolare del trattamento sia in grado di fornire informazioni precise, dettagliate e facilmente comprensibili agli interessati, affinché questi possano avere una piena consapevolezza di come e perché i loro dati personali vengano raccolti e trattati dall'IA generativa. Questo aspetto è particolarmente rilevante per i dati di addestramento, essenziali per il corretto funzionamento dell'IA generativa e dell'IA in generale. L'IA basa infatti le proprie prestazioni sui modelli di apprendimento, che possono presentare problemi di funzionamento qualora questi modelli siano viziati o inconsistenti. In questo contesto, diventa quindi cruciale che i produttori di tali tecnologie offrano informazioni approfondite sulla creazione e lo sviluppo delle stesse, permettendo alle aziende che le adottano di fornire il maggior numero di dettagli possibili sul loro ciclo di vita e sulle modalità di raccolta dei dati personali. Tutte queste informazioni dovrebbero essere presentate considerando la facilità di accesso e comprensione del pubblico di riferimento, utilizzando un linguaggio chiaro e trasparente e, ove possibile, supportandosi con infografiche in legal design. È altresì essenziale che sviluppatori, fornitori e utilizzatori predispongano una documentazione tecnica dettagliata.
Valutazione d’Impatto sulla Protezione dei Dati (DPIA) e AI generativa
In riferimento ai sistemi di IA generativa, è indispensabile menzionare l'obbligo di effettuare la Valutazione di Impatto sulla Protezione dei Dati (DPIA), che nel contesto della protezione dei dati europea costituisce uno degli strumenti principali di accountability per i titolari del trattamento, al fine di dimostrare la conformità al GDPR e ai principi ad esso connessi. Questa valutazione rappresenterà probabilmente uno degli adempimenti più significativi per le aziende che impiegano l'IA generativa, data la complessità e il livello di dettaglio richiesti per redigere un documento come la DPIA.
Rischi legali collegati all’impiego dell’AI generativa
Garantire il rispetto dei principi menzionati rappresenta sicuramente una grande sfida nell'attuale panorama e, ancor più, nei contesti futuri, in cui si prevede un incremento nell'adozione di tali tecnologie. L'uso crescente di soluzioni di IA generativa porterà inevitabilmente a un aumento dei rischi legati a possibili danni subiti dagli utenti finali.
Attualmente, la normativa sul risarcimento dei danni causati dalle tecnologie di IA, inclusa quella generativa, è notevolmente incompleta. Non esiste ancora una legge specifica, anche se l'Unione Europea sta valutando l'approvazione della "Direttiva sulla Responsabilità dell'Intelligenza Artificiale" (Artificial Intelligence Liability Directive), una proposta di direttiva che intende regolamentare in modo armonizzato la responsabilità civile extracontrattuale per i danni causati dall'IA, presentata il 28 settembre 2022.
Nello stesso giorno, la Commissione Europea ha proposto anche una nuova direttiva sulla "Responsabilità del Prodotto" (Product Liability), che mira a rivedere il regime tradizionale di protezione dei consumatori danneggiati da prodotti difettosi, in base alla Direttiva 85/374/CEE, adeguandola alle sfide dell'era digitale e all'uso crescente dell'intelligenza artificiale.
La responsabilità civile derivante dall’utilizzo di soluzioni di IA
Mentre si attende la conclusione del processo legislativo relativo alle proposte di direttive menzionate, l'interpretazione attuale della responsabilità civile derivante dall'uso delle soluzioni di IA, in base alla normativa italiana, può essere ragionevolmente delineata nelle seguenti categorie:
- Responsabilità Oggettiva: l'uso di una soluzione di IA può essere classificato come "attività pericolosa", ai sensi dell'articolo 2050 del Codice Civile italiano, il che implica una responsabilità oggettiva.
- Responsabilità da Cose in Custodia: secondo la disciplina dell'articolo 2051 del Codice Civile italiano, che introduce l'incognita della prova del caso fortuito. Questo solleva questioni complesse, come definire il caso fortuito in relazione a un algoritmo di IA generativa capace di prendere decisioni o esprimere opinioni indipendentemente dagli input ricevuti.
- Responsabilità da Fatto Illecito: come delineato dall'articolo 2043 del Codice Civile italiano, questa forma di responsabilità richiede all'utente finale di sostenere un onere probatorio notevolmente gravoso, dovendo dimostrare: (i) la presenza di un atto doloso o colposo, ossia l'origine del danno lamentato; (ii) la natura ingiusta del danno, cioè il fatto che il danno leda un interesse tutelato dalla legge; e (iii) l'esistenza di un nesso causale tra l'atto e il danno subito.
- Responsabilità da Prodotto Difettoso: regolata dalla Direttiva 85/374/CEE, che stabilisce una sorta di regime di responsabilità oggettiva a carico del produttore della soluzione di IA, indipendentemente dalla presenza di colpa o negligenza. Tuttavia, il danneggiato deve dimostrare la realtà del fatto dannoso, l'ingiustizia del danno subito e il nesso di causalità tra il fatto e il danno.
In una visione orientata al futuro, è importante sottolineare che i progetti di Direttiva attualmente in elaborazione puntano a facilitare l'onere della prova a carico della parte danneggiata. Si prevede, per esempio, l'introduzione di una "presunzione di causalità". In virtù di questa presunzione, qualora i danneggiati dimostrino che un produttore o un fornitore di soluzioni di intelligenza artificiale (IA) sia stato colpevole di non rispettare un obbligo rilevante per il danno, e che vi sia una probabilità ragionevole di un legame causale con il servizio fornito dall'IA, il giudice potrebbe assumere che tale mancato rispetto abbia causato il danno.
In aggiunta, nel contesto della proposta per la nuova Direttiva sulla responsabilità per prodotti difettosi, è importante evidenziare un ulteriore alleviamento probatorio a favore del danneggiato. Infatti, la Direttiva proposta introduce l'assunzione che in determinate circostanze il prodotto sia difettoso, facilitando così il superamento di eventuali lacune probatorie da parte del danneggiato.
La proposta di Direttiva di cui si è già parlato introduce anche un obbligo di divulgazione per gli operatori economici coinvolti in un reclamo da parte del danneggiato. Questi operatori saranno tenuti a fornire, su richiesta dell'autorità giudiziaria e nel caso in cui la richiesta sia almeno "plausibile", gli elementi di prova che hanno in loro possesso. Nel caso in cui l'operatore economico non rispetti questo obbligo di divulgazione, la proposta stabilisce che si possa presumere la difettosità del prodotto a vantaggio del danneggiato.
Pertanto, è essenziale monitorare gli sviluppi futuri delle proposte di Direttiva relative alla responsabilità, sia contrattuale che extracontrattuale, derivante dall'uso dei sistemi di IA. È cruciale considerare che, nel processo di recepimento, i vari ordinamenti giuridici degli Stati Membri potrebbero definire norme di responsabilità assai diverse tra loro.
Strategie per garantire la compliance nell'uso dell'Intelligenza Artificiale generativa
Gli operatori economici, per mitigare i rischi legali, commerciali e reputazionali derivanti dai nuovi obblighi loro attribuiti, dovranno implementare un adeguato sistema di compliance documentale. Questo sistema è volto a eliminare o, almeno, a ridurre le responsabilità legate all'uso di sistemi di intelligenza artificiale (IA).
È essenziale che i titolari e i responsabili del trattamento siano ben preparati, sia per quanto riguarda gli adempimenti normativi sia per le responsabilità connesse ai danni causati dai sistemi di IA. L'attenzione ai responsabili è deliberata, poiché molti degli adempimenti menzionati devono essere eseguiti durante lo sviluppo e l'implementazione delle soluzioni tecnologiche. Pertanto, questi compiti coinvolgeranno anche i fornitori che gestiscono dati personali per conto delle aziende proprietarie desiderose di innovare i loro processi tramite l'IA.
Come possono prepararsi le aziende? In attesa dell'entrata in vigore dell'A.I. Act, le aziende possono iniziare con un’autovalutazione per identificare quali dei loro processi aziendali hanno già integrato sistemi di IA e di quale categoria siano (ad alto rischio, a rischio sistemico, ecc.). Successivamente, è importante valutare lo stato di tali processi, includendo la documentazione preparata, i controlli tecnici e organizzativi, e le valutazioni di rischio e impatto.
Dopo una prima fase di assessment, le aziende potrebbero procedere con un esame più dettagliato in ambito di data protection per assicurarsi della corretta gestione degli adempimenti precedentemente descritti e, eventualmente, programmare le azioni correttive necessarie per garantire, in primis, i diritti e le libertà degli interessati, oltre che la compliance aziendale.
Nel proseguire con le pratiche già suggerite, è consigliabile per le aziende instaurare un robusto processo di governance che preveda almeno i seguenti passaggi:
- Esecuzione di un assessment per mappare i processi, i prodotti o i servizi che integrano un sistema di intelligenza artificiale generativa;
- Implementazione di un processo di audit rivolto ai fornitori di prodotti o servizi che includono soluzioni di IA generativa, enfatizzando in particolare la verifica delle licenze del software commercializzato;
- Realizzazione di un assessment tecnico sulla soluzione di IA generativa in esame per verificarne l'aderenza ai requisiti di disponibilità, integrità e confidenzialità dei dati trattati;
- Conduzione di un privacy assessment sulla soluzione di IA generativa, partendo dall'entry point per verificare l'accuratezza dei dati in input e fino alla fase di produzione del risultato desiderato;
- Esecuzione di attività per il calcolo e la gestione del rischio, inclusa la valutazione del rischio privacy, la valutazione di impatto sul trattamento dei dati (regolati dal GDPR) e la valutazione di impatto sui diritti fondamentali (una misura introdotta dall’AI Act per i sistemi di IA ad alto rischio);
- Assicurazione che la soluzione di IA generativa incorpori principi di privacy by design e by default per una governance efficace della protezione dei dati personali durante l'intero ciclo di vita del sistema;
- Adozione di un processo per monitorare nel tempo gli effetti e gli impatti della soluzione di IA generativa, stabilendo un calendario adeguato per un controllo efficace;
- Redazione e aggiornamento delle informative esistenti per includere i servizi o i prodotti che sfruttano la tecnologia di IA generativa;
- Verifica della coerenza ed efficacia delle misure di controllo adottate per il trattamento dei dati dalla soluzione di IA generativa, con particolare attenzione alla gestione dell’intervento umano come misura di tutela per i diritti e le libertà fondamentali degli individui;
- Redazione e aggiornamento delle policies e delle procedure interne all’azienda per l’uso delle soluzioni di IA generativa, al fine di sviluppare un quadro documentale di riferimento per il personale incaricato di operare con tali sistemi.
