loader image

Consulenza Legale per Sistemi IA: un approccio Privacy by Design

Diritto Digitale

Cosa significa Privacy by Design?

Di Privacy By Design se ne parla da anni, ma è un termine difficile da ridurre in una semplice definizione perché più che un concetto rappresenta un approccio. Significa infatti considerare i rischi e i problemi di privacy e protezione dei dati fin dalla fase di progettazione di un qualsiasi servizio, prodotto o processo.

 

Un esempio di Privacy by Design?

Se vogliamo restare all’attualità più recente, la Privacy By Design viene sempre più associata all’Intelligenza Artificiale e a quei sistemi che, con l’aiuto di algoritmi di Machine Learning o Deep Learning elaborano i dati degli utenti, per produrre decisioni automatizzate.

Oggi, infatti, il mercato richiede una particolare attenzione su questi temi, e per dare vita a prodotti che siano in linea con gli alti standard di protezione del GDPR (la Normativa Privacy Europea), ingegneri, designer, sviluppatori, esperti di sicurezza informatica e legali sono chiamati a collaborare fin dalle prime fasi di sviluppo.

Si dovrà ad esempio ragionare su quali dati personali effettivamente raccogliere ed elaborare, creando una vera e propria tassonomia dei dati, suddividendoli fra quelli che l’utente salva sul proprio dispositivo (ad esempio: identificatori del device) e quelli che, invece, sono condivisi e salvati sul database del fornitore (ad esempio: credenziali di accesso), fino a quelli che sono inviati anche a terze parti (molto spesso i dati comportamentali dell’utente da cui trarre gusti e preferenze).

Ognuno di questi dati personali pone quesiti diversi in termini di minacce e rischi privacy e di cyber sicurezza, che devono essere monitorati singolarmente.

Questo è solo un piccolo esempio di come applicare il concetto di Privacy By Design ad uno scenario reale, ma se ne potrebbero elencare centinaia, ognuno diverso per ogni fase del progetto. Il punto centrale è che deve essere adottato un approccio proattivo, abbandonando quello reattivo che si focalizza sulle lacune del progetto (ad esempio: mancanza di un’informativa o di un termine di cancellazione dei dati) senza però avere uno sguardo di insieme.

 

Qual è la differenza tra Privacy by Design e Privacy by Default?

La Privacy By Default è – se vogliamo – una componente della Privacy By Design. Rappresenta il livello di protezione dei dati di cui l’utente beneficia di default – appunto – cioè senza dover modificare alcuna impostazione del prodotto o servizio. Si pensi all’installazione di una App sul proprio smartphone e al suo primo utilizzo. È in quel momento che si può misurare la Privacy By Default dell’applicazione.

Quanti e quali dati vengono trattati? Quali misure di sicurezza ha implementato il fornitore? Si lega chiaramente al concetto di minimizzazione dei dati e di limitazione delle finalità, ovvero l’Applicazione dovrebbe trattare solo i dati necessari per le finalità previste.

Se l’utente viene tracciato con l’attivazione di cookie o altri sistemi di tracciamento attivati di default senza il consenso dell’utente è evidente che il principio non verrà rispettato. Ma torniamo al tema principale della Privacy By Design, collegandolo al nuovo campo di applicazione dell’Intelligenza Artificiale.

privacy by design e sistemi ia

 

Privacy by Design: l’esempio di Apple

Diventa sempre più importante per le software house e le start-up innovative che progettano Sistemi di Intelligenza Artificiale (IA) conformarsi alle prescrizioni della Normativa Privacy (cosiddetto GDPR), adottando un approccio di Privacy by Design.

Non sorprende quindi la notizia che vede Apple impegnata ad introdurre una sorta di etichetta privacy per tutte le applicazioni che avranno accesso al suo app store.

In sostanza, gli sviluppatori di app dovranno previamente comunicare quali dati personali sono trattati tramite l’applicazione da loro progettata, oltre alle finalità del trattamento. In questo modo, l’utente riceverà indicazioni di massima sulle tipologie di trattamento privacy, prima di effettuare l’eventuale download.

 

Privacy by Design e Sistemi di Intelligenza Artificiale (IA)

L’esempio di Apple è un altro segnale che va verso una direzione chiara: la privacy sta diventando un elemento concorrenziale tra le imprese innovative, e il tema assume un ruolo ancora più centrale per quelle organizzazioni che sviluppano Sistemi di Intelligenza Artificiale (IA) in grado di generare decisioni automatizzate mediante l’utilizzo di dati personali (come ad esempio, gli ormai noti sistemi di riconoscimento facciale oppure le applicazioni di credit scoring per valutare l’affidabilità creditizia di una persona).

Come tali, detti Sistemi di Intelligenza Artificiale (IA) pongono rischi elevati sul fronte dei diritti e delle libertà fondamentali degli utenti, poiché si “nutrono” di una enorme mole di dati che necessitano di continui controlli (dalla fase di raccolta fino a quella di training).

Il rischio, altrimenti, è quelli di utilizzare dati “fallaci” (di scarsa qualità o non realmente rappresentativi di scenari statistici) o addirittura affetti da “bias”, vale a dire pregiudizi o elementi discriminatori che incidono sul risultato finale delle decisioni automatizzate (per approfondire il tema ne abbiamo parlato in questo articolo).

Per queste e altre ragioni connesse al grado di raffinatezza tecnologica e ingegneristica raggiunto dalla gran parte dei Sistemi di Intelligenza Artificiale (IA), oggi non è più rinviabile una attività di auditing legale che sia in grado di esaminare gli algoritmi alla base di tali sistemi, e prima di tutto i set di dati personali che li alimentano.

 

Privacy by Design per imprese innovative e start up

Lo Studio Legale Baldrati & Strinati ha da tempo avviato una consulenza legale sul punto, affiancando start up e altre realtà innovative nella implementazione di un effettivo processo di Privacy by Design, in grado di guidare il cliente nella creazione di Sistemi di Intelligenza Artificiale (IA) conformi ai principi di trasparenza e informazione richiesti dal GDPR.

L’attività di auditing legale volta ad esaminare l’algoritmo e il modello decisionale implementato dai Sistemi IA, si fonda su alcuni pilastri:

  • Architettura dell’Algoritmo: si valuta, tra le altre, la complessità dell’algoritmo, possibili usi secondari, i set di dati che lo alimentano, l’implementazione o meno di logiche di machine learning.
  • Operation: si valuta, tra le altre, i dati necessari per le decisioni automatizzate, le possibili attività di profilazione, l’eventuale condivisione dell’output a terze parti.
  • Output: si valuta, tra le altre, il tipo di output fornito dall’algoritmo, se l’output è prodotto in forma comprensibile e accessibile all’utente e se viene fornito un meccanismo di feedback per l’utente.
  • Implementation: si valuta, tra le altre, gli scopi del processo decisionale automatizzato e la possibilità o meno dell’intervento umano nel corso dell’intero processo.

Da ultimo si offrono una serie di soluzioni condivise con il Cliente, al fine di conformarsi all’Art. 22 del GDPR, che richiede una serie di requisiti in caso di trattamento dei dati personali interamente automatizzati: dal diritto di ottenere l’intervento umano da parte del titolare del trattamento, al diritto di esprimere la propria opinione e di contestare la decisione automatizzata.

La piena conformità al GDPR rappresenta un elemento di competitività sul mercato per qualsiasi organizzazione che voglia fare dell’innovazione il suo core business. Il grado di sensibilizzazione raggiunto dagli utenti sul tema Privacy e i nuovi scenari imposti dalle grandi corporation (come Apple), impongono un cambio di passo sul grado di maturità dei Sistemi di Intelligenza Artificiale (IA), che devono essere rispettosi dei principi (Privacy by Design) previsti dal Regolamento Europeo.

Vorresti una consulenza legale?

Programma la tua Videocall

Articoli recenti

Scopri anche

Il nostro magazine di approfondimento che racconta i nuovi scenari del diritto applicato al mondo digitale ed alle nuove tecnologie.

Vorresti una consulenza legale?

Programma la tua Videocall

Vorresti approfondire ?

Contattaci 

Tipologia