Disposizioni dell’RGPD
Home » IA » Esposizione generale » Intervento e sorveglianza umani » Disposizioni dell’RGPD

Il requisito dell’intervento della sorveglianza umana nello sviluppo di strumenti di IA è chiaramente collegato al diritto di ottenere l’intervento umano, il diritto a non essere sottoposto a una decisione basata esclusivamente su un trattamento automatizzato, il diritto a essere informati del processo decisionale automae tizzato (ADM), e la logica in questione, tutti inclusi nell’RGPD. Tali diritti sono messi in discussione dall’uso di strumenti di IA. L’IA comporta, spesso, una forma di trattamento automatizzato e, in alcuni casi, le decisioni sono prese direttamente dal modello di IA. A volte, infatti, gli strumenti di IA imparano e prendono decisioni senza la sorveglianza umana e talvolta la logica delle loro prestazioni è difficile da comprendere.[1]

A questo proposito, la profilazione è specialmente problematica nello sviluppo dell’IA (cfr. Riquadro 1),in quanto il processo di profilazione “è spesso invisibile all’interessato. Esso funziona creando dati derivati o inferiti relativi agli individui: “nuovi” dati personali che non siano stati forniti direttamente dagli stessi interessati. Le persone hanno livelli di comprensione molto diversi di questo argomento e possono trovare difficile capire le tecniche sofisticate coinvolte nei processi di profilazione e di decisione automatizzata”[2] (cfr. sezione “”).

Naturalmente, l’RGPD non impedisce alcuna forma di profilazione e/o processo decisionale automatizzato: semplicemente, conferisce alle persone lo specifico diritto di essere informate in merito, così come il diritto di non essere sottoposte a una decisione basata su un processo decisionale puramente automatizzato, compresa la profilazione. Il loro diritto all’informazione dev’essere soddisfatto attraverso l’applicazione del principio di liceità, equità e trasparenza. Ciò significa che, come minimo, i titolari del trattamento devono informare l’interessato che“stanno svolgendo questo tipo di attività, fornire informazioni significative sulla logica utilizzata e sul significato e sulle conseguenze della profilazione per l’interessato”[3] (cfr. Articoli 13 e 14 dell’RGPD).

Le informazioni sulla logica di un sistema e le motivazioni delle decisioni devono fornire alle persone il contesto necessario per decidere in merito al trattamento dei loro dati personali. In alcuni casi, motivazioni insufficienti possono indurre gli individui a ricorrere inutilmente ad altri diritti. Le richieste d’intervento, l’espressione di opinioni o le obiezioni al trattamento sono più probabili se le persone non ritengono di avere una comprensione sufficiente del modo in cui è stata adottata la decisione. Gli interessati devono poter esercitare i loro diritti in modo semplice e agevole. Ad esempio, “se il risultato di una decisione totalmente automatizzata viene comunicato tramite un sito web, la pagina dovrebbe contenere un link o delle informazioni chiare che consentano alla persona di contattare un membro del personale che possa intervenire, senza ritardi o complicazioni ingiustificati”.[4]Tuttavia, è difficile stabilire concretamente l’intera portata delle informazioni da fornire. Al momento, infatti, la questione è oggetto di una vivace discussione accademica.[5]

Riquadro 0. La questione del posizionamento

I fornitori di beni o servizi che partecipano alla cosiddetta “economia collaborativa” (o “economia delle piattaforme”) devono comprendere il funzionamento del posizionamento nel contesto del loro utilizzo di specifici servizi di intermediazione online o di motori di ricerca online. Potrebbe trattarsi, ad esempio, di un hotel, grande o piccolo, che offra il suo alloggio tramite Booking.com o TripAdvisor. Per consentire alle imprese di partecipare come fornitori sulla piattaforma, non è necessario che le piattaforme comunichino il funzionamento dettagliato dei loro meccanismi di posizionamento, compresi gli algoritmi utilizzati. È sufficiente fornire una descrizione generale dei principali parametri di posizionamento (compresa la possibilità di influenzare il posizionamento a fronte di qualsiasi remunerazione diretta o indiretta pagata dal fornitore), purché tale descrizione sia facilmente e pubblicamente disponibile e scritta in un linguaggio chiaro e comprensibile.[6]

Inoltre, ai sensi dell’articolo 22 paragrafo 1, gli interessati devono avere il diritto di non essere sottoposti a una decisione basata esclusivamente su un trattamento automatizzato, ivi inclusa la profilazione, che produce effetti giuridici che li riguardano o che incida in modo analogo significativamente sulla loro persona. Pertanto, i titolari del trattamento devono sempre assicurarsi che gli strumenti di IA che utilizzano o sviluppano non promuovano in alcun modo un inevitabile processo decisionale automatico. Infatti, secondo il Gruppo di lavoro dell’articolo 29, “[q]ualora il titolare del trattamento preveda un ‘modello’ che adotta esclusivamente decisioni automatizzate con un forte impatto sulle persone sulla base dei profili che li riguardano e non possa fare affidamento sul loro consenso, su un contratto con la persona o su una legge che lo autorizzi, il titolare del trattamento non deve procedere. Tuttavia, il titolare del trattamento può prevedere un “modello'” di processo decisionale basato sulla profilazione, aumentando significativamente il livello di intervento umano, così che il modello non sia più un processo decisionale completamente automatizzato, anche se il trattamento potrebbe ancora presentare rischi per i diritti e le libertà fondamentali delle persone.”[7]

Riquadro 1. Comprendere la profilazione

Uno Studio di Kosinski et al. (2013)[8] ha dimostrato che, nel 2011, i documenti digitali accessibili sui comportamenti (come le pagine con “Mi piace” su Facebook) potrebbero essere utilizzati per prevedere con precisione una serie di attributi personali altamente sensibili. Questi comprendevano: orientamento sessuale, etnia, opinioni religiose e politiche, caratteristiche della personalità, intelligenza, felicità, uso di sostanze che provocano dipendenza, separazione parentale, età e genere. L’analisi si è basata su un insieme di dati di oltre 58.000 volontari che hanno fornito i loro “Mi piace” su Facebook, profili demografici dettagliati e sui risultati di diversi test psicometrici.

Il modello ha distinto correttamente uomini omosessuali ed eterosessuali nell’88% dei casi, afroamericani e caucasici nel 95% dei casi ed elettori democratici e repubblicani nell’85% dei casi. Per il tratto della personalità “Sincerità”, l’accuratezza della previsione era prossima all’attendibilità test-retest standard della personalità. Gli autori hanno, inoltre, fornito esempi di associazione tra attributi e “Mi piace” e hanno discusso le implicazioni per la personalizzazione online e la privacy.

Questo caso costituisce un ottimo esempio di come funziona la profilazione: le informazioni degli interessati sono servite per classificarli e formulare previsioni su di loro.

Inoltre, il titolare del trattamento deve sempre ricordare che, ai sensi dell’Articolo 9, paragrafo 2, lettera a) dell’RGPD, le decisioni automatizzate che implicanoil trattamento di categorie particolari di dati sono consentite solo se l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche(cfr. la ‘sezione ‘Consenso’ nel capitolo ‘Concetti’), o se esiste una base giuridica per tale trattamento. Questa eccezione si applica non solo quando i dati osservati rientrano in questa categoria, ma anche nel caso in cui l’allineamento di diversi tipi di dati personali può rivelare informazioni sensibili sulle persone, o se i dati inferiti rientrano in tale categoria. Infatti, uno studio in grado di inferire categorie particolari di dati è soggetto agli stessi obblighi di legge, ai sensi dell’RGPD, di uno studio in cui sono trattati fin dall’inizio dati personali sensibili. In tutti questi casi, dobbiamo considerare la normativa applicabile al trattamento di categorie particolari di dati personali e la necessaria applicazione di garanzie adeguate, in grado di tutelare i diritti, gli interessi e le libertà degli interessati. Deve essere garantita la proporzionalità tra l’obiettivo della ricerca e l’uso di categorie particolari di dati. Inoltre, i titolari del trattamento devono essere consapevoli del fatto che i loro Stati Membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute (Art. 9 (4) RGPD).

Se la profilazione deduce dati personali che non sono stati forniti dall’interessato, i titolari del trattamento devono garantire che il trattamento non sia incompatibile con la finalità iniziale (cfr. sezione ‘Protezione dei dati e ricerca scientifica’ nel capitolo ‘Concetti’); di aver individuato una base giuridica per il trattamento dei dati della categoria particolare; e di informare l’interessato in merito al trattamento[9] (cfr. sezione ‘Limitazione della finalità’ nel capitolo ‘Principi’).

L’esecuzione di una “valutazione d’impatto sulla protezione dei dati” (DPIA) è obbligatoria se esiste un rischio reale di profilazione non autorizzata o di processo decisionale automatizzato. L’Articolo 35 paragrafo 3, lettera a) dell’RGPD stabilisce la necessità che il titolare del trattamento effettui una valutazione d’impatto sulla protezione dei dati nel caso di una valutazione sistematica e globale di aspetti personali relativi a persone fisiche. Ciò deve essere effettuato per gli strumenti basati sul trattamento automatizzato, compresa la profilazione, e per quelli su cui si basano le decisioni che producono effetti giuridici nei confronti della persona fisica, o che incidono significativamente sulla stessa.

Ai sensi dell’Articolo 37 paragrafo 1, lettera b) dell’RGPD, un ulteriore requisito di responsabilità è la designazione di un responsabile della protezione dei dati (RPD), quando la profilazione o il processo decisionale automatizzato costituiscono un’attività fondamentale del titolare del trattamento che richiede un monitoraggio regolare e sistematico degli interessati su larga scala. I titolari del trattamento sono, inoltre, tenuti a conservare un registro di tutte le decisioni adottate da un sistema di IA nell’ambito dei loro obblighi in materia di Accountability e documentazione (cfr. sezione Accountability nel capitolo Principi). Questo deve includere i casi in cui una persona abbia chiesto l’intervento umano, espresso opinioni, impugnato la decisione e il caso in cui una decisione sia stata modificata di conseguenza.[10]

Alcune azioni complementari che potrebbero essere estremamente utili per evitare il processo decisionale automatizzato includono le seguenti.[11]

  • Considerare i requisiti di sistema necessari per supportare una revisione umana significativa fin dalla fase di progettazione.
  • In particolare, prendere in considerazione i requisiti d’interpretabilità e un’efficace progettazione dell’interfaccia utente a sostegno delle revisioni e degli interventi umani.
  • Progettare e fornire una formazione e un sostegno adeguati per i revisori umani.
  • Conferire al personale l’autorità, gli incentivi e il sostegno adeguati per affrontare o comunicare le preoccupazioni delle persone e, se necessario, annullare la decisione del sistema di IA.

In ogni caso, i titolari del trattamento devono essere consapevoli del fatto che gli Stati Membri stanno introducendo alcuni riferimenti concreti a tale questione nelle rispettive normative nazionali, utilizzando diversi strumenti per garantire un’adeguata conformità.[12]

Lista di controllo: profilazione e processo decisionale automatizzato[13]

☐ I titolari del trattamento dispongono di una base giuridica per procedere alla profilazione e/o al processo decisionale automatizzato, che documentano nella loro politica di protezione dei dati.

☐ I titolari del trattamento inviano alle persone un link alla loro informativa sulla privacy quando hanno ottenuto i loro dati personali in modo indiretto.

☐ I titolari del trattamento spiegano come le persone possono accedere ai dettagli delle informazioni utilizzate per creare il proprio profilo.

☐ I titolari del trattamento informano le persone che forniscono loro i propri dati personali su come opporsi alla profilazione.

☐ I titolari del trattamento dispongono di procedure che consentono ai clienti di accedere ai dati personali inseriti nei loro profili, in modo da poter esaminare e modificare eventuali problemi di precisione.

☐ I titolari del trattamento dispongono di controlli aggiuntivi per i loro sistemi di profilazione/decisione automatizzata al fine di proteggere i gruppi vulnerabili (compresi i minori).

☐ I titolari del trattamento raccolgono solo la quantità minima di dati necessari e dispongono di una politica trasparente di conservazione dei profili creati.

Come modello di buona prassi

☐ I titolari del trattamento effettuano una valutazione d’impatto sulla protezione dei dati per considerare e affrontare i rischi quando avviano qualsiasi nuovo processo decisionale automatizzato o profilazione.

☐ I titolari del trattamento informano i propri clienti in merito alla profilazione e al processo decisionale automatizzato da essi svolto, al tipo di informazioni utilizzate per creare i profili e all’origine di tali informazioni.

☐ I titolari del trattamento utilizzano dati anonimizzati nelle loro attività di profilazione.

☐ I responsabili garantiscono il diritto alla leggibilità delle decisioni algoritmiche.

☐ Gli organi decisionali dispongono di un meccanismo in grado di notificare e spiegare i motivi per cui un’impugnazione della decisione algoritmica non è accettata per mancanza di intervento umano.

☐ Gli organi decisionali dispongono di un modello di valutazione dei diritti umani nel processo decisionale automatizzato.

☐ È in atto una supervisione umana qualificata sin dalla fase di progettazione, in particolare per quanto attiene ai requisiti di interpretazione e alla progettazione efficace dell’interfaccia, e gli esaminatori sono formati.

☐ Si effettuano verifiche relative a possibili scostamenti dai risultati delle inferenze nei sistemi adattativi o evolutivi.

☐ La certificazione del sistema di IA è in corso o è stata effettuata.
Ulteriori informazioni

Gruppo di lavoro dell’articolo 29 (2018) Orientamenti in materia di processi decisionali automatizzati e profilazione, ai sensi del Regolamento 2016/679. Commissione europea, Bruxelles. Disponibile all’indirizzo: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053

ICO (2020) Quadro di revisione dell’IA: progetto di documento orientativo per la consultazione, pagg. 94-95. Ufficio del commissario per l’informazione, Wilmslow. Disponibile all’indirizzo: https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf

ICO (2019) Valutazioni d’impatto sulla protezione dei dati e IA. Ufficio del commissario per l’informazione, Wilmslow. Disponibile all’indirizzo: https://ico.org.uk/about-the-ico/news-and-events/ai-blog-data-protection-impact-assessments-and-ai/

Kosinski M., Stillwell, D. and Graepel, T. (2013) ‘Digital records of behavior expose personal traits’, Proceedings of the National Academy of Sciences 110(15): 5802- 5805, DOI:10.1073/pnas.1218772110

Malgieri, G. (2018) Processo decisionale automatizzato nella normativa degli Stati Membri dell’UE: il diritto alla motivazione e ad altre “adeguate garanzie” per le decisioni algoritmiche nella normativa nazionale dell’UE. Disponibile all’indirizzo: https://ssrn.com/abstract=3233611 o http://dx.doi.org/10.2139/ssrn.3233611

Autorità norvegese per la protezione dei dati (2018) Intelligenza artificiale e privacy. Autorità norvegese per la protezione dei dati, Oslo. Disponibile all’indirizzo: https://iapp.org/media/pdf/resource_center/ai-and-privacy.pdf

Selbst, A.D. Powles, J. (2017) Informazioni significative e diritto di motivazione, International Data Privacy Law 7(4): 233-242, https://doi.org/10.1093/idpl/ipx022

Wachter, S., Mittelstadt, B. e Floridi, L. (2017) ‘Why a right to explanation of automated decision-making does not exist in the General Data Protection Regulation’ (Perché nel Regolamento Generale in materia di Protezione dei Dati non esiste un diritto alla motivazione delle decisioni automatizzate), International Data Privacy Law. Disponibile all’indirizzo https://ssrn.com/abstract=2903469 o http://dx.doi.org/10.2139/ssrn.2903469

 

 

  1. Burrell, J. (2016) ‘How the machine ‘thinks’: understanding opacity in machine learning algorithms’ (Come pensa la macchina: comprensione dell’opacità negli algoritmi di apprendimento dei dati), Big Data & Society 3(1): 1-12.
  2. Gruppo di lavoro dell’articolo 29 (2017) Orientamenti in materia di processi decisionali automatizzati e profilazione, definiti ai sensi del Regolamento 2016/679, WP 251, pag. 9. Commissione europea, Bruxelles.
  3. Ibid., pagg. 13-14.
  4. ICO (2020) Quadro di revisione dell’IA: progetto di documento orientativo per la consultazione, pag. 94. Ufficio del commissario per l’informazione, Wilmslow. Disponibile all’indirizzo: https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf(consultato il 15 maggio 2020).
  5. Wachter, S., Mittelstadt, B. e Floridi, L. (2017) ‘Why a right to explanation of automated decision-making does not exist in the General Data Protection Regulation’ (Perché nel Regolamento Generale in materia di Protezione dei Dati non esiste un diritto alla motivazione delle decisioni automatizzate), International Data Privacy Law. Disponibile all’indirizzohttps://ssrn.com/abstract=2903469 o http://dx.doi.org/10.2139/ssrn.2903469(consultato il 15 maggio 2020); Selbst, A.D. and Powles, J. (2017) ‘Meaningful information and the right to explanation’ (Informazioni significative e diritto alla motivazione), International Data Privacy Law 7(4): 233-242, https://doi.org/10.1093/idpl/ipx022 (consultato il 15 maggio 2020).
  6. Regolamento UE 1159/2019 del 20 giugno 2019 in materia di promozione della correttezza e della trasparenza per gli utenti commerciali dei servizi di intermediazione online, Articolo 5 e Considerando 27. Disponibile all’indirizzo: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019R1150&from=EN
  7. Gruppo di lavoro dell’articolo 29 (2018) Orientamenti in materia di processi decisionali automatizzati e profilazione, definiti ai sensi del Regolamento 2016/679. Commissione europea, Bruxelles, pag. 30. Disponibile all’indirizzo: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053.
  8. Kosinski M., Stillwell, D. and Graepel, T. (2013) ‘Digital records of behavior expose personal traits’, Proceedings of the National Academy of Sciences 110(15): 5802- 5805, DOI:10.1073/pnas.1218772110
  9. Gruppo di lavoro dell’articolo 29 (2017) Orientamenti in materia di processi decisionali automatizzati e profilazione, definiti in base alle previsioni del Regolamento 2016/679, WP 251, pag. 15. Commissione europea, Bruxelles.
  10. ICO (2020) Quadro di revisione dell’IA: progetto di documento orientativo per la consultazione, pagg. 94-95. Ufficio del commissario per l’informazione, Wilmslow. Disponibile all’indirizzo: https://ico.org.uk/media/about-the-ico/consultations/2617219/guidance-on-the-ai-auditing-framework-draft-for-consultation.pdf(consultato il 15 maggio 2020).
  11. Ibid. pag. 95.
  12. Malgieri, G. (2018) Processo decisionale automatizzato nella normativa degli Stati Membri dell’UE: il diritto alla motivazione e ad altre “adeguate garanzie” per le decisioni algoritmiche nella normativa nazionale dell’UE. Disponibile all’indirizzo: https://ssrn.com/abstract=3233611 o http://dx.doi.org/10.2139/ssrn.3233611 (consultato il 2 maggio 2020).
  13. ICO (nessuna data) Diritti relativi al processo decisionale automatizzato, compresa la profilazione. Ufficio del commissario per l’informazione, Wilmslow. Disponibile all’indirizzo: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/individual-rights/rights-related-to-automated-decision-making-including-profiling/(consultato il 15 maggio 2020).

 

Skip to content