Il rispetto dei principi della privacy alla base di una AI etica

In un mondo non ''specialistico'' che stenta a comprendere quanto veloce vada l’evoluzione tecnologica e quanto essa interagisca, quotidianamente, con la nostra vita, ci sono dei vincoli da rispettare, per evitare di cedere progressivamente porzioni sempre più importanti delle libertà personali, sacrificate sull'altare di quelle collettive. Tematica dai contenuti altamente sensibili, soprattutto come quelli che riguardano il cosiddetto ‘ecosistema digitale’ sul quale intende agire l’insieme di norme che l’Unione europea ha messo a base della sua Platform Workers Directive e quindi del diritto alla privacy che riguarda i lavoratori del settore.  Nell’affrontare questa affascinante, ma complessa materia, Ivana Bartoletti e Lucia Lucchini, due delle voci più autorevoli in questo settore che si evolve quotidianamente, definiscono il Regolamento generale sulla protezione dei dati (Gdpr), di matrice comunitaria, il ‘’faro'', anche se, ammettono le due esperte, in un articolo a doppia firma pubblicato su Network Digital 360, ’’le battaglie più complesse si giocheranno sugli standard’’. Nell’ambito delle discussioni sulla proposta di regolamento sull’AI della Commissione Europea, si sta delineando, dicono Bartoletti e Lucchini, ‘’un grosso quadro normativo’’ che ha nella privacy e nella protezione dei dati un evidente filo conduttore. Perché se la protezione dei dati personali segna una barriera tra il singolo individuo e quelle strutture che operano nell'ambito della raccolta di informazioni che riguardano il soggetto, è palese che, su questo terreno, interagiscono altri campi di azione, quali l'antitrust e la competizione. Diventa,  quindi,  quasi necessario, per le due esperte, ''concentrarsi proprio sull'interrelazione tra l'AI Act, la nuova nuova Platform Workers Directive come terreno unificante e a esplorare sia le potenzialità e i rischi che questo comporta''. Che l'argomento sia fondamentale per la comprensione dell'intera problematica è confermato dal fatto che queste tematiche sono state al centro della Computers, Privacy and Data Protection conference di Bruxelles, dove l'attenzione si è concentrata in particolare modo sull'utilizzo dell'intelligenza artificiale in ambito lavorativo. 

Tornando all’Eu AI Act, le autrici ricordano come i prodotti Ia ‘’applicati al mondo lavorativo e relazioni con il personale rientrano nella categoria ‘alto rischio’, la quale comporta una serie di obblighi a cui un’organizzazione deve aderire per poter sviluppare e/o usare tali prodotti. Tali obblighi includono lo stabilire tutela contro varie tipologie di bias nei data set, usando pratiche stabilite di gestione e governance dei dati, volte a garantire la verifica e la tracciabilità degli output e risultati nel corso della vita del sistema AI - e incorporando disposizioni su livelli ritenuti adeguati di trasparenza e comprensibilità per gli utenti dei sistemi, - comportando dunque un appropriato livello di supervisione individuale (human oversight) sul sistema AI’’. Quindi,  ad avviso delle due  esperte, ‘’dal momento in cui il sistema AI considerato di alto rischio viene prodotto, l’Artificial intelligence Act impone lo svolgimento di una valutazione, interna, di conformità ex ante’’. Cioè ‘’i sistemi AI – a prescindere dal loro essere prodotti o servizi –, quando applicati a settori di alto rischio, devono conformarsi agli obblighi del regolamento prima di poter essere venduti e utilizzati nel mercato europeo’’. Ma diventa fondamentale anche come ‘’il prodotto deve arrivare dal fornitore all’utente, che ricordiamo – dicono Lucchini e Bartoletti - non è l’utente finale, ma l’organizzazione che compra il prodotto AI per usarlo con una documentazione tecnica, che include documentazione riguardante l’architettura, il design, e specificazioni dell’algoritmo e del modello. Infine, da puntualizzare che la maggior parte degli obblighi della normativa cadranno sull’ente che introduce il sistema di sul mercato(il ‘fornitore’), i quale può essere il terzo fornitore o l’azienda stessa che sviluppa l’IA’’.

In questo scenario si inserisce un’altra proposta normativa – la Platform Workers Directive  – che introduce elementi importanti, incluso la trasparenza algoritmica, chiedendo alle piattaforme ‘’di pubblicare regolarmente informazioni relative ai termini e condizioni di impiego dei propri lavoratori, informazioni che poi potranno essere ampliate su richiesta di autorità pubbliche e i sindacati in rappresentanza dei lavoratori. Per maggiore trasparenza, a specifici enti pubblici verrà attribuita l’autorità di richiedere ed ottenere dalle platforms materiale di supporto alle informazioni fornite’’, prevedendo anche di ‘’aumentare il controllo e la revisione delle attività di queste piattaforme’’.  Che l’attenzione sulla protezione dei dati si sia alzata negli ultimi anni è un dato di tutta evidenza. ‘’Non c’è da meravigliarsi – commentano le due autrici - perché questioni legate alla trasparenza o al data accuracy – capisaldi della normativa sulla protezione dei dati – hanno un impatto profondo nei sistemi AI’’. Come confermato dal principio espresso dalla Cassazione che, in tema di GDPR , ha sancito che “quando si chiede a una persona il consenso a trattare i propri dati personali perché siano dati in pasto a un algoritmo al fine di pervenire a una decisione automatizzata capace di incidere sui propri diritti, il consenso non è valido se la persona non è adeguatamente informata delle logiche alla base dell’algoritmo”. 


L’analisi di Bartoletti e Lucchini quindi si sofferma sugli standard, definiti ‘’i veri kingmaker’’ dell’AI Act, sviluppati dagli organismi europei (Cen, Cenelec e Etsi), chiamati anche ad aggiornare, ogni sei mesi, la Commissione. Degli standard le due autrici dicono come essi siano il terreno su cui ‘’ si giocano battaglie complesse a livello globale, specialmente tra Cina e Stati Uniti, e non c’è dubbio alcuno che siano proprio gli standard l’elemento fondamentale dal punto di vista economico, garantendo di fatto l’accesso al mercato’’. Ma la domanda fondamentale, il punto ‘’essenziale e preoccupante insieme’’, per Lucchini e Bartoletti, è chi definisce gli standard di rendicontabilità, quindi di responsabilità, di questo processo. Se è vero che ‘’l’AI usata nei contesti professionali è indubbiamente all’intersezione di diverse discipline, quindi non semplici da regolamentare’’, non c’è da sorprendersi se ci sia scetticismo sull’effettiva capacità della norma europea di tutelare i i lavoratori. E per una serie di considerazioni, la prima e più evidente delle quali è che ‘’gli standard sono indubbiamente fondamentali, ma non sono certamente neutri, dal momento che sono elaborati da individui e nell’ambito di questioni geopolitiche di enorme rilevanza’’. Una considerazione che ne genera  un’altra, assolutamente condivisibile perché ‘’ un processo collettivo di partecipazione sociale e politica, per quanto auspicabile e necessario, rimane altamente difficile da attuare e, soprattutto valutare’’.                                                                                                             

Quindi: si chiedono le due esperte, ''come ci assicuriamo che l’adesione a standard – che presumibilmente non avranno come oggetto le questioni di impatto sociale dell’AI – non diventi un modo per delegittimare gli obiettivi della stessa normativa europea? In altre parole, potremmo trovarci prodotti che pur essendo in piena conformità con gli standard, hanno un impatto (negativo) su quei valori fondamentali che l’EU AI Act si prefigge di tutelare?''.  Si potrebbe dire che, sostengono le esperte,  anche qualora questo punto dovesse avverarsi ''la normativa sulla privacy e la data protection rimarrebbe comunque applicabile a tutelare gli individui. Ma, come abbiamo detto precedentemente, l’AI  Act in un certo qual modo estende la normativa privacy dal momento che molti sistemi, pur non usando dati personali, hanno comunque un effetto sulle persone''. Considerazioni che inducono ad un altro interrogativo: ''non abbiamo forse bisogno di un super-body in grado di mettere insieme tutti questi diversi aspetti, dalla privacy, all’employment passando per le altre discipline coinvolte?''. Il giudizio di Ivana Bartoletti e Lucia Lucchini è secco: ''Il rischio è che la privacy, invece di restare il filo conduttore tra tutta la normativa che disciplina il digitale, resti l'unica speranza per una intelligenza artificiale  etica e responsabile''.