La tutela della privacy al tempo dell’AI e dei Big Data
Sommario
I temi della privacy e della gestione dei dati per le aziende sono diventati fondamentali. La crescita dell’intelligenza artificiale e dei Big data li rendono ancora più urgenti, non solo per le implicazioni etiche e giuridiche, ma anche per l’impatto sui processi e l’organizzazione aziendale.
I Big Data stanno trasformando il modo in cui le aziende operano, offrendo nuove opportunità per l’analisi predittiva, la personalizzazione dei servizi e la comprensione del comportamento dei consumatori. Tuttavia, l’uso dei Big Data solleva anche importanti preoccupazioni per la privacy e la protezione dei dati personali. Fino a che punto possono spingersi nell’utilizzo di dati personali dei Clienti?
Poi c’è il fronte dei dati appartenenti all’azienda. Cosa è possibile condividere con questi nuovi strumenti online? Quali minacce per la sicurezza e la proprietà intellettuale potrebbero emergere?
Infine c’è la questione dell’utilizzo etico dell’AI, che è stato di recente oggetto dell’ AI Act, il regolamento approvato dall’UE per “promuovere la diffusione di un’intelligenza artificiale (IA) antropocentrica e affidabile”.
Vediamo le misure che le aziende possono adottare per tutelare e tutelarsi su questi fronti.
Big data e privacy secondo il Garante Europeo
Oggi proteggere la privacy significa mettere in atto un’articolata combinazione di tecnologie, politiche e pratiche etiche. È quindi fondamentale per aziende e organizzazioni trovare un equilibrio tra questi elementi.
L’EDPB (European Data Protection Board) ha evidenziato che ai Big Data si applicano tutti i principi fondamentali delle normative vigenti in materia di privacy.
Le caratteristiche intrinseche dei Big data impongono però l’adozione di differenti modalità di applicazione di tali principi, per renderli ancor più efficaci e adeguati.
L’EDPB enfatizza l’importanza della protezione dei dati fin dalla progettazione (data protection by design) e della protezione dei dati di default (data protection by default), due principi fondamentali del GDPR che sono particolarmente rilevanti nel contesto dei Big Data. Questo include la necessità di incorporare misure di protezione dei dati nel ciclo di vita dei prodotti e dei servizi che trattano grandi volumi di dati personali.
Assicurare la protezione dei dati in ogni circostanza tutela le aziende da multe e blocchi dell’operatività. Ma soprattutto offre garanzie di sicurezza ai Clienti.
Definire i dati personali
Ma quali sono i dati dei quali dobbiamo preoccuparci nella realizzazione di un progetto di Big Data?
Prima di tutto, vanno tracciati dei confini tra dati personali e non personali, dove per “dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile.
Riportiamo la classificazione della Foundation for Accountability Information che distingue i dati personali in quattro tipologie:
- Provided Data, forniti volontariamente dagli individui (ad esempio compilando un modulo
online); - Observed Data, raccolti automaticamente (ad esempio tramite cookie);
- Derived Data, prodotti da altri dati (ad esempio calcolando il potere di acquisto di un
cliente dal numero di visite a un negozio e dai suoi acquisti); - Inferred Data, creati attraverso un approccio analitico che consente di individuare le
correlazioni tra differenti insiemi di dati per profilare utenti (ad esempio per prevedere lo
stato di salute di una persona)
Questi sono tutti dati personali e devono dunque essere trattati in modo conforme al Regolamento Generale sulla Protezione dei Dati (GDPR, Regolamento Europeo n° 679/2016) che ha ridisegnato i confini della protezione dei dati personali sui concetti di liceità, correttezza e trasparenza, consenso, limitazione della finalità, minimizzazione ed esattezza.
Le regole da rispettare
Proprio sulla base dei principi del GDPR cerchiamo di sintetizzare una serie di regole indispensabili per tutelare i diritti degli interessati al trattamento.
Liceità, correttezza e trasparenza
È necessario valutare se l’uso dei dati personali è in linea con le aspettative delle persone, tenendo conto della complessità dei metodi di raccolta e analisi dei big data.
Consenso
Il trattamento dei dati è valido se la persona ha acconsentito esplicitamente al loro utilizzo per determinati scopi. Quando si usano i big data, è importante trovare un equilibrio tra gli interessi del gestore dei dati e quelli delle persone coinvolte.
Limitazione delle finalità
I dati personali devono essere raccolti per scopi specifici e legittimi e trattati in conformità con essi. Il principio di limitazione richiede dunque una costante valutazione della compatibilità con gli scopi iniziali, molto difficile quando si tratta di big data.
Minimizzazione dei dati
I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità. Occorre predeterminare il tempo di mantenimento dei dati e prevedere sistemi di cancellazione, aspetto molto spinoso perché in contraddizione con la logica dei big data.
Esattezza
I dati personali devono essere esatti. È importante quindi prendere tutte le misure necessarie per o cancellarli o correggerli prontamente, rispetto alle finalità del trattamento. In aggiunta, va sempre ricordato che ogni interessato può esercitare in qualunque momento i propri diritti fra cui: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, oblio.
Big data e privacy sono compatibili?
Il Regolamento Generale sulla Protezione dei Dati (GDPR, Regolamento Europeo n° 679/2016), che mira a rafforzare la protezione dei dati personali e concedere ai singoli il pieno controllo sui propri dati, ha cambiato l’approccio normativo alla privacy ed è tuttora la guida da seguire su questi argomenti.
Il GDPR tratta indirettamente l’argomento dei Big Data attraverso le sue disposizioni sulla protezione dei dati personali e la privacy degli individui.
Anche se il GDPR non menziona esplicitamente i termini “Big Data”, le sue regole e principi si applicano alla raccolta, al trattamento e alla conservazione dei dati personali, che sono tutti elementi centrali nell’uso dei Big Data da parte delle aziende e delle organizzazioni.
Ora non ci sono più misure di sicurezza minime e tutte le decisioni vengono demandate al singolo titolare del trattamento.
Ciascun titolare dunque deve tener conto di alcune variabili come:
- costo di attuazione
- natura dell’oggetto
- finalità del trattamento
- rischio e gravità per i diritti
- libertà delle persone fisiche
Sulla base di un’attenta valutazione di questi aspetti, il titolare del trattamento deve quindi mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza coerente con il grado di rischio per proteggere i dati personali da abusi o violazioni.
In conclusione possiamo affermare che se la raccolta dei big data pone evidenti problemi di privacy, il GDPR resta un valido strumento per aziende e per noi cittadini per trattare i dati personali con consapevolezza.
AI Act e futuro dei dati
In questo contesto si inserisce adesso anche l’AI Act.
Il nuovo regolamento, che entrerà a pieno regime nei prossimi due anni secondo un programma a tappe, ha individuato diverse categorie di rischio per i sistemi AI.
Le nuove norme, secondo quanto riferito dal Parlamento Europeo, mettono fuori legge alcune applicazioni AI che minacciano i diritti dei cittadini. Tra queste, i “sistemi di categorizzazione biometrica basati su caratteristiche sensibili e l’estrapolazione indiscriminata di immagini facciali da internet o dalle registrazioni dei sistemi di telecamere a circuito chiuso per creare banche dati di riconoscimento facciale. Saranno vietati anche i sistemi di riconoscimento delle emozioni sul luogo di lavoro e nelle scuole, i sistemi di credito sociale, le pratiche di polizia predittiva (se basate esclusivamente sulla profilazione o sulla valutazione delle caratteristiche di una persona) e i sistemi che manipolano il comportamento umano o sfruttano le vulnerabilità delle persone”.
L’UE ha anche regolato l’utilizzo di sistemi AI ad alto rischio (ad esempio infrastrutture critiche, istruzione e formazione professionale, occupazione, servizi pubblici e privati di base, sistemi di gestione delle frontiere, giustizia e processi democratici).
Per tutti questi sistemi vige l’obbligo di valutare e ridurre i rischi, mantenere registri d’uso, essere trasparenti e accurati e garantire la sorveglianza da parte di esseri umani.
Infine il regolamento indica anche l’obbligo di indicare chiaramente quando vengono utilizzati contenuti audio e video manipolati (i cosiddetti deep fake).
In attesa di capire come queste nuove norme conviveranno con il GDPR, resta una certezza: la coesistenza tra Big Data e Privacy è possibile, purché si rispetti la volontà esplicita di ogni singolo consumatore. Sarà possibile?
Infografica
Perché il Cloud fa crescere le imprese
Per scaricare questo contenuto e ricevere altre notizie sul mondo TLC iscriviti alla nostra Newsletter