Intelligenza artificiale in azienda: le sfide della compliance

Negli ultimi mesi il dibattito sui rischi relativi all’uso dell’Intelligenza Artificiale è stato molto acceso, e si è intensificato a seguito della decisione del Garante privacy italiano su Open AI e il learning language model ChatGPT.

Ma l’uso di sistemi di Intelligenza Artificiale da parte delle aziende e nei settori più disparati è ormai una realtà da cui non si può prescindere.

L’intelligenza artificiale in azienda

In occasione del recente al Privacy Symposium a Venezia, ho fornito una mia opinione sul grado di maturità e di consapevolezza delle aziende sui temi dell’IA soprattutto in relazione alle dimensioni delle aziende o ai settori di attività. Naturalmente, ci i sono differenze che tuttavia non credo dipendano necessariamente dalle dimensioni o dal settore industriale, quanto dal grado di maturità e di consapevolezza delle persone (manager o comunque persone che ricoprono ruoli apicali): perché le persone sono sempre fondamentali per la creazione della cultura aziendale.

Il settore industriale non è necessariamente una variabile, dal momento che in questo momento storico, in qualsiasi settore si cerca di trarre valore dai dati personali che vengono trattati o di offrire servizi innovativi e personalizzati, e spesso lo si fa utilizzando l’IA.

Monitoraggio e revisione dell’algoritmo, le indicazioni del GDPR

Una delle soluzioni possibili per la governance dell’IA all’interno di una azienda può essere la creazione di un processo di monitoraggio e revisione dell’algoritmo, cosa che è richiesta espressamente dall’articolo 22 e dal considerando 71 GDPR. Il GDPR richiede che siano adottate garanzie adeguate a rendere l’algoritmo spiegabile, ottenere un intervento umano e contestare la decisione, nonché l’adozione di misure organizzative e tecniche per evitare inesattezze ed errori o possibili discriminazioni. Questo risultato si può ottenere ad esempio formalizzando procedure interne che consentano, tra l’altro, il controllo costante della qualità dei dati in entrata e in uscita e coinvolgendo le figure chiave dell’azienda in una revisione periodica dell’algoritmo. In particolare, si potrebbe creare un gruppo di lavoro che comprenda: data scientists, data managers, i rappresentanti del business che sono maggiormente a contatto con le categorie di interessati coinvolti (operation managers), i legali, il DPO e il responsabile delle relazioni istituzionali.

Il tavolo di lavoro avrebbe il compito di analizzare (attraverso specifiche checklist) tutti gli aspetti di progettazione, analisi delle conseguenze dell’algoritmo, analisi delle modalità di intervento umano, producendo poi un report finale che esamini il contesto, le problematiche e le azioni da intraprendere, individuando anche i responsabili per ciascuna di queste azioni. Una soluzione di governance dell’IA all’interno dell’azienda non può prescindere dal coinvolgimento del DPO nei processi di progettazione, monitoraggio e controllo.

Compliance al GDPR: non è solo a carico del DPO

In un contesto del genere, il ruolo del DPO all’interno dell’azienda è fondamentale, dovendo interfacciarsi con i diversi stakeholders all’interno dell’azienda, assicurando la tutela dei diritti e delle libertà degli interessati. Ma non è solo il DPO o il legale interno con una buona preparazione sulle tematiche privacy a fare la differenza. Troppo spesso chi si occupa di questa materia vede la compliance con la normativa in materia di protezione dei dati personali “delegata” interamente al DPO, dal quale ci si aspetta l’implementazione di soluzioni di compliance poco costose, efficienti e rapidamente realizzabili (tre condizioni che non si verificano mai contemporaneamente).

Ma l’approccio basato sul rischio richiede a mio avviso una presa di coscienza più ampia. Non è solo il DPO o il manager a dover prendere in carico la compliance con il GDPR. Gli stessi membri dei consigli di amministrazione dovrebbero avere ben chiaro che qualsiasi business che in qualche modo coinvolge il trattamento dei dati personali e che dai medesimi vuole trarre valore, dovrà necessariamente affrontare in modo serio e strutturato la compliance.

Non è solo necessario, dunque, che la consapevolezza sia acquisita dai manager (per cui è auspicabile, ad esempio, che non esistano data scientist o sviluppatori a digiuno di tematiche legali o avvocati a digiuno di tecnologie) ma anche – e soprattutto – dai membri dei consigli di amministrazione. E questo non è più richiesto solo dal GDPR, ma va inquadrato in un contesto più ampio.

Un nuovo modello di sviluppo basato sull’etica

La recente proposta di direttiva sul dovere di diligenza delle imprese ai fini della sostenibilità (e in generale delle tematiche ESG, quindi diritti umani e ambiente), ad esempio, rappresenta una vera e propria sfida per “costringere” le imprese e gli amministratori a considerare l’etica nelle decisioni di business, introducendo forme di responsabilità per questi ultimi in relazione al perseguimento di tali obiettivi. Un modo per cambiare completamente il modello di business fondato sul profitto e su un concetto di responsabilità sociale regolata attraverso normative di dettaglio (da softlaw a hardlaw), le quali tuttavia– in assenza di standard condivisi – rischiano di creare scenari molto incerti.

Stiamo quindi assistendo ad uno sforzo complessivo presso l’Unione Europea indirizzato a proporre un nuovo modello di sviluppo, per cui non si può sacrificare l’etica alle ragioni del profitto.

Quello che ancora non è chiaro, è se – nel lungo periodo – questo obiettivo sia meglio raggiungerlo con una normativa di dettaglio che prevede elevati standard di legittimità (la scelta nell’UE: approccio preventivo, che ha come effetto negativo di elevare lo standard di diligenza a livelli non sostenibili, delegare ai privati l’individuazione degli standard, di fatto amministrativizzando l’attività dei privati o privatizzando la discrezionalità amministrativa – concetto che avrò modo di approfondire insieme alla collega Maria Vittoria La Rosa, che ha ispirato questa riflessione) oppure con una normativa di principio e una maggiore concentrazione sugli usi che delle tecnologie si fanno (approccio a posteriori, tipico dei paesi anglosassoni, quali ad esempio il Regno Unito , che proprio sull’IA ha stabilito dei principi, che verranno poi ripresi da norme settoriali, alla ricerca di una maggiore flessibilità nell’applicazione).

Il cambio culturale – necessario a tutti i livelli per mantenere la persona al centro dell’innovazione tecnologica – dobbiamo “forzarlo” con il primo modello o “accompagnarlo” con il secondo? Non c’è una risposta univoca a questo interrogativo.

Forse si dovrebbe trovare una composizione tra queste due tendenze. Normativa di principio accompagnata da alcuni obblighi di dettaglio chiari (come nel caso di GDPR), assistita dalla creazione, ove possibile, di standard operativi per evitare che la compliance diventi un problema privato e poco sostenibile e si trasformi in un simpatico rumore di sottofondo, la musica che tutti conoscono e tutti sentono senza ascoltarla veramente.

Le sfide dell’Intelligenza Artificiale nella ricerca scientifica

Il Privacy Symposium è stato anche occasione per riflettere sui temi legati a sanità e ricerca scientifica. Infatti, è indubbio che, specialmente durante e dopo la pandemia di Covid-19, questo settore abbia avuto un grande sviluppo, anche e soprattutto grazie all’utilizzo di sistemi di IA e alle enormi opportunità fornite dall’uso di sistemi di Machine learning per velocizzare la diagnosi, utilizzare l’analisi predittiva per lo sviluppo di cure, farmaci e dispositivi medicali.

Il tema è dunque molto attuale, ma c’è grande preoccupazione da parte di chi la ricerca la fa. Perché a fronte dell’apertura in tema di utilizzo dei dati personali per finalità di ricerca scientifica da parte dell’articolo 9 e 89 GDPR, l’Italia ha previsto il consenso quale regola generale per l’uso secondario dei dati ai fini di ricerca e c’è una diffusa difficoltà interpretativa e applicativa degli articoli 110 e 110bis del Codice Privacy.

Emergono alcune tematiche, prima fra tutte la differenza tra le due fattispecie. A prima vista, infatti, le due fattispecie siano ben distinguibili: si parla di ricerca medica, biomedica ed epidemiologica nell’articolo 110 e di ricerca scientifica in generale nell’articolo 110bis, si parla di ricerca effettuata da un terzo nell’articolo 110bis, mentre nel 110 la ricerca clinica sembra riguardare l’ipotesi che essa venga svolta dallo stesso titolare che ha raccolto i dati per finalità di cura. All’atto pratico, tuttavia, non è sempre facile distinguere le due ipotesi: molto spesso la ricerca clinica è finanziata da privati, che conducono lo studio su campioni e dati forniti da aziende sanitarie. In questo caso, le case farmaceutiche sono terzi ai sensi dell’articolo 110bis o la fattispecie si deve ritenere inclusa in quella prevista dall’articolo 110 (come parrebbe sulla base delle decisioni più recenti assunte dal Garante – senza contare che ad oggi non ci sono stati casi di applicazione dell’articolo 11bis)?

Inoltre, non è chiaro se l’articolo 110 introduca o meno una presunzione di rischio elevato che rende obbligatoria la consultazione preventiva ai sensi dell’articolo 36 GDPR con il Garante. Sulla base dei recenti provvedimenti del Garante sembra evidente il prevalere di questa interpretazione, ma potrebbe non essere così scontato. Infatti, non è scontato che la fattispecie dell’articolo 110 introduca un caso di consultazione preventiva obbligatoria ai sensi dell’articolo 36(4) GDPR (perché questo è previsto per i trattamenti necessari per compiti di interesse pubblico). E allora forse sarebbe più in linea con il risk based approach e il concetto di accountability, prevedere un obbligo di valutazione di impatto da parte di chi progetta la ricerca ai sensi dell’articolo 110 e, solo nel caso in cui il rischio rimanga elevato, un passaggio con il Garante attraverso lo strumento della consultazione preventiva.

Infine, un altro tema importante è quello del riutilizzo dei dati da parte del provider di medical device, che normalmente riveste il ruolo di un responsabile del trattamento per conto del proprio cliente, per l’analisi o il training del sistema di IA che è alla base del device stesso. Il responsabile non ha alcun interesse nei dati identificativi degli utenti finali del medical device, ma utilizza i dati grezzi (senza dubbio in qualità di titolare autonomo del trattamento) per allenare il sistema di IA e migliorarne l’attendibilità. E questo pone alcuni temi di legittimità di questo trattamento (compatibilità, informativa, base giuridica, ecc.).

L’esempio della Francia

Da questo punto di vista mi sembra interessante l’approccio di altre giurisdizioni come la Francia, dove il CNIL ha individuato alcune condizioni per il riutilizzo dei dati da parte del responsabile:

• Misure tecniche e organizzative appropriate
• Autorizzazione contrattuale da parte del titolare originario a seguito di un test di compatibilità con le finalità originarie (anche se in ambito di ricerca scientifica la compatibilità è presunta in base al GDPR)
• Informativa agli interessati sull’uso secondario (e valutazione di una base giuridica adatta).

Conclusioni

Si può discutere se queste soluzioni siano o meno “giuste” ma mi sembra interessante il tentativo di “standardizzare” la compliance attraverso questi sistemi, in modo da consentire alle imprese di muoversi in un contesto di maggiore certezza e chiarezza applicativa e interpretativa. Ed è vero che sono in arrivo importanti interventi legislativi su questo tema (lo European Health Data Space, l’AI Act) ma è necessario affrontare con chiarezza questi temi già oggi, perché le ricerca clinica non può fermarsi, e, poi, guardare a questi corpi normativi nel loro complesso, perché la sovrapposizione delle norme e il mancato coordinamento tra loro rischiano di contribuire a rendere alcuni scenari ancora più oscuri e incerti.