Nel suo rapporto annuale, L’EDPS ricapitola e analizza l’attività svolta dall’ente nell’anno 2021.
Articolo a cura del Gruppo Intelligenza Artificiale del Comitato Scientifico di ASSO DPO
Il Supervisore europeo concede particolare attenzione all’analisi ex-post della Opinione congiunta EDPS-EDPB sul cd. “Artificial Intelligence Act”, ovverosia la proposta di regolamento europeo sul tema.
L’EDPB sottolinea ancora una volta l’esigenza di rimarcare l’applicabilità del GDPR a tutte le fattispecie di trattamento dati interessate dalla proposta regolamentare in parola, rimarcando alcune preoccupazioni sul tema, in ordine ai rischi per i diritti fondamentali degli individui.
Il report europeo riporta anche l’interessante attività del CAHAI, ossia del Comitato Ad Hoc per l’Intelligenza Artificiale presso il Concilio d’Europa, che dal 2019 opera per valutare e suggerire parametri legali per le questioni derivanti dall’IA in vari settori d’interesse per il Concilio.
In particolare, il report 2021 riporta i risultati dei due documenti elaborati dal Comitato, concernenti le misure vincolanti e non per lo sviluppo, progettazione ed implementazione di applicativi IA ed uno concernente la classificazione dei rischi derivanti dall’utilizzo di questi applicativi.
In parte, i lavori delle due Autorità europee e del comitato, si possono sovrapporre agli aspetti, le preoccupazioni e le strategie già emerse dal piano decennale strategico per l’IA emesse dal governo della Gran Bretagna nel settembre 2021.
Infine, va segnalato che il Parlamento dell’Unione voterà nel corso di maggio un report presentato lo scorso marzo dal Comitato Speciale sull’intelligenza artificiale nell’era digitale (AIDA – Artificial Intelligence in a Digital Age), costituito in seno allo stesso Parlamento, presentando i risultati di 18 mesi di indagine.
Lo scorso marzo, il Garante ha emesso un provvedimento di sanzione da 20 milioni di euro nei confronti della società Clearview (Doc Web 9751323), specializzata in riconoscimento facciale, per la violazione delle norme sul trattamento ed in particolare per l’uso di dati biometrici a fini di monitoraggio, senza le previste tutele e guarentigie per gli interessati.
La questione è tornata a far discutere all’inizio di maggio, dopo che le autorità di Kiev hanno dichiarato di farne utilizzo. Difatti, il Ministero della Difesa ucraino ha avuto libero accesso alle piene funzionalità dell’app al fine di agevolare l’identificazione dei caduti russi sul campo e combattere la disinformazione, consentendo di inviare direttamente alle famiglie russe dei soldati caduti la triste notizia.
La questione sta sollevando forti perplessità in merito al potenziale uso bellico di tale tecnologia anche in sede di controllo di attività civili. Più in generale, emerge lo spettro di uno sfruttamento della crisi Ucraina da parte di società tecnologiche per normalizzare l’uso invasivo di tecnologie di riconoscimento.
Sulla medesima scia va letta la notizia relativa alla piattaforma Zoom, che ha dichiarato di stare sviluppando un sistema di Intelligenza Artificiale per monitorare le espressioni facciali degli utenti mentre parlano – o comunque partecipano alle video conferenze – in modo da poter discernere le loro emozioni. Secondo la piattaforma, “Zoom IQ”, ossia il nome del servizio, potrà essere utile per gli utenti per implementare l’impatto dei propri interventi, facendo leva su consigli della piattaforma in base alle emozioni dei partecipanti valutate in tempo reale, facendo intravedere come la piattaforma intende monetizzare questo servizio.
Da segnalare anche la recente sanzione da più di 4 milioni di euro comminata dal Garante ad Uber con un provvedimento che contesta, fra le altre cose, la profilazione di milioni di utenti senza consenso e l’utilizzo della categorizzazione per “rischio frode”, facendo dunque leva sulle tecnologie algoritmiche intelligenti che consentono di incrociare dati sensibili e monitorare l’attività degli utenti durante il servizio.
Di recente, un Account Tik Tok ha fatto uso di tecnologia Deep Fake per generare falsi video dell’attore Robert Pattinson ed ingannare i fan, salvo poi scomparire.
Le tecniche di Deep Fake si avvalgono di machine learning per ricostruire gli elementi biometrici di un volto in contesti dinamici e sovrapporli ai volti ad animazioni già esistenti (ad esempio spezzoni video con un attore che presta il corpo) o appositamente generati.
L’uso di questa tecnologia ha dapprima investito negativamente il gentil sesso, con attrici internazionali che si sono viste sovrapposte a spezzoni di film porno, per poi lentamente allargarsi a comprendere video scherzosi di utenti normali condivisi sui vari social network.
Tale normalizzazione desta preoccupazione, in quanto il Deep Fake – come segnala il nome stesso - si presta ad usi ed abusi politici e commerciali scorretti e basati su mezzi di disinformazione, senza grande possibilità per i normali utenti di discernere il vero dal falso.
La notizia della scalata di Twitter in corso da parte dell’uomo più ricco del mondo, Elon Musk, già fondatore di Paypal e attuale CEO di Space X, Tesla e Neuralink, ha fatto il paio con la sua dichiarazione di voler implementare la piattaforma per essere uno spazio di diritto di parola.
Tale asserzione va letta nel contesto americano della protezione assoluta a livello costituzionale del diritto di libera espressione (che ricomprende quelli che da noi sarebbero addirittura reati di ingiuria e diffamazione).
Di recente, Musk ha dichiarato che “By ‘free speech,’ I simply mean that which matches the law. I am against censorship that goes far beyond the law”, ossia di essere contro la censura e di voler solo applicare la legge. Questo però solleva la questione di quale legge, che, per l’appunto, può portare a discrasie applicative fra i diversi stati.
Inoltre, va considerato che l’intenzione di garantire la libera espressione – e dunque di punire ogni trasgressione – dovrebbe far leva sulla possibilità della piattaforma di identificare (o “autenticare” secondo Musk) i propri utenti e dunque di scansionare i vari post in via preventiva per valutare in maniera automatica potenziali violazione, in linea con quanto le piattaforme stanno implementando in tema di violazione del copyright.
In linea con questa notizia sembra inserirsi la proposta della Commissione Europea contenuta nel Digital Market Act in merito all’obbligo per le piattaforme di messaggistica istantanea (come WhatsApp, Telegram e Messenger) di scansionare i contenuti dei messaggi privati fra gli utenti per finalità di prevenzione per abusi sui minori, ovviando alla crittografia end-to-end.
Sebbene i fini siano nobili, tale proposta sembra scardinare le altre tutele alla riservatezza degli individui come tutelate dai principi fondamentali dell’Unione e protette dal GDPR. Una proposta simile era già stata avanzata da Apple per i suoi servizi, ma la compagnia era stata sommersa da critiche per questa iniziativa. Ad ogni modo, tali proposte indicano un trend allarmante.
Lo scorso 5 maggio, lo European Data Protection Supervisor (EDPS) e lo (European Data Protection Board) EDPB hanno pubblicato un parere congiunto sul Data Act. Il testo del Data Act rimane ancora inedito ed è conoscibile solo in via indiretta dall’opinione delle Autorità.
Le stesse hanno nuovamente sottolineato come non basti richiamare genericamente il rispetto dei principi e regole europee affinché la disciplina sia conforme al GDPR ed ai principi fondamentali che informano il Regolamento.
L’opinione punta sull’emersione delle criticità in tema di interconnessione dei dispositivi (leggasi Internet delle Cose) e delle relative regole di portabilità, mirando sin da subito ad accendere un faro su come i dati generati da servizi di interconnessione possano trovare applicazione in nuovi ambiti tecnologici. Questo sembra indicare un’attenzione europea verso lo sviluppo del Metaverso e i relativi problemi applicativi per il trattamento dei dati che ne potrebbero conseguire.
Il 24 maggio, per festeggiare i 25 anni di attività, il Garante Privacy ha organizzato il convegno dal titolo “Il ruolo del Garante per la protezione dei dati personali: la tutela di un diritto fondamentale tra sfide passate e scommesse per il futuro”, nel quale si è trattato anche il tema dell’intelligenza artificiale dove appunto si è parlato di sorveglianza di massa, natura estrattiva dell’IA e tecnologie di deepfake.
L’iniziativa anticipa di qualche settimana la conferenza dell’EDPS del 16-17 giugno a Bruxelles intitolata “The future of Data Protection: effetive enforcement in the digital world” dove si tratteranno anche temi legati all’IA, in particolare legati alle nuove proposte normative dell’Unione.
Qui il video di introduzione di Wojciech Wiewiórowski, attuale Supervisore europeo.