Ci si occupa sempre di più di Intelligenza Artificiale nelle organizzazioni pubbliche e private perché i Large Language Models si stanno inserendo progressivamente in qualsiasi azione che ci riguarda, incrociandosi nelle attività di gestione amministrativa e documentale e incuneandosi così in numerosissimi ambiti di trattamento dei dati.
I Responsabili della protezione dei dati personali (DPO) non possono non essere coinvolti sin dall’inizio in qualsiasi processo di affidamento aziendale di previsioni e decisioni sviluppate attraverso sistemi e modelli di IA generativa. E il ruolo dei DPO deve, quindi, incrociarsi costantemente su questi aspetti con i Manager di Innovazione Digitale e con qualsiasi altra funzione aziendale coinvolta in tali scelte di affidamento di strategie e servizi aziendali a strumenti IA.
Di recente, sono stato intervistato dalla Fondazione Leonardo proprio su queste tematiche. In particolare, mi è stata richiesta una valutazione su una recente e storica sentenza del Tribunale di Los Angeles che ha condannato Meta e Google a risarcire con 3 milioni di dollari una donna oggi ventenne, che aveva accusato i due colossi di essere all’origine della sua dipendenza dai social network sviluppata in giovane età. Meta dovrà pagare 2,1 milioni e Google 900.000 dollari. Tale sentenza ha messo a nudo processi sempre più automatici di profilazione e manipolazione che violano anche numerose normative UE. Come spiegato all’interno dell’intervista, gli impatti di questa sentenza si avvertiranno anche in Europa, dove diversi Paesi si stanno adoperando per porre dei guardrail rispetto all’utilizzo di queste piattaforme da parte dei minori.
Ovviamente una organizzazione privata o pubblica può utilizzare strumenti di questo tipo, ma deve farlo in modo corretto e trasparente.
Riuscire a rendere compliant questi strumenti con le varie normative potenzialmente applicabili è compito prima di tutto del DPO, perché i sistemi e i modelli di intelligenza artificiale generativa si nutrono di input (e tali input sono appunto i nostri dati).
Strumenti di questo tipo si stanno iniziando a utilizzare per automatizzare anche sistemi di gestione documentale (ad esempio, per la protocollazione di documenti e per la loro corretta classificazione) e conservazione. In questo caso, DPO e Responsabili della gestione documentale e della conservazione dovranno collaborare per garantire la correttezza di tali automazioni. E proprio in merito alla figura fondamentale del Responsabile della conservazione, consiglio l’ascolto di questa mia breve intervista rilasciata sulla Rivista BEE Sanità.
In realtà, a prescindere dalla normativa oggi applicabile, occorre favorire un approccio consapevole e generalizzato nell’uso di questi strumenti. Si leggono, ad esempio, sempre più spesso pronunce giudiziali che riguardano avvocati che ” si fidano troppo” di modelli di intelligenza artificiale generativa e vengono sanzionati per responsabilità aggravata ai sensi dell’articolo 96 c.p.c. perché, ad esempio, citano sentenze inventate nei loro atti, generati in modo troppo frettoloso attraverso LLMs, i quali – soprattutto se generalisti – incorrono non di rado in allucinazioni.
Gli strumenti “intelligenti” che abbiamo a disposizione sono utili, a patto di percepirne i limiti e soprattutto di avere una solida padronanza della materia su cui li stiamo interrogando. Essendo basati su calcoli statistici, possono incorrere in errori e generare persino discriminazioni in modo sistematico e la minimizzazione di tali inevitabili rischi dipende dalla qualità della base dati su cui modellano le loro azioni in nostro favore.
I responsabili siamo sempre noi nel momento in cui li utilizziamo e dobbiamo, quindi, farlo con attenzione.
Stessa cosa vale per le PA nel momento in cui ci si interroga su opportunità e limiti di utilizzo di strumenti sempre più automatizzati nei procedimenti amministrativi.
Vecchie domande partite ex lege con l’art. 3 comma 2 del D. Lgs. 39/1993 (cd. firma a stampa per gli atti amministrativi automatizzati) e che hanno dato vita a una vivace giurisprudenza amministrativa che ne aveva inizialmente consentito l’utilizzo solo per gli atti non discrezionali (cioè, agli atti cd. vincolati). Oggi sull’art. 3 la giurisprudenza si è “aggiornata” con l’avvento degli algoritmi “intelligenti”, stabilendo tre pilastri fondamentali:
1) Riserva di umanità: Anche nei procedimenti automatizzati, deve esserci sempre un responsabile umano in grado di controllare la decisione della macchina.
2) Trasparenza algoritmica: l’IA non può essere una “black box” e il cittadino ha sempre diritto di conoscere i criteri e la logica alla base degli algoritmi.
3) Non discriminazione algoritmica: La PA deve garantire sempre che l’algoritmo non produca effetti discriminatori basati sui dati di input.
Principi che sostanzialmente richiama anche il GDPR con l‘Art. 22, dedicato proprio a “processi decisionali automatizzati relativi alle persone fisiche, compresa la profilazione”.
Infine, quale ulteriore contributo utile a comprendere la materia della Data Protection nei processi automatizzati di profilazione, segnalo un podcast che mi ha visto confrontarmi in una vivace intervista a due voci in compagnia della DPO di CSI Piemonte sul tema dei cookies.
A questo proposito, dovremmo chiederci: i biscottini nei siti web che quotidianamente navighiamo, sono correttamente regolamentati? Le aziende sono solite attivare un confronto preventivo con il DPO in merito?
Anche in questo caso la consapevolezza va favorita in modo trasparente per garantire un approccio efficace, corretto e compliant con ciò che la normativa si aspetta.
