L’analisi di grandi quantità di dati costituisce un pericolo per la privacy degli individui o può contribuire a proteggerla?

Privacy e intelligenza artificiale

Ho recentemente assistito ad un interessantissimo convegno sulle applicazioni dell’intelligenza artificiale.
Una delle applicazioni più promettenti fra quelle presentate era sicuramente quella legata alla profilazione della clientela con un sistema CRM, che abbinava i dati già in possesso dall’azienda con altri recuperati dal WEB, dall’attività sui social dei clienti e altro ancora.

Mentre assistevo alla presentazione avevo dei buoni motivi per rallegrarmi. Il primo è che nel corso del convegno era stato presentato come “IA first” fosse il nuovo mantra delle grandi aziende tecnologiche, rendendo di fatto obsoleto il “mobile first” attualmente imperante. Un’ottima notizia per me che, nelle pause fra gli interventi, stavo leggendo le bozze finali del mio ultimo libro1, dedicato guarda caso alle applicazioni pratiche dell’IA. “IA first” aumenta le aspettative di vendita del mio libro e questo significa che io e Lorenzo2, mio coautore, abbiamo individuato il momento esatto per uscire con un’opera che in realtà avevamo ipotizzato già da diversi anni.

Il secondo motivo per rallegrarmi era che non ero fortunatamente fra i clienti dell’azienda che presentava il suo CRM. Il mio occuparmi di sicurezza e soprattutto di privacy, nonché il mio essere un auditor, hanno di fatto prevalso sul mio interesse per l’IA e nel corso della presentazione ero terrorizzato dal fatto che qualcuno potesse elaborare un profilo delle mie abitudini, nel modo che il relatore stava presentando.

Mi chiedevo: ma i loro clienti lo sapranno? Saranno stati adeguatamente informati? Avranno dato il loro consenso? Sono realmente consapevoli di come questa azienda tratta i loro dati? Sono realmente consapevoli che i dati che loro diffondono sul web saranno aggregati da questa o da altre aziende per costruire un loro profilo sempre più preciso?

E come farà l’azienda a conciliare questa sua brillante creazione con quanto richiesto dal nuovo Regolamento europeo sulla privacy (GDPR)?

Preoccupazioni in tal senso sono state del resto recentemente espresse dal Presidente dall’Autorità Garante per la protezione dei dati personali, che in suo intervento3 ha dichiarato fra gli altri:

La capacità di estrarre dai dati informazioni che abbiano un significato e siano funzionali, richiede infatti lo sviluppo di sofisticate tecnologie e di competenze interdisciplinari che operino a stretto contatto. In questo quadro i progressi nella potenza di calcolo svolgono un ruolo centrale per l’analisi dei Big Data e per l’acquisizione della conoscenza. E in un futuro non troppo lontano l’intelligenza artificiale, grazie ad algoritmi capaci di apprendere e migliorare autonomamente le proprie abilità, offrirà soluzioni efficaci per soddisfare le più disparate esigenze.

La capacità di elaborare, anche in tempo reale, tramite algoritmi sempre più potenti un’ingente mole di dati consente di estrarre conoscenza e, in misura esponenziale, di effettuare valutazioni predittive sui comportamenti degli individui nonché, più in generale, di assumere decisioni per l’intera collettività.

Dobbiamo chiederci quante delle nostre decisioni siano in realtà fortemente condizionate dai risultati che un qualche algoritmo ha selezionato per noi e ci ha messo davanti agli occhi.

Il legislatore, pur con le difficoltà di stare al passo con una tecnologia in rapidissima evoluzione, sta tentando di intervenire e in tale direzione si muovono le prescrizioni previste dal GDPR. Prima di tutto è necessario informare adeguatamente l’interessato, come richiesto dagli articoli 12, 13 e 14. In particolare l’articolo 13, relativo alla informativa da rilasciare all’interessato quando i dati sono raccolti presso il medesimo, recita al comma 2 f): 

2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Che viene proposto in forma assolutamente analoga al comma 2 g dell’articolo 14, relativo alla informativa da rilasciare all’interessato qualora i dati personali non siano stati ottenuti presso lo stesso:

g) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

A prima vista una richiesta apparentemente semplice, ma in realtà particolarmente complessa in quanto spesso le logiche di elaborazione dei dati non sono note a priori e questo è particolarmente vero nel caso in cui si utilizzino tecnologie, quali le reti neurali4, che imparano da sole. Inoltre spesso non sono nemmeno noti gli obiettivi per i quali in futuro si effettueranno delle elaborazioni dei dati raccolti e questo, in base alle prescrizioni del GDPR, non può ovviamente accadere.

Non è possibile raccogliere dati personali a scatola chiusa, pensando poi di poterli elaborare a proprio piacimento in funzione, ad esempio, delle esigenze produttive o di marketing di un’azienda.

Ulteriore e ancor maggiormente vincolante è l’articolo 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione del GDPR, che recita al comma 1:

  1. L’interessato ha il diritto di non essere sottoposto a una decisione 1 basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

Che dire quindi dei sistemi automatizzati di valutazione ad esempio del merito creditizio di un cliente antecedentemente alla concessione di un prestito?

In realtà il comma 2 sembra proporre una via di uscita, almeno nei casi previsti:

  1. Il paragrafo 1 non si applica nel caso in cui la decisione:a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
  2. b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
  3. c) si basi sul consenso esplicito dell’interessato.

Ma tale via di uscita è in realtà in parte sbarrata dal comma 3:

  1. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

Questo pone dei vincoli in particolare all’uso di un processo totalmente automatizzato. In altri termini un trattamento automatizzato dei dati potrà dare ad un operatore umano gli strumenti per effettuare la valutazione finale o comunque operatore umano e trattamento automatizzato dovranno cooperare nel formulare una valutazione.

È importante considerare che quanto sopra vale anche se l’interessato ha espresso il suo consenso esplicito.

Inoltre il processo di valutazione, salvo casi particolari, non potrà avvalersi dei dati che oggi rientrano per lo più nella definizione di dati sensibili:

  1. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.

Un percorso quindi tutto in salita per le applicazioni CRM intelligenti o per altri analoghi ambiti applicativi anche perché il mancato rispetto delle prescrizioni del GDPR espone le aziende a sanzioni milionarie.

Per evitare tuttavia di considerare l’applicazione dell’IA come nemica della privacy passo a citare alcune applicazione nelle quali è esattamente vero il contrario.

Come primo esempio lo sviluppo un sistema esperto proprio per verificare la conformità ai requisiti del GDPR del proprio CRM o più in generale della propria organizzazione. La complessità del GDPR e delle sue richieste può trovare proprio nell’IA un valido strumento di supporto.

Il secondo caso è un modello di analisi dei rischi, che ho descritto sommariamente nell’articolo Misurare la physical cyber security5 nella rivista La Comunicazione N.R.&N. edita dall’ISCOM e più dettagliatamente nel già citato libro scritto con il prof. Lorenzo Schiavina.

Si tratta di un semplice sistema esperto realizzato con logica fuzzy6 che può essere ulteriormente sviluppato e sofisticato nella sua articolazione. Il terzo esempio riguarda i sistemi di prevenzione delle frodi, che grazie alla analisi dei comportamenti nell’uso della carta di credito da parte di un cliente, sono in grado di individuare situazioni anomale e intervenire con blocchi e allertamenti di vario tipo. Recentemente la mancanza dell’uso di uno strumento di questo tipo è stata considerata una negligenza nell’adozione di adeguate misure di sicurezza da parte di una banca, che è stata condannata al risarcimento del danno subito da un cliente.

Un quarto esempio riguarda una situazione in parte analoga a quella descritta.

Il provvedimento dell’Autorità Garante per la protezione dei dati personali Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie obbliga da alcuni anni le banche a effettuare una tracciatura degli accessi ai dati della clientela da parte dei propri operatori ed alla predisposizione di opportuni ALERT:

4.3.1. Implementazione di alert.

Deve essere prefigurata da parte delle banche l’attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni di inquiry eseguite dagli incaricati del trattamento.

Anche a tal fine, negli strumenti di business intelligence utilizzati dalle banche per monitorare gli accessi alle banche dati contenenti dati bancari devono confluire i log relativi a tutti gli applicativi utilizzati per gli accessi da parte degli incaricati del trattamento.

La definizione degli eventi o meglio dell’insieme di eventi che possono scatenare un alert è tutt’altro che semplice ed anche in questo caso l’uso dell’IA può agevolare notevolmente il rispetto della prescrizione normativa permettendo agli esperti di individuare la combinazione di fattori che possono portare ad una reale violazione.

Questo obbligo con il GDPR viene in realtà esteso (anche se non in forma esplicita) a tutti i titolari di trattamento che, in una logica di protezione dei dati fin dalla progettazione, devono mettere in atto misure per prevenire una violazione di dati personali.

Vige, infatti, con il GDPR l’obbligo di notificare una violazione di dati personali, un obbligo che sotto forme diverse (notifica di incidenti di sicurezza) oggi interessa un crescente numero di normative (PSD2, eIDAS, NIS, Circolare 285 di Banca d’Italia…). È quindi nel pieno interesse delle aziende prevenire violazioni di dati o incidenti di sicurezza, onde evitare di doversi esporre ad una notifica pubblica che avrebbe importanti ripercussioni anche in termini di immagine.

In conclusione l’uso della IA può essere una significativa minaccia per la privacy o una formidabile alleata per la sua tutela, dipende dall’uso che ne faranno le aziende.

  • 1  L. Schiavina, G. Butti, Intelligenza artificiale e soft computing. Applicazioni pratiche per aziende e professionisti (2017) FrancoAngeli
  • 2  Il prof. Lorenzo Schiavina si occupa da oltre 30 anni di programmazione ad oggetti e IA ed ha realizzato numerosi sistemi esperti in uso presso aziende, ospedali, squadre di calcio…
  • 3  http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb- display/docweb/6013519
  • 4  RETI NEURALI
- La rete neurale simula, pur in forma molto semplificata, il funzionamento di neuroni e sinapsi.
Il cervello umano impara a gestire una quantità rilevantissima di informazioni, ad esempio muoversi senza cadere, grazie a ripetuti tentativi. Tuttavia nessuno di noi è in grado di formalizzare quali regole il proprio cervello ha ideato per riuscire a camminare, tanto è vero che riuscire a tradurre questa acquisita capacità in formule utilizzabili ad esempio da un robot, è particolarmente difficile. La nostra mente si comporta al riguardo come una black box e le reti neurali fanno altrettanto, salvo casi particolari, come quelli descritti nel mio libro precedentemente citato, dove le regole di comportamento della rete neurale sono osservabili ed integrabili manualmente.
  • 5  http://www.isticom.it/documenti/rivista/rivista2016/6_85-118_misurare_ la_sicurezzaiscom.pdf
  • 6  LOGICA FUZZY: La logica fuzzy è una estensione della logica tradizionale (che è un caso particolare della logica fuzzy) nella quale non è valido il principio del terzo escluso (chi è giovane non è vecchio, chi è alto non è basso, chi è bianco non è nero….) 
La logica fuzzy è nata per trattare tutte le sfumature di grigio che ci sono tra il bianco ed il nero e che rappresentano l’incertezza, cosa del tutto differente dalla probabilità.In determinate condizioni un sistema fuzzy è una rete neurale a 2 strati che rende osservabili le sue regole di comportamento.

Giancarlo Butti

Giancarlo Butti

Twitter
Visit Us
LinkedIn
Share
YOUTUBE