In tanti ci cascano: addestrare i sistemi di AI con i dati degli utenti e fare di tutto per impedire una libera scelta.
Ho posato gli occhi su questa notizia, presente anche qui per i nostalgici.
*vedi PS in calce
In tanti stanno seguendo questa strada e non è affatto una bella notizia.
In questa vicenda segnalata, così come in molte altre analoghe, riscontro uno schema ricorrente: si tende a dare per scontato ciò che sia meglio per l'azienda, per l'utente, per la società, per l'universo intero e, sopratutto, per le future generazioni, comprimendo fortemente la libertà delle persone e calpestando i diritti tutelati dalla legge prevede. Immancabilmente, ogni volta la stessa storia.
La questione è molto semplice: per addestrare i sistemi di Intelligenza Artificiale (IA) servono dati, tanti dati, in molti casi servono dati personali. I dati ci sono, ma nessuno si è preoccupato di avvisare le persone alle quali i dati si riferiscono o chiedere il loro permesso di utilizzarli per questa finalità.
La vicenda di OpenAI (il famoso "blocco" disposto dall'autorità Garante Privacy) fece scalpore ma, in realtà, la questione era sempre la stessa: "chi ti ha autorizzato da usare quei dati che hai sgraffignato in rete?"
La stessa identica situazione, ad esempio, si è verificata quando Brave Browser, un colosso nella protezione di dati personali, ha introdotto un settaggio per eliminare i PING che il browser genera ogni volta che viene aperto e che consentono al produttore di misurarne l'uso nel mondo.*
Per trattare i dati necessari all'addestramento dei sistemi di IA, così come per ogni altro trattamento che si desidera introdurre*, si può far ricorso a varie motivazioni o, per dirla in modo corretto, a diverse basi di legittimazione. Le principali sono:
- il consenso - Article 6(1)(a) GDPR
- il legittimo interesse - Article 6(1)(f) GDPR
Direi che il consenso è abbastanza intuitivo e chiaro per chiunque, dopo anni di errori e sanzioni, sappiamo riconoscere bene cosa sia il consenso e cosa non lo sia, quando è libero e quando viene estorto, quando è informato e quando è una cambiale in bianco.
Il legittimo interesse, al contrario, è tuttora una strana bestia e chi intende utilizzarlo sa che si sta avventurando in un campo minato. Solo di recente l'EDPB ha pubblicato una linea guida dedicata al legittimo interesse, in questo momento è ancora in bozza ed è stata sottoposta a consultazione pubblica e in attesa di diventare definitiva.
Cosa richiede, in estrema sintesi, l'utilizzo del legittimo interesse? Ce lo spiega bene proprio il GDPR:
Art. 6 comma 1 lettera f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.
Poi, l'art. 13 descrive i contenuti dell'informativa e il GDPR ci chiede questo:
d) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
Infine, all'art 21, il GDPR descrive in dettaglio come debba essere garantito il diritto di opposizione e, qui, pone le basi per l'applicazione del principio di buonafede, correttezza e trasparenza rispetto al legittimo interesse:
Articolo 21. Diritto di opposizione
1. L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell'articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
...omissis...
4. Il diritto di cui ai paragrafi 1 e 2 è esplicitamente portato all'attenzione dell'interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l'interessato.
5. Nel contesto dell'utilizzo di servizi della società dell'informazione e fatta salva la direttiva 2002/58/CE, l'interessato può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche tecniche.
...omissis...
Praticamente il problema è tutto qui e l'unica cosa che dovrebbe essere garantito è proprio il diritto di fare "opt-out", a tutti. Le aziende "monelle" fanno grandi sforzi ma nella direzione sbagliata: per evitare di essere trasparenti con l'utente il che, peraltro, sarebbe solo espressione del principio di buonafede e darebbe concretezza al diritto stesso di opposizione.
La trasparenza è un elemento essenziale per garantire l'effettivo esercizio dei diritti dell'interessato. Nel caso in cui i dati personali sono raccolti direttamente presso l'interessato, le informazioni a quest'ultimo devono essere fornite al momento stesso della raccolta, non dopo, non in un altro momento, senza ritardo.
In alteri termini: come puoi esercitare un diritto se non sai di averlo e se non sai di essere nelle condizioni che ne giustificano l'esercizio?
In sintesi, va benissimo addestrare i sistemi di AI con i dati degli utenti, ma questi devono essere avvisati al più presto, in occasione della prima interazione utile e prima del trattamento stesso. Inoltre non è lecito utilizzare dati raccolti in periodi antecedenti all'avviso dato all'utente e alla sua possibilità di opporsi.
Nel mondo online e nell'universo dei software, ogni apertura del programma è un momento utile per proporre all'utente un popup dedicato, un banner, un avviso speciale che segnali il nuovo trattamento e il relativo diritto di opporsi. La comunicazione all'utente deve essere essere facilmente accessibile e comprensibile.
Sembra così semplice eppure, a vedere ciò che accade nel web, pare fantascienza. Auspico un intervento rapido mirato e molto incisivo del Garanti che, a mio modo di vedere, stanno perdendo l'occasione di orientare correttamente l'attività dei vari titolari del trattamento coinvolti.
Purtroppo, molte aziende che si avvitano su interpretazioni peregrine, forzature illogiche e irricevibili, utili per giustificare la loro opacità, il volontario ritardo nell'informare l'utente o l'aver annegato le opzioni di disattivazione (opposizione al trattamento) all'interno di complicati percorsi tra menù imperscrutabili e labirintici.
I Dark Pattern come nuova forma d'arte.
Ci sarebbero poi dei tecnicismi, non meno importanti, ma un po' esoterici che mi limito a citare:
- non basta dire alle persone "trattiamo i dati sulla base del legittimo interesse", ma occorre difinire e illustrare in cosa consista esattamente questo legittimo interesse e il trattamento effettuato;
- i dati non sono tutti uguali e per i dati sensibili è previsto un divieto di trattamento. Questo può essere superato in vari modi, per esempio con il consenso dell'interessato. Purtroppo, per i dati sensibili, il legittimo interesse non è tra le esimenti che possono derogare al divieto previsto dall'art 9. Per questo, nella nobile arte dello sgraffignamento di dati online e del loro uso per addestrare i sistemi di IA, dovrebbero essere esclusi tutti i dati sensibili (ora definiti dati particolari). Dato che selezionare i dati costa tempo e denaro, si preferisce fare finta di niente e considerare tutto un grande blob indistinto di dati... violando palesemente uno dei principi fondamentali del GDPR;
- non basta andare a naso ma occorre fare una vera e propria valutazione, una analisi del bilanciamento degli interessi contrapposti, per capire se il titolare del trattamento ha veramente un legittimo interesse oppure se, come spesso accade, semplicemente non gli interessa null'altro che il proprio fine. Si parla di LIA (Legitimate Interest Analysis) ed è una cosa abbastanza complicata ma necessaria;
- il rapporto tra l'utente e il titolare del trattamento è fondamentale per poter valutare le aspettative dell'utente stesso. Se ordino un farmaco in farmacia, è ragionevole che riceva una telefonata qualora dopo 10 giorni non sono passato a ritirarlo, così come posso essere raggiunto con ogni mezzo se ci si accorge di un errore nel farmaco dispensato. Ma quando non c'è alcun rapporto tra il proprietario di un dato e un azienda che ha sgraffignato quel dato online, l'unica aspettativa ragionevole è quella di essere mandati affanculo da chiunque. Viene il sospetto che, forse, è proprio per questo che si tende a non dare visibilità alla cosa.
Non sono dettagli di poco conto ma non mi avventurerei oltre poiché, nei casi che osserviamo quotidianamente, non c'è bisogno di scavare tanto a fondo. La realtà è assai più semplice e deludente: online ci sono montagne di dati che non possono essere utilizzate lecitamente e alcune aziende stanno facendo di tutto per addestrare i sistemi di intelligenza artificiale con questi dati, prima che vi sia un intervento concreto delle autorità di controllo. Espungere alcuni dati dal blob indistinto è estremamente faticoso e costoso, oltre che difficile, ed è molto più conveniente fare in modo che la gente non sia consapevole dell'uso dei suoi dati, del suo diritto di opporsi e conviene minimizzare le richieste di opt-out.
In nome dell'intelligenza artificiale, molti soggetti stanno facendo ciò che vogliono, violando la legge impunemente e indisturbati... e la gente non dice niente perché è distratta da un nuovo giocattolino, che si può usare gratis, naturalmente.
Per completezza, riporto il "considerando 47", rilevante in tema di legittimo interesse:
I legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, tenuto conto delle ragionevoli aspettative nutrite dall'interessato in base alla sua relazione con il titolare del trattamento. Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l'interessato e il titolare del trattamento, ad esempio quando l'interessato è un cliente o è alle dipendenze del titolare del trattamento. In ogni caso, l'esistenza di legittimi interessi richiede un'attenta valutazione anche in merito all'eventualità che l'interessato, al momento e nell'ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell'interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali. Posto che spetta al legislatore prevedere per legge la base giuridica che autorizza le autorità pubbliche a trattare i dati personali, la base giuridica per un legittimo interesse del titolare del trattamento non dovrebbe valere per il trattamento effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti. Costituisce parimenti legittimo interesse del titolare del trattamento interessato trattare dati personali strettamente necessari a fini di prevenzione delle frodi. Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto.
Vale la pena, infine, ricordare che l'articolo 25 del GDPR chiarisce che spetta al titolare del trattamento (data controller) attuare misure tecniche e organizzative adeguate in modo efficace e integrare le garanzie necessarie nelle attività di trattamento per tutelare i diritti dell'interessato al momento della determinazione dei mezzi del trattamento e al momento del trattamento stesso.
Prosit.
PS: Ringrazio Matteo Contrini e Mass (Mmattana) per aver evidenziato una certa approssimazione della notizia iniziale. Dopo la segnalazione ho corretto questo articolo e le parti modificate sono evidenziate con un asterisco.
Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili per la tua vita, prendi in considerazione l'idea di ringraziarmi. Puoi farlo in due modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone
- Con una donazione. In questo modo aiuterai me.
Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.
👇 👇 Clicca qui 👇 👇