Autore: Studio Legale GPA

Pubblicato il

AI Act, l’avv. Pelino intervistato dalla Radiotelevisione svizzera

L’intelligenza artificiale costituisce il fattore di cambiamento più profondo e più radicale che attraversa oggi il mondo del lavoro, della medicina, dell’economia, dei rapporti sociali e politici. Le opportunità sono senza precedenti, ma per la stessa ragione lo sono anche i rischi: la stessa facilità con cui si traduce un testo senza la collaborazione di un traduttore professionista è la ragione per cui il traduttore professionista vede ridursi la propria attività, e la collettività subisce uno svuotamento di risorse e competenze umane.

Di fatto, l’intelligenza artificiale oggi mette in crisi interi settori lavorativi, rende improvvisamente fragili diritti consolidati (si pensi al diritto d’autore), può determinare l’innesco di lacerazioni sociali estreme, alcune delle quali sono già in atto proprio ad esito dell’impiego di strumenti di manipolazione basati su una riproduzione digitale dell’intelligenza umana: deep fake, bot farm, polarizzazioni drammatiche generate da schemi algoritmici.

L’Unione europea è il primo grande attore internazionale ad avere progettato una normativa sistematica sull’intelligenza artificiale, la proposta di AI Act. Il processo legislativo è ancora in corso. Il 14 giugno 2023 il Parlamento europeo, sullo slancio di un’accresciuta consapevolezza, ha profondamente modificato la formulazione iniziale, rendendola più prossima a un atto normativo di tutela dei diritti, rispetto al “black box” act (sia permessa l’espressione) cui in partenza assomigliava.

L’avv. Enrico Pelino, partner dello studio legale, parla della complessiva tematica e delle sue implicazioni in un’intervista per il secondo canale della Radiotelevisione svizzera – RSI, andata in onda il 14 luglio scorso: l’intervista può essere ascoltata qui.

Pubblicato il

Le allucinazioni dell’intelligenza artificiale

Allucinazioni dei modelli generativi_Intervento Avv Pelino al PrivacySymposium2023

Allucinazioni dell’intelligenza artificiale: una delle maggiori criticità dei modelli generativi, come GPT-4, sono le cd. “hallucination”, vale a dire la creazione di fatti in realtà inesistenti.

Prendiamo il caso del professore universitario Jonathan Turley, che secondo ChatGPT sarebbe stato accusato di molestie sessuali. La notizia, generata falsamente dal chatbot, costituisce un esempio molto preoccupante di allucinazione.

E’ evidente l’impatto reputazionale e sociale, ed è altrettanto chiaro che, una volta proiettata in rete la fake news da allucinazione, sarà estremamente complesso bloccarne la propagazione.

Quali tutele

Ma quali tutele fornisce la normativa in proposito? E’ questo il contenuto dell’intervento presentato dall’avvocato Enrico Pelino al Privacy Symposium 2023, nella splendida cornice dell’auditorium Santa Margherita di Venezia – Università Ca’ Foscari (foto qui in basso).

Si può leggerne qui, pubblicato da Agenda Digitale, il testo integrale, esposto in versione più sintetica durante il convegno.

Allucinazioni dei modelli generativi_Intervento Avv Pelino al PrivacySymposium2023

In tema di tutele, appaiono fondamentali due istituti del GDPR: il diritto a non essere sottoposti a una decisione unicamente basata su un trattamento automatizzato (art. 22) e il diritto alla trasparenza, declinato come diritto a una spiegazione.

Entrambi questi istituti presentano vulnerabilità, discusse dall’autore, e dunque andrebbero potenziati e adattati al contesto attuale, in modo da sintonizzarli sugli avanzamenti nel settore dell’AI.

Del resto, proprio l’interazione del sistema giuridico con i progressi della società digitale ha prodotto formulazioni giuridiche oggi fondamentali come il diritto all’oblio. Senza l’eterno presente delle informazioni su Internet, sarebbe cioè mancata l’esigenza di imporre la loro progressiva deindicizzazione. E’ dunque auspicabile che altrettanto accada nel settore dell’intelligenza artificiale.

Le lacune della proposta di AI Act

Non può non notarsi come costituisca invece una delusione il principale corpo normativo progettato dall’Unione europea nella materia in questione, il cd. AI Act. Più esattamente, la proposta di regolamento era subito apparsa molto deficitaria, sia nel senso di “catturare” le novità tecnologiche sia in quello di apprestare mezzi di ricorso.

Il testo aveva ad esempio sottovalutato la rilevanza dei large language model e dell’intelligenza generativa, ossia di quelle applicazioni di cui ChatGPT costituisce oggi uno dei principali esempi. Non prevedeva inoltre rimedi giuridici specifici per i soggetti vulnerati e neppure obblighi proattivi adeguati, quali valutazioni d’impatto sui diritti fondamentali.

Si è tuttavia recentemente intervenuti, sia pure frettolosamente e su un testo carente, a completare molte lacune, come rivela la bozza di compromesso divulgata proprio in data odierna. Il testo dovrà essere adottato tuttavia dal Parlamento europeo in sessione plenaria e quindi sottoposto alla procedura di “trilogo” con il Consiglio e la Commissione.

Pubblicato il

L’avvocato Pelino al Privacy Symposium 2023

L’avv. Enrico Pelino, partner dello studio, parteciperà nuovamente come speaker invitato al Privacy Symposium di Venezia, evento internazionale che riunisce esperti in materia di protezione dei dati personali.

Privacy Symposium 2023
Privacy Symposium avv. Enrico Pelino

Nel panel specifico, che si terrà il 18 aprile alle 14:30 presso l’Auditorium Santa Margherita, sarà affrontato uno dei temi di maggiore attualità, il rapporto tra protezione dei dati personali e intelligenza artificiale: Artificial Intelligence vs Privacy: Possible Solutions to Support Innovation, Enhancing Data Protection.

Il panel vede la partecipazione di specialisti del settore e di due esponenti del Garante per la protezione dei dati personali. Proprio in questi giorni l’Autorità è al centro di un vivace dibattito per avere disposto, con provvedimento d’urgenza assunto ai sensi dell’art. 58.2.f) GDPR, la limitazione provvisoria del trattamento dei dati personali degli interessati stabiliti in Italia da parte di OpenAI LLC (ChatGPT).

Dunque, l’incontro si prospetta atteso e coinvolgente. Oltre prevedibilmente al recente provvedimento, saranno affrontate altre tematiche di notevole seguito: ad esempio, l’uso di dati sintetici, i limiti di trasparenza dei prodotti di AI (es. l’accesso e la spiegazione alla logica dei risultati prodotti), l’intervento umano nelle decisioni automatizzate, l’individuazione di idonea base giuridica per l’elaborazione massiva di dati da parte dei sistemi di intelligenza artificiale.

Sarà anche un’occasione per ragionare sui limiti e contemporaneamente sulla tenuta del GDPR (si pensi al fondamentale art. 22) dinanzi a un’accelerazione tecnologica travolgente, e sull’adeguatezza effettiva della proposta di regolamento sull’intelligenza artificiale, un testo che rischia di nascere superato.

Pubblicato il

l’avv. Enrico Pelino alla Global Data Conference

L’avv. Enrico Pelino è stato invitato come panelist alla prima edizione della Global Data Conference, il 9 febbraio 2023 a Milano.

Global data conference

L’evento, organizzato da Officine Dati e dall’Information Society Law Center dell’Università degli Studi di Milano, avrà luogo a partire dalle ore 9:00 presso la struttura dell’Ateneo in via S. Antonio, n. 5 – Aula Pio XII, e vedrà la partecipazione di numerosi esperti del settore.

In particolare, saranno oltre ottanta gli invitati, provenienti dal mondo professionale del diritto digitale/protezione dei dati personali, dalle Istituzioni, dall’ambito accademico e dal settore BigTech.

La Conferenza si articolerà in una sessione di lavoro nella mattinata e in un secondo momento di confronto con il pubblico. Sarà seguita dalla pubblicazione dei rapporti emersi dalla giornata di lavoro.

L’avvocato è coinvolto nel panel incaricato di tracciare un profilo critico, con taglio operativo e fattuale, dell’indipendenza delle Autorità di controllo, in particolare di quella Garante per la protezione dei dati personali.

L’indipendenza è la chiave stessa dell’Autorità. E’ cioè insieme una condizione necessaria di funzionamento corretto nel sistema delle garanzie e dei bilanciamenti, anche a livello di diritto eurounitario, ma pone allo stesso tempo una sfida complessa, poiché postula, se possibile, un maggiorato rispetto delle regole e una rigorosa autodisciplina.

I tavoli di lavoro complessivamente riguarderanno i seguenti macro-temi di forte attualità:

  1. Strategia digitale dell’UE;
  2. Ruolo e poteri delle Autorità indipendenti nazionali;
  3. Soggetti vulnerabili ed effettività delle tutele;
  4. Monetizzazione del dato.

L’auspicio è che i lavori del tavolo di esperti possano aprire a un dibattito costruttivo e sereno e fornire un contributo spendibile sul piano operativo, poiché maturato a partire dall’esperienza professionale quotidiana.

L’evento è patrocinato dall’Autorità Garante per la Protezione dei Dati Personali, dal Comune di Milano, dall’Ordine degli Avvocati di Milano, dall’Ordine dei Commercialisti e degli Esperti Contabili di Milano.

Pubblicato il

Sorveglianza algoritmica e diritti dei lavoratori

Prevede l’art. 1-bis del d.lgs. 152/1997, al primo comma: “Il datore di lavoro o il committente pubblico e privato è tenuto a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori. Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300“.

La norma è stata introdotta dal cd. “decreto trasparenza” (d.lgs. 104/2022), ed è in vigore dal 13 agosto 2022.

E’ una disposizione che presenta evidenti criticità. Da un lato non aggiunge nulla al sistema di tutele, essendo l’informativa già prevista dall’art. 13 GDPR, dall’altro sembra legittimare surrettiziamente sistemi di sorveglianza algoritmica.

Finalmente, con provvedimento pubblicato il 24.1.2023, il Garante per la protezione dei dati personali ha preso posizione sulla novella, contestualizzandola nel sistema delle fonti, dove occupa posizione evidentemente recessiva non solo rispetto al GDPR, ma anche rispetto a una serie di norme nazionali primarie, tra le quali sia l’art. 4 Statuto lavoratori sia l’art. 8 della stessa legge e l’art. 10 d.lgs. 276/2003.

In sostanza, il complessivo quadro di regole (e di divieti) resta immutato, gli unici apporti del decreto trasparenza in materia algoritmi nel contesto lavorativo riguardano semmai integrazioni a quanto già dovuto in tema di informativa. Dovranno per esempio essere specificate al lavoratore:

  • le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
  • le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
  • il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Per un approfondimento sul tema e sulla posizione espressa dal Garante, si rimanda al dettagliato commento dell’avv. Enrico Pelino pubblicato sulla rivista Cybersecurity360: Algoritmi di sorveglianza e diritti dei lavoratori: i chiarimenti del Garante.

Pubblicato il

Algoritmi predittivi: l’avv. Pelino intervistato da IusLaw Web Radio

Si torna a parlare di algoritmi predittivi per il contrasto all’evasione fiscale. In particolare, del software sul quale l’Agenzia delle Entrate ha recentemente svolto la valutazione d’impatto (DPIA) e il Garante per la protezione dei dati personali si è espresso, non senza numerosi rilievi, in sede di consultazione preventiva. Ne abbiamo già parlato qui, invece per ascoltare l’intervista all’avv. Pelino su IusLaw Web Radio – La radio dell’avvocatura, si rimanda al seguente link: V.E.R.A – Agenzia delle Entrate – Intervista.

Nell’intervista si fa cenno all’esperienza negativa olandese di utilizzo di software predittivi in funzione antifrode. In quella vicenda, che ha dato luogo a un caso nazionale, noto come “toeslagenaffaire”, alcuni bias del sistema (occorrenza peraltro comune) hanno determinato effetti distorsivi e persecutori, anche su base etnica, nei confronti di un elevatissimo numero di persone, circa 26.000.

Si sono registrati anche danni gravissimi. Della vicenda si è interessata la locale autorità di controllo per la protezione dei dati personali, comminando sanzioni per € 3,7 milioni all’amministrazione titolare del trattamento.

Non deve automaticamente dedursene che anche il modello italiano sarà inficiato da bias, tuttavia il precedente citato rafforza la richiesta di trasparenza sul nuovo modello algoritmico di cui si chiede l’introduzione nel nostro Paese, affinché non sia una black box. Resta anche l’esigenza di valutare la corretta applicazione del principio di minimizzazione, previsto dall’art. 5 GDPR, oltre alle clausole generali di ragionevolezza, necessità e proporzionalità.

Pubblicato il

L’avvocato Pelino entra nel gruppo di esperti EDPB

L’avvocato Enrico Pelino è entrato a far parte dal 30 agosto 2022 del gruppo di esperti in materia di protezione dei dati personali, Support Pool of Experts, del Comitato delle autorità di controllo dell’Unione europea.

L’EDPB è l’organismo che riunisce il nostro Garante per la protezione dei dati personali e gli altri omologhi europei.

Gli esperti potranno essere chiamati per consulenze e progetti e altre attività di supporto all’EDPB.