AI Archivi - GRIECO PELINO

6 Aprile 20236 Aprile 2023

L’avvocato Pelino al Privacy Symposium 2023

L’avv. Enrico Pelino, partner dello studio, parteciperà nuovamente come speaker invitato al Privacy Symposium di Venezia, evento internazionale che riunisce esperti in materia di protezione dei dati personali.

Nel panel specifico, che si terrà il 18 aprile alle 14:30 presso l’Auditorium Santa Margherita, sarà affrontato uno dei temi di maggiore attualità, il rapporto tra protezione dei dati personali e intelligenza artificiale: Artificial Intelligence vs Privacy: Possible Solutions to Support Innovation, Enhancing Data Protection.

Il panel vede la partecipazione di specialisti del settore e di due esponenti del Garante per la protezione dei dati personali. Proprio in questi giorni l’Autorità è al centro di un vivace dibattito per avere disposto, con provvedimento d’urgenza assunto ai sensi dell’art. 58.2.f) GDPR, la limitazione provvisoria del trattamento dei dati personali degli interessati stabiliti in Italia da parte di OpenAI LLC (ChatGPT).

Dunque, l’incontro si prospetta atteso e coinvolgente. Oltre prevedibilmente al recente provvedimento, saranno affrontate altre tematiche di notevole seguito: ad esempio, l’uso di dati sintetici, i limiti di trasparenza dei prodotti di AI (es. l’accesso e la spiegazione alla logica dei risultati prodotti), l’intervento umano nelle decisioni automatizzate, l’individuazione di idonea base giuridica per l’elaborazione massiva di dati da parte dei sistemi di intelligenza artificiale.

Sarà anche un’occasione per ragionare sui limiti e contemporaneamente sulla tenuta del GDPR (si pensi al fondamentale art. 22) dinanzi a un’accelerazione tecnologica travolgente, e sull’adeguatezza effettiva della proposta di regolamento sull’intelligenza artificiale, un testo che rischia di nascere superato.

3 Febbraio 20233 Febbraio 2023

Sorveglianza algoritmica e diritti dei lavoratori

Prevede l’art. 1-bis del d.lgs. 152/1997, al primo comma: “Il datore di lavoro o il committente pubblico e privato è tenuto a informare il lavoratore dell’utilizzo di sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori. Resta fermo quanto disposto dall’articolo 4 della legge 20 maggio 1970, n. 300“.

La norma è stata introdotta dal cd. “decreto trasparenza” (d.lgs. 104/2022), ed è in vigore dal 13 agosto 2022.

E’ una disposizione che presenta evidenti criticità. Da un lato non aggiunge nulla al sistema di tutele, essendo l’informativa già prevista dall’art. 13 GDPR, dall’altro sembra legittimare surrettiziamente sistemi di sorveglianza algoritmica.

Finalmente, con provvedimento pubblicato il 24.1.2023, il Garante per la protezione dei dati personali ha preso posizione sulla novella, contestualizzandola nel sistema delle fonti, dove occupa posizione evidentemente recessiva non solo rispetto al GDPR, ma anche rispetto a una serie di norme nazionali primarie, tra le quali sia l’art. 4 Statuto lavoratori sia l’art. 8 della stessa legge e l’art. 10 d.lgs. 276/2003.

In sostanza, il complessivo quadro di regole (e di divieti) resta immutato, gli unici apporti del decreto trasparenza in materia algoritmi nel contesto lavorativo riguardano semmai integrazioni a quanto già dovuto in tema di informativa. Dovranno per esempio essere specificate al lavoratore:

le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi, inclusi i meccanismi di valutazione delle prestazioni;
le misure di controllo adottate per le decisioni automatizzate, gli eventuali processi di correzione e il responsabile del sistema di gestione della qualità;
il livello di accuratezza, robustezza e cybersicurezza dei sistemi e le metriche utilizzate per misurare tali parametri, nonché gli impatti potenzialmente discriminatori delle metriche stesse.

Per un approfondimento sul tema e sulla posizione espressa dal Garante, si rimanda al dettagliato commento dell’avv. Enrico Pelino pubblicato sulla rivista Cybersecurity360: Algoritmi di sorveglianza e diritti dei lavoratori: i chiarimenti del Garante.

17 Novembre 202217 Novembre 2022

Clearview AI salva imputato da procedimento penale

Clearview AI, com’è noto, si occupa di raccolta di immagini di volti, che poi elabora con tecniche di intelligenza artificiale (AI), per estrarne i componenti biometrici. Una volta individuata, la persona può essere riconosciuta in altre foto o filmati, confrontando l’impronta biometrica presente nell’archivio di Clearview con quella presente nelle foto o nei filmati analizzati.

La raccolta dei volti avviene all’insaputa degli interessati, con tecniche cosiddette di web scraping, ossia di apprensione automatica di contenuti da Internet, prevalentemente da piattaforme social. Tale attività è illecita ai sensi del GDPR perché svolta senza consenso esplicito conforme all’art. 9.2.a( GDPR (i dati biometrici sono dati sensibili, o “particolari”) e senza informativa. Mancano poi una serie di condizioni ulteriori, come una DPIA conforme all’art. 35 GDPR.

Nonostante ciò, licenze di utilizzo del software sono state in passato sottoscritte da molte autorità di polizia e altre LEA (Law Enforcement Agency) dell’Unione europea. Per ovvi motivi: in fase di indagine, comprendere chi è una certa persona che compare in un filmato o in uno scatto fotografico può essere decisivo.

Riassumendo perciò:

la piattaforma in questione “si nutre” delle immagini pubblicate spontaneamente per ragioni relazionali e ricreative dagli stessi utenti o da loro amici e conoscenti su piattaforme social (es. Facebook, Instagram, LinkedIn). Si nutre all’insaputa dei soggetti fornitori, cioè;
tale attività è illecita ai sensi del GDPR (e nella misura in cui esso trova applicazione territoriale);
questo software illecito è (stato) utilizzato da forze di polizia per attività tuttavia commendevoli, in abstracto, quali l’indagine e il contrasto di attività criminali.

E’ chiaro che la piattaforma pone rilevanti problemi etici e soprattutto, per quanto ci riguarda, evidentissimi problemi giuridici. Non a caso il trattamento è stato considerato illecito da numerose autorità di controllo dell’Unione, tra le quali per l’Italia il Garante per la protezione dei dati personali, e sanzionata applicando lo scaglione più alto previsto dal GDPR.

In effetti, la piattaforma rappresenta un esempio perfetto del paradigma del “capitalismo della sorveglianza” di cui ha scritto Shoshana Zuboff nel saggio diventato ormai un classico per comprendere e definire concettualmente i modelli di potere ed economici del contesto digitale. La società estrae – alla lettera – da milioni di persone fisiche, considerate come materie prime (raw material) da sfruttare, informazioni che acquistano rilevante valore economico una volta elaborate e vendute a terzi sul mercato digitale. E’ esattamente questo il business model di Clearview AI.

Ma che cosa succede se la piattaforma permette a un avvocato difensore di individuare un testimone chiave e di far cadere un’imputazione per omicidio stradale a carico di un suo assistito? E’ esattamente quanto avvenuto recentemente negli Stati Uniti. La vicenda rappresenta insieme un tentativo del produttore di software di migliorare la sua immagine pubblica, fortemente compromessa da una serie di iniziative di contrasto giuridico, non solo europee, e anche un modo per apportare una nuova prospettiva di valutazione del suo prodotto e porre stimolanti sfide logiche. Ne ho parlato per Ius Law Web Radio – la radio dell’avvocatura, in un’intervista ascoltabile qui (link esterno). Qui invece la mia precedente intervista relativa alla sanzione venti milioni di euro comminata dal Garante alla società.

24 Ottobre 202224 Ottobre 2022

AI ed evasione fiscale: l’app VeRA

Ha suscitato notevole interesse l’annuncio di nuovi applicativi basati sull’intelligenza artificiale (AI), e in particolare su tecniche di machine learning, da parte dell’Agenzia delle Entrate e della Guardia di Finanza per il contrasto all’evasione.

Sappiamo da notizie di stampa che il software dell’Agenzia delle Entrate si chiama “VeRA”, e poco altro. Infatti, nonostante la notizia circoli da mesi, gli unici spiragli per cogliere veramente dimensioni e caratteristiche del trattamento vengono dall’Autorità garante per la protezione dei dati personali.

Perché i dati personali? Perché il trattamento si colloca in pieno GDPR, racconta moltissimo dell’attività relazionale di ciascuno, della vita privata, delle scelte, e richiede una DPIA, in quanto sussiste probabilità di rischio elevato per i diritti e le libertà. E’ questa la condizione che innesca appunto l’adempimento, ex art. 35 GDPR.

Intendiamoci: l’obiettivo ultimo, quello di contrastare l’evasione, è assolutamente necessario e commendevole, urgente. Va conseguito. Il punto è come, e soprattutto se i mezzi siano proporzionati nell’impatto sulla sfera privata e trasparenti nel funzionamento.

Si pone cioè il più classico dei dibattiti: stiamo introducendo un sistema di controllo proprio di uno Stato della sorveglianza, con il pretesto del conseguimento di una finalità di assoluto e preminente interesse pubblico, oppure stiamo soltanto facendo uso di quanto strettamente necessario?

Per più ampie riflessioni e per un approfondimento sulle banche dati che alimenteranno il sistema, sia permesso rimandare all’articolo dell’avv. Pelino “App ‘VeRA’ dell’Agenzia delle Entrate” pubblicato su Agenda Digitale