GUARDA QUIhttps://www.accademiaitalianaprivacy.it/areaprivata/foto/519/01.png

Dettaglio news
Machine Learning: la nuova sfida nella protezione dati. Sarà sufficiente il GDPR?


giovedì 8 aprile 2021
Avv. Gianni Dell’Aiuto





L’articolo 22 del GDPR è probabilmente, nelle intenzioni del legislatore europeo, una delle norme fondamentali della nuova disciplina in materia di protezione e trattamento dati personali. È infatti in questo fondamentale punto che viene sancito il diritto dell’interessato a non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato. La norma prosegue con l’indicazione delle eccezioni, vale a dire laddove il trattamento sia necessario per concludere o eseguire un contratto, sia previsto dal diritto dello Stato, pur con i dovuti accorgimenti o, infine, ovviamente, sulla base del consenso dell’interessato stesso.

L’aspetto con cui va di fatto a confliggere il divieto di trattamenti automatizzati è il dato di fatto obiettivo che stiamo andando sempre più verso l’uso dell’Intelligenza Artificiale in cui prevale l’Automatic Machine Learning, un procedimento che prevede l’automazione di qualsiasi parte o di un intero processo di apprendimento automatico. Questo sistema sta andando addirittura oltre grazie al deep learning, ovvero un insieme di algoritmi usati nell’apprendimento automatico tra macchine. Il dato viene elaborato automaticamente con sistemi specifici, utilizzati per creare e sviluppare reti neurali destinate a gestire i processi decisionali.
I sistemi lavorano su algoritmi definiti "profondi" nei quali i dati di input vengono passati attraverso una serie di non linearità o trasformazioni non lineari prima di diventare output. Un passo avanti rispetto gli attuali algoritmi di apprendimento automatico, la maggior parte dei quali sono considerati "superficiali" perché l'input può andare solo a pochi livelli di chiamata di subroutine.

Come si colloca in tutto ciò la protezione del dato personale?
Teniamo inoltre presente che l’enorme mole di dati che necessitano questi sistemi deve provenire da campioni significativi, collocati su tutta la rete e, verrebbe in tal senso da pensare, che limitarsi ai dati raccolti dove è in vigore il GDPR rispetto ad altri in cui vigono sistemi meno stringenti di protezione del dato porterebbe a risultati inferiori a quelli che potrebbero attendersi. Inoltre, il sistema di raccolta e quindi uso potrebbe cambiare se teniamo presente che anche in altre realtà territoriali vengono portate avanti istanze per un sistema di protezione dati più efficace, vedasi la California.

Non stiamo parlando solo di utilizzo e profilazione dati a livello commerciale. I processi di apprendimento automatico vengono implementati in contesti diversi come la prevenzione delle frodi, la diagnostica medica e lo sviluppo di veicoli elettronici e in agricoltura. Le tecnologie sottostanti sono sempre più accessibili ai responsabili del trattamento dei dati, con i principali cloud computing tra cui Amazon, IBM, Google e Microsoft.

Chiaro che, oltre a dati di carattere generale, i sistemi non possono prescindere da quelli personali dei navigatori della rete i cui comportamenti potrebbero dire molto, una volta analizzati, anche ad esempio, per prevenire atti criminali, terrorismo e, l’esperienza ci insegna, prevenire un’epidemia. I dati personali utilizzati per permettere all’intelligenza artificiale di sviluppare i suoi sistemi di decisioni automatizzate, compresa la necessaria profilazione, come abbiamo detto, dovrebbero essere raccolti solo per finalità esplicite e legittime, specificate al momento della prestazione del consenso ed un successivo trattamento incompatibile con tali finalità non è consentito. Peraltro, il Machine Learning coinvolge sia i set di dati esistenti che i flussi di dati in tempo reale e flussi di lavoro che si evolvono in tempo reale. Estremamente difficoltoso conciliare tali processi dinamici con scopi specificati in anticipo. Potrebbero verificarsi anche necessità impreviste da affrontare.


È questa la nuova sfida non solo per i consulenti privacy, che dovranno gestire l’attuale contesto, ma anche, probabilmente, a livello globale per gli organismi deputati al controllo e alla programmazione. Un’agenzia mondiale è ipotesi da non sottovalutare.




CONDIVIDI QUESTA PAGINA!