L’IA dans tous ses états.

L'intelligenza artificiale in tutte le sue forme

Osservatorio Legale n. 52 – Ottobre 2022

Il 17 ottobre 2022, la CNIL ha confermato, sanzionando la società Clearview AI con una sanzione di 20 milioni di euro, la sua competenza come regolatore nel campo dell'intelligenza artificiale.

Questa sanzione fa seguito a una diffida rimasta senza risposta e alla mancata collaborazione dell'azienda durante la procedura di ispezione.

Adottata a seguito di una procedura di consultazione a livello europeo, la decisione si aggiunge alle sanzioni pronunciate da diversi suoi omologhi nei confronti della stessa società.

  • La CNIL rileva l'assenza di una base giuridica per la raccolta sistematica e diffusa di venti miliardi di immagini di volti accessibili al pubblico su milioni di siti web, immagini commercializzate dalla società in particolare alle forze dell'ordine.
  • La CNIL ritiene che, data la natura particolarmente invasiva dei dati e la loro natura biometrica, la raccolta avrebbe dovuto essere subordinata al previo consenso delle persone interessate.
  • Rileva inoltre che la società non rispetta i diritti di accesso e cancellazione delle persone interessate.

Questa decisione si inserisce in un contesto di supervisione sempre più precisa dell'intelligenza artificiale a livello nazionale e internazionale.

Il Consiglio di Stato ha quindi adottato a fine estate due documenti in cui si pronuncia sulla governance della futura regolamentazione europea sull’IA:

Nel suo documento del 30 agosto 2022, il Consiglio di Stato affronta la questione della qualità del servizio pubblico e getta le basi per una strategia francese in materia di intelligenza artificiale.

Tra le altre cose, incoraggia il rafforzamento dei poteri della CNIL e la sua formalizzazione come responsabile della regolamentazione dei sistemi di intelligenza artificiale.

Raccomanda quindi una trasformazione della CNIL, che diventerebbe "l'autorità nazionale di vigilanza responsabile della regolamentazione dei sistemi di intelligenza artificiale, in particolare quelli pubblici, per incarnare e interiorizzare la duplice sfida della protezione dei diritti e delle libertà fondamentali, da un lato, e dell'innovazione e delle prestazioni pubbliche, dall'altro".

Il 27 settembre il Consiglio di Stato ha inoltre pubblicato uno studio riguardante la supervisione dei social network nel contesto dello sviluppo dell'IA, in cui formula 17 raccomandazioni per riequilibrare le forze a favore degli utenti, dotare le autorità pubbliche del loro ruolo di regolatori e pensare ai social network di domani.

Da parte sua, Parlamento sta esaminando la questione della videosorveglianza e del riconoscimento facciale: una missione conoscitiva è stata lanciata il 13 settembre dalla Commissione giuridica dell'Assemblea nazionale, affidata a Philippe Latombe, deputato e membro del collegio della CNIL.

I parlamentari dovranno comprendere "le sfide che comporta l'uso di immagini di sicurezza nel pubblico dominio per combattere l'insicurezza" e prenderanno in considerazione in particolare il riconoscimento facciale.

Ciò comporterà un inventario dei dispositivi recentemente autorizzati, come le bodycam e i droni, e la valutazione di possibili sviluppi, come le telecamere aumentate, al fine di elaborare una proposta legislativa.

Citiamo anche l'apertura dei negoziati per una convenzione del Consiglio d'Europa sull'intelligenza artificiale, i diritti umani, la democrazia e lo stato di diritto.

Sarebbe il primo strumento internazionale giuridicamente vincolante sull'intelligenza artificiale.

Questa convenzione integrerebbe la regolamentazione sull'intelligenza artificiale proposta dalla Commissione europea, rafforzando la tutela dei diritti fondamentali degli individui.

IL Garante europeo della protezione dei dati ha accolto con favore questa iniziativa, ricordando tuttavia i sistemi di intelligenza artificiale che, a suo avviso, presentano rischi inaccettabili e dovrebbero essere vietati, ovvero:

  • Punteggio sociale,
  • Identificazione biometrica negli spazi pubblici,
  • Categorizzazione degli individui in base ai dati biometrici
  • La categorizzazione degli individui in base alle emozioni percepite.

Va ricordato che la regolamentazione dell'IA proposta dalla Commissione Europea sostiene questo approccio, proibendo le tecniche di IA più invasive, come quelle che manipolano gli individui o consentono il social scoring.

Ancora insufficiente per i difensori delle libertà, ed eccessivo per i detrattori.

Va notato che gli Stati Uniti hanno inviato un documento informale a diverse capitali e alla Commissione europea alla fine di ottobre, con l'obiettivo di convincerli a limitare la portata delle future normative e ad ampliare le eccezioni, al fine di mantenere una maggiore flessibilità nei possibili utilizzi dell'intelligenza artificiale.

Gli Stati Uniti stanno anche preparando le normative sull'intelligenza artificiale: il 4 ottobre, il presidente Joe Biden ha presentato la "Carta dei diritti sull'intelligenza artificiale", che descrive le cinque garanzie di cui gli americani dovrebbero beneficiare:

  • Sistemi sicuri ed efficienti,
  • Protezione contro la discriminazione algoritmica,
  • Riservatezza dei dati,
  • Notifiche e spiegazioni su come funziona l'IA,
  • Alternative umane alle decisioni automatizzate.

Infine, va notato che le autorità di regolamentazione della protezione dei dati di oltre 120 paesi hanno concordato un quadro per l'uso del riconoscimento facciale in la 44a Assemblea mondiale sulla privacy che si è tenuto a Istanbul alla fine di ottobre.

La risoluzione richiede che l'entità che utilizza la tecnologia

  • Stabilire “il suo carattere ragionevole, necessario e proporzionato”,
  • Valuta il rispetto dei diritti degli individui
  • Garantisce un utilizzo senza interruzioni della tecnologia.

È inoltre necessario mettere in atto meccanismi di responsabilità chiari ed efficaci.

E anche

Francia:

Criminalità informatica: Il Ministro delegato per gli affari digitali e il Ministro della Salute hanno annunciato uno stanziamento di 20 milioni di euro a favore dell'ANSSI per rafforzare il sostegno alle strutture sanitarie vittime di ransomware.

La CNIL pubblica sul suo sito web risorse educative per proteggere meglio i bambini dagli 8 ai 10 anni su Internet.

Queste risorse sono destinate a genitori, bambini, insegnanti ed educatori.

Il 17 ottobre la CNIL ha inoltre aggiornato la sua raccomandazione relativa all'autenticazione tramite password.

In un contesto di crescenti minacce alla sicurezza online, la CNIL sta sviluppando in particolare l'utilità di soluzioni di autenticazione forte o multifattoriale e di certificati elettronici.

Europa:

Il Comitato europeo per la protezione dei dati (EDPB) ha adottato linee guida aggiornate sulla notifica delle violazioni dei dati, aperto alla consultazione pubblica fino al 29/11/2022.

La sezione aggiornata riguarda la notifica di una violazione della sicurezza da parte di un gestore stabilito al di fuori dell'Unione Europea.

Il fatto che questo responsabile abbia nominato un rappresentante in uno dei Paesi dell'UE non lo esonera, secondo l'EDPB, da obblighi più ampi: il testo ora specifica che "la mera presenza di un rappresentante in uno Stato membro non fa scattare lo sportello unico".

Per questo motivo la violazione dovrà essere notificata a ciascuna autorità presso la quale gli interessati risiedono nel loro Stato membro.

La Corte di giustizia dell'Unione europea ha stabilito, con sentenza del 20 ottobre, che l'ulteriore trattamento consistente nella creazione, a partire da una banca dati esistente, di una banca dati per effettuare test e correggere errori, è autorizzata se

  1. esiste “un nesso concreto, logico e sufficientemente stretto tra le finalità della raccolta iniziale e quelle del successivo trattamento”; e
  2. l'ulteriore elaborazione non si discosta dalle legittime aspettative degli abbonati.

Nel caso in questione, la Corte ha ritenuto che sussista tale stretto legame. Essa ricorda che i dati devono essere cancellati una volta soddisfatta la finalità (secondaria) del trattamento.

Nella sentenza del 27 ottobre riguardante la società belga Proximus, la Corte si pronuncia sugli obblighi dei fornitori di elenchi quando un abbonato revoca il consenso al trattamento dei suoi dati.

La Corte ritiene che l'autorità per la protezione dei dati possa richiedere a un fornitore di elenchi telefonici accessibili al pubblico, in qualità di titolare del trattamento dei dati, di adottare misure appropriate per informare gli altri titolari del trattamento dei dati (incluso il fornitore del servizio di telecomunicazioni da cui i dati sono stati comunicati) della revoca del consenso dell'abbonato.

Il regolamento europeo sui mercati digitali (DMA) è stato pubblicato il 12 ottobre 2022.

Questo testo, che mira a "porre fine alle pratiche sleali delle aziende che agiscono da "guardiani" nell'economia delle piattaforme online", sarà in vigore dal 2 maggio 2023.

Definisce le grandi piattaforme online come "guardiani" e stabilisce un elenco di divieti e obblighi volti a "garantire mercati digitali equi e aperti".

La proposta di regolamento europeo sugli abusi sessuali sui minori (CSAR) è oggetto di numerose critiche da parte della società civile e del lancio della campagna “Smettetela di scansionarmi”.

Secondo le ONG interessate, la proposta, nonostante i suoi lodevoli obiettivi, rischia di "compromettere fondamentalmente la sicurezza delle comunicazioni online e di rendere Internet meno sicuro per tutti".

Le forze dell'ordine intendono utilizzare la scansione automatizzata online delle comunicazioni private per individuare contenuti correlati ad abusi sessuali su minori.

Tuttavia, un'indagine dell'Irish Council for Civil Liberties (ICCL) rivela che la polizia irlandese conserva dati personali (e-mail, nome utente, indirizzo IP) anche in caso di falsi allarmi.

L'enorme numero di falsi positivi (si ritiene che siano utilizzabili meno di 10 segnalazioni %) potrebbe inoltre impedire alla polizia di affrontare il nocciolo del problema.

Il Garante per la protezione dei dati personali apre un'indagine su un'applicazione che genera voci artificiali ("deep fake").

L'autorità ha aperto un'indagine sull'app Fakeyou, che presumibilmente converte file di testo in voci che imitano quelle di personaggi famosi, in particolare italiani.

Inoltre, l'Autorità garante della tutela del consumatore ha stabilito che un cartello raffigurante una telecamera stilizzata non era sufficiente a fornire informazioni sull'uso delle telecamere di videosorveglianza e ha comminato al responsabile una sanzione di 2.000 euro.

autorità irlandese L'Autorità Garante per la Protezione dei Dati Personali ha pubblicato sul proprio sito web una raccolta di oltre 30 casi di studio specifici da essa trattati, non inclusi nelle sue relazioni annuali. La pubblicazione fornisce una migliore comprensione dell'approccio dell'Autorità su temi quali il monitoraggio dei dipendenti, la videosorveglianza, la nozione di legittimo interesse e la compatibilità delle finalità del trattamento.

Corte d'appello olandese di Arnhem-Leeuwarden ha confermato un'ingiunzione secondo cui un'autorità di regolamentazione del diritto d'autore non poteva obbligare un fornitore di servizi Internet a inviare lettere di avvertimento ai presunti violatori del diritto d'autore: il fornitore di servizi Internet non ha alcuna base giuridica per elaborare dati personali relativi a condanne penali e reati.

L'Autorità per la protezione dei dati del Regno Unito (ICO) comunica sulle tecnologie biometriche, come quelle di analisi delle emozioni, che secondo l'azienda sono immature e rischiano di portare alla discriminazione.

Tra i rischi individuati vi sono il monitoraggio della salute fisica dei lavoratori mediante strumenti di screening portatili e l'osservazione visiva e comportamentale, tra cui la postura del corpo, il linguaggio, i movimenti oculari e quelli della testa, per registrare gli studenti agli esami.

L'ICO pubblica anche una bozza di linee guida sul monitoraggio dei dipendenti.

La Commissione sottolinea in particolare la crescente tendenza al "lavoro da casa" e il problema del monitoraggio della produttività, poiché è probabile che le aspettative dei lavoratori in materia di privacy siano maggiori a casa che al lavoro.

L'ICO osserva inoltre che "il monitoraggio della battitura sui tasti è classificato come dato biometrico comportamentale quando un lavoratore è identificabile in base al suo ritmo e schema di digitazione unici". La bozza è aperta alla consultazione fino all'11 gennaio 2023.

Internazionale:

Trasferimenti di dati verso gli Stati Uniti: Il 7 ottobre è stato raggiunto un traguardo importante con la firma da parte del presidente Biden dell'ordine esecutivo sul rafforzamento delle garanzie per le attività di intelligence dei segnali degli Stati Uniti.

Il presente decreto mira a consentire l'attuazione di un nuovo quadro normativo in materia di protezione dei dati tra l'Unione europea e gli Stati Uniti, a seguito della sentenza Schrems II della CGUE, che ha reso obsoleto il Privacy Shield.

L'accordo potrebbe essere finalizzato all'inizio del 2023, in seguito al parere del Comitato europeo per la protezione dei dati (EDPB) e all'adozione di una decisione di adeguatezza da parte della Commissione europea.

L'incertezza che circonda l'accordo riguarda l'entità dei poteri di sorveglianza delle autorità statunitensi e il ricorso a disposizione dei cittadini europei contro le misure adottate dagli Stati Uniti nei loro confronti.

Aggiungiamo che, non avendo forza di legge, questo decreto può essere revocato, il che accresce l'incertezza giuridica.

Scopri Viqtor®
it_ITIT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL it_ITIT