L’intelligence artificielle au gré du droit et des enjeux de société.

Intelligenza artificiale in linea con la legge e le problematiche sociali.

Osservatorio Legale n. 34 – Aprile 2021

Intelligenza artificiale in linea con la legge e le problematiche socialiL'intelligenza artificiale e la sicurezza sono oggi collegate nel discorso politico e giuridico. Ma In che misura l'adattamento del nostro quadro normativo a sfide come il terrorismo può o dovrebbe incorporare gli ultimi sviluppi tecnologici?

Non mancano le polemiche all'inizio della primavera, con l'adozione della legge sulla sorveglianza globale e le nuove misure della legge antiterrorismo.

I limiti della raccolta dati su larga scala

Nel contesto attuale, notiamo l'influenza di diversi attori tra cui il Consiglio di Stato, associazioni per le libertà civili e la Corte di giustizia dell'Unione europea.

Quest'ultima ha emesso due sentenze il 6 ottobre 2020, che riguardano la Francia in relazione alla sua legge sull'intelligence e alle sue pratiche di conservazione dei dati di connessione.

La Corte di giustizia ha infatti ricordato l’art. violazione dei diritti fondamentali della raccolta diffusa e indiscriminata di dati sulle comunicazioni da parte degli operatoriLa Corte precisa il carattere eccezionale che tale raccolta deve avere, per obiettivi di sicurezza nazionale e per una durata strettamente limitata.

Interpellato sulla base di queste pronunce da associazioni, il Consiglio di Stato ha compiuto nella sua decisione del 21 aprile un delicato esercizio di conciliazione tra il diritto dell'Unione europea e gli obiettivi nazionali di lotta al terrorismo e alla criminalità, chiedendo al governo di apportare alcuni aggiustamenti alla sua politica di sorveglianza generalizzata (riesame periodico della minaccia che giustifica la raccolta di dati, effetto vincolante e non più consultivo dei pareri della Commissione nazionale per il controllo delle tecniche di intelligence – CNCTR).

Tali conclusioni sono fortemente criticate dalle associazioni, che sottolineano l'inadeguatezza degli adeguamenti richiesti e l'interpretazione molto ampia da parte del Consiglio di Stato della nozione di "sicurezza nazionale" che va oltre la lotta al terrorismo, includendo ad esempio lo spionaggio economico, il traffico di droga o l'organizzazione di manifestazioni non dichiarate, in violazione del diritto europeo.

Anche La Quadrature du Net e altre associazioni hanno deferito il 29 aprile al Consiglio costituzionale la questione della legalità della legge sulla sorveglianza globale, anche sulla base della natura sproporzionata di molte delle misure di sorveglianza previste dalla legge. 

Gli algoritmi della legge antiterrorismo

Le discussioni suscitate dal disegno di legge sulla prevenzione degli atti di terrorismo e sull'intelligence si sovrappongono a questo dibattito e riaccendono le questioni di proporzionalità delle misure previste.

Ci riferiamo in particolare a due aspetti del disegno di legge che, nella sua versione inizialmente pubblicata, intendeva perpetuare l'uso di algoritmi per monitorare, in particolare, le connessioni degli internauti in base ai siti web visitati e per raccogliere dati diffusi sulle comunicazioni satellitari.

La versione del progetto pubblicata il 28 aprile all’Assemblea nazionale non contiene più queste disposizioni, che dovrebbero essere adattate – per tenere conto degli “aggiustamenti” richiesti dal Consiglio di Stato – in una lettera rettificativa attesa nel corso del mese di maggio.

Si noti che il parere della CNIL dell'8 aprile su questo progetto non è stato pubblicato, né quello della Commissione nazionale per il controllo delle tecniche di intelligence.

Una regolamentazione futura più chiara dell'IA a livello europeo?

Parallelamente a questi sviluppi nazionali, Il 21 aprile la Commissione europea ha pubblicato una proposta per regolamentare l'intelligenza artificiale., che alcuni considerano già troppo restrittivo, mentre altri ne deplorano i limiti.

La Commissione intende vietare l'uso dell'intelligenza artificiale che viola i valori dell'UE e i diritti umani, in particolare gli usi "inaccettabili" volti a influenzare il comportamento o a colpire le vulnerabilità individuali attraverso algoritmi predittivi.

La proposta, ad esempio, vieta il "social scoring". Come si è visto in Cina con lo sviluppo di applicazioni che consentono allo Stato di valutare il merito sociale di ciascun individuo. L'analisi del rischio (in particolare per i trattamenti identificati come "ad alto rischio") dovrà essere effettuata dagli sviluppatori di progetti che utilizzano l'IA.

Le violazioni di questi principi possono comportare, come nel GDPR, sanzioni fino al 4% del fatturato.

Le misure restrittive previste dalla proposta non si applicano tuttavia ai governi e alle autorità pubbliche dell'Unione europea che utilizzano l'intelligenza artificiale per proteggere la sicurezza pubblica.

Alcuni, tra cui il Garante europeo della protezione dei dati, deplorano l'assenza di una moratoria su questioni attuali come l'uso in tempo reale delle telecamere di sorveglianza biometriche da parte dello Stato.

Sebbene la proposta ne limiti l'uso, esso rimane possibile, in particolare nel contesto di attacchi terroristici o nella ricerca di criminali.

Altri sottolineano l'onere della responsabilità trasferito dallo Stato ai promotori privati, che dovranno effettuare la propria analisi di conformità dei sistemi da loro proposti, ad esempio in termini di polizia predittiva, utilizzo dell'intelligenza artificiale nelle procedure di asilo o sorveglianza dei lavoratori.

Questi diversi sviluppi mettono in luce la delicatezza di un dibattito che deve prendere in considerazione sia le questioni di sicurezza nazionale, di competenza degli Stati, sia gli aspetti dell'ordine economico e dei diritti fondamentali specificati da un ordinamento giuridico europeo che viene loro imposto.

La proposta europea prevede la creazione di un Comitato europeo per l'intelligenza artificiale, composto dai vari Stati membri dell'UE, dalla Commissione europea e dal Garante europeo della protezione dei dati. Questo comitato sarà responsabile di decidere in merito a sviluppi non autorizzati o ad alto rischio nell'ambito dell'IA.

L'inizio di una soluzione?

E anche

Francia:

L'ANSSI continua il suo lavoro di sensibilizzazione sui rischi per la sicurezza, con un guida alla protezione dei siti web.

La guida specifica i parametri da specificare durante lo sviluppo e l'integrazione di un sito web o di un'applicazione web, al fine di garantirne la sicurezza.

La CNIL pubblica un elenco di domande e risposte riguardanti test salivari nelle scuole, utilizzato nel contesto dello screening Covid-19.

Nel suo ottavo quaderno Innovazione e Prospettiva, la CNIL sviluppa le motivazioni che spingono un individuo a sporgere denuncia per mancato rispetto dei propri dirittiMenziona quattro motivi principali:

  • “Quando la reputazione degli individui è minacciata dalle informazioni disponibili online (quasi un terzo dei reclami);
  • Quando sono vittime di intrusioni nella loro sfera privata da parte di prospezioni commerciali (circa il 20% delle denunce);
  • In caso di sorveglianza sul posto di lavoro (da 10 a 15 reclami %); e infine
  • Quando sono registrati negli archivi nazionali (incidenti bancari, casellari giudiziari).

Europa:

Unione Europea: Il progetto del passaporto sanitario è oggetto di dibattito a livello europeo.

Dopo il parere congiunto del Comitato e del Garante europeo della protezione dei dati, ora tocca al Parlamento europeo esaminare la questione.

Si è così evidenziato,

  • La necessità di integrare la “Privacy by design” nel sistema di elaborazione dei dati,
  • La garanzia dell'assenza di database centralizzati,
  • Una chiara identificazione dei titolari del trattamento dei dati,
  • Informazioni delle persone interessate e
  • Un periodo di conservazione dei dati limitato.

Consiglio d'Europa: il 28 aprile il Comitato dei Ministri ha adottato una Dichiarazione sulla tutela della privacy dei minori nell'ambiente digitale.

La presente dichiarazione mira a rafforzare la protezione dei bambini in quella che rappresenta una parte sempre più importante della loro vita, sia a scuola, con gli amici o nel contesto di attività culturali o sportive, con un impatto particolare a causa della pandemia di Covid-19 (le attività online comportano maggiori rischi, tra cui quello dell'esclusione digitale).

Paesi Bassi : Il tribunale distrettuale del Limburgo ha considerato il molteplici procedure di diritto di accesso avviate da un individuo allo scopo di ottenere un risarcimento danni ai titolari del trattamento dei dati che sono stati lenti a rispondere.

Sempre al Paesi Bassi, il tribunale distrettuale di Amsterdam ha ordinato a Uber di reintegrare sei conducenti licenziati in base a decisioni automatizzateAlla società è stato ordinato di pagare una penale di 5.000 euro per ogni giorno di ritardo e più di 100.000 euro di danni.

Secondo le informazioni pubblicate a metà aprile, l'operatore Huawei avrebbe ottenuto l'accesso alla rete di telecomunicazioni olandese KPN, consentendo l'accesso alle comunicazioni dei clienti, tra cui molti dei decisori politici del Paese.

Spagna: Il Ministero della Difesa è stato avvisato dall'autorità per la protezione dei dati.

Il motivo è la registrazione da parte delle telecamere installate nei pressi degli uffici del Ministero – senza alcuna comprovata necessità – di immagini di parcheggi appartenenti alle case vicine (grazie al wiki GDPRhub per il suo inventario delle decisioni). 

Germania: L'autorità di vigilanza dello Stato di Amburgo ha annunciato il 13 aprile l'avvio di un procedimento amministrativo contro Facebook in merito al cambiamento di policy di WhatsApp in merito alla raccolta di dati personali.

La validità del consenso degli utenti è messa in discussione, il che giustifica un blocco di tre mesi della raccolta dei dati da parte dell'autorità di controllo, mentre l'indagine è in corso.

Internazionale:

STATI UNITI : Il riconoscimento facciale si sta sviluppando nelle banche, che utilizzano telecamere intelligenti per identificare i propri clienti, dipendenti e persino i “senzatetto” che potrebbero trovarsi nei pressi dei distributori. 

Sebbene l'uso dell'intelligenza artificiale nel contesto della videosorveglianza non sia regolamentato in modo analogo in tutti gli stati americani, la FTC (Federal Trade Commission) resta competente a verificare le condizioni di utilizzo di questa tecnologia e a sanzionarne l'uso a fini discriminatori.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.

Scopri Viqtor®
it_ITIT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL hrHR pt_PTPT nl_NL_formalNL de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL it_ITIT