Intelligenza artificiale e protezione dei dati personali
1. Intelligenza Artificiale nella PA: esperienze e
prospettive
Roma, 5 Novembre 2019 h. 9.00-13.30
organizzato e promosso da
www.prsmonitor.euwww.di.uniroma1.itwww.miur.gov.it
Intelligenza artificiale e protezione
dei dati personali
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
2. organizzato e promosso da
2
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Agenda
• L’intelligenza artificiale
• Un bene o un male?
• Definizioni
• Il GDPR: la profilazione ed i trattamenti decisionali
automatizzati
• La Convenzione 108+
• Le linee Guida T-PD
3. organizzato e promosso da
3
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
L’intelligenza artificiale
«l’opinione comune è che oggi stiamo vivendo in un
mondo sempre più dominato dall’Intelligenza Artificiale
[...] grazie alla proliferazione di tecniche di Intelligenza
Artificiale che riescono a imparare molto velocemente
ed efficacemente, come gli algoritmi di machine
learning, le tecniche di mining e i sistemi predittivi, che
sembrano promettere un livello senza precedenti, e
forse anche un po’ spaventoso, di IA nella nostra vita e
nelle nostre società»
G.F. Italiano, Intelligenza artificiale: passato, presente, futuro, in F. Pizzetti
4. organizzato e promosso da
4
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
L’intelligenza artificiale
LIMITI ETICI.
L’etica è una filosofia attraverso la quale trovare
fondamenti razionali volti ad assegnare a
comportamenti umani uno status deontologico,
distinguendo tra buono, giusto lecito ed ingiusto ed
illecito.
LIMITI GIURIDICI
limiti del diritto all’ ENTUSIASMO DA SCIENZIATI.
imbrigliare la sperimentazione nei canoni etici
sostanziati in diritto.
5. organizzato e promosso da
5
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
L’intelligenza artificiale
A.I.
Un insieme di scienze, teorie e tecniche il cui scopo è
quello di riprodurre, attraverso le macchine, le capacità
cognitive di un essere umano.
Gli sviluppi attuali mirano, ad esempio, ad affidare a
una macchina compiti complessi precedentemente
delegati a un essere umano
definizione di IA attualmente disponibile sul sito web del Consiglio d'Europa
6. organizzato e promosso da
6
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
L’intelligenza artificiale
In short, when engineers automate an activity that
requires cognitive activity when performed by humans,
it is common to describe this as an application of AI.
STUART J. RUSSELL & PETER NORVIG, ARTIFICIAL INTELLIGENCE: A MODERN APPROACH 1 (3rd ed. 2010)
7. organizzato e promosso da
7
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
L’intelligenza artificiale
AI systems often can produce surprisingly good results
on certain complex tasks that, when done by humans,
require cognition. Notably, however, these AI systems do
so by using computational mechanisms that do not
resemble or match human thinking
Harry Surden, Machine Learning and Law
utilizzando meccanismi computazionali che non
assomigliano o corrispondono al pensiero umano
8. organizzato e promosso da
8
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
un bene o un male?
9. organizzato e promosso da
9
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Bene?
La maggior parte dei software
di posta elettronica utilizza
l'apprendimento automatico
per rilevare automaticamente
le e-mail di spam in arrivo
(ovvero e-mail commerciali indesiderate e indesiderate)
e trasferirle in una cartella di spam separata
10. organizzato e promosso da
10
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Male?
Corriere.it 13 aprile 2017
11. organizzato e promosso da
11
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
PRINCIPALI TECNICHE DI MINING
1) CLUSTERING ANALYSIS (identificazione di singoli gruppi target con
caratteristiche comuni)
2) CLASSIFICATION ANALYSIS (tecnica classificatoria che consente di
riconoscere i cosiddetti pattern - schemi ricorrenti - all’interno di un db; ad
esempio per individuare spam)
3) RULE INDUCTION (analisi predittive basate sui dati archiviati)
4) REGRESSION ANALYSIS (prevedere effetti relativi a cambiamenti)
5) ANOMALY DETECTION (rilevazione di incongruenze)
6) INTRUSION DETECTION
7) ASSOCIATION RULE LEARNING (relazioni fra dati «reali»)
8) NEURAL NETWORKS (relazioni automatizzate)
9) DECISION TREES (alberatura per ottimizzare la fase decisionale)
10) DATA WAREHOUSING (profilazione)
12. organizzato e promosso da
12
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Protezione dei dati personali
GDPR: Regolamento UE 679/2016
13. organizzato e promosso da
13
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Al centro del Regolamento vi è:
La persona: l’interessato.
Ma la persona, e i suoi diritti di libertà, si proteggono
attraverso la protezione dei suoi dati.
È un dato che cambia grazie alla società
dell’informazione e dei social network
L’iPhone è comparso nei negozi Apple e quelli Cingular/AT&T
negli USA dal 29 giugno 2007
14. organizzato e promosso da
14
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
«dato personale»:
qualsiasi informazione riguardante una persona fisica
identificata o identificabile («interessato»);
Identificabile: persona fisica che può essere identificata,
direttamente o indirettamente, con particolare riferimento
a un identificativo come il nome, un numero di
identificazione, dati relativi all’ubicazione, un identificativo
online o a uno o più elementi caratteristici della sua
identità̀ fisica, fisiologica, genetica, psichica, economica,
culturale o sociale;
(C26, C27, C30)
Art. 4 GDPR
15. organizzato e promosso da
15
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Come è il dato oggi?
1. Preciso (in alcuni casi: addirittura predittivo).
2. Correlato o facilmente correlabile: in un
mondo fatto di big data.
3. Capace di profilare, anche in maniera
automatizzata e “intelligente”.
4. Mobile: che rende il tracking dell’informazione
complesso (cloud o trasferimento costante di informazioni anche in base alle
esigenze/risorse del sistema)
16. organizzato e promosso da
16
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Lo sviluppo delle banche dati
Sviluppo tecnologico e conservazione dei dati
– Aumenta la capacità di memoria
– Si accrescono i tempi di conservazione
– Si moltiplicano le interconnessioni fra banche dati
– Diventa meno costoso conservare i dati Un esempio: i
motori di ricerca
17. organizzato e promosso da
17
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
DATI PERSONALI
La civiltà della sorveglianza
Telecamere intelligenti, rilevazioni biometriche, RFID, sistemi di localizzazione, internet of things IOT,
ecc.
Noi siamo le tracce che lasciamo,
Crescono quanto più i servizi sono sofisticati
Cloud evoluto,
L’identità costruita sulla base di esse
I furti di identità
L’identità costruita sulla base di esse
21. organizzato e promosso da
21
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Grande fratello
Cambia la tipologia di controllo del dato:
Sistema orwelliano: un controllo dal centro, che “vede”
Sistema kafkiano: un controllo labirintico, basato sulla
burocrazia, sulla perdita di controllo, sui “muri di gomma”,
sui trasferimenti all’estero, sulla mancanza di riferimenti
chiari (di qui l’importanza dell’informativa)
(perdita del controllo social network)
(prof. Giovanni Ziccardi)
22. organizzato e promosso da
22
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Articolo 9
Trattamento di categorie particolari di dati personali
1. È vietato trattare dati personali che rivelino l’origine
razziale o etnica, le opinioni politiche, le convinzioni
religiose o filosofiche, o l’appartenenza sindacale,
nonché trattare dati genetici, dati biometrici intesi a
identificare in modo univoco una persona fisica, dati
relativi alla salute o alla vita sessuale o
all’orientamento sessuale della persona. (C51)
23. organizzato e promosso da
23
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Articolo 11
Trattamento che non richiede l’identificazione (C57,
C64)
1. Se le finalità per cui un titolare del trattamento
tratta i dati personali non richiedono o non richiedono
più l’identificazione dell’interessato, il titolare del
trattamento non è obbligato a conservare, acquisire o
trattare ulteriori informazioni per identificare
l’interessato al solo fine di rispettare il presente
regolamento.
24. organizzato e promosso da
24
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
4) «profilazione»
qualsiasi forma di trattamento automatizzato di dati
personali consistente nell’utilizzo di tali dati personali per
valutare determinati aspetti personali relativi a una
persona fisica, in particolare per analizzare o prevedere
aspetti riguardanti il rendimento professionale, la
situazione economica, la salute, le preferenze personali,
gli interessi, l’affidabilità, il comportamento, l’ubicazione o
gli spostamenti di detta persona fisica;
(C24, C30, C71-C72)
Art. 4 GDPR
25. organizzato e promosso da
25
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
4) «profilazione»
L’INTERESSATO dovrebbe
essere (sempre) informato
dell’esistenza di una
profilazione e delle
conseguenze della stessa.
(C60)
… dovrebbe avere il diritto, in
qualsiasi momento e
gratuitamente, di opporsi al
trattamento (di marketing
diretto) sia con riguardo a
quello iniziale o ulteriore,
compresa la profilazione
(C70)
[art. 14 par. 2 lett.g]
26. organizzato e promosso da
26
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Articolo 21
Diritto di opposizione (C69, C70)
1. L’interessato ha il diritto di opporsi in qualsiasi momento,
per motivi connessi alla sua situazione particolare, al
trattamento dei dati personali che lo riguardano ai sensi
dell’articolo 6, paragrafo 1, lettere e) o f), compresa la
profilazione sulla base di tali disposizioni.
Il titolare del trattamento si astiene dal trattare
ulteriormente i dati personali salvo che egli dimostri
l’esistenza di motivi legittimi cogenti per procedere al
trattamento che prevalgono sugli interessi, sui diritti e sulle
libertà dell’interessato oppure per l’accertamento,
l’esercizio o la difesa di un diritto in sede giudiziaria.
27. organizzato e promosso da
27
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Articolo 21
Diritto di e (C69, C70)
1. L’interessato ha il diritto di opporsi in qualsiasi momento, per
motivi connessi alla sua situazione particolare, al trattamento dei
dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1,
lettere e) o f), compresa la profilazione sulla base di tali disposizioni.
Il titolare del trattamento si astiene dal trattare ulteriormente i dati
personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti
per procedere al trattamento che prevalgono sugli interessi, sui diritti
e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o
la difesa di un diritto in sede giudiziaria.
…e (6) salvo se il trattamento è necessario per l’esecuzione di un
compito di interesse pubblico
28. organizzato e promosso da
28
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
4) «profilazione»
…Tuttavia, è opportuno che sia consentito adottare decisioni sulla base di
tale trattamento, compresa la profilazione, se ciò è espressamente previsto
dal diritto dell’Unione o degli Stati membri cui è soggetto il titolare del
trattamento, anche a fini di monitoraggio e prevenzione delle frodi e
dell’evasione fiscale secondo i regolamenti, le norme e le raccomandazioni
delle istituzioni dell’Unione o degli organismi nazionali di vigilanza e a
garanzia della sicurezza e dell’affidabilità di un servizio fornito dal titolare
del trattamento, o se è necessario per la conclusione o l’esecuzione di un
contratto tra l’interessato e un titolare del trattamento, o se l’interessato ha
espresso il proprio consenso esplicito.
(C 71)
29. organizzato e promosso da
29
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Articolo 22
Processo decisionale automatizzato relativo alle persone fisiche,
compresa la profilazione (C71, C72)
1. L’interessato ha il diritto di non essere sottoposto a una decisione
basata unicamente sul trattamento automatizzato, compresa la
profilazione, che produca effetti giuridici che lo riguardano o che
incida in modo analogo significativamente sulla sua persona.
2. a meno che la decisione:
a) sia necessaria per la conclusione o l’esecuzione di un contratto tra
l’interessato e un titolare del trattamento;
b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è
soggetto il titolare del trattamento, che precisa altresì misure
adeguate a tutela dei diritti, delle libertà e dei legittimi interessi
dell’interessato;
c) si basi sul consenso esplicito dell’interessato.
30. organizzato e promosso da
30
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Articolo 22
…4. Le decisioni di cui al paragrafo 2 non si basano
sulle categorie particolari di dati personali … a meno
che:
a) l'interessato ha prestato il proprio consenso
esplicito;
b) il trattamento è necessario per motivi di interesse
pubblico rilevante sulla base del diritto dell'Unione o
degli Stati membri, che deve essere proporzionato alla
finalità perseguita…
31. organizzato e promosso da
31
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
La Convenzione 108+
32. organizzato e promosso da
32
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
A seguito dell’entrata
in vigore del GDPR,
nel 2018 il Consiglio di
Europa ha rivisto la
Convenzione 108 per
adeguarla ai nuovi
principi.
Vi è “un duplice
vincolo a garanzia
dei dati dei cittadini”
F.Pizzetti
33. organizzato e promosso da
33
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Convenzione 108+
L’Italia ha firmato (ventiseiesimo Stato su 31) il 5 marzo
2019.
Tale protocollo è fondamentale nell’ambito di ricerca e
sviluppo di sistemi di A.I.
34. organizzato e promosso da
34
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Convenzione 108+
Esiste un Comitato che si occupa della protezione dei
dati (T-PD), la cui istituzione è prevista dalla
Convenzione 108/1981, all'articolo 18.
Il T-PD ha il compito di interpretare le disposizioni della
Convenzione n. 108 e di assicurarne l'effettiva
applicazione, anche suggerendo modifiche ed
adeguamenti.
35. organizzato e promosso da
35
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Linee guida AI – T-PD
36. organizzato e promosso da
36
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Linee Guida AI – T PD
Le presenti linee guida forniscono una serie di misure di
base che i governi, gli sviluppatori, i produttori e i
fornitori di servizi di IA dovrebbero adottare per
assicurare che le applicazioni IA non compromettano la
dignità umana, i diritti e le libertà fondamentali di ogni
individuo, in particolare con riferimento al diritto alla
protezione dei dati.
37. organizzato e promosso da
37
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Linee Guida A.I. - T-PD
Si legge dalle Linee guida in materia di intelligenza
artificiale e protezione dei dati del Comitato consultivo
della Convenzione che tutti i progetti basati
sull’intelligenza artificiale dovrebbero rispettare i
contenuti della Convenzione,
in particolare attuando valutazioni d’impatto sulle
possibili conseguenze che il loro perfezionamento
potrebbe avere sui diritti fondamentali, minimizzando i
rischi e “vigilando” sugli algoritmi”.
38. organizzato e promosso da
38
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Linee Guida A.I. - T-PD
(principi generali)
Lo sviluppo dell'IA fondato sul trattamento di dati
personali dovrebbe basarsi sui principi della
Convenzione 108+.
Gli elementi chiave di questo approccio sono:
• liceità,
• correttezza,
• specificazione della finalità,
• proporzionalità del trattamento,
39. organizzato e promosso da
39
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Linee Guida A.I. - T-PD
(principi generali)
• protezione dei dati fin dalla progettazione (privacy by
design)
• e protezione per impostazione predefinita (privacy by
default),
• responsabilità e dimostrazione della conformità
(accountability)
• trasparenza,
• sicurezza dei dati
• e gestione dei rischi.
40. organizzato e promosso da
40
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Linee Guida A.I. - T-PD
sviluppatori, produttori e fornitori di servizi
Gli sviluppatori, i produttori e i fornitori di servizi di IA dovrebbero
valutare le possibili conseguenze negative delle applicazioni IA sui
diritti umani e le libertà fondamentali e, alla luce di tali
conseguenze, adottare un approccio precauzionale basato su
appropriate misure di prevenzione e attenuazione dei rischi.
… evitare qualsiasi potenziale pregiudizio (bias), anche
involontario o occulto …
… vagliare accuratamente la qualità, la natura, l'origine e la
quantità di dati personali utilizzati, riducendo i dati inutili, ridondanti
o marginali durante lo sviluppo e le fasi di addestramento e poi
monitorando l'accuratezza del modello man mano che viene
alimentato con nuovi dati…
41. organizzato e promosso da
41
Alessio Pellegrino
P.R.S. Planning Ricerche e Studi srl
Grazie per l’attenzione
Thanks!