La prima cosa che mi è venuta in mente quando è uscito l’AI Act è stata questa: “Fantastico! Andiamo a leggere! Andiamo a capirlo e a studiarlo!”
Perché, per me, leggere un regolamento e capirlo, riuscire a dire, alla fine, “Sì l’ho fatto mio!”, è un po’ come fare del buon sesso. Quando fai del buon sesso lo capisci che sta andando bene: ha la dimensione giusta, ha il tempo giusto…
Ma con l’AI Act faccio fatica. Non sono ancora riuscito a renderlo mio. Sto cercando di studiarlo, ma ancora mi si blocca. Ci sono delle cose che non scivolano in maniera naturale, per me.
Quindi ho cercato di capire il perché. E ho cercato di capire quelle che sono le anime delle attività che noi facciamo come DPO e consulenti - men and women, è uguale – quando ci interfacciamo con legge e tecnologia. Ecco il risultato dei miei ragionamenti.
Da men and women of law a men and women of Digital Age
In generale, nel nostro lavoro di DPO e consulenti, tocchiamo la tecnologia sempre di più. Da consulenti del trattamento dati personali, stiamo diventando consulenti della società tecnologica, della società dell'informazione. Non solo documenti, ma anche tecnologia, insomma. Quindi tutti noi, legali e non legali, dobbiamo capire come si tirano i cavi.
Se paragoniamo il nostro lavoro a un concerto, dove tutto deve essere perfetto, capiamo se abbiamo fatto tutto bene, se gli strumenti suonano alla perfezione, cioè se riusciamo a dare le indicazioni corrette. Così sì che allora tutto suonerà alla perfezione. E questo si fa se la tecnologia la capiamo davvero. Dobbiamo governare la parte della legge, l’impatto privacy dell’intelligenza artificiale, sapendo che, però, non è più l'unica parte importante da considerare.
Non possiamo continuare a mettere dei dischi in vinile, quando la musica si ascolta con lo smartphone. Lo potevamo fare nel 2016, quando la parte legale era importantissima e rimane importantissima. Ma oggi non è più solo quello.
Il nostro lavoro di DPO, di consulenti che devono accompagnare l'azienda a gestire tutto il contesto digitale nel trattamento di informazioni, non può prescindere né dalla parte law né dalla parte tecnica. Dobbiamo essere dei men and women of Digital Age, cioè, dobbiamo avere le capacità e la competenza per governare una serie di argomenti che non sono più solo di un settore. E uno di questi è l’intelligenza artificiale.
L’intelligenza artificiale non è un software, un server, un servizio digitale come gli altri
L'intelligenza artificiale è uno degli strumenti per fare dei trattamenti anche di dati personali e le aziende lo useranno sia come titolari che come responsabili. Certe aziende si studieranno dei sistemi basati sull’intelligenza artificiale da poter rivendere al mercato e altre invece acquisiranno e utilizzeranno sistemi per vendere servizi e prodotti.
La difficoltà è che, quando parliamo di intelligenza artificiale, non la possiamo paragonare a nessun altro strumento digitale. Non è un server. Non è un computer. Non è un firewall. Non è un software. Soprattutto ha una terza dimensione, che si chiama multidimensionalità e che gli strumenti digitali normali non hanno.
L’intelligenza artificiale ha tre dimensioni, non si gestisce con un foglio Excel
Quando valutiamo gli impatti e le misure di sicurezza, quando facciamo le DPIA per i nostri clienti, normalmente abbiamo due dimensioni. Non tre. L’intelligenza artificiale ha forme e modelli comportamenti completamente differenti gli uni dagli altri e se non li conosciamo, non riusciamo a capire l'impatto e il rischio che questi modelli hanno.
Quindi la parte tecnologica diventa pregnante nella valutazione del rischio. Rischio che c'è nella AI Act ma anche nel GDPR.
Anche perché l'intelligenza artificiale è deduttiva. Deduce. Quindi è capace di dirmi, guardandomi, quali birre andrò a bere stasera (tutte, così siamo d'accordo perché ho sete). Come lo fa? Deduce attraverso decine di modelli differenti di reti neurali, modelli differenti di apprendimento, modelli differenti di rinforzo, modelli differenti legati al comportamento. Abbiamo una terza dimensione, che nei normali sistemi elettronici non avevamo.Dobbiamo capire che l’intelligenza artificiale non è un foglio di Excel. Non è una base dati.
È un oggetto con capacità deduttive più o meno importanti che viene addestrato. Poi ci sono modelli diversi: alcuni possono continuare a imparare, altri no.
E queste sono tutte condizioni che dobbiamo conoscere, se dobbiamo fare una valutazione del rischio. È fondamentale. Se non lo impariamo, continuiamo coi nostri Excel e c’è il rischio che ce la raccontiamo e che diciamo “Tranquilli, il rischio è basso!” quando non lo è, perché non governiamo questa parte.
Dobbiamo studiare l’intelligenza artificiale, altrimenti restiamo nell’ignoranza naturale
Ci siamo tutti seduti. Abbiamo smesso di studiare. Siamo rimasti – tanti, tutti, pochi, però vedo una fetta importante… - al 2018/2019. Diciamo le stesse cose. Affrontiamo problemi diversi nello stesso modo, sperando di ottenere un risultato diverso.
Questo cambiamento lo dobbiamo governare. E gli strumenti come l'intelligenza artificiale che trattano dati personali – alcuni, non tutti, dipende da cosa gli facciamo fare – dobbiamo conoscerli.Per esempio, ho partecipato alla convention di una grossa azienda italiana, che ha organizzato un evento con tutte le prime linee del management e ha dedicato una giornata a workshop sull’AI. L’obiettivo era capire come l'intelligenza artificiale avrebbe potuto migliorare il lavoro interno ed eventualmente il business.
Bene. È venuto fuori di tutto. Le robe più belle. L’HR ha portato un progetto pilota già aperto, dove ci sono dei bot che vanno a vedere Facebook, contatti e quant’altro dei possibili candidati che mandano i curricula. Lo fanno con l'intelligenza artificiale, che dà una valutazione a stelline.
Poi c'era il responsabile della formazione interna, che aveva avuto l'idea di creare un sistema di intelligenza artificiale che prendesse tutte le malattie, tutti i permessi, le interazioni all'interno dell’azienda, per capire la fedeltà dei dipendenti e se c'era la possibilità che un dipendente andasse via, per potergli fare un'offerta migliore.
Quando ho alzato la manina per dire “Attenzione…”, tutti giù a rispondere: “Eh, ma allora falliamo… Gli altri lo fanno, perché dobbiamo essere solo noi a non farlo? Come al solito sei il signor no…”
Io non faccio il DPO e dico quel che mi pare. Nello specifico, non ho detto: non devi correre la maratona di 40 km. Ho detto che, se lo sport che hai fatto fino a oggi è andare al bar per bere lo spritz e ritorno, poi dopodomani ti metti a correre la maratona di 40 km, se ti va bene, non la finisci, se ti va male, ti stecchi… Ne ho parlato anche al PRIVACY DAY FORUM 2024 di Federprivacy. Guarda il video del mio intervento:
Allora, come consulenti, come DPO, riusciamo ad accompagnare le aziende senza che abbiano reazioni isteriche? Riusciamo a dire: “Bell'idea. Allora serve un'intelligenza artificiale che faccia questo e non questo. Serve uno strumento che abbia queste caratteristiche e non queste. Poi dobbiamo aggiornare le informative, vedere che trattamenti dobbiamo fare. Analizziamo. Fatto questo, vai tranquillo, fai quello che vuoi.”
L’AI ha aperto le porte a tante belle idee. Non sto dicendo che siano perversioni. Sono belle idee. Ma se il DPO o il consulente dell'azienda non ha quella posizione che serve per dire “Tutto bello, ma i dati personali?” perché non è consapevole, non conosce la tecnologia e le sue implicazioni, allora, secondo me, ci troviamo davanti a situazioni di ignoranza naturale.
Perché, se io sono competente su una cosa, non ho nessun problema a dirti: “Fallo!” Quando diciamo “se”, è perché non abbiamo studiato abbastanza.
E quando parliamo di utilizzo dell’intelligenza artificiale, il nostro lavoro evolve.
Un sistema di intelligenza artificiale non si valuta con la checklist
La parte di trattamento dati è fondamentale e importantissima. Questa è la base. Vuol dire che, quando scelgo un fornitore, lo andrò a valutare ai sensi dell'articolo 28 e valuterò anche il fornitore che mi eroga il servizio di intelligenza artificiale. E come lo valuto? Con una checklist? Non si riesce a valutare un sistema di intelligenza artificiale con la checklist.
Se un DPO dà al cliente una checklist che dice “Sei sicuro che non trattieni i dati? Sei sicuro che…” gli sta solo facendo compilare l'assicurazione, che, se per caso qualcosa non va bene, il DPO è a posto.
Aggiungo un punto. Una cosa da accertare col titolare è questa: “Sei sicuro che ci sia l'accesso in maniera tale da poter garantire il machine unlearning?”
Trovo fondamentale la capacità della rete di scordarsi una porzione delle cose che ha imparato. Altrimenti, per far scordare una rete neurale, la si uccide e se ne fa un'altra con dei dati diversi (è vero che non soffre, almeno per ora).
Machine unlearning: se non c’è, cambia
La macchina che disimpara. È una cosa che ritengo fondamentale e che dovrebbe entrare nella testa di DPO e consulenti. Se chiedi al cliente: “Nel sistema di intelligenza artificiale che usi c'è il machine unlearning? Non c’è? Allora cambia.”
Perché, se non c’è, non riesci a tornare indietro.
Dobbiamo purtroppo modificare i nostri metodi per riuscire a verificare i fornitori e capire le misure che servono all'intelligenza artificiale, ai sensi dell’art 32, perché non saranno lineari.
È questa la vera grande sfida: riuscire a far dialogare gli esperti di intelligenza artificiale con chi vede l'evoluzione di legge nella logica dei regolamenti (AI Act e GDPR)
Non vince chi fa l’one man band
Spesso sento dire da DPO e consulenti: “Il cliente mi ha chiesto: ma con l’AI Act come sei messo?”
E il consulente: “Tranquillo, ho tutto sotto controllo”
È un comportamento che dobbiamo eliminare, secondo me. Non possiamo continuare con atteggiamenti di questo tipo. Quelli da un one man band: io sono bravo a suonare in strada, sono fantastico, suono tutti gli strumenti.
Siamo tutti dei fenomeni? Non ci credo.
Dobbiamo cominciare anche a ragionare a livello di rete, di network (io sono cintura nera su questo, tu su quello, lui su quell’altro). Perché, da soli, il rischio dell’one man band è altissimo. È altissimo il rischio di non riuscire ad accompagnare le aziende a una transizione e a un utilizzo coerente e corretto degli strumenti digitali, tra cui l'intelligenza artificiale. Perché non li governiamo.
Non siamo più dei meri consulenti sul trattamento dell'informazione, ma dobbiamo anche essere capaci di valutare come questa informazione viene trattata.
Bisogna essere disruptive, cioè, cominciare a pensare di essere consulenti digitali. E nella consulenza sugli strumenti, la base è chiaramente il trattamento dei dati.
Prima, però, serve consapevolezza. E la mia grande paura è che non siamo pronti noi consulenti. Non le aziende. Questo sarà il grande sforzo: gestire la complessità. E ai consulenti e ai DPO dico: per gestire la complessità, siate creativi!
