Intelligenza artificiale e privacy: che fine fanno i nostri dati?

L’intelligenza artificiale e la privacy sono parte di un legame ambivalente. Se infatti l’AI potrebbe migliorare la protezione dati, può esporre anche, al contrario, al rischio di furto di informazioni. Le AI stanno trasformando la società, lo sappiamo. Ma questo input tecnologico, che rappresenta il futuro in vari ambiti, desta preoccupazioni e domande sui potenziali danni alle persone.

L’AI, per funzionare in modo efficace, deve infatti basare il suo lavoro su grandi volumi di dati. Questi includono spesso informazioni personali sensibili. Ad esempio estremi sanitari, finanziari o biometrici, che l’intelligenza artificiale adopera per fornire output sempre più realistici, precisi e, diciamolo, talvolta anche più umanizzati.

Per cui è normale che la raccolta, l’elaborazione e l’archiviazione di questa immensa mole di elementi sollevino preoccupazioni. Già, di fatto che fine fanno i nostri dati, come sono impiegati e, soprattutto, come sono protetti? E come possono interferire con le nostre vite le attività delle AI che si basano su questi?

Le intelligenze artificiali predittive, ad esempio, possono estrapolare dati sensibili da altri che sembrano innocui e provocare danni materiali, immateriali o discriminatori. Ma non è l’unico problema, in quanto spesso la questione intelligenza artificiale e privacy non spicca per trasparenza. Cioè, sappiamo davvero chi e come sta immagazzinando le nostre informazioni?

Intelligenza artificiale, privacy e sicurezza

Un esempio emblematico delle sfide connesse al mondo di AI e privacy è il caso LinkedIn, che indica l’importanza di riuscire a bilanciare l’innovazione tecnologica con il rispetto degli utenti. La vicenda ruota attorno all’accusa che LinkedIn, nota piattaforma dedicata a professionisti e aziende, abbia utilizzato i dati personali degli iscritti senza il loro consenso.

Nel gennaio 2025, LinkedIn è stata citata in giudizio in una class action presentata presso una corte federale in California. La denuncia sosteneva che la piattaforma avesse condiviso i dati dei suoi utenti Premium con terze parti per scopi di addestramento AI, inclusi i messaggi privati, senza informare gli interessati.

In dettaglio, nell’agosto 2024, sembra che LinkedIn avesse introdotto in modo tacito una nuova impostazione sulla privacy. Essa consentiva, per impostazione predefinita, l’uso dei dati personali degli utenti per addestrare modelli di intelligenza artificiale generativa. Ma gli aggiornamenti espliciti riguardo la politica sulla privacy non sono arrivati prima di settembre 2024: ossia, prima di allora niente opt-out.

LinkedIn, come si può immaginare, ha negato tutte le accuse, ma il caso ha portato alla luce una nutrita schiera di implicazioni legali e morali. Dalla violazione della privacy, alla trasparenza insufficiente, fino a danni permanenti per chi aveva subito una sottrazione di informazioni personali senza consenso.

Il GDPR e la tutela dati in Europa

Se il caso discusso prima ha scosso gli animi, va detto che in Europa le cose sono meno caotiche degli Stati Uniti. Da noi dal 2016 infatti vige il GDPR, o Regolamento generale sulla protezione dei dati, che è un ottimo cane da guardia. Per dirla tutta, il problema di LinkedIn in Italia non è arrivato grazie alle regole stringenti di questo sistema.

Il GDPR impone di fatti principi chiave che influenzano direttamente l’uso dell’AI:

• Minimizzazione dei dati: Le organizzazioni devono raccogliere solo i dati strettamente necessari;
• Consenso esplicito: Gli utenti devono essere informati chiaramente sull’uso dei loro dati e dare il proprio consenso;
• Diritto all’oblio: Gli individui hanno il diritto di richiedere la cancellazione dei propri dati;
• Trasparenza e spiegabilità: Le decisioni automatizzate devono essere spiegabili agli utenti.

A curare l’applicazione del GDPR ci pensa il Garante per la protezione dei dati personali, che deve monitorare in questo caso le organizzazioni che impiegano le AI nel proprio lavoro. Se ci sono violazioni delle norme, le conseguenze si traducono in sanzioni amministrative, misure correttive, fino ad un blocco totale delle operazioni, risarcimento danni alle vittime.

Il problema della privacy in campo sanitario

Il ruolo del Garante risulta essenziale soprattutto quando si parla di sanità e privacy, dove i dati sensibili potrebbero circolare senza limiti. Le influenze delle AI in ambito sanitario portano a tre potenziali rischi, se non si impostano delle regole:

1. Raccolta e utilizzo dei dati: L’AI richiede grandi quantità di dati sanitari per migliorare la diagnosi, ottimizzare i trattamenti e personalizzare le cure. Il problema è che questi dati possono essere de-anonimizzati in modo semplice, compromettendo la privacy dei pazienti;
2. Rischi di discriminazione: Gli algoritmi possono perpetuare bias esistenti nei dati, portando a trattamenti discriminatori nei confronti di alcuni pazienti;
3. Trasparenza: È fondamentale garantire che i pazienti siano informati sull’uso dell’AI e sulla logica degli algoritmi utilizzati, ma non sempre avviene.

In questo caso il Garante della privacy, nel campo della sanità e medicina, può promuovere il consenso informato, per assicurarsi che i pazienti conoscano il trattamento delle informazioni che rilasciano. Ma può anche richiedere valutazioni di impatto sulla protezione dei dati e vigilare affinché le organizzazioni sanitarie non barino sul funzionamento degli algoritmi e sulle logiche decisionali.

Intelligenza artificiale e privacy: come arginare i rischi

L’intelligenza artificiale, come visto, può comportare rischi significativi in termini di privacy e sicurezza. Per affrontare queste sfide, è essenziale adottare strategie mirate che combinino approcci tecnici, normativi e organizzativi.

Integrare la privacy by design

La privacy by design è un approccio che incorpora la protezione dei dati personali fin dalle prime fasi di progettazione dei sistemi di AI. Questo significa:

• Minimizzare i dati raccolti: Raccogliere solo i dati strettamente necessari per il funzionamento del sistema;
• Anonimizzazione: Applicare tecniche che rendano i dati non identificabili, riducendo il rischio di violazioni della privacy;
• Federated learning: Utilizzare approcci decentralizzati come il federated learning, che permette di addestrare modelli senza trasferire dati sensibili su server centrali.

Implementare un solido framework di governance dei dati

Un’efficace gestione dei dati è fondamentale per mitigare i rischi legati all’AI. Le organizzazioni dovrebbero:

• Adottare politiche chiare sull’uso etico dei dati;
• Condurre valutazioni d’impatto sulla protezione dei dati (Privacy Impact Assessments, PIAs) per identificare e affrontare i rischi durante tutto il ciclo di vita dell’AI.
• Monitorare continuamente l’accesso ai dati e implementare controlli rigorosi per prevenire abusi o accessi non autorizzati.

Promuovere la trasparenza

La trasparenza è cruciale per costruire fiducia nei sistemi di AI e garantire che le decisioni prese dagli algoritmi siano comprensibili e giustificabili. Per raggiungere questo obiettivo:

• Fornire spiegazioni chiare su come funzionano gli algoritmi e su quali basi vengono prese le decisioni;
• Condurre audit regolari sugli algoritmi per rilevare eventuali bias o errori;
• Utilizzare framework standardizzati come ISO/IEC 23053:2022 per migliorare la sicurezza e la trasparenza dei sistemi di AI.

Ridurre il rischio di discriminazione algoritmica

Uno dei principali rischi dell’AI è una eventuale amplificazione di allucinazioni già esistenti nei dati. Per mitigare questo problema:

• Garantire la diversità nei dataset utilizzati per addestrare i modelli;
• Applicare tecniche di rilevamento e correzione dei bias durante lo sviluppo degli algoritmi;
• Effettuare test di equità e audit indipendenti per verificare che i risultati siano equi e non discriminatori.

Adottare tecnologie avanzate per la protezione della privacy

Le tecnologie avanzate possono aiutare a ridurre i rischi legati alla gestione dei dati personali. Tra queste:

• Crittografia avanzata: Proteggere i dati sia in transito che a riposo con metodi crittografici robusti;
• Differential privacy: Aggiungere “rumore” ai dataset per impedire l’identificazione degli individui pur mantenendo l’utilità dei dati;
• Strumenti di governance della sicurezza: Utilizzare software per la prevenzione della perdita di dati (DLP) e l’intelligence sulle minacce per proteggere le informazioni sensibili.

Garantire conformità normativa

La conformità alle normative sulla protezione dei dati, come il GDPR nell’Unione Europea o il CCPA negli Stati Uniti, è essenziale per mitigare i rischi legali e reputazionali associati all’AI. Le organizzazioni devono:

• Assicurarsi che esista una base legale valida per il trattamento dei dati personali;
• Fornire agli utenti opzioni chiare per un consenso informato e anche per revocarlo, il famoso opt-in/opt-out;
• Condurre audit regolari per verificare la conformità alle normative vigenti.

Creare una cultura aziendale orientata alla privacy

Una cultura aziendale che valorizza la protezione della privacy può essere determinante nel mitigare i rischi dell’AI. Per questo servono:

• Formazione continua del personale sulle normative relative alla privacy e sull’uso responsabile dell’AI;
• Sensibilizzazione sui rischi legati alla gestione dei dati personali;
• Promozione della responsabilità condivisa tra tutti i dipendenti coinvolti nei progetti di AI.

Monitoraggio continuo e gestione attiva dei rischi

Il monitoraggio continuo delle operazioni dei sistemi di AI consente di rilevare anomalie o vulnerabilità in tempo reale. Le organizzazioni dovrebbero:

• Effettuare test regolari e analisi delle vulnerabilità;
• Implementare strumenti di rilevamento delle anomalie comportamentali nei sistemi AI;
• Aggiornare costantemente le misure di sicurezza in risposta a nuove minacce emergenti.