Il recente parere dell’Avvocato generale della Corte di giustizia europea (CGUE) nella causa C-203/22 rappresenta un importante sviluppo per quanto riguarda il modo in cui le aziende che utilizzano l’intelligenza artificiale (AI) possono bilanciare la trasparenza delle decisioni automatizzate con la protezione dei segreti commerciali, rispettando al contempo i requisiti del GDPR.
Il caso GDPR sulla decisione automatizzata e la sua rilevanza per l’AI
Nel caso in questione, a un cittadino austriaco è stato negato un contratto di telefonia mobile a seguito di un controllo automatizzato del credito condotto da un’azienda. La decisione è stata completamente automatizzata, senza alcun intervento umano. Il soggetto ha cercato di capire come sono stati trattati i suoi dati personali e la logica alla base della decisione automatizzata che l’ha riguardato. Tuttavia, l’azienda si è rifiutata di rivelare i dettagli critici, adducendo il proprio algoritmo come segreto commerciale protetto ai sensi della direttiva (UE) 2016/943.
L’intervento della CGUE ha richiamato l’attenzione su due questioni fondamentali:
- Trasparenza ai sensi del GDPR: quanti dettagli sulle decisioni guidate dall’AI devono essere divulgati dalle aziende agli interessati?
- Protezione dei segreti commerciali: Le aziende possono rifiutarsi di rivelare i dettagli dei loro algoritmi di AI invocando la protezione del segreto commerciale?
Il parere dell’Avvocato generale fornisce importanti indicazioni su come queste questioni si intersecano e hanno un impatto sullo sviluppo e sull’impiego delle tecnologie di AI.
AI e GDPR: Il diritto alla trasparenza
Ai sensi dell’articolo 22 del GDPR, le persone hanno il diritto di non essere sottoposte a decisioni basate esclusivamente sul trattamento automatizzato, compresa la profilazione, qualora tali decisioni abbiano implicazioni legali o personali significative. Questa disposizione è particolarmente rilevante per i sistemi di intelligenza artificiale, che spesso prendono decisioni autonome senza la supervisione umana. Inoltre, l’articolo 15, paragrafo 1, lettera h), del GDPR garantisce alle persone il diritto di ricevere “informazioni significative” sulla logica alla base della decisione automatizzata (come una decisione di AI) che le riguarda.
Per gli sviluppatori di AI, ciò significa che la trasparenza non è facoltativa: le persone devono ricevere informazioni sufficienti per capire come vengono trattati i loro dati personali e come vengono prese le decisioni guidate dall’AI. Il parere ha chiarito che ciò non significa necessariamente divulgare tutti i dettagli tecnici di un algoritmo, ma piuttosto fornire informazioni chiare e comprensibili sul funzionamento su:
- i principali fattori che hanno influenzato la decisione.
- il peso di tali fattori.
- l’esito della decisione.
Ad esempio, se un sistema di intelligenza artificiale valuta l’affidabilità creditizia, l’azienda deve spiegare quali tipi di dati (come il reddito o lo storico dei pagamenti) sono stati utilizzati, come sono stati ponderati tali fattori e come hanno portato alla decisione finale. Questa spiegazione deve essere accessibile e sufficientemente chiara da essere compresa da una persona comune.
Il ruolo dei segreti commerciali nell’AI
Molte aziende che utilizzano l’Ai considerano i loro algoritmi come segreti commerciali proprietari che conferiscono loro un vantaggio competitivo. Il parere dell’Avvocato Generale della CGUE riconosce l’importanza di proteggere i segreti commerciali, ma sottolinea che i segreti commerciali non possono essere utilizzati come uno scudo onnicomprensivo per evitare gli obblighi di trasparenza previsti dal GDPR.
L’Avvocato Generale ha invece suggerito che le aziende devono trovare un equilibrio:
- Le aziende dovrebbero fornire spiegazioni generali sul funzionamento dei loro sistemi di AI senza divulgare algoritmi proprietari dettagliati.
- Le autorità di regolamentazione o i tribunali possono intervenire per garantire che le aziende forniscano sufficiente trasparenza, proteggendo al contempo la proprietà intellettuale.
Ciò costituisce un precedente per gli sviluppatori di AI, segnalando che la protezione del segreto commerciale, pur rimanendo importante, non può prevalere sul diritto degli individui di capire come vengono prese le decisioni sull’AI.
Implicazioni per lo sviluppo e la diffusione dell’AI
Il parere dell’avvocato generale della CGUE ha implicazioni significative per le aziende e i settori che si affidano all’IA per il processo decisionale, in particolare in aree come la finanza, la sanità, le assicurazioni e le assunzioni, dove l’IA viene spesso utilizzata per prendere decisioni con un impatto sulla persona significativo.
I punti chiave includono:
- L’AI spiegabile non è negoziabile: Le organizzazioni devono garantire che i loro sistemi di AI siano non solo accurati, ma anche spiegabili. Le persone interessate dalle decisioni sull’AI hanno il diritto di ricevere spiegazioni chiare e le aziende devono essere pronte a fornirle.
- Bilanciare innovazione e conformità: Gli sviluppatori di AI devono essere strategici nel proteggere i loro segreti commerciali, garantendo al contempo la conformità agli obblighi di trasparenza previsti dal GDPR. Devono concentrarsi su un livello di trasparenza generale – divulgando quanto basta per consentire alle persone di comprendere le decisioni, senza rivelare il funzionamento interno dei loro sistemi proprietari.
- Creare fiducia nell’AI: questa sentenza rafforza l’idea che la trasparenza è fondamentale per creare fiducia nei sistemi di AI. Gli individui sono più propensi a fidarsi delle decisioni basate sull’AI se possono capire come vengono utilizzati i loro dati e come vengono prese le decisioni.
- Supervisione normativa: È probabile che il coinvolgimento delle autorità di regolamentazione in caso di controversie diventi sempre più comune. Man mano che i sistemi di AI diventano più complessi, i tribunali potrebbero sempre più fungere da arbitro nel bilanciare la trasparenza e la protezione dei segreti commerciali.
Il futuro dell’AI e della privacy
Poiché l’AI continua a evolversi e a svolgere un ruolo centrale nel processo decisionale, per le aziende sarà fondamentale garantire la conformità al GDPR. Il parere dell’Avvocato generale della CGUE nella causa C-203/22 fornisce indicazioni preziose su come le aziende possono raggiungere questo equilibrio. Le organizzazioni devono dare priorità alla creazione di sistemi di AI che non siano solo potenti ed efficienti, ma anche trasparenti, equi e rispettosi dei diritti individuali.
Questo adempimento è ulteriormente amplificato dagli obblighi derivanti dall’AI Act, che si basa sugli stessi principi di trasparenza e supervisione umana. Per saperne di più sull’AI Act può essere d’interesse “Cosa sapere sull’AI Act e sulle sue principali questioni legali?“