🤖 L'IA è la fine della privacy? – Legge Zero #16
Nella settimana in cui l'AI Act è stato approvato e i membri del G7 si riuniscono per parlare di IA, un robot ci porge una mela mentre una class action ci fa riflettere sull'obsolescenza del GDPR.
🧠 L’IA mi ha rubato i dati
Quello nel video qui sopra è Figure 01, il robot sviluppato da una società - ovviamente californiana - che si chiama Figure AI. Probabilmente qualcuno di voi lo ricorderà perché in LeggeZero #7 avevamo inserito il video in cui, in sole 10 ore, aveva imparato a fare il caffè osservando i suoi “colleghi” umani. In poche settimane, Figure 01 ha fatto progressi impressionanti. In questo video - grazie all’integrazione con la tecnologia di OpenAI (si, quella di ChatGPT) - il robot non solo è in grado di tenere una conversazione con uno dei co-fondatori della Società che lo ha creato, ma interagisce con lui, porgendogli con naturalezza una mela per soddisfare la richiesta “dammi qualcosa da mangiare”.
L’IA ora ha un corpo, ha detto qualcuno. E le implicazioni della velocità di evoluzione di questa tecnologia sono molteplici, sia in termini di opportunità (Bmw li utilizzerà per fabbricare auto) sia di rischi.
Per addestrare le IA servono dati, tanti dati, praticamente tutti quelli che si riesce a raccogliere. Meglio ancora se sono disponibili sul web, quelli - finora - sono gratis. Secondo un cittadino USA, le cui generalità non sono state rese note (conosciamo solo le iniziali “A.S.”), grazie all’enorme quantità di dati raccolti per allenare i sistemi di IA, le società che li sviluppano potrebbero facilmente dare vita a nostri cloni, o meglio, replicare, con un notevole grado di verosimiglianza, non solo la personalità di un individuo, ma la sua stessa identità biometrica, grazie alla possibilità di riprodurne la voce e l’immagine. Che questo sia o meno un rischio accettabile è oggetto, tra altri diversi profili, della recente azione collettiva (class action) intentata da A.S. contro OpenAI alla fine dello scorso mese febbraio presso la Corte delle California - Distretto Nord (CASE 3:24-cv-01190) per presunte violazioni della privacy e uso improprio dei dati personali.
Finora il web scraping era stato oggetto di contenzioso prevalentemente sotto il profilo della tutela autoriale dei dati, come dimostrano le decine di azioni collettive promosse da autori ed editori (tra cui quella del NY Times, di cui abbiamo parlato in LeggeZero #6). Oggi si apre un nuovo fronte per OpenAI e, in generale, per tutte le società che allenano i propri modelli di IA con dati raccolti sul web: la legittimità dell’addestramento sotto il profilo della violazione della privacy tanto dei loro utenti quanto di ogni altro utilizzatore del web, le cui informazioni sono date “in pasto” all’algoritmo per consentirne il funzionamento. I promotori della class action sostengono che i dati personali, anche quando sono “pubblici” o, meglio, pubblicati sul web, restano di proprietà degli interessati e che sussiste la ragionevole aspettativa di ciascuno a “che le loro informazioni siano oscurate e in un ambiente sicuro su qualsiasi sito siano pubblicate”. Gli utenti, quindi, hanno una legittima expectation of privacy (riprendendo una classica figura del diritto statunitense) e "non si attendono che le loro informazioni siano travolte dal data scraping”. Temono inoltre che rendere legittimo l’uso massivo dei dati comporterebbe l’annichilimento del “diritto all’oblio” degli interessati.
Le richieste dei promotori sono diverse, a cominciare dall’istanza di discovery integrale da parte di OpenAI, chiamata ad aprire la sua “scatola nera”, al fine di rendere pubblici tutti i dati raccolti, nonché il modo in cui vengono archiviati e utilizzati. Sostengono, inoltre, che "gli sviluppatori di ChatGPT e degli altri prodotti di intelligenza artificiale dovrebbero essere responsabili delle azioni del prodotto", richiedendo la sospensione della commercializzazione e integrazione dei prodotti di intelligenza artificiale fino all’adozione di un codice di "educazione umana", che racchiuda “i principi e linee guida etici, il rispetto dei valori e dei diritti umani”. Nel corposo atto introduttivo (114 pagine), che riprende molte delle argomentazioni dei safetyist - ossia di coloro che reputano lo sviluppo dell’IA troppo veloce per poter essere adeguatamente controllato - si afferma che “prima di qualsiasi ulteriore implementazione commerciale, è necessario aggiungere ai prodotti misure di sicurezza tecnologica che impediscano alla tecnologia di superare l’intelligenza umana e danneggiare gli altri”.
Tra le altre richieste di A.S. ci sono il diritto al risarcimento per i dati “rubati” con cui sono stati addestrati gli strumenti di intelligenza artificiale e la cessazione della condotta di scraping indiscriminato e inconsapevole a danno degli interessati. L’azione poggia tali richieste sull’accusa di violazione di una serie di leggi usa: l'Electronic Communications Privacy Act, il Computer Fraud and Abuse Act, il California Invasion of Privacy Act e la California Unfair Competition Law.
L’integrazione della tecnologia ChatGPT nei prodotti principali di Microsoft amplificherebbe notevolmente le preoccupazioni circa la violazione della privacy o, comunque, l’abuso dei dati degli utenti, consentendo, di fatto, una raccolta di informazioni attraverso una vasta gamma di sistemi e piattaforme, che acquisiscono una serie completa di interazioni degli utenti.
Quello di A.S. è solo uno dei tanti attacchi giudiziari contro OpenAI per violazione della privacy degli utenti – ad es. A.T. v. OpenAI LP, U.S. innanzi al North District della California (3:23-cv-04557) - e, anche se questa dello scorso febbraio è la prima azione a prospettare il rischio di clonazione anche per scopi bellici, abbiamo ragione di credere che non sarà certo l’ultima sulla proprietà dei dati personali e sull’uso per scopi non preventivamente autorizzati dagli interessati. In questo senso va anche l’attività del nostro Garante Privacy che, nel corso dell’ultimo anno, ha avviato un procedimento su ChatGPT e uno su Sora (entrambe soluzioni di OpenAI) proprio per valutare la conformità alle norme privacy delle modalità di addestramento delle IA nonché delle modalità con cui gli interessati vengon informati in merito all’utilizzo dei loro dati (ne abbiamo scritto in LeggeZero #15).
L'indefettibile intersezione tra la protezione dei dati e intelligenza artificiale è un equilibrio complesso e in continua evoluzione che dovrebbe imporre un ripensamento di alcune categorie della privacy e della normativa vigente in materia di protezione dei dati personali (a partire dal GDPR). Proprio a partire dal principio di trasparenza, dal consenso e dal diritto all'oblio che restano, allo stato, alcuni tra i principali punti di frizione tra disciplina dei dati personali e tecnologie di intelligenza artificiale. Analoghe riflessioni potrebbero riguardare il tema della minimizzazione dei dati e limitazione delle finalità che, per l’attuale contesto normativo, potrebbero contrastare con l’esigenza dei modelli linguistici di grandi dimensioni e di altri sistemi di intelligenza artificiale di acquisire una imponente quantità di dati.
L’AI Act appena approvato (se l'avete persa, qui trovate la nostra #edizionestraordinaria un nostro primo approfondimento sulle nuove norme europee) non affronta questi temi, rinviando alle norme che ci sono già. Quelle sulla privacy però sono regole scritte in un contesto tecnologico completamente diverso da quello che stiamo vivendo e che quindi dovrebbero essere ripensate per adeguare la tutela dei diritti delle persone all’evoluzione dei sistemi di IA (su questo trovate alla fine di questa NL un nostro consiglio di lettura).
In ogni caso, siamo sicuri che sarà un tema su cui ritorneremo.
🔊 Un vocale da… Mario Nobile (Agenzia per l’Italia Digitale): nella settimana del G7 a Trento sull’intelligenza artificiale e dell’evento “L’intelligenza artificiale per l’Italia”, il Direttore Generale di Agid ci illustra l’approccio con cui l’IA è stata inserita nel Piano triennale per l’informatica nella PA 2024-2026.
📰 L’intelligenza artificiale per l’Italia: gli annunci del Presidente Meloni
La settimana si è aperta con l’evento “L’intelligenza artificiale per l’Italia” che si è tenuto a Roma,organizzato dalla Presidenza del Consiglio dei Ministri e da Agid, in cui si è parlato di IA con la partecipazione di pubbliche amministrazioni, imprese, università e centri di ricerca.
All’evento ha contribuito, con un videomessaggio, il Presidente del Consiglio, Giorgia Meloni, che ha annunciato 1 miliardo di euro di investimenti per l’IA (grazie a Cassa Depositi e Prestiti) e l’imminente adozione di un provvedimento di legge (con novità sulla “via italiana” alla governance dell’IA).
📰 La riunione del G7 (presieduta dall’Italia 🇮🇹)e la dichiarazione sull’IA
Dopo l’approvazione dell’AI Act, la settimana si è conclusa, a Trento, con la Riunione Ministeriale Industria, Tecnologia e Digitale del G7.
I Ministri hanno sottoscritto una dichiarazione comune (di 17 pagine) in cui impegnano i rispettivi Paesi a promuovere l’adozione sicura dell’IA, rispettando i valori democratici e i diritti umani, e si propongono di affrontare le sfide globali attraverso la collaborazione internazionale e la governance multilaterale.
La Presidenza italiana ha annunciato che, nei prossimi mesi, elaborerà un toolkit per la diffusione e l'uso etico di applicazioni di IA nel settore pubblico.
⚖️ Il Garante Privacy di Singapore 🇸🇬 adotta le linee guida sull’utilizzo dei dati personali nei sistemi di IA
Dopo un percorso di consultazione iniziato nel luglio del 2023, la Personal Data Protection Commission - l’Agenzia che si occupa di protezione dei dati personali a Singapore - ha reso disponibili le linee guida relative all’utilizzo dei dati personali nei sistemi di intelligenza artificiale.
Il documento contiene indicazioni su come utilizzare i dati personali per sviluppare soluzioni di intelligenza artificiale e sulle informazioni da fornire ai consumatori. Si tratta di una lettura utile nell’ottica della definizione di standard internazionali sostenibili, sia dal punto di vista tecnologico sia da quello normativo.
⚖️ In California nuove regole su IA e uso dei dati personali
Dopo l’executive order del Presidente Biden in materia di IA dello scorso mese di ottobre, gli USA stanno faticando ad approvare norme federali sull’intelligenza artificiale.
In questa fase di stallo (che probabilmente durerà fino a dopo le presidenziali di novembre), la California Privacy Protection Agency ha adottato nuove regole su come le aziende che utilizzano l'intelligenza artificiale possono raccogliere le informazioni personali di consumatori, lavoratori e studenti.
Queste regole dovrebbero essere applicate da qualsiasi azienda con fatturato superiore ai 25 milioni di dollari o che tratta i dati personali di oltre 100.000 californiani. La notizia, però, interessa tutti (anche i non californiani) perché una recente analisi di Forbes ha rilevato che 35 delle prime 50 aziende di intelligenza artificiale del mondo hanno sede in California. Facile ipotizzare che questo diventerà velocemente uno standard globale (vedremo quanto compatibile con l’AI Act).
😂 IA Meme
Questo è solo uno dei tanti meme realizzati a partire dalla - ormai famosa - foto di Kate Middleton ritoccata con l’IA. La buona notizia, meme a parte, è che giornalisti e opinione pubblica sembrano sempre più diffidenti, attenti e capaci di individuare i deepfake.
📚 Consigli di lettura: "Rethinking Privacy in the AI Era" di J. King e C. Meinhardt
L’Institute for Human-Centered AI dell’Università di Stanford (quello dell’AI Index) ha pubblicato il libro bianco "Rethinking Privacy in the AI Era" che affronta l'intersezione tra lo sviluppo dell'intelligenza artificiale e le normative sulla privacy e sulla protezione dei dati.
Le autrici esaminano il ruolo fondamentale dei dati nei sistemi di intelligenza artificiale e sostengono che il perseguimento del progresso dell’intelligenza artificiale intensificherà la corsa all’acquisizione dei dati, accrescendo i rischi per la privacy degli individui.
La considerazione di fondo del paper è che le leggi attualmente vigenti nel mondo (come il GDPR) potrebbero non essere sufficienti ed adeguate ad affrontare tali rischi. Urge aggiornarle.
📚 Consigli di lettura: la lettera di TBL per i 35 anni del web
Tim Berners-Lee, l’inventore del web, ha fatto gli auguri alla sua creatura in occasione del 35simo compleanno del www. Lo ha fatto scrivendo una lettera aperta indirizzata a tutti noi.
Nella sua lettera, TBL parla delle sfide poste dall’intelligenza artificiale e della necessità che le persone riacquistino il controllo sui propri dati, magari attraverso il rilancio del progetto Solid (sempre inventato da Sir Berners-Lee) nell’ambito del quale gli utenti possono separare i dati dalle applicazioni, trasferendoli in Personal Online Datastore (POD). Si tratta di un approccio non utopistico, come dimostrerebbe l’esempio delle Fiandre, la regione belga in cui ogni cittadino ha già un POD.
📣 Eventi
IA alla Camera dei deputati: call for proposals - Roma, 19.03.2024
AI Act: istruzioni per l’uso - Webinar, 9.04.2024
AI WEEK - Rimini, 9-10.04.2024
Per ora è tutto, torniamo la prossima settimana. Se la newsletter ti è piaciuta, commenta o fai girare. Grazie!