Il ruolo dell'intelligenza artificiale nella ricerca scientifica potrebbe rivelarsi rivoluzionario ed essere di supporto a ricercatori e scienziati. In questo possibile scenario, come si declinano gli strumenti normativi correlati alla protezione dei dati personali offerti ai singoli?
Il Regolamento (UE) 2016/679 (General Data Protection Regulation - GDPR) riconosce l'importanza dei dati nell’ambito della ricerca scientifica prevedendo una disciplina più favorevole per il trattamento dei dati personali effettuato per tale finalità. L'art. 5, par. 1, lett. b) GDPR, introduce infatti una deroga parziale al divieto generale di riutilizzo dei dati per i trattamenti aventi finalità di ricerca scientifica – oltre che a fini di archiviazione, ricerca storica o a fini statistici - riconoscendo una presunzione di compatibilità per quei trattamenti aventi finalità di ricerca scientifica, posti in essere anche da soggetti “terzi”, dotati di garanzie adeguate per i diritti e le libertà del trattamento quali, ad esempio, la minimizzazione e/o pseudonimizzazione dei dati.
Ciò sembra essere ulteriormente confermato dagli artt. 110 e 110-bis del Decreto legislativo 30 giugno 2003 n. 196, (da qui in avanti, Codice Privacy), che prevedono ipotesi di trattamento a fini di ricerca scientifica per le quali non è richiesto il consenso dell’interessato. In particolare, l’art. 110-bis del Codice stabilisce che il Garante può autorizzare l'ulteriore trattamento di dati personali – anche particolari - da parte di soggetti terzi che svolgono prevalentemente attività di ricerca scientifica ai sensi dell’art. 89, par. 1 GDPR, quando, per particolari motivi, informare gli interessati risulti impossibile o comporti uno sforzo sproporzionato, ovvero rischi di rendere impossibile o di compromettere gravemente il conseguimento degli scopi della ricerca.
Attraverso lo sfruttamento di un ampio database di dati (personali e non), l'intelligenza artificiale è in grado di fornire risultati molto utili a fini scientifici e statistici. Si pensi, a mero titolo esemplificativo, al campo medico, per la prevenzione e la valutazione delle terapie; alle scienze sociali, per la comprensione del comportamento umano, ovvero all’ambito commerciale, per identificare, classificare e stimare le preferenze e le tendenze dei consumatori. I rischi legati all’uso dell’IA nell’ambito della ricerca scientifica sono legati principalmente alla capacità, tipica di questi sistemi, di effettuare calcoli ed operazioni in completa autonomia, senza la necessità di un intervento umano. Questi sistemi intelligenti consentirebbero, dunque, di effettuare trattamenti interamente automatizzati, dando vita ai cd. processi decisionali automatizzati, che potrebbero comportare anche la profilazione degli interessati. Il GDPR individua, nell’utilizzo di tali sistemi, potenziali rischi significativi per i diritti e le libertà degli individui, dovuti alla complessità dei processi, degli algoritmi e dei meccanismi automatizzati e alla poca chiarezza espressa dal titolare del trattamento relativamente all’uso che ne viene fatto, con la conseguenza di rendere difficilmente comprensibile, per l’interessato, le modalità di trattamento dei propri dati.
Implicazioni normative
L'articolo 22, paragrafo 1, del GDPR riconosce il diritto per gli interessati di non essere sottoposti ad un processo decisionale interamente automatizzato che sia produttivo di effetti giuridici e che incida significativamente sulla persona, a meno che la decisione non sia necessaria (ai sensi del paragrafo 2 del medesimo articolo) per la conclusione o l'esecuzione di un contratto tra il titolare del trattamento e l’interessato, ovvero sia autorizzata dal diritto dell'Unione o dello Stato membro in cui il titolare del trattamento si trova o il trattamento si basi sul consenso esplicito dell'interessato.
In ogni caso, il titolare sarà tenuto, ai sensi degli artt. 13, par. 2, lett. f) e 14, par. 2, lett. g) GDPR, a fornire all’interessato una idonea informativa che rappresenti l’esistenza di un processo decisionale automatizzato attraverso l’uso dell’IA e – in particolare nelle ipotesi di cui al paragrafo 2 dell’art. 22 GDPR – predisporre misure adeguate volte a tutelare i diritti, le libertà e i legittimi interessi dell’interessato ivi compreso il diritto di quest‘ultimo di ottenere l’intervento umano e/o di contestare tale scelta del titolare (paragrafo 3, art. 22 GDPR)
IA nella ricerca scientifica
In ossequio ai principi di accountability e della privacy by design, il titolare è tenuto, preliminarmente all’inizio delle attività di trattamento, ad individuare l'ambito di applicazione del sistema di intelligenza artificiale: dovrà pertanto definire il tipo di trattamento che si intende realizzare e su quali tipologie di dati e dovrà verificare se l’uso dell’IA comporti l’instaurazione di un processo decisionale interamente automatizzato. In caso affermativo, il titolare dovrà adeguarsi a quanto previsto dall’art. 22 GDPR, con i suddetti obblighi di informazione, trasparenza ed intervento.
Nei progetti di ricerca, tali adempimenti spesso precedono l'inizio dello sviluppo o dell'applicazione del sistema decisionale automatizzato; in questo senso non è improbabile il verificarsi di variazioni, anche apprezzabili, degli algoritmi e delle logiche poste a fondamento durante la fase di progettazione che possono ridefinire in itinere le possibili conseguenze a cui sono sottoposti i soggetti interessati. In questi casi, dal momento che il consenso dell'interessato al trattamento dei propri dati personali deve essere sempre informato, attuale e specifico, i ricercatori sono tenuti a prestare particolare attenzione ai requisiti informativi, garantendo l'aggiornamento costante e accurato della descrizione del sistema e, parallelamente, la possibilità per l'interessato di confermare o revocare il proprio consenso a sottoporsi al processo decisionale automatizzato.
Più in generale, trattandosi di un trattamento di dati personali, l'intero sviluppo di un sistema decisionale basato sull'intelligenza artificiale deve essere conforme a tutti i principi sanciti dal GDPR quali i principi di liceità, correttezza, trasparenza, il principio di minimizzazione dei dati (artt. 5 e 6 GDPR) ed i già menzionati principi di privacy by design e by default, sulla base dei quali il titolare, già nella fase di progettazione, è tenuto a predisporre soluzioni tecniche adeguate alla protezione dei dati degli interessati e a garantite che tali misure siano adottate ed implementate per tutto il ciclo di vita del trattamento (art. 25 GDPR).
In particolare, ai sensi dell’art. 35 GDPR, quando un tipo di trattamento prevede l'uso di nuove tecnologie – come i sistemi di intelligenza artificiale, per l’appunto –, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto ad effettuare, prima di procedere al trattamento, una valutazione dell'impatto (Data Protection Impact Assessment, da qui in avanti DPIA) dei trattamenti previsti sulla protezione dei dati personali. Attraverso tale procedura il titolare del trattamento è chiamato ad effettuare un'analisi dei rischi derivanti dalle operazioni di trattamento che intende porre in essere al fine di verificare la esperibilità di quello specifico trattamento o meno secondo una valutazione di bilanciamento tra la necessità e la proporzionalità del trattamento e le conseguenze che tali attività di trattamento hanno sulle libertà e sui diritti degli interessati tenuto conto anche delle misure di sicurezza che il titolare intende implementare in tutela degli interessati.
Avv. Simona Lanna e Dott. Filippo Tenani Castelli
