La recente introduzione nell’Unione Europea della normativa in tema di protezione dei dati personali – General Data Protection Regulation o GDPR – fissa, come è noto, le nuove regole di trattamento dei dati personali all’interno della Unione Europea e ne disciplina l’esportazione al di fuori dei confini UE.

In sintesi, il GDPR introduce regole più chiare su informativa e consenso all’uso dei dati personali, fissando norme rigorose per i casi di data breach (cioè di violazione dei dati personali) e definendo i limiti al trattamento automatizzato.

Tuttavia l’entrata in vigore del GDPR è stata accolta criticamente da alcuni commentatori, primo fra tutti Ivan Vandermeersch, segretario generale della Belgian Association of Marketing (BAM), secondo il quale «con il GDPR l’Europa si è sparata sui piedi».

Infatti, poco prima dell’entrata in vigore del GDPR, la Commissione ha reso noto che sta sviluppando un programma sull’intelligenza artificiale in stretto coordinamento con gli Stati membri, che dovrebbe essere ultimato entro la fine del 2018. Obiettivo del piano è assicurare la competitività globale delle soluzioni di intelligenza artificiale sviluppate in ambito europeo, garantendo al contempo un inquadramento etico e legale appropriato.

Ma con l’entrata in vigore del GDPR il 25 maggio sono emersi alcuni paradossi, soprattutto con riferimento a due aspetti: il principio di minimizzazione dei dati – in virtù del quale i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati, Art. 5.1.c – e la profilazione (e in generale tutte le procedure decisionali automatizzate basate su dati personali).

Per quanto riguarda il principio di minimizzazione dei dati, è appena il caso di notare che la ricerca nel campo dell’intelligenza artificiale (in particolare nel campo del machine learning) dipende dalla raccolta e dalla disponibilità di ingenti quantità di dati, inclusi i dati personali. Tuttavia, nota Vandermeersch, la quantità di dati necessari per l’addestramento di un algoritmo non è nota a priori, quindi un’applicazione «cieca» di tale principio inficerebbe ogni possibile sviluppo nel campo dell’intelligenza artificiale.

Per quanto riguarda la profilazione, l’Art. 22.1 del GDPR afferma il diritto del cittadino europeo a non essere sottoposto a decisioni con efficacia legale che lo riguardino, basate esclusivamente su procedure automatizzate, con alcune significative eccezioni (quando ad esempio il soggetto acconsente a basare la decisione sul trattamento automatizzato dei suoi dati personali).

L’interpretazione più accreditata di tale principio è che si tratti di un divieto assoluto all’utilizzo di procedure decisionali automatizzate, seppur con alcune eccezioni, il che metterebbe fuori gioco quanto già sperimentato in campo legale, finanziario e assicurativo sul versante dell’intelligenza artificiale.

L’Unione europea, conclude Vandermeersch, dovrà necessariamente tornare sull’intera disciplina della protezione dei dati personali per stabilire le modalità di accettazione o rifiuto da parte del cittadino di decisioni che determinino effetti legali e che siano svolte per mezzo di procedure automatizzate.

Fonte: FEDMA