Di fronte alle recenti notizie sull'intelligenza artificiale, e in particolare sulle IA cosiddette generative come ChatGPT, la Commissione Nazionale dell'Informatica e delle Libertà (CNIL) ha pubblicato un piano d'azione per un dispiegamento di sistemi di IA che rispettino la vita privata degli individui.

Lo sviluppo dell'IA è accompagnato da sfide in termini di protezione dei dati e delle libertà individuali, alle quali la CNIL si impegna a rispondere da diversi anni. Dalla pubblicazione, nel 2017, del suo rapporto sulle questioni etiche degli algoritmi e dell'intelligenza artificiale, la CNIL si è pronunciata più volte sulle questioni sollevate dai nuovi strumenti introdotti da questa tecnologia.

L'ascesa delle intelligenze artificiali generative: un contesto in rapida evoluzione

In particolare, le intelligenze artificiali generative (si veda l'approfondimento più avanti) si stanno sviluppando rapidamente da diversi mesi, sia nel campo del testo e della conversazione, tramite i grandi modelli linguistici (Large Language Models o LLM), come GPT-3, BLOOM o Megatron NLG, e gli agenti conversazionali ("chatbot") derivati (ChatGPT o Bard), sia in quelli dell'imaging (Dall-E, Midjourney, Stable Diffusion, ecc.) o della voce (Vall-E).

Questi modelli di fondazione (Foundation models) e i mattoni tecnologici su cui si basano sembrano già trovare numerosi casi applicativi in settori vari. Tuttavia, la comprensione del loro funzionamento, delle loro possibilità e dei loro limiti, così come le questioni giuridiche, etiche e tecniche relative al loro sviluppo e utilizzo, rimangono ancora ampiamente in discussione.

Considerando che la protezione dei dati personali è una sfida importante per la progettazione e l'utilizzo di questi strumenti, la CNIL pubblica il suo piano d'azione sull'intelligenza artificiale che mira – tra l'altro – a inquadrare lo sviluppo delle IA generative.

Cos'è un'intelligenza artificiale generativa?

Un'intelligenza artificiale generativa è un sistema capace di creare testo, immagini o altri contenuti (musica, video, voce, ecc.) a partire da un'istruzione di un utente umano. Questi sistemi possono produrre nuovi contenuti a partire da dati di addestramento. Le loro prestazioni sono oggi vicine ad alcune produzioni realizzate da persone grazie alla grande quantità di dati utilizzati per il loro addestramento. Questi sistemi richiedono tuttavia che l'utente specifichi chiaramente le sue richieste per ottenere i risultati attesi. Si sviluppa quindi un vero e proprio savoir-faire intorno alla composizione delle richieste dell'utente (prompt engineering).

Ad esempio, l'immagine intitolata "Théâtre d’Opéra Spatial" è stata generata dall'utente Jason M. Allen grazie allo strumento Midjourney sulla base di un'istruzione testuale che descriveva le sue aspettative (arredamento teatrale, toghe, ispirazioni pittoriche, ecc.).

L'impegno della CNIL e il nuovo servizio dedicato all'IA

La CNIL ha intrapreso da diversi anni lavori volti ad anticipare e rispondere alle sfide poste dall'intelligenza artificiale, dalle sue diverse declinazioni (classificazione, predizione, generazione di contenuti, ecc.) e dai suoi vari casi d'uso. Il suo nuovo servizio per l'intelligenza artificiale sarà dedicato a queste questioni e supporterà gli altri servizi della CNIL che sono anch'essi confrontati con l'utilizzo di questi algoritmi in numerosi contesti.

Di fronte alle sfide legate alla protezione delle libertà, all'accelerazione dell'IA e all'attualità legata alle IA generative, la regolamentazione dell'intelligenza artificiale costituisce un asse principale dell'azione della CNIL.

Questa regolamentazione si struttura attorno a quattro obiettivi:

  • Capire il funzionamento di questi sistemi e la loro evoluzione, attraverso un lavoro tecnico e giuridico di anticipazione che deve essere costantemente aggiornato.
  • Inquadrare il loro sviluppo e utilizzo, attraverso un lavoro di regolamentazione, supporto e orientamento, per garantire che i sistemi di IA rispettino i diritti e le libertà fondamentali.
  • Accompagnare gli attori (professionisti e privati), per aiutarli a sviluppare e utilizzare sistemi di IA che rispettino la protezione dei dati e a comprendere i rischi che ne derivano.
  • Controllare il rispetto dei quadri normativi per garantire che i sistemi di IA siano progettati e utilizzati in conformità con la legge.

Le nuove sfide specifiche poste dalle IA generative per la protezione dei dati

Le tecniche innovative utilizzate per la progettazione e il funzionamento degli strumenti di IA pongono nuove questioni sulla protezione dei dati, in particolare:

  • La base giuridica che permette di riutilizzare i dati per l'addestramento di questi sistemi.
  • La trasparenza del loro funzionamento, dei loro meccanismi e dei criteri di output, così come l'origine dei dati utilizzati.
  • La necessità di rilevare e correggere i pregiudizi che possono emergere dagli algoritmi.
  • La sicurezza dei dati elaborati dai sistemi di IA.
  • La minimizzazione dei dati che vengono utilizzati.
  • L'esercizio del diritto all'oblio da parte degli individui.

Questi aspetti costituiranno uno degli assi di lavoro prioritari per il servizio dell'intelligenza artificiale e il Laboratorio di Innovazione Digitale della CNIL (LINC).

Un dossier dedicato del LINC sulle IA generative

Al fine di sottolineare alcuni di questi problemi specifici delle IA generative, il Laboratorio di Innovazione Digitale della CNIL (LINC) ha pubblicato un dossier a loro dedicato. Costituito da quattro sezioni, questo dossier:

  • presenta i modelli di IA generativa, le loro promesse e i loro rischi;
  • esamina le questioni giuridiche sollevate (in particolare in relazione al RGPD);
  • analizza le questioni tecniche che ne derivano;
  • affronta le sfide etiche.

Questo dossier completa le risorse proposte dalla CNIL sul suo sito web per i professionisti e il grande pubblico.

Accompagnare gli attori dell'IA e preparare il futuro normativo

Numerosi attori hanno segnalato alla CNIL l'incertezza che circonda l'applicazione del RGPD all'IA, in particolare per l'addestramento delle IA generative.

Al fine di accompagnare gli attori del settore dell'intelligenza artificiale e per preparare l'entrata in applicazione del regolamento europeo sull'IA (attualmente in discussione a livello europeo e sul quale la CNIL e le sue omologhe europee avevano pubblicato un parere nel 2021), la CNIL propone già:

  • una guida pratica che permette di comprendere come rispettare il RGPD quando si sviluppano o si utilizzano sistemi di IA;
  • un dispositivo di "bac à sable" (sandbox) che permette di accompagnare progetti innovativi, in particolare quelli che utilizzano l'IA, garantendo al contempo il rispetto delle regole di protezione dei dati;
  • il suo nuovo servizio per l'IA, un punto di contatto unico per qualsiasi attore che desideri proporre un'iniziativa e dialogare con la CNIL.

La CNIL prosegue i suoi lavori dottrinali e pubblicherà prossimamente diversi documenti. Così:

  • sarà pubblicato un documento di posizione sui sistemi biometrici e sull'"affective computing", una tecnologia che si propone di leggere le nostre emozioni. Questo documento illustrerà il quadro giuridico applicabile e le raccomandazioni della CNIL.
  • saranno emesse raccomandazioni sulle IA utilizzate nel settore della salute, in collaborazione con la direzione generale dell'offerta di cure (DGOS) e la delegazione al numerico nella salute (DNS).
  • l'attenzione sarà posta sulle IA utilizzate nelle risorse umane, attraverso un prossimo piano di controllo, in particolare per quanto riguarda la trasparenza e l'equità dei sistemi algoritmici.

La regolamentazione dell'IA da parte della CNIL mira a far emergere, promuovere e aiutare a prosperare gli attori in un quadro fedele ai valori di protezione dei diritti e delle libertà fondamentali francesi ed europee. Questo accompagnamento, già avviato, prende tre forme:

  • la messa a disposizione di informazioni, strumenti e raccomandazioni pratiche per orientare e supportare gli sviluppatori di sistemi di IA;
  • l'avvio di un dialogo con i team di ricerca, i centri di R&S e le aziende per una migliore comprensione e anticipazione delle questioni tecniche e etiche;
  • il supporto a progetti innovativi che siano conformi alle normative sulla protezione dei dati.

Più in generale, la CNIL desidera avviare un dialogo approfondito con i team di ricerca, i centri di R&S e le aziende francesi che sviluppano, o desiderano sviluppare, sistemi di IA in un'ottica di conformità alle regole di protezione dei dati personali.

Questi team e aziende possono contattare la CNIL all'indirizzo `[email protected]`.

Controllo e audit dei sistemi di IA

La definizione del quadro che consente lo sviluppo dei sistemi di intelligenza artificiale nel rispetto dei diritti e delle libertà individuali implica, a valle, che la CNIL ne controlli il rispetto. È quindi essenziale per la CNIL sviluppare strumenti che permettano di auditare i sistemi di IA che le vengono sottoposti, sia a priori che a posteriori.

L'azione di controllo della CNIL si concentrerà in particolare nel 2023 su:

  • Audit dei sistemi di IA che riutilizzano dati provenienti da contenuti online, come ad esempio le IA generative, per valutarne la conformità al RGPD.
  • Audit dei sistemi di IA basati sulla profilazione, analizzando come questi sistemi categorizzano e predicono comportamenti, con un focus sui potenziali impatti sui diritti degli individui.
  • Audit dei sistemi di IA utilizzati nelle risorse umane, in particolare per la selezione o la valutazione dei candidati o dipendenti, per assicurare trasparenza ed equità.

La CNIL sarà particolarmente attenta affinché gli attori che trattano dati personali al fine di sviluppare, addestrare o utilizzare sistemi di intelligenza artificiale abbiano:

  • una base giuridica valida per i trattamenti di dati personali che effettuano;
  • un livello di trasparenza sufficiente nei confronti delle persone, informandole in modo chiaro e comprensibile sul funzionamento e sulle finalità dei sistemi;
  • un approccio di protezione dei dati fin dalla progettazione e per impostazione predefinita (privacy by design/default);
  • garanzie di sicurezza adeguate per i dati trattati;
  • le misure necessarie per consentire agli individui di esercitare i loro diritti (accesso, rettifica, opposizione, ecc.).

Grazie a questo lavoro collettivo ed essenziale, la CNIL desidera instaurare regole chiare, protettive dei dati personali dei cittadini europei al fine di contribuire allo sviluppo di sistemi di IA rispettosi della vita privata.