L’intelligenza artificiale viaggia veloce con il pilota automatico

Guida autonoma, profilazione, social scoring, bias, chatbot e riconoscimento biometrico sono alcuni dei termini entrati nella nostra quotidianità. Essi si riferiscono alle tecnologie di intelligenza artificiale (“IA”), vale a dire le abilità di una macchina di mostrare capacità umane quali il ragionamento, l’apprendimento, la pianificazione e la creatività[1]. Oggi più che mai l’IA ha un forte impatto sulle persone e la loro sicurezza. Si pensi solamente al caso che ha coinvolto in Australia il conducente della vettura Tesla “Model 3” che ha investito un’infermiera di 26 anni[2] con il pilota automatico attivo.

In relazione al tragico episodio poc’anzi descritto viene spontaneo domandarsi chi debba rispondere delle gravi condizioni della povera infermiera. Il conducente, nonostante non fosse tecnicamente al volante al momento dell’incidente? Il produttore dell’autovettura che concretamente ha investito l’infermiera? O ancora il produttore / sviluppatore del software che fornisce le istruzioni all’autovettura su come comportarsi quando sul proprio tragitto compare un essere umano?

Per il momento il conducente dell’autovettura – pur essendo stato rilasciato dalle autorità mediante versamento di una cauzione – è stato accusato di aver causato il sinistro stradale. Ciò non toglie che – qualora tale accusa verrà confermata all’esito del processo che è ancora pendente – il conducente avrà poi il diritto di rivalersi per gli eventuali danni sul produttore / sviluppatore di IA.

Il caso poc’anzi descritto merita certamente un approfondimento, specialmente per quanto concerne il panorama europeo in tema di intelligenza artificiale.

È bene da subito evidenziare che, malgrado il progressivo aumento dell’IA nei più disparati ambiti della nostra vita quotidiana[3], ad oggi manca una legge, direttiva o regolamento relativa alla responsabilità civile derivante dall’utilizzo dell’IA.

A livello UE, la Commissione Europea sembra aver per prima affrontato seriamente il tema della responsabilità civile derivante da sistemi di intelligenza artificiale ed averne evidenziato la lacunosità della relativa disciplina, pubblicando, tra le altre cose, una proposta di Regolamento che stabilisce regole armonizzate sull’IA[4].

Da tale proposta di Regolamento si ricavano, anche per analogia, tre diverse definizioni di responsabilità civile: responsabilità da prodotto difettoso, responsabilità del produttore e responsabilità vicaria.

Nel caso in esame rileva la responsabilità da prodotto difettoso, che muove dall’assunto secondo cui la macchina è priva di personalità giuridica[5].

Dunque, com’è ovvio, qualora un sistema di IA cagioni un danno a terzi, la responsabilità dello stesso dovrà essere imputata al produttore della stessa e non invece al dispositivo / sistema che la utilizza.

Tornando al caso in esame, spetterebbe dunque allo sviluppatore del sistema di IA (i.e. l’azienda americana Tesla) risarcire l’infermiera ferita, qualora quest’ultima sia in grado di provare il nesso fra danno / lesioni causate e il difetto del sistema di IA. Dal canto suo, lo sviluppatore del sistema di IA potrebbe escludere il danno solo qualora sia in grado di provare il c.d. “rischio da sviluppo”, vale a dire fornire la prova che il difetto riscontrato era totalmente imprevedibile sulla base delle circostanze e modalità in cui è avvenuto l’incidente.

Taluni hanno osservato sul punto che il produttore sarebbe in realtà in grado di controllare il sistema di IA a distanza e prevedere, grazie agli algoritmi, condotte non programmate al momento della sua commercializzazione[6]. Peraltro, come sappiamo, gli algoritmi presenti nei sistemi di IA installati nelle autovetture sono in grado di raccogliere nel tempo informazioni e quindi auto apprendere e studiare particolari condotte e/o movimenti degli esseri umani, riducendo sempre più il rischio di incidenti.

Sotto questo profilo, il produttore avrebbe quindi un onere ancora più stringente per escludere ogni ipotesi di responsabilità e cioè quello di dimostrare di aver adottato tutte le misure di sicurezza idonee ad evitare il danno.

A tal proposito, il Parlamento europeo ha peraltro elaborato la “Risoluzione recante raccomandazioni alla Commissione su un regime di responsabilità civile per l'intelligenza artificiale” che introduce la categoria delle cd. “IA ad alto rischio”, ossia quei sistemi di intelligenza artificiale operanti in contesti sociali particolari quali, ad esempio, l’educazione, ovvero quelle tecnologie che raccolgono dati particolari (come avviene nel caso del riconoscimento biometrico), la selezione del personale (che rischierebbe di ricadere nel social scoring o in altri atti discriminatori) o, ancora, le tecnologie usate nell’ambito della sicurezza e della giustizia (attraverso le quali potrebbe verificarsi il rischio di bias: pregiudizi della macchina sul soggetto giudicato). È stato osservato che per tali sistemi di “IA ad alto rischio” sussiste in caso di evento dannoso una responsabilità oggettiva del produttore, salvo che quest’ultimo sia in grado di dimostrare la sussistenza di un caso di forza maggiore.

In conclusione, malgrado i primi sforzi profusi da parte prima della Commissione e poi dal Parlamento Europeo in merito alla disciplina dei sistemi di IA, restano numerosi interrogativi ancora da risolvere in merito ai profili di responsabilità ad essi connessi.

Ad esempio, bisognerebbe meglio comprendere come vadano inquadrati e disciplinati i sistemi di IA non ritenuti ad “alto rischio”, quali appunto quelli di guida autonoma di cui si è discusso nel presente articolo. O ancora, quale soglia di responsabilità applicare se in un futuro non lontano un dispositivo di IA potrà essere equiparato, quanto a capacità di ragionamento, ad un essere umano (come di recente rivendicato da un dipendente di Google in riferimento al suo sistema di IA[7]).

Certo è che, come spesso capita per qualsiasi innovazione tecnologica, solo una significativa integrazione e adozione nella nostra società dei sistemi di intelligenza artificiale riuscirà a delineare ipotesi concrete di responsabilità e applicabili in contesti di ordinaria operatività.

Si auspica in ogni caso che il citato Regolamento – la cui data di entrata in vigore non è ancora nota – riuscirà a fornire una disciplina che sia più completa possibile e che riduca soprattutto i rischi e le responsabilità degli utilizzatori dei sistemi di IA ed aumenti, dall’altra parte, gli oneri a carico dei costruttori degli stessi per garantirne la sicurezza.

[1] https://www.europarl.europa.eu/news/it/headlines/society/20200827STO85804/che-cos-e-l-intelligenza-artificiale-e-come-viene-usata
[2] https://www.drive.com.au/news/melbourne-hit-and-run-blamed-on-tesla-autopilot-could-set-legal-precedent-for-new-tech/
[3] Considerando (2), Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'unione, 2021/0106, del 21 aprile, 2021
[4] Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'unione, 2021/0106, del 21 aprile, 2021
[5] Barbara Barbarino, Intelligenza artificiale e responsabilità civile. Tocca all’Ue, Formiche.net, 15/05/2022
[6] Ut supra nota 5
[7] https://www.theguardian.com/technology/2022/jun/12/google-engineer-ai-bot-sentient-blake-lemoine


Vademecum per l'installazione di impianti di videosorveglianza

Aggiornato alle FAQ del Garante Privacy del 5 dicembre 2020 e alle Linee Guida 3/2019 dell’EDPB sul trattamento dei dati personali attraverso dispositivi video


REGOLE GENERALI

  1. Rispetto del principio di “minimizzazione dei dati”: il titolare del trattamento deve scegliere modalità di ripresa e dislocazione delle telecamere sulla base delle specifiche finalità perseguite e deve raccogliere e trattare solo i dati personali pertinenti e non eccedenti le finalità stesse.
  2. No alla preventiva autorizzazione del Garante Privacy per l’installazione di telecamere, ma valutazione autonoma del titolare in merito alla liceità ed alla proporzionalità del trattamento, tenuto conto del contesto e delle finalità del trattamento stesso, nonché dei rischi per i diritti e le libertà delle persone fisiche.
  1. Consegna dell’informativa privacy agli interessati: sia in forma breve (mediante l’apposizione di un apposito cartello ben visibile da coloro che transitano nella zona videosorvegliata – il cui modello è disponibile sul sito del Garante - https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9496244), nonché in forma estesa.
  1. Valutazione autonoma da parte del titolare dei tempi di conservazione delle immagini (nel rispetto del principio di “accountability”), tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Sono salve le specifiche previsioni di legge che determinano i tempi di conservazione delle immagini in circostanze particolari.
  1. DPIA obbligatoria quando sono utilizzate telecamere di nuova tecnologia o sistemi “integrati” e/o “intelligenti” (che, ad es., rilevano, registrano e segnalano automaticamente alle competenti autorità comportamenti o eventi anomali), in caso di sorveglianza sistematica su larga scala di una zona accessibile al pubblico (ad es. autostrade, grandi centri commerciali) e negli altri casi previsti dagli artt. 35 e 36 GDPR e dal provvedimento del Garante Privacy n. 467/2018.

 

SPECIFICI CONTESTI

 


POSTO DI LAVORO
(art. 4 L. 300/1970)

Finalità del trattamento: esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.
Se con le telecamere il datore di lavoro può controllare a distanza l’attività dei lavoratori:

  • è necessario l’accordo con le RSA/RSU o la preventiva autorizzazione dell’Ispettorato nazionale del lavoro;
  • la DPIA è obbligatoria;
  • occorre predisporre policy interne per i lavoratori che descrivano in maniera chiara e trasparente le modalità di utilizzo degli strumenti di lavoro (pc, smartphone, ecc.) e gli eventuali controlli che il datore di lavoro potrà effettuare;
  • occorre rispettare gli obblighi privacy di cui al GDPR e al Codice Privacy.

***


PROPRIETÀ PRIVATA / ESERCIZI COMMERCIALI

Finalità del trattamento: monitoraggio e tutela della proprietà privata o di locali in cui è esercitata un’attività commerciale, prevenzione di furti e/o atti vandalici, ecc.
Condizioni specifiche da rispettare:

  • limitazione dell’angolo di ripresa ai soli spazi di propria esclusiva pertinenza, escludendo aree comuni (cortili, pianerottoli, ecc.) ovvero zone di pertinenza di soggetti terzi;
  • vietate le riprese di aree pubbliche o di pubblico passaggio;

 Se sono installate specifiche telecamere “casalinghe” (cd. “smart cam”) all’interno della propria abitazione è necessario:

  • informare eventuali lavoratori (colf, badanti, ecc.) della presenza delle telecamere;
  • evitare il monitoraggio di ambienti che ledano la dignità della persona (come i servizi igienici, gli spogliatoi, ecc.);
  • proteggere adeguatamente i dati acquisiti o acquisibili tramite le smart cam con idonee misure di sicurezza.

***


CONDOMINIO

Finalità del trattamento: monitoraggio e tutela della sicurezza delle parti comuni dell’edificio e in generale delle singole proprietà.
Condizioni specifiche da rispettare:

  • la preventiva delibera dell’assemblea condominiale ex art. 1136 c.c.;
  • il termine massimo di 7 giorni per la conservazione delle immagini raccolte (salve diverse comprovate esigenze).

***


CATEGORIE PARTICOLARI DI DATI
(ospedali e cliniche)

Finalità del trattamento: tutela della salute di pazienti, monitoraggio di particolari reparti ospedalieri, ecc.
Se le riprese sono effettuate per ricavare particolari categorie di dati (ad es. monitorare le condizioni di salute di un paziente) occorre:

  • verificare la sussistenza di una base giuridica del trattamento ex art. 9 GDPR (quale, ad es., assistenza o terapia sanitaria, garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria, ecc.);
  • prestare particolare attenzione in modo che la raccolta sia limitata ai soli dati necessari per le finalità perseguite (“minimizzazione”);
  • predisporre obbligatoriamente la DPIA se il trattamento dei dati relativi a pazienti, disabili, infermi di mente, minori e anziani non è occasionale;
  • monitorare costantemente le misure di sicurezza (sistemi di conservazione e accesso ai dati) applicate al trattamento.

***


CIRCOLAZIONE VEICOLI

Finalità del trattamento: accertamento e rilevazione infrazioni al codice della strada.
Condizioni specifiche da rispettare:

  • limitare la dislocazione e l’angolo di visuale delle riprese esclusivamente alle zone/aree necessarie per l’accertamento delle infrazioni;
  • eliminare/oscurare eventuali immagini raccolte non necessarie per le finalità perseguite (ad es. immagini di pedoni o altri utenti della strada, passeggeri a bordo del veicolo, ecc.);
  • predisporre obbligatoriamente la DPIA se il trattamento dei dati avviene su larga scala (es. autostrade) per monitorare il comportamento di guida dei conducenti.

***


DISCARICHE COMUNALI
 

Finalità del trattamento: controllo e monitoraggio delle discariche di sostanze pericolose e delle "eco piazzole" (verifica della tipologia dei rifiuti scaricati, dell’orario di deposito, ecc.).
Limitazioni:

  • il monitoraggio è consentito solo ad un ente pubblico (no privati);
  • il monitoraggio è consentito solo se non risulta possibile, o si rivela non efficace, il ricorso a strumenti e sistemi di controllo alternativi.

***


ISTITUTI SCOLASTICI

Finalità del trattamento: tutela dell’edificio, dei beni scolastici ivi presenti, del personale e degli alunni, protezione da atti vandalici, ecc.
Condizioni specifiche da rispettare:

  • le telecamere che inquadrano l’interno degli istituti possono essere attivate solo negli orari di chiusura, quindi non in coincidenza con lo svolgimento di attività scolastiche ed extrascolastiche;
  • se le riprese riguardano l’esterno della scuola, l’angolo visuale delle telecamere deve essere opportunamente delimitato.

***


SICUREZZA URBANA

Finalità del trattamento: tutela della sicurezza urbana in luoghi pubblici o aperti al pubblico.
Condizioni specifiche da rispettare:

  • conservazione delle immagini per un massimo di 7 giorni  successivi  alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione (art. 6, co. 8, del D.L. 23/02/2009, n. 11)

***


RIPRESE DALL’ALTO

La normativa in materia di protezione dati non si applica al trattamento di dati che non consentono di identificare le persone, direttamente o indirettamente, come nel caso di riprese da alta quota (effettuate, ad esempio, mediante l’uso di droni o simili) o nel caso di fotocamere false e/o spente.