Legal Dalla DPIA alla FRAIA. Il presidio dei diritti fondamentali in una Smart City. Giuseppe Alve... 12 September 2023 Per garantire il regolare sviluppo dei processi in cui girano dati personali, è sempre necessario sviluppare una valutazione di impatto sulla protezione dei dati personali (la c.d. DPIA: Data Protection Impact Assessment). Questo importante strumento di compliance e di efficienza risulta però poco adeguato ai processi basati su algoritmi di AI (intelligenza artificiale). In questi casi si dovrà far ricorso alla Valutazione di Impatto degli Algoritmi sui Diritti Fondamentali (la c.d. FRAIA: Fundamental Rights and Algorithms Impact Assessment). Privacy Notizie correlate Tech Video IoT paradigma fondamentale per una Smart City Tech Video Dall’azienda alla Smart City: l’evoluzione di Cloud, Edge e Fog Computing Tech Enforcement Le misure per sviluppare comunicazioni sicure all’interno delle Smart Cities All’interno di una Smart City, ove si fa sistematico ricorso all’AI, la Valutazione di Impatto degli Algoritmi sui Diritti Fondamentali (la c.d.FRAIA: Fundamental Rights and Algorithms Impact Assessment) costituisce un fondamentale strumento, indispensabile per garantire l’esercizio dei diritti e delle libertà fondamentali dei cittadini. Dalla DPIA alla FRAIA Il funzionamento di una Smart City poggia su 3 pillars: una concreta interoperabilità delle soluzioni digitali; una adeguata governance dei processi aziendali; una accurata gestione dei rischi per i diritti e le libertà delle persone. Per garantire queste 3 fondamentali funzioni, sui processi in cui girano dati personali, è sempre necessario sviluppare una valutazione di impatto sulla protezione dei dati personali (la c.d. DPIA: Data Protection Impact Assessment). Questo importante strumento di compliance e di efficienza risulta però poco adeguato ai processi basati su algoritmi AI. In questi casi si dovrà far ricorso alla Valutazione di Impatto degli Algoritmi sui Diritti Fondamentali (la c.d. FRAIA: Fundamental Rights and Algorithms Impact Assessment). Vediamo di cosa si tratta La FRAIA (Fundamental Rights and Algorithms Impact Assessment) La FRAIA è un processo volto a valutare adeguatamente un algoritmo in termini di conseguenze che comportano rischi quali inesattezza, inefficacia o violazione dei diritti e delle libertà fondamentali delle persone. Un interessante ed utile metodo per l’esecuzione di una FRAIA è stato proposto in un Paper del Ministero dell’Interno Olandese che prevede lo sviluppo di 4 fasi ad opera di un team multidisciplinare. Le prime 3 fasi rispondono alle domande “Perché?”, “Cosa?” e “Come?”, mentre la quarta fase è incentrata sulle più ampie questioni relative ai diritti fondamentali. Fase 1: Perché? La fase 1 della FRAIA riguarda il “Perché” si vuole sviluppare, acquistare, adeguare e/o utilizzare un algoritmo di AI. Vanno analizzate e specificate in dettaglio quali sono le ragioni, i motivi sottostanti e gli effetti previsti dell’uso dell’algoritmo. Vanno inoltre evidenziati i principi che devono guidare l’implementazione dell’algoritmo. Tra questi, spiccano l’autonomia, la prevenzione dei danni, la giustizia e la responsabilità che svolgono un ruolo fondamentale per garantire che gli stessi algoritmi siano legali, etici e robusti. In questa fase deve essere definita, in modo sufficientemente chiaro, anche la base giuridica, affinché i cittadini e le persone giuridiche possano orientare le loro azioni ai risultati attesi. La base giuridica deve, infatti, fornire adeguate garanzie contro l’arbitrarietà. Fase 2: “Cosa?”. L’inserimento dei dati (input) Una volta stabilito il motivo per cui verrà utilizzato un algoritmo e come l’organizzazione dovrà salvaguardare i valori e gli interessi pubblici, si dovrà pensare alla forma dell’algoritmo che si intende utilizzare. Questo è ciò prevede la fase 2 della FRAIA: il “Cosa” del progetto. Invero, questa parte è divisa in due sotto-fasi: a. la fase 2.a che riguarda l’input dell’algoritmo, i.e. i dati da utilizzare e le relative precondizioni. b. la fase 2.b riguarda l’algoritmo stesso, ovvero la produttività del progetto. Entrambe le sotto- fasi sono funzionali a: evitare distorsioni e trattamenti discriminatori in base alle linee di progettazione che prevedono la raccolta, la preparazione e la modellazione dei dati; garantire l’affidabilità dell’AI mediante: controllo umano e supervisione umana, robustezza tecnica e sicurezza, privacy e governance dei dati, trasparenza, non discriminazione ed equità, benessere ambientale e sociale responsabilità. Fase 3: “Come?”. Attuazione, utilizzo e supervisione. Output Un algoritmo creato seguendo le linee di progettazione indicate nella fase 2, ragionevolmente non dovrebbe avere effetti indesiderati. Questi sono sempre causati dal contesto in cui si trova l’algoritmo utilizzato, o dalle decisioni e dalle misure collegate all’output dell’algoritmo stesso. Ecco perché la fase 3 della FRAIA riguarda l’implementazione e l’utilizzo dell’algoritmo in questione, cioè, la gestione dell’output. Grande importanza assume in questa fase il grado di trasparenza e spiegabilità dell’algoritmo. Fase 4: i diritti fondamentali La fase 4 della FRAIA comprende una specifica “tabella di marcia per i diritti fondamentali” con un duplice obiettivo: avere la disponibilità di uno strumento utile a valutare se l’algoritmo da utilizzare potrà interferire con l’esercizio dei diritti fondamentali; in tal caso, individuare le opportunità per prevenire o attenuare tale interferenza e se ci sono ragioni per considerarla accettabile. La “tabella di marcia per i diritti fondamentali” è sostanzialmente scandita dalle seguenti sette domande: Diritto fondamentale: l’algoritmo pregiudica (o minaccia di pregiudicare) un diritto fondamentale? Legislazione specifica: si applica una legislazione specifica rispetto al diritto fondamentale che viene considerato? Definizione della gravità: quanto gravemente viene violato questo diritto fondamentale? Obiettivi: quali obiettivi sociali, politici o amministrativi vengono perseguiti utilizzando l’algoritmo? Idoneità: Questo specifico algoritmo è uno strumento adeguato per raggiungere gli obiettivi prefissati? Necessità e sussidiarietà: è necessario utilizzare questo algoritmo specifico per raggiungere l’obiettivo prefissato? E non sono disponibili altre misure attenuanti per farlo? Equilibrio e proporzionalità: In definitiva, gli obiettivi prefissati sono sufficientemente rilevanti da giustificare l’interferenza sull’esercizio dei sui diritti fondamentali? Conclusioni Quanto sopra descritto dimostra quanto sia utile iniziare a mettere in pratica i nuovi, emergenti, strumenti di efficienza e di presidio dei diritti fondamentali come la FRAIA. In verità, non è solo utile ma anche necessario al fine di poter beneficiare, in piena sicurezza, di tutti i grandi vantaggi offerti dai sistemi di AI (intelligenza artificiale) che sono sempre più utilizzati in tutti i settori di attività delle Smart Cities. Così, una FRAIA ben sviluppata mediante una strutturata attenzione all’accuratezza, all’affidabilità e alla trasparenza degli algoritmi potrà ragionevolmente evitare possibili impatti negativi e mantenere la fiducia dei cittadini. Giuseppe Alverone