skip to Main Content
ICO E Il Diritto All’intervento Umano E Altre Garanzie: Sistemi Di Intelligenza Artificiale Completamente Automatizzati

ICO e il diritto all’intervento umano e altre garanzie: sistemi di intelligenza artificiale completamente automatizzati

Reuben Binns, la nostra Research Fellow in Artificial Intelligence (AI), e Valeria Gallo, Technology Policy Adviser, discutono alcune delle principali misure di salvaguardia che le organizzazioni dovrebbero implementare quando utilizzano esclusivamente sistemi di intelligenza artificiale automatizzati per prendere decisioni con impatti significativi sugli interessati.
Il regolamento generale sulla protezione dei dati (GDPR) impone alle organizzazioni di attuare adeguate garanzie durante l’elaborazione dei dati personali per prendere deisioni esclusivamente automatizzate che hanno un impatto legale o altrettanto significativo sugli individui. Queste garanzie includono il diritto per gli interessati:

        • ottenere l’intervento umano;
        • per esprimere il loro punto di vista; e
        • contestare la decisione presa su di loro.

Queste garanzie non possono essere gesti simbolici. La guida pubblicata  dall’European Data Protection Board (EDPB) afferma che l’intervento umano comporta un riesame della decisione, che “Deve essere eseguito da qualcuno che abbia l’autorità e la capacità appropriate per cambiare la decisione”.

La revisione dovrebbe includere la  ” Valutazione approfondita di tutti i dati pertinenti, comprese eventuali informazioni aggiuntive fornite dall’interessato.

A questo proposito, le condizioni alle quali l’intervento umano si qualificherà come significativo sono simili a quelle che si applicano alla sorveglianza umana nei sistemi “non esclusivamente automatizzati”. Tuttavia, una differenza fondamentale è che in contesti  esclusivamente automatizzati , l’intervento umano è richiesto solo caso per caso per salvaguardare i diritti dell’interessato.

Perché questo è un problema particolare per i sistemi di intelligenza artificiale?

Il tipo e la complessità dei sistemi coinvolti nel prendere decisioni esclusivamente automatizzate influenzeranno la natura e la gravità del rischio per i diritti di protezione dei dati delle persone e solleveranno diverse considerazioni, nonché sfide di conformità e gestione dei rischi.

È improbabile che i sistemi di base, che automatizzano un numero relativamente piccolo di regole esplicitamente scritte (ad esempio un insieme di regole ” se-allora” chiaramente definite per determinare l’idoneità di un cliente per un prodotto), siano considerati AI.

Dovrebbe anche essere relativamente facile per un recensore umano al fine di identificare e correggere qualsiasi errore,nel caso una decisione venga messa in discussione dell’interessato a causa dell’elevata interpretabilità sistema.

Tuttavia, altri sistemi, come quelli basati sull’apprendimento automatico  (ML), possono essere più complessi e presentare più sfide per una revisione umana significativa. I sistemi ML fanno previsioni o classificazioni sulle persone in base a modelli di dati. Anche quando sono altamente precisi , a volte raggiungeranno la decisione sbagliata in un singolo caso. Gli errori potrebbero non essere facili da identificare, comprendere o correggere per un revisore umano.

Sebbene non tutte le sfide da parte dell’interessato siano valide, le organizzazioni dovrebbero aspettarsi che molte possano esserlo. Esistono due motivi particolari per cui ciò può verificarsi nei sistemi ML:

  • L’individuo è un “anomalo” , ovvero le circostanze sono sostanzialmente diverse da quelle considerate nei dati di addestramento utilizzati per costruire il sistema di intelligenza artificiale. Poiché il modello ML non è stato addestrato su dati sufficienti su individui simili, può fare previsioni o classificazioni errate.
  • I presupposti nella progettazione dell’IA possono essere sfidati , ad esempio una variabile continua come l’età, potrebbe essere stata suddivisa (“integrata”) in fasce di età discrete, ad esempio 20-39, come parte del processo di modellizzazione. I ‘bin’ a grana più fine possono risultare in un modello diverso con previsioni sostanzialmente diverse per persone di età diverse. La validità di questa pre-elaborazione dei dati e altre scelte di progettazione possono essere messe in discussione solo a seguito della sfida di un individuo.

Cosa dovrebbero fare le organizzazioni?

Molti dei controlli necessari per garantire la conformità alle disposizioni del GDPR sui sistemi esclusivamente automatizzati sono molto simili a quelli necessari per garantire la significatività delle revisioni umane nei sistemi di IA non esclusivamente automatizzati .

Le organizzazioni dovrebbero:

  • considerare i requisiti di sistema necessari per supportare una revisione umana significativa dalla fase di progettazione. In particolare, i requisiti di interpretabilità e un’efficace progettazione dell’interfaccia utente per supportare le revisioni e gli interventi umani;  
  • progettare e fornire formazione e supporto adeguati per i revisori umani; e  
  • fornire al personale l’autorità, gli incentivi e il sostegno adeguati per affrontare o intensificare le preoccupazioni degli interessati e, se necessario, ignorare la decisione del sistema di IA.

Tuttavia, ci sono alcuni requisiti e considerazioni aggiuntive che le organizzazioni dovrebbero conoscere:

  1. L’uso di sistemi esclusivamente automatizzati  per prendere decisioni con effetti legali o significativi sugli interessati scatenerà sempre la necessità di una valutazione d’impatto sulla protezione dei dati (DPIA) . Le DPIA sono un requisito di conformità, ma anche uno strumento utile per le organizzazioni per riflettere attentamente sull’opportunità di implementare un processo esclusivamente automatizzato. Nel caso dei sistemi di intelligenza artificiale, i DPIA dovrebbero prestare particolare attenzione al livello di complessità e interpretabilità del sistema e alla capacità dell’organizzazione di proteggere adeguatamente le persone e i loro diritti.
  2. Il nostro progetto ExplAIn sta attualmente esaminando come, e in che misura, complessi sistemi di intelligenza artificiale potrebbero influenzare la capacità di un’organizzazione di fornire spiegazioni significative agli interessati. Tuttavia, anche complessi  sistemi di intelligenza artificiale possono influire sull’efficacia di altre garanzie obbligatorie. Se un sistema è troppo complesso da spiegare, può anche essere troppo complesso per contestare in modo significativo, intervenire, rivedere o opporre un punto di vista alternativo. Ad esempio, se un sistema di intelligenza artificiale utilizza centinaia di funzionalità e un modello complesso e non lineare per effettuare una previsione, potrebbe essere difficile per un soggetto dei dati determinare a quali variabili o correlazioni obiettare.Pertanto le tutele intorno ai soli sistemi di IA automatizzati si supportano a vicenda e dovrebbero essere progettate in modo olistico e tenendo presente l’interessato.
  3. Le informazioni sulla logica di un sistema e le spiegazioni delle decisioni dovrebbero fornire agli interessati il ​​contesto necessario per decidere se e per quali motivi vorrebbero richiedere un intervento umano. In alcuni casi, spiegazioni insufficienti possono indurre gli interessati a ricorrere inutilmente ad altri diritti. È più probabile che si verifichino richieste di intervento, espressione di opinioni o concorsi se gli interessati non ritengono di avere una comprensione sufficiente di come è stata presa la decisione.
  4. Il processo per gli interessati di esercitare i propri diritti dovrebbe essere semplice e di facile utilizzo. Ad esempio, se il risultato della decisione esclusivamente automatizzata viene comunicato attraverso un sito Web, la pagina deve contenere un collegamento o informazioni chiare che consentano all’individuo di contattare un membro del personale che può intervenire, senza indebiti ritardi o complicazioni. Le organizzazioni dovrebbero tenere un registro di tutte le decisioni prese da un sistema di intelligenza artificiale, nonché se una persona interessata ha richiesto l’intervento umano, espresso pareri, contestato la decisione e se la decisione è stata modificata di conseguenza.   
  5. Le organizzazioni dovrebbero monitorare e analizzare questi dati. Se le decisioni vengono cambiate regolarmente in risposta agli interessati che esercitano i loro diritti, le organizzazioni dovranno modificare i loro sistemi di conseguenza. Laddove il sistema sia basato su ML, ciò potrebbe comportare l’inclusione delle decisioni corrette in nuovi dati di allenamento, in modo che errori simili abbiano meno probabilità di accadere in futuro. Più sostanzialmente, possono identificare la necessità di raccogliere dati di formazione più o migliori per colmare le lacune che hanno portato alla decisione errata o modificare il processo di costruzione del modello, ovvero cambiando la selezione delle funzionalità.

Oltre a essere un requisito di conformità, questa è anche un’opportunità per le organizzazioni di migliorare le prestazioni dei propri sistemi di intelligenza artificiale e, a loro volta, costruire la fiducia degli interessati nei loro confronti. Tuttavia, se vengono identificati errori gravi o frequenti, le organizzazioni dovranno adottare misure immediate per comprendere e correggere i problemi sottostanti e, se necessario, sospendere l’uso del sistema automatizzato.

 

FONTE: ICO.UK

Back To Top