IntelliCar è un’azienda con sede in Europa che ha recentemente iniziato a produrre auto intelligenti per il mercato europeo. Per ottenere la risposta desiderata guardando nello specchio magico e chiedendo chi ha l’auto più intelligente di tutte, IntelliCar ci ha pensato a lungo e ha deciso di dotare le sue auto super intelligenti di: riconoscimento facciale ed emotivo regolazione automatica della temperatura dell’auto e invio avvisi quando il conducente si addormenta, assicurazione auto opzionale basata sull’utilizzo,(2) il suo assistente virtuale basato su ChatGPT e tutta una serie di altre tecnologie che migliorano la sicurezza e l’esperienza di guida. Tuttavia i tre citati sono già sufficienti per chiarire il mio punto, quindi mi fermo qui. Ora, ad essere sincero, una qualsiasi delle tre tecnologie elencate sarebbe sufficiente per far scattare l’applicazione dell’EU Data Act, del GDPR e dell’AI Act, ma volevo citare un paio di disposizioni interessanti dell’EU Data Act (l’articolo sarà più incentrato su questo), quindi abbi pazienza qui.
GDPR
Per prima cosa, nel caso descritto la situazione con il GDPR è piuttosto semplice. Abbiamo tre tecnologie nell’auto e tutte raccoglieranno (molti) dati personali.
L’auto raccoglierà innanzitutto i dati facciali al fine di riconoscere l’utente e verificare se il conducente ha espresso il proprio consenso per le successive operazioni di trattamento. (Ora, non possiamo aspettarci che IntelliCar tenga conto anche di questo atto iniziale di elaborazione, è semplicemente troppo complicato, e nemmeno gli attori dominanti gli prestano molta attenzione, quindi sicuramente come startup, possono permettersi di guardare viceversa?) Se il consenso viene registrato, l’auto continuerà a raccogliere ed elaborare le espressioni facciali per regolare la temperatura dell’auto, inviare avvisi se compaiono segni di sonnolenza e persino chiedere al conducente cosa c’è che non va attraverso la funzione di assistente vocale. In secondo luogo, se il conducente ha optato anche per un’assicurazione basata sull’utilizzo, l’auto raccoglierà dati di utilizzo che possono essere attribuiti al particolare conducente identificato e consenziente. Tali dati verranno quindi trasferiti alla compagnia assicurativa affinché possa elaborare e adeguare i premi assicurativi. Infine, dicendo “Ehi IntelliCar (o qualsiasi nome deciso dall’utente)” si attiva l’assistente vocale dell’auto. Quindi è possibile fare un numero quasi illimitato di richieste all’auto, inclusa la riproduzione di musica, la richiesta di indicazioni stradali o anche la ricerca di cose online, perché come ricorderete il nostro assistente virtuale è basato su ChatGPT e quindi ragionevolmente in grado di eseguire tali richieste. Tutti i dati trattati raccolti sono sicuramente personali, in quanto il volto, la voce e le abitudini di un determinato conducente (già identificato), costituiscono tutte informazioni in base alle quali qualcuno (più ovviamente IntelliCar in questo caso) può identificare il conducente.
Beh, okay, non c’è molto di nuovo lì. Il GDPR si applica ovviamente alle auto connesse. Ecco la prima pagnotta nel nostro panino.
Legge sull’AI
La situazione con l’AI Act è leggermente più complicata ma, come vedremo, il succo è che l’AI Act è ancora applicabile. Semmai, quindi, per valutare se ci sono obblighi specifici della legge da rispettare.
Allora, cominciamo con quello più ovvio. I sistemi di riconoscimento facciale ed emotivo sono sicuramente tipi di sistemi basati su macchine che possono generare output, come, in questo caso, raccomandazioni o decisioni che influenzano gli ambienti fisici, ad esempio la temperatura dell’auto (articolo 3). Intellicar è colui che ha sviluppato e implementato il sistema e, quindi, anche il suo fornitore. Quindi ora resta solo da stabilire quali (se presenti) obblighi dovranno rispettare. Per rispondere a questa domanda, possiamo iniziare confermando che i sistemi di riconoscimento facciale ed emotivo sono provvisoriamente elencati nell’allegato III come sistemi di IA ad alto rischio. L’unico modo per liberarsi potenzialmente da tutti gli obblighi della legge sarebbe quello di condurre una valutazione del rischio e verificare che il loro particolare sistema non rappresenti effettivamente un rischio elevato per le persone interessate, poiché sono in atto misure sufficienti di protezione dei dati e il le raccomandazioni e le decisioni prese dal sistema sono di minore importanza. Questa valutazione, anche se il risultato fosse positivo, il che significa che il sistema non è poi così rischioso, dovrà comunque essere approfondita, documentata e presentata alle autorità.
La registrazione dei dati per le rettifiche assicurative automatizzate è leggermente più complessa poiché in questo caso non è l’azienda che ha effettivamente accesso o implementa il sistema AI. Fornisce semplicemente i dati (o almeno dovrebbe). I fornitori di dati non rientrano (per fortuna) tra i ruoli previsti dalla legge sull’intelligenza artificiale, quindi con sufficienti garanzie contrattuali e documentali dovremmo essere al sicuro. ma solo dato che IntelliCar non ha in qualche modo riadattato in modo significativo il sistema per adattarlo alle loro auto, il che non sarebbe poi così sorprendente. In questo caso torniamo al punto di partenza, IntelliCar è nuovamente considerato un fornitore e ha ancora almeno alcuni rischi da valutare.
Infine, il nostro assistente virtuale potrebbe essere il più problematico di tutti, poiché dobbiamo prima determinare se IntelliCar è un distributore o un fornitore della tecnologia. Per semplicità diciamo che in questo caso IntelliCar utilizza il plug-in ChatGPT Enterprise e lo personalizza solo utilizzando dati interni. Quindi si spera che stiano semplicemente implementando il sistema e possano essere ritenuti responsabili solo per la scelta di un sistema potenzialmente non conforme. Ma possono lasciare questo problema per il loro sé futuro. Innanzitutto è tempo di conquistare il mercato, qualunque sia il costo (futuro).
Legge sui dati
Ora finalmente arriviamo all’ultimo (beh sicuramente non l’ultimo, ma l’ultimo che prenderemo in considerazione qui) ingrediente segreto nel nostro sandwich sulla conformità delle auto connesse. La legge sui dati. E qui la nostra IntelliCar si troverà sotto attacco su tutti e tre i fronti (in modo abbastanza semplice) in quanto produttore di un prodotto connesso. E solo per soffermarci su questa legge che ha ricevuto immeritatamente poca attenzione da parte del pubblico, ci sono molte trappole esplosive a cui prestare attenzione qui.
Il Data Act ha principalmente lo scopo di conferire maggiore potere agli utenti concedendo loro vari diritti di accesso non solo ai dati personali raccolti durante l’uso dei prodotti connessi ma anche ai dati non personali, come i dati che indicano lo stato dell’hardware e i malfunzionamenti (considerando 15). Ora, anche se quando si tratta di prodotti connessi, che sono spesso utilizzati da persone fisiche, è abbastanza sicuro affermare che molti dei dati raccolti saranno personali. È comunque bene tenere presente che gli utenti devono poter accedere a TUTTI i dati raccolti (metadati necessari per interpretare i dati originali inclusi). E questo deve essere possibile in modo semplice, sicuro, gratuito e, nella migliore delle ipotesi, in un formato comprensibile, leggibile dalle macchine e direttamente accessibile. (Un gioco da ragazzi!) Naturalmente la legge comporta tutta una serie di altri obblighi, in particolare per quanto riguarda la condivisione delle informazioni, a seconda del ruolo che una determinata azienda (o persona fisica) ricopre al suo interno. Non li elencherò tutti, ma ne citerò un paio particolarmente interessanti e pertinenti al mio contesto immaginario.
Il primo è il modo in cui la legge tratta i segreti commerciali. Vale a dire, nelle situazioni in cui l’utente non può accedere direttamente ai dati, i dati devono essere forniti all’utente dal titolare dei dati. Ora, molti di questi dati saranno molto preziosi per l’azienda che li detiene, forse tanto preziosi quanto metterli sul piedistallo di un segreto commerciale. Questi segreti sono infatti informazioni tecniche o organizzative che hanno valore commerciale, sono volutamente mantenute segrete e il cui accesso è limitato. E così, anche se i singoli punti dati potrebbero non meritare questo status, quando pensiamo a raccolte più complesse costruite a partire da punti dati raccolti, potenzialmente arricchite con dati di terze parti e persino inferenze, queste raccolte potrebbero benissimo meritare la protezione del segreto commerciale. E mentre il GDPR non prenderebbe mai in considerazione l’idea che un utente non possa accedere a un profilo costruito sulla base dei suoi dati, il Data Act considera questa possibilità. Innanzitutto perché regola anche la condivisione di dati non personali. Pertanto, in alcuni casi in cui è dimostrato il rischio di subire un grave danno economico, il titolare dei dati può trattenere i dati richiesti in quanto segreto commerciale. Dopo tutto, questa eccezione potrebbe lasciare un certo margine di manovra alle aziende per non condividere tutti i loro dati preziosi.
La seconda particolarità riguarda il nostro premio assicurativo basato sull’utilizzo, poiché la legge regola anche i contratti intelligenti. Significa contratti in cui “un programma informatico (viene) utilizzato per l’esecuzione automatizzata di un accordo… utilizzando una sequenza di record elettronici”. Un esempio di tale contratto intelligente potrebbero essere gli aggiustamenti assicurativi automatizzati basati su dati in tempo reale. E un obbligo importante in questo senso è lo smart contract interruttore di interruzione che deve essere implementato come “un meccanismo… per porre fine all’esecuzione continuata delle transazioni e che… include funzioni interne che possono reimpostare o istruire il contratto a fermare o interrompere l’operazione”. Questo interruttore di interruzione pone domande importanti sulle conseguenze che avrà per il conducente, per IntelliCar e per la compagnia assicurativa. Vale a dire, solleva questioni come chi ha il diritto di utilizzare il kill switch, quando può essere utilizzato (i contratti sono contratti per un motivo e la loro esecuzione è nella maggior parte dei casi una cosa giusta, legalmente obbligatoria), cosa succede quando qualcuno lo usa ( il premio ritorna a una modalità predefinita?), e puoi fare clic su interruttore di interruzione essere invertito (come contabilizzare il tempo di guida non registrato)? Tutto questo dovrà essere (molto probabilmente) regolato contrattualmente tra le parti coinvolte e non è cosa da poco.
Infine, un ultimo grattacapo che prenderemo in considerazione è che anche gli assistenti virtuali sono esplicitamente regolamentati dalla legge sui dati (articolo 31). Assistente virtuale, nel contesto della norma, significa “software in grado di elaborare richieste, compiti o domande, compresi quelli basati su audio, input scritti, gesti o movimenti, e che, sulla base di tali richieste, compiti o domande, fornisce l’accesso ad altri servizi o controlla le funzioni dei prodotti connessi”. Ora questo sostanzialmente apre un vaso di Pandora non solo per il nostro produttore di auto intelligenti ma potenzialmente anche per l’azienda che sviluppa l’assistente virtuale, magari trascinandoli in altre 70 pagine di testi legislativi da rispettare. (Come se non ne avessero già abbastanza nel piatto.) E nessuno sa come si svilupperebbe l’argomento del segreto commerciale (o forse la scusa) in questo contesto.
Fonte: towardsdatascience.com