Non so se ci hai fatto caso, ma da quando è uscito l’AI Act – anzi, già da prima -, sul web, sui social, sui programmi di formazione… sono spuntati dal nulla degli esperti di intelligenza artificiale. Dei DPO, consulenti, sedicenti fenomeni che – oh, tranquillo! - sanno tutto loro.
“Ti risolvo la privacy, il GDPR e pure l’intelligenza artificiale. Fidati, sono un esperto. Sono un fenomeno dell’intelligenza artificiale.”
Bene. Se hai letto gli altri articoli che ho scritto sull’argomento – come intelligenze artificiali e ignoranze naturali o consigli per imprenditori e responsabili marketing - e se mi segui, forse saprai che io, prima di occuparmi di privacy e GDPR, lavoravo proprio nel settore dell’intelligenza artificiale.
Poi è passato del tempo e quando sono usciti i nuovi modelli, ho dovuto aggiornarmi. E ancora alcune cose non mi sono chiarissime. Allora mi chiedo come sia possibile che gente che fino all’altro giorno si occupava, per esempio, solo di privacy, all’improvviso diventi esperta.
Poi non stupiamoci troppo se le aziende si lanciano in progetti di AI, senza sapere quali sono i rischi, senza sapere che strumenti usano. Senza sapere niente.
E quando dici: “Aspetta, forse è meglio se eviti di usare l’intelligenza artificiale in quel modo”, ti rispondono: “Il solito negativo, quello che dice sempre di no, ma come la fai pesante... Se non facciamo l’AI, restiamo indietro… E poi non dobbiamo preoccuparci, perché tanto c’è il nostro esperto…”
C’è l’esperto.
Quindi?
Quindi, da un lato, abbiamo delle aziende che non sono pronte.
E dall’altro abbiamo dei consulenti, dei DPO, che – purtroppo - non sono pronti.
Siamo potenzialmente tutti in “pista nera” con i nostri sci affittati o con lo slittino
Quando parliamo di intelligenza artificiale, è chiaro che intendiamo l’utilizzo di strumenti la cui conoscenza era riservata a pochi e veniva utilizzata da pochi fino a 5 anni fa.
Oggi, la conoscenza su cosa fanno gli strumenti di intelligenza artificiale, ma soprattutto come lo fanno e quali sono le potenziali problematiche che possono mettere in atto è ancora una materia per pochi.
E noto un’ignoranza, a mio parere drammatica, e una superficialità assoluta nell’approcciarsi all'utilizzo di strumenti con l'intelligenza artificiale.
L’approccio è lo stesso che abbiamo con gli sci
Sono stati inventati gli sci e invece di imparare a usarli con l’aiuto di un maestro, andare per gradi, scegliere le piste sicure, cosa si fa? Si noleggia l’attrezzatura, si prende la seggiovia e poi, tutti a buttarsi giù dalla montagna dalla pista nera.
Tanto, se ci riesce Tommasone, ci riesci anche tu, cosa ci vuole?
Poi succede quel che succede. Se arrivi giù sano e salvo, bene. Ma se arrivi con tutte le ossa rotte è un altro discorso.
La stessa cosa sta succedendo con l’intelligenza artificiale.
La gente si sta affittando gli sci – cioè, l’AI – e senza nessuna consapevolezza di dove sta andando, da quale montagna vuole scendere, che tipo di pista ci sarà… via! Si lancia, riempiendo e addestrando queste macchine basate sulle reti neuronali, su large language model e quant'altro, per riuscire a dire “Guarda, lo faccio anch'io! Anch'io sono stato bravo! Sono andato a sciare!”
È un approccio difficilmente accettabile
Io la trovo una cosa che, se può difficilmente essere accettata da un ragazzo giovane, preso dall'enfasi di andar via con gli amici per sciare, non lo è per un adulto consapevole o per un'azienda che produce e che lavora sul territorio europeo o mondiale, poco importa.
Un’azienda che fa così non ha consapevolezza degli strumenti, di come li sta utilizzando, del cosa vuol dire e cosa potrebbe succedere nell'utilizzare questi strumenti.
La trovo una follia assoluta, una distonia.
Poi c’è chi dice: “Ci sono troppe regole. Bloccano lo sviluppo economico dei paesi perché li ingabbiano.”
Ma sono regole dettate dal buon senso.
Ricordiamoci che vengono adottate perché la consapevolezza delle imprese è nulla.
Se fossimo tutti virtuosi, non ci sarebbe bisogno di tutte queste regole.
Serve un team multidisciplinare: il DPO “da solo” non basta
Già col GDPR, dicevo che la figura del DPO - che sia un po’ più legal, un po’ più tecnico non importa -, da sola, ha poco senso. Perché l’utilizzo di certi strumenti esula dalle competenze di molti.
Il DPO, secondo me, non deve essere una figura, ma deve essere un team sempre di più multidisciplinare, al cui interno ci sarà chi ha più attenzione per la parte legale, chi per la gestione delle persone, chi è più attento e skillato sulla parte tecnologica e di cybersecurity (pensiamo alla NIS2). E poi nel team ci deve essere qualcuno che ha competenze legate all’AI.
E qui casca l’asino.
Perché il vero grande problema è che ci sono pochissime persone con competenze AI reali.
C’è un problema legato alla formazione
Sto notando due tipi di problema:
1) Troppi DPO hanno smesso di formarsi
Conosco centinaia di privacy manager, di esperti privacy, di DPO che hanno smesso di fare formazione nel 2018. Sottolineo: nel 2018. Non si formano più e quindi non riescono a fare un salto di qualità. E formarsi non vuol dire solo “faccio un corso online” e sono a posto. Formarsi vuol dire aggiornamento costante, nel tempo, seguendo corsi qualificati.
2) Sto vedendo una miriade di esperti di intelligenza artificiale
Sono tutti esperti… ma io, anche se vengo da quel mondo - sono partito dalla specializzazione in intelligenza artificiale e ho dei brevetti sulle reti neurali in Italia -, ho avuto una necessità enorme di formarmi. Perché la tecnologia è andata avanti, volevo capire come funzionassero i nuovi modelli. E mi sono detto: “Ma se ancora faccio fatica io, un pochettino, a capire certe cose. Mi immagino un DPO, bravissimo magari nella gestione della privacy, che si mette a parlare di AI, perché ha visto qualche video su TikTok e usa ChatGPT…” Questa cosa la trovo drammatica.
Anche perché c’è modello e modello…
Non tutti i modelli di intelligenza artificiale vanno bene
Come vengono gestite le informazioni all'interno di questi modelli?
Che tipo di modello scegliere?
Perché bisogna sapere che non tutti i modelli sono uguali, non tutti sono conformi col GDPR.
Ci sono dei modelli che, per come sono costruiti, non riescono a mantenere le minime regole richieste dal GDPR e dall’AI Act.
Perché alcuni modelli non riescono a disimparare quello che gli abbiamo insegnato. Altre sì. Ma alcune no. Sono come gli umani. Anche se dici a Tommasone: “Tommasone, scordati questa cosa” non ci riesci. O gli dai una botta in testa e gli viene una commozione cerebrale o non se la scorda.
E se tu sei un DPO, da solo, come fai?
Servono team multidisciplinari, perché, se sei un one-man-band, ti esponi al rischio di infilarti in problematiche grosse, secondo me. Quindi serve formazione e serve confronto.
E forse non basta neanche questo…
Infatti, stiamo lavorando a nuovi sistemi.
Stiamo lavorando su sistemi fatti con l’AI perché parlino con l’AI
È inutile nasconderselo: stiamo lavorando su sistemi fatti con l'intelligenza artificiale in grado di parlare con l'intelligenza artificiale e di capire quanto può essere a norma o no, perché è l'unico modo.
Hai presente il primo Blade Runner?
Se non hai visto il film, corri e vai a recuperarlo.
Bene. In Blade Runner c’è Harrison Ford che fa delle domande a delle persone per capire se sono dei replicanti oppure no. Fa delle domande a caso, per vedere come si sposta l’iride dell’occhio degli interrogati. A fronte di come la sposta e di quello che dice, si capisce se Tizio è un replicante.
So che sembra fantascienza – perché in effetti era fantascienza – ma la ratio è la stessa: usare elementi di intelligenza artificiale in grado di aiutarci nella valutazione di compliance e nella valutazione dell'eventuale rischio sull'utilizzo di quel tipo di intelligenza artificiale, con quel tipo di informazioni.
Perché – attenzione! - non possiamo disgiungere lo strumento dalle informazioni che gli mettiamo dentro. Alcuni strumenti andranno benissimo e se mettiamo dentro alcune informazioni non ci saranno problemi. Ma altri strumenti potranno non essere adeguati per gestire certe finalità con certi dati.
E mentre questi sistemi prendono vita, cosa possiamo fare?
Ragionare cum grano salis, cioè con la forma mentis del GDPR.
IL GDPR insegna…
L’AI Act è diventato direttamente applicabile da poco, ma è un regolamento che ha una serie di scadenze e di attenzioni, e che diventerà pienamente operativo nel maggio del 2026. Quindi, occhio a dire: “Vabbè mancano ancora due anni, aspettiamo di vedere cosa succede tra due anni…”
Perché era già successo col GDPR – aspettiamo e vediamo… - e io non ho dubbi che ci ricadremo. E parlo delle aziende europee in toto, non solo quelle italiane. Perché non pensiamo di essere il fanalino di coda da questo punto di vista, anzi. Sul GDPR forse non siamo messi così male, anche in riferimento agli altri Stati europei. Ci aspettano più o meno 2 anni per la piena operatività ed ecco che il GDPR ci deve venire in aiuto, proprio perché:
- è un dejà vu: abbiamo già vissuto l’esperienza di un regolamento che impatta sul trattamento dei dati personali e dei dati in generale; quindi, sappiamo cosa potrebbe accadere
- in realtà, l’AI Act potrebbe tranquillamente essere una postilla – corposa, ci mancherebbe – del GDPR. Ovvero il GDPR dà le indicazioni di massima su come ci dobbiamo comportare quando trattiamo dei dati personali e l’AI Act su come ci dobbiamo comportare, quando trattiamo dati personali e non solo, con lo strumento dell'intelligenza artificiale. Ma il cappello che ci sta sopra rimane il Regolamento europeo sulla protezione dei dati personali.
Questo, secondo me, dobbiamo tenerlo presente.
Infatti, non esiste un esperto di AI Act, che non sia anche un esperto di GDPR.
Quindi, io posso essere un esperto di GDPR che non sa niente di AI Act, ma non il contrario.
E per essere un bravo DPO?
Be’, intanto serve la formazione giusta. Per esempio, quella di Raise Academy.
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
