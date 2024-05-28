Nel novembre 2023, la California Privacy Protection Agency (CPPA) ha pubblicato una serie di regolamenti preliminari sull'uso dell'intelligenza artificiale (AI) e della tecnologia di processo decisionale automatizzato (ADMT).
Le regole proposte sono ancora in fase di sviluppo, ma le organizzazioni devono prestare molta attenzione alla loro evoluzione. Poiché lo Stato ospita molte delle più grandi aziende tecnologiche del mondo, qualsiasi normativa sull'AI adottata dalla California potrebbe avere un impatto ben oltre i suoi confini.
Inoltre, una corte d'appello della California ha recentemente stabilito che il CPPA può applicare immediatamente le regole non appena sono finalizzate. Seguendo il progresso delle regole ADMT, le organizzazioni possono posizionarsi meglio per conformarsi non appena le normative entrano in vigore.
La CPPA sta ancora accettando i commenti pubblici e rivedendo le regole, quindi i regolamenti potrebbero cambiare prima che vengano adottati ufficialmente. Questo post si basa sulla bozza più recente, aggiornata al 9 aprile 2024.
Il California Consumer Privacy Act (CCPA), la legge fondamentale della California sulla privacy dei dati, inizialmente non affrontava l'indirizzo dell'uso dell'ADMT. Questo è cambiato con l'approvazione del California Privacy Rights Act (CPRA) nel 2020, che ha modificato il CCPA in diversi modi importanti.
La CPRA ha creato la CPPA, un'agenzia regolatoria che applica le regole della CCPA. La CPRA ha inoltre conferito alla CPPA l'autorità di emanare regolamenti riguardanti i diritti dei consumatori californiani di accedere alle informazioni e di non partecipare alle decisioni automatizzate. La CPPA sta lavorando alle norme ADMT in base a questa autorità.
Come per il resto della CCPA, le regole preliminari si applicheranno alle organizzazioni a scopo di lucro che operano in California e soddisfano almeno uno dei seguenti criteri:
Inoltre, i regolamenti proposti si applicheranno solo a determinati usi dell'AI e dell'ADMT: prendere decisioni significative, profilare ampiamente i consumatori e formare strumenti ADMT.
La bozza attuale definisce la tecnologia decisionale automatizzata come qualsiasi software o programma che elabora dati personali e utilizza il calcolo per eseguire una decisione, sostituire il processo decisionale o facilitare sostanzialmente il processo decisionale. La bozza specifica che questa definizione include software e programmi "derivati machine learning, dalla statistica, da altre tecniche di trattamento dei dati o dall’intelligenza artificiale".
La bozza di regolamento menziona esplicitamente alcuni strumenti che non rientrano nella categoria ADMT, tra cui filtri antispam, fogli di calcolo e firewall. Tuttavia, se un'organizzazione tenta di utilizzare questi strumenti esenti per prendere decisioni automatizzate in modo da aggirare le normative, le regole si applicheranno a tale uso.
Le regole preliminari si applicheranno a qualsiasi uso dell'ADMT per prendere decisioni che abbiano effetti significativi sui consumatori. In generale, una decisione significativa è quella che influisce sui diritti di una persona o sull'accesso a beni, servizi e opportunità critiche.
Ad esempio, le regole preliminari copriranno le decisioni automatizzate che influenzano la capacità di una persona di trovare un lavoro, andare a scuola, ricevere assistenza sanitaria o ottenere un prestito.
La profilazione è l'atto di elaborare automaticamente le informazioni personali di una persona per valutare, analizzare o prevedere i suoi tratti e le sue caratteristiche, come le prestazioni lavorative, gli interessi dei prodotti o il comportamento.
"Profilazione estesa" si riferisce a particolari tipi di profilazione:
Le regole preliminari si applicheranno all'uso da parte delle aziende dei dati personali dei consumatori per addestrare determinati strumenti ADMT. In particolare, le regole coprono l'addestramento di un ADMT che può essere utilizzato per prendere decisioni significative, identificare persone, generare deepfake o eseguire identificazione e profilazione fisica o biologica.
Essendo una legge della California, la tutela dei consumatori prevista dal CCPA si estende solo ai consumatori residenti in California. Lo stesso vale per le tutele garantite dalla bozza di regolamento ADMT.
Detto questo, queste norme definiscono il concetto di "consumatore" in modo più ampio rispetto a molte altre normative sulla privacy dei dati. Oltre alle persone che interagiscono con un'azienda, le regole coprono dipendenti, studenti, lavoratori autonomi e candidati a scuole e lavori.
Il progetto di regolamento CCPA sull'AI prevede tre requisiti chiave. Le organizzazioni che utilizzano l'ADMT coperto devono emettere avvisi di pre-utilizzo ai consumatori, offrire modi per rinunciare all'ADMT e spiegare in che modo l'uso dell'ADMT da parte dell'azienda influisce sul consumatore.
Sebbene la CPPA abbia rivisto i regolamenti una volta e probabilmente lo farà di nuovo prima che le norme vengano formalmente adottate, questi requisiti fondamentali compaiono finora in ogni bozza. Il fatto che questi requisiti persistano suggerisce che rimarranno nelle norme definitive, anche se i dettagli della loro attuazione dovessero cambiare.
Prima di utilizzare l'ADMT per uno degli scopi coperti, le organizzazioni devono notificare ai consumatori, in modo chiaro e visibile, un avviso di pre-utilizzo. L'avviso deve spiegare in modo chiaro come l'azienda utilizza l'ADMT e spiegare i diritti dei consumatori ad accedere a maggiori informazioni sull'ADMT e a non accettare l'elaborazione.
L'azienda non può ricorrere a un linguaggio generico per descrivere come utilizza l'ADMT, ad esempio "Utilizziamo strumenti automatici per migliorare i nostri servizi" ma deve descrivere l'uso specifico.
L'avviso deve indirizzare i consumatori a informazioni aggiuntive su come funziona l'ADMT, inclusa la logica dello strumento e come l'azienda utilizza i suoi output. Queste informazioni non devono necessariamente essere incluse nel corpo dell'avviso. L'organizzazione può fornire ai consumatori un link o un altro modo per accedervi.
Se l'azienda consente ai consumatori di fare ricorso rispetto alle decisioni automatizzate, l'avviso pre-utilizzo deve spiegare il processo di ricorso.
I consumatori hanno il diritto di rinunciare alla maggior parte degli usi coperti di ADMT. Le aziende devono agevolare questo diritto offrendo ai consumatori almeno due modi per inviare richieste di rinuncia.
Almeno uno dei metodi di rinuncia deve utilizzare lo stesso canale attraverso il quale l'azienda interagisce principalmente con i consumatori. Per esempio, un rivenditore digitale può avere un modulo web che gli utenti devono compilare.
I metodi di rinuncia devono essere semplici e non possono prevedere passaggi superflui, come ad esempio richiedere agli utenti di creare un account.
Dopo aver ricevuto una richiesta di rinuncia, un'azienda deve interrompere l'elaborazione delle informazioni personali di un consumatore utilizzando quella tecnologia di processo decisionale entro 15 giorni. L'azienda non può più utilizzare i dati del consumatore precedentemente elaborati. L'azienda deve inoltre avvisare eventuali fornitori di servizi o terze parti con cui ha condiviso i dati dell'utente.
Le organizzazioni non sono tenute a permettere ai consumatori di rinunciare all'ADMT utilizzato a scopi di sicurezza, protezione e prevenzione delle frodi. Le regole preliminari menzionano specificamente l'uso dell'ADMT per rilevare e rispondere a incidenti di sicurezza dei dati, prevenire e perseguire atti fraudolenti e illegali, e garantire la sicurezza fisica di una persona fisica.
Ai sensi dell'eccezione dell'appello umano, un'organizzazione non è tenuta a consentire le esclusioni se consente alle persone di presentare appello alle decisioni automatiche a un revisore umano qualificato con l'autorità di annullare tali decisioni.
Le organizzazioni possono anche rinunciare alle deroghe per alcuni usi ristretti dell'ADMT in contesti lavorativi e scolastici. Questi includono:
Tuttavia, questi usi lavorativi e scolastici sono esenti da deroghe solo se soddisfano i seguenti criteri:
Nessuna di queste esenzioni si applica alla pubblicità comportamentale o alla formazione ADMT. I consumatori possono sempre rinunciare a questi utilizzi.
I consumatori hanno il diritto di accedere alle informazioni su come un'azienda utilizza l'ADMT su di loro. Le organizzazioni devono offrire ai consumatori un modo semplice per richiedere queste informazioni.
Quando rispondono alle richieste di accesso, le organizzazioni devono fornire dettagli come il motivo dell'uso dell'ADMT, l'output dell'ADMT riguardo al consumatore e una descrizione di come l'azienda ha utilizzato l'output per prendere una decisione.
Le risposte alle richieste di accesso devono includere anche informazioni su come il consumatore può esercitare i propri diritti CCPA, come la presentazione di reclami o la richiesta di cancellazione dei propri dati.
Se un'azienda utilizza l'ADMT per prendere una decisione significativa che influisce negativamente su un consumatore (ad esempio portando al licenziamento) deve inviare un avviso speciale al consumatore riguardo ai propri diritti di accesso riguardo a questa decisione.
L'avviso deve includere:
La CPPA sta sviluppando progetti di regolamenti sulle valutazioni del rischio insieme alle regole proposte su AI e ADMT. Sebbene tecnicamente si tratti di due insiemi di regole separati, le normative sulla valutazione del rischio influenzerebbero il modo in cui le organizzazioni utilizzano AI e ADMT.
Le regole sulla valutazione del rischio richiederanno alle organizzazioni di effettuare valutazioni prima di utilizzare l'ADMT per prendere decisioni significative o per condurre profilazioni estese. Le organizzazioni devono inoltre effettuare valutazioni dei rischi prima di utilizzare informazioni personali per addestrare determinati modelli ADMT o AI.
Le valutazioni del rischio devono identificare i rischi che l'ADMT comporta per i consumatori, i potenziali benefici per l'organizzazione o altri stakeholder e le misure di salvaguardia per mitigare o rimuovere il rischio. Le organizzazioni devono astenersi dall'utilizzare AI e ADMT quando il rischio supera i vantaggi.
I progetti di regole della California sull'ADMT sono ben lungi dall'essere il primo tentativo di regolamentare l'uso dell'AI e delle decisioni automatizzate.
L'AI Act dell'Unione Europea impone requisiti rigorosi allo sviluppo e all'uso dell'AI in Europa.
Negli Stati Uniti, la legge sulla privacy del Colorado e la legge sulla protezione dei dati dei consumatori della Virginia danno entrambe ai consumatori il diritto di rinunciare all'elaborazione delle loro informazioni personali per prendere decisioni importanti.
A livello nazionale, il Presidente Biden ha firmato un ordine esecutivo nell'ottobre 2023 che ordina ad agenzie e dipartimenti federali di creare standard per lo sviluppo, l'uso e la supervisione dell'AI nelle rispettive giurisdizioni.
Tuttavia, le normative ADMT proposte dalla California attirano più attenzione rispetto ad altre leggi statali perché possono potenzialmente influenzare il comportamento delle aziende oltre i confini dello Stato.
Gran parte del settore tecnologico globale ha sede in California, quindi molte delle organizzazioni che realizzano gli strumenti di processo decisionale automatizzati più avanzati dovranno rispettare queste regole. Le tutele dei consumatori si estendono solo ai residenti in California, ma per semplicità le organizzazioni potrebbero offrire le stesse opzioni anche ai consumatori al di fuori dello stato.
Il CCPA originale è spesso considerato la versione americana del Regolamento generale sulla protezione dei dati (GDPR) perché ha alzato il livello delle pratiche sulla privacy dei dati a livello nazionale. Queste nuove regole di AI e ADMT potrebbero produrre risultati simili.
Le regole non sono ancora definitive, quindi è impossibile dirlo con certezza. Detto questo, molti osservatori stimano che le norme non entreranno in vigore prima della metà del 2025.
Si prevede che la CPPA terrà un'altra riunione del consiglio a luglio 2024 per discutere ulteriormente le regole. Molti ritengono che il Consiglio della CPPA probabilmente inizierà il processo di regolamentazione formale in occasione di questa riunione. Se così fosse, l'agenzia avrebbe un anno di tempo per finalizzare le regole, da cui la data di entrata in vigore stimata a metà del 2025.
Come per altre parti del CCPA, il CPPA avrà il potere di indagare sulle violazioni e di multare le organizzazioni. Il procuratore generale della California può anche imporre sanzioni civili in caso di non conformità.
Le organizzazioni possono essere multate di 2.500 USD per violazioni involontarie e di 7.500 USD per quelle intenzionali. Questi importi si intendono per violazione, e ogni consumatore interessato conta come una violazione. Le sanzioni possono rapidamente aumentare quando le violazioni coinvolgono più consumatori, come spesso accade.
La bozza delle norme è ancora in fase di elaborazione. La CPPA continua a sollecitare commenti pubblici e a tenere discussioni in seno al consiglio direttivo, ed è probabile che le regole cambino ulteriormente prima di essere adottate.
La CPPA ha già apportato revisioni significative alle regole basate su feedback precedenti. Ad esempio, dopo la riunione del consiglio di dicembre 2023, l'agenzia ha aggiunto nuove esenzioni dal diritto di rinunciare e ha imposto restrizioni sulla profilazione fisica e biologica.
L'agenzia ha anche modificato la definizione di ADMT per limitare il numero di strumenti a cui si applicano le regole. Mentre la bozza originale includeva qualsiasi tecnologia che facilitasse il processo decisionale umano, la bozza più recente si applica solo all'ADMT che facilita notevolmente il processo decisionale umano.
Molti gruppi di settore ritengono che la definizione aggiornata rifletta meglio le realtà pratiche dell'uso dell'ADMT, mentre i sostenitori della privacy temono che crei scappatoie sfruttabili.
Anche lo stesso Consiglio direttivo della CPPA è diviso su come dovrebbero essere strutturate le regole definitive. In una riunione del marzo 2024, due membri del consiglio hanno espresso preoccupazione che la bozza attuale eccede l'autorità del consiglio.
Dato come si sono evolute finora le regole, i requisiti fondamentali per avvisi pre-utilizzo, diritti di disattivazione e diritti di accesso hanno una forte probabilità di rimanere intatti. Tuttavia, le organizzazioni possono avere domande persistenti come:
Qualunque sia l'esito, queste regole avranno implicazioni significative su come l'AI e l'automazione saranno regolamentate a livello nazionale, e su come i consumatori saranno protetti di fronte a questa tecnologia in espansione.
Disclaimer: il cliente è responsabile della conformità a tutte le leggi e normative vigenti. IBM non fornisce consulenza legale, né dichiara o garantisce che i suoi servizi o prodotti assicurino al cliente la conformità a qualsivoglia legge o regolamento.