F5 e il GDPR: la legislazione starà al passo con la tecnologia?

F5 e il GDPR: la legislazione starà al passo con la tecnologia?

Paolo Arcagni, System Engineer Manager di F5, mette a fuoco il rapporto tra gli aspetti normativi del GDPR e la forte accelerazione tecnologica che stiamo vivendo.

Immaginate una società del futuro in cui l'intelligenza artificiale (AI) sostituisca l'intervento umano e i dati assumano una vita propria. Sembra fantascienza? In realtà, è un futuro che possiamo considerare molto vicino, se non addirittura un possibile presente.
La forma di quella che viene chiamata la quarta rivoluzione industriale è ormai già delineata e l’attenzione è sempre più rivolta ai punti di attrito che emergono tra l'uomo e la macchina e alla nozione di libero scambio digitale rispetto ai diritti sui dati personali.

È indiscutibile che l’intelligenza artificiale rappresenti una faccenda complessa e l’entusiasmo e la preoccupazione nei suoi confronti crescano simultaneamente. Google ha reso l'AI una delle sue priorità; anche Facebook, Microsoft e IBM stanno investendo in modo significativo nella ricerca e nell'applicazione alle proprie attività di business di programmi di machine-learning.

La società di ricerca Research And Markets ha recentemente dichiarato che il mercato globale dell'AI raggiungerà 190,61 miliardi di dollari entro il 2025, rispetto a 21,46 miliardi di dollari del 2018, con un tasso di crescita annuale composto del 36,62%. Gli investimenti attuali sono stimolati da fattori come l'adozione crescente di applicazioni e servizi cloud-based, la crescita dei big data e la richiesta maggiore di assistenti virtuali intelligenti.
Le organizzazioni, infatti, stanno già sfruttando, adattando e proteggendo i servizi fondati sull'intelligenza artificiale, beneficiando dei dati acquisiti da una vasta gamma di fonti. I sogni fantascientifici stanno quindi diventando realtà e il futuro è ricco di potenzialità.

Esistono però anche sfide importanti: uno dei problemi più rilevanti e complessi è come pianificare le attività di AI tenendo presente il potenziale impatto del regolamento generale sulla protezione dei dati personali (GDPR) dell'UE. In effetti, la legislazione implica che l'AI dovrà evolversi in uno scenario di tutela dei diritti dei dati dei cittadini che non ha precedenti. Sebbene questo sia positivo, le preoccupazioni che la tecnologia possa superare indenne l'efficacia del GDPR sono legittime, in particolare nel momento in cui i confini della proprietà dei dati automatizzati diventano più difficili da definire.

Realtà o finzione? - Quando il volume dei dati, le tipologie e i casi d'uso cresceranno in modo ancor più esponenziale, la gestione delle responsabilità sarà fondamentale. In sostanza, il GDPR introduce una richiesta di chiarezza e concretizza l’esigenza di specificare in maniera esplicita queste responsabilità, in modo da evidenziare nuovi obblighi di responsabilità, maggiori diritti dei consumatori e restrizioni all'uso e ai flussi di dati internazionali. Il processo, però, sarà sempre più complicato man mano che l'intelligenza artificiale diventerà più avanzata.
Ritenete di avere il diritto legale di acquisire o elaborare i dati? Chi è responsabile per i dati manipolati dall'AI? Chi è responsabile se i sistemi creati dall'AI diventano vulnerabili agli hacker? Chi deve dirigere l’orchestra, il produttore dell'hardware originale o lo sviluppatore del software? La responsabilità risiede nell'UE, dove il prodotto viene utilizzato, o nel paese nel quale è stato sviluppato? In definitiva, sia la tecnologia che la posizione geografica diventano irrilevanti: il GDPR si applica a prescindere, a partire dalla condizione che si stia processano dati dei cittadini dell'UE.

Proteggere i dati - Fortunatamente, il GDPR non è ignaro della sfida e mira a introdurre una serie di regole tecnologicamente neutrali e indipendenti da come l'ambiente digitale potrà svilupparsi in futuro. La domanda però rimane: la normativa potrà evolvere abbastanza rapidamente da supportare in modo costruttivo la complessità assoluta, ad esempio, di un mondo multi-cloud basato sull'intelligenza artificiale?

L'AI trascende le frontiere dell'innovazione, per questo motivo potrebbe essere difficile sostenere la spinta del GDPR in termini di "diritto all'oblio", in base al quale un cittadino può richiedere che i suoi dati personali non vengano più elaborati. È possibile, ad esempio, che i sistemi di AI decidano di mantenere comunque i dati per proteggersi da quella che percepiscono come una richiesta controintuitiva, o potrebbe esserci una volontà intrinseca di sfruttarli per sviluppare ulteriormente le capacità del servizio. In entrambi i casi, la legge è saldamente dalla parte della persona interessata e qualsiasi progetto di intelligenza artificiale dovrà adattarsi di conseguenza.

Non fermarsi a guardare - La scelta migliore per le organizzazioni oggi è agire subito, adottando un approccio basato sul rischio e implementando controlli solidi per proteggere le informazioni personali e sensibili ed evitare pesanti sanzioni pecuniarie.
Indipendentemente dalle complessità del GDPR rispetto all’AI, l’approccio corretto è comprendere appieno le basi legali dell'acquisizione dei dati prima di proteggere in modo efficace le applicazioni, cioè il luogo deve la maggior parte delle nostre informazioni personali risiede. A tal fine, i servizi di application delivery e security devono essere flessibili, scalabili, programmabili e automatizzabili. Le soluzioni di sicurezza intelligenti devono fornire una visibilità completa che consenta alle aziende di distribuire e gestire i servizi applicativi ovunque l'app si trovi.

Il GDPR è un chiaro passo avanti verso il rafforzamento dei diritti fondamentali dei cittadini; tuttavia, dovrà muoversi rapidamente ed essere monitorato attentamente se vuole rimanere al passo con le ambizioni globali e insane della criminalità informatica. Purtroppo, l’esperienza insegna che la legislazione può rivelarsi lenta da aggiornare e implementare e, in un mondo in cui l'intelligenza artificiale e la tecnologia si stanno spostando verso livelli di innovazione e complessità senza precedenti, le organizzazioni e i governi devono garantire la collaborazione di tutte le parti, per dare vita a una società sicura per i cyber-cittadini sempre più digitali.

Dobbiamo prepararci al futuro, rimanendo anche filosoficamente e operativamente allineati con i principi chiave del GDPR. I regolamenti sono fondamentali per garantire un terreno di gioco comune a livello globale, al centro del quale oggi troviamo la gestione dei dati. La trasparenza e le best practice, alimentate o meno dalla legislazione, daranno fiducia, renderanno possibili relazioni più solide con i clienti e apriranno la strada all'introduzione di nuovi servizi innovativi. È il momento di stare al passo con i progressi ed essere conformi.