Nel campo dell’intelligenza artificiale, i rischi legati al trattamento dei dati personali sono sempre più rilevanti. Non si tratta di un tema nuovo, ma oggi assume un peso maggiore perché i sistemi AI utilizzano grandi quantità di informazioni e possono incidere in modo concreto su persone, scelte e diritti.

In questo contesto, il GDPR, l’AI Act e la norma ISO/IEC 42001:2023 rappresentano un quadro di riferimento già molto solido. Il punto, però, non è soltanto conoscere queste regole, ma riuscire ad applicarle in modo efficace nella pratica. Tra i rischi più significativi, ce ne sono due che meritano particolare attenzione: il purpose creep e il data drift.

Il primo riguarda il riutilizzo non autorizzato dei dati per finalità diverse da quelle iniziali. È un rischio molto diffuso, ma spesso poco percepito. Si verifica quando dati raccolti per uno scopo preciso vengono poi usati per addestrare o alimentare sistemi di intelligenza artificiale con obiettivi differenti, senza una base giuridica adeguata.

Un esempio concreto può aiutare a capire. Si immagini un soggetto che opera nel credito al consumo e raccoglie dati di navigazione sul proprio sito per finalità di analisi statistica aggregata, sulla base del legittimo interesse. In un secondo momento, però, questi stessi dati vengono impiegati dal team di sviluppo per addestrare un modello di credit scoring. In questo caso, il trattamento originario non comprendeva tale ulteriore finalità e può quindi emergere una violazione del principio di limitazione della finalità previsto dal GDPR.

Per ridurre questo rischio, occorre anzitutto svolgere una verifica formale di compatibilità tra la finalità iniziale e quella nuova, come previsto dall’articolo 6, paragrafo 4, del GDPR. Inoltre, il Registro dei trattamenti dovrebbe includere in modo esplicito anche il trattamento legato all’addestramento dei sistemi AI e non soltanto la raccolta iniziale dei dati. A questo si aggiunge quanto richiesto dalla ISO/IEC 42001:2023, che impone di valutare l’impatto dei sistemi di AI e la liceità del trattamento dei dati utilizzati nel training, con particolare attenzione anche alla qualità dei dati stessi.

Il secondo rischio è il data drift, cioè la progressiva perdita di affidabilità del modello quando continua a operare su dati che non rispecchiano più il contesto reale. I sistemi di intelligenza artificiale, infatti, vengono addestrati su dati che fotografano una situazione in un dato momento. Ma col tempo i comportamenti cambiano, le condizioni economiche mutano, le distribuzioni sociali si spostano e il modello rischia di prendere decisioni sempre meno accurate.

Anche qui, l’esempio del credit scoring è particolarmente efficace. Un modello addestrato anni prima e mai aggiornato potrebbe continuare a valutare le richieste di credito sulla base di parametri ormai superati. Il risultato sarebbe una produzione di errori sistematici, magari concentrati su specifici gruppi di persone, con il rischio di dinieghi ingiustificati e conseguenze rilevanti per gli interessati.

Per affrontare il data drift, è necessario introdurre metriche di monitoraggio e soglie operative che consentano di capire quando il modello sta perdendo efficacia e deve essere rivisto. È poi importante documentare le diverse versioni del sistema in produzione e, quando applicabile, informare gli interessati dei cambiamenti significativi nel funzionamento del modello. Inoltre, il ciclo di vita del sistema AI dovrebbe prevedere procedure formali di riaddestramento e rivalidazione periodica, come richiede la ISO/IEC 42001:2023 nell’ambito delle attività operative e della valutazione d’impatto sui soggetti coinvolti.

In entrambi i casi, quando si è in presenza di sistemi di AI ad alto rischio, entrano in gioco anche gli obblighi specifici previsti dall’AI Act. Il regolamento europeo chiarisce infatti che la gestione dei rischi non può essere considerata un adempimento occasionale, ma deve essere un processo continuo, pianificato e aggiornato lungo tutto il ciclo di vita del sistema.

In conclusione, purpose creep e data drift sono soltanto due dei rischi più evidenti che emergono dall’uso dei dati personali nell’intelligenza artificiale. Non sono gli unici, ma bastano a mostrare quanto sia necessario adottare un approccio serio e strutturato alla governance dell’AI. Le regole europee, per quanto talvolta considerate onerose, rappresentano oggi uno strumento essenziale per evitare che l’innovazione proceda senza adeguate garanzie. Più che un ostacolo, quindi, compliance e controllo devono essere letti come condizioni indispensabili per costruire sistemi di intelligenza artificiale affidabili, trasparenti e sostenibili.

Articolo ripreso da Federprivacy