Oltre a ordinare la cancellazione dei dati e aver comminato una multa da 1,5 milioni di dollari a WW International (precedentemente nota come Weight Watchers) per aver raccolto e trattato dati di minori senza consenso da parte dei genitori, con un provvedimento del 4 marzo la Federal Trade Commission americana le ha imposto anche la distruzione di algoritmi e modelli che siano stati costruiti e addestrati usando i dati illegalmente trattati.

I dati, relativi all’alimentazione dei bambini, erano stati raccolti attraverso l’app per cellulare Kerbo che offriva consigli per un’alimentazione sana, e riguardavano bambini dagli otto anni in su.

Non è la prima volta che, oltre ai dati, le autorità governative ordinano la distruzione di prodotti e algoritmi ricavati da essi. Il caso più eclatante è stato quello di Cambridge Analytica, nel 2019, ma questo provvedimento sembra rafforzare una tendenza che dovrà essere presa in considerazione dalle aziende che non prestano sufficiente attenzione ai dati con i quali creano prodotti e servizi basati su modelli di intelligenza artificiale.

Perché distruggere l’algoritmo

Diversamente dagli algoritmi programmati da sviluppatori umani, che ne descrivono in dettaglio il funzionamento, un modello di intelligenza artificiale ricava automaticamente le regole per il suo funzionamento attraverso un processo di addestramento basato su serie di dati. Una volta che il modello è stato addestrato, i dati di training possono essere cancellati e il modello può essere applicato a qualsiasi dato.

Leggi anche: Il machine learning, spiegato bene: cos’è, come funziona e quali strumenti si usano

Per questo, i dati di origine sono di fondamentale importanza. Se i dati raccolti non rappresentano correttamente la realtà, il modello può generare degli output viziati e operare discriminazioni che influenzano negativamente la vita delle persone.

Con questo provvedimento, la FTC fa un passo ulteriore, e afferma che se i dati di training sono raccolti illegalmente, è illegale anche la conoscenza acquisita attraverso di essi, cioè il modello di IA. Non ci risulta che al momento siano stati presi provvedimenti simili nemmeno in Europa, che ha una sensibilità e leggi per la protezione dei dati personali ben superiore. Il caso più simile probabilmente riguarda il provvedimento che vieta a Europol di cancellare i dati e servizi usati per la ricerca di terroristi basato sullo screening di massa dei rifugiati.

GDPR e modelli IA: un problema da affrontare

Se anche in Europa si affermerà questa tendenza, potrebbe rappresentare un problema anche per le aziende che creano modelli IA basati su dati personali raccolti a norma di legge. Il GDPR afferma infatti che il consenso al trattamento dei dati possa essere revocato in qualsiasi momento.

Cosa dovrebbe fare quindi un’azienda che si vede recapitare da parte di un cittadino la revoca del consenso all’uso di dati che sono stati usati per addestrare un modello impiegato per erogare servizi? Si potrà dire che l’impatto dei dati di un singolo individuo ha poca rilevanza in dataset che magari riguardano milioni di persone, ma sappiamo bene che spesso il diritto si discosta dal buon senso.

Una strada, proposta per esempio dalla startup Valohai, è quella di automatizzare le pipeline per la costruzione di modelli IA in modo che siano rapidamente replicabili e reversibili, modificando alcune condizioni di base (come, appunto, l’eliminazione di alcuni dati di training).