Driverless car: quale privacy per i dati raccolti dai sistemi di AI

Le operazioni di raccolta e trattamento dei dati devono avvenire in conformità a quanto previsto dal Regolamento EU n. 679/2016, prevedendo misure di salvaguardia per i diritti e le libertà degli interessati ai fini di tutela della privacy, assicurando l’assenza di qualsivoglia forma di discriminazione tra gli utenti e seguendo processi accessibili e comprensibili da parte di tutti i soggetti coinvolti. Un focus sulla tecnologia Autopilot di Tesla [...]
driverless car
  1. Home
  2. Intelligenza Artificiale
  3. Driverless car: quale privacy per i dati raccolti dai sistemi di AI

Quando parliamo di driverless car parliamo di quei veicoli dotati di autonomia corrispondente al livello 5 della scala attribuita dalla Society of Automotive Engineers[1]. Si tratta delle vetture che si guidano (o, meglio, che si guideranno) completamente da sole senza nessun bisogno dell’azione umana. Affinché questo sia possibile, tuttavia, è necessario che l’auto sia dotata di un sistema di intelligenza artificiale. Quali rischi si corrono per la privacy?

Internet of things e driverless cars

Lo sviluppo tecnologico ha provocato un ampliamento riguardo alle tipologie di dati che possono essere oggetto di trattamento, consentendone una raccolta sempre più ampia, all’interno della quale è ricompreso qualsiasi contenuto informativo, dal nome alle immagini, grazie anche alle innumerevoli nuove tecniche di acquisizione come la videosorveglianza o i sistemi biometrici, i quali consentono di verificare l’identità di un soggetto mediante l’impronta digitale o la scansione dell’iride[2].

Non è solo internet il mezzo attraverso il quale circolano i dati personali ma lo sviluppo di “oggetti intelligenti”, cd. Internet of Things[3] o IoT, dotati di capacità di comunicazione, ha ampliato le modalità di scambi di informazioni.

Lo sviluppo dell’IoT, tuttavia, non sarebbe possibile senza l’ausilio e una contemporanea implementazione dell’intelligenza artificiale e degli algoritmi di machine learning[4].

Proprio per questo i nostri oggetti quotidiani si sono trasformati in oggetti intelligenti, che vanno dagli activity trainer, che possono essere orologi o applicazioni connesse allo smartphone, in grado di misurare il battito cardiaco, le calorie bruciate durante l’attività fisica o la qualità del sonno fino ai sistemi domotici o, appunto, le automobili, i quali, tramite l’implementazione di sistemi che attraverso l’uso della nostra voce, possono svolgere per noi alcune azioni domestiche o portarci nei posti da noi desiderati, possono spegnere le luci o accendere il forno fino a riprodurre playlist musicali.

Le implementazioni in ambito tecnologico, ancor di più nei sistemi di AI, hanno portato a miglioramenti sempre più notevoli, fino ad arrivare alla produzione di sistemi di machine learning capaci di concentrarsi e lavorare su grandi volumi di dati. Tali sistemi, infatti, sono in grado di analizzare e scoprire le correlazioni tra i dati creando modelli corrispondenti idonei a collegare input e in grado di fornire risposte presumibilmente corrette (effettuando delle previsioni).

Nella pratica, nei sistemi di machine learning, i sistemi di intelligenza artificiale imparano a effettuare previsioni dopo essere stati addestrati su una vasta serie di esempi. Pertanto, ciò ha portato la necessità di una maggiore acquisizione di informazioni trasformando l’AI in una macchina affamata di dati, e più dati acquisisce più ne necessita, delineando così una spirale che si autoalimenta: il fine è infatti lo sviluppo di sistemi di intelligenza artificiale basati sull’apprendimento automatico favorendo la creazione di vasti set di dati, i cosiddetti big data.

L’integrazione dell’AI e dei big data può offrire molti vantaggi per il progresso economico, scientifico e sociale. Tuttavia, contribuisce anche ad aumentare i rischi per gli individui e per l’intera società, quali la sorveglianza pervasiva o di massa, l’influenza sul comportamento dei cittadini, la polarizzazione e la frammentazione nella sfera pubblica.

driverless car

Foto: Unsplash.com

Automazione dei veicoli e contesto normativo

Le driverless car raccolgono e trattano enormi quantità di informazioni, statiche e dinamiche, relativamente ai loro conducenti e passeggeri. Tali operazioni di raccolta e trattamento dei dati devono necessariamente avvenire in conformità a quanto previsto dalle disposizioni del Regolamento EU n. 679/2016 sulla protezione dei dati personali cd. GDPR, prevedendo misure di salvaguardia per i diritti e le libertà degli interessati ai fini di tutela della privacy, assicurando l’assenza di qualsivoglia forma di discriminazione tra gli utenti e seguendo processi accessibili e comprensibili da parte di tutti i soggetti coinvolti.

Sul punto, sono intervenute le Linee Guida elaborate dall’European Data Protection Board (EDPB), aventi a oggetto proprio il trattamento di dati personali nel contesto dei veicoli connessi. All’interno delle Linee Guida, l’EDPB fornisce innanzitutto una definizione di veicoli connessi, qualificandoli come “veicoli dotati di numerose centraline elettroniche di controllo (ECU), collegate tra loro tramite una rete di bordo, e dotati di sistemi di connettività funzionali a consentire lo scambio di informazioni con altri dispositivi, sia all’interno che all’esterno dei veicoli stessi”.[5]

WEBINAR
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity

I veicoli a guida autonoma e altri robot collegati in rete utilizzano sensori sofisticati per acquisire continuamente dati sull’ambiente circostante. Negli spazi pubblici in cui operano i veicoli automatici sono poche le informazioni che vengono condivise e, di conseguenza, sono molteplici le questioni privacy che si sollevano.

Raccolta e trattamento dati dalle driverless car

I nostri veicoli, ormai sempre più tecnologici e all’avanguardia, rappresentano dei giganteschi data center nei quali sensori e strumenti di rilevazione registrano tutto quanto accade al loro interno: non solo informazioni tecniche ma anche abitudini di guida, il movimento degli occhi del guidatore e il suo battito cardiaco[6].

Ma non solo, in aggiunta a questi dati “percepiti” direttamente dall’automobile, ognuno di noi all’interno dell’auto a guida autonoma sarà presumibilmente in grado di istruire la macchina su ciò che vogliamo fare o dove vogliamo andare, come ad esempio “portami a casa” impostando di default il salvataggio del nostro indirizzo di residenza. Tutti questi sono dati che ora la driverless car ha in suo possesso, comprese le tue reali istruzioni vocali, oltre a poter possedere telecamere puntate verso l’interno ed effettuare così il riconoscimento facciale, aprendoti la portiera o semplicemente iniziando la guida automaticamente sapendo che sei in macchina.

Ultimamente le case automobilistiche e le aziende tecnologiche stanno inserendo dispositivi nell’auto a guida autonoma per monitorare il conducente. Ciò include uno scanner per gli occhi per assicurarsi che questi siano tenuti dritti e puntati sulla carreggiata, sensori sul volante per assicurarsi che le mani siano in grado di controllare eventuali pericoli e persino il riconoscimento facciale per provare a determinare l’umore così da impostare di conseguenza il climatizzatore dell’auto o addirittura far partire la playlist più adatta a te in quel preciso istante. Tutto questo ovviamente genera e alimenta una raccolta dati.

Driverless car: questioni etico-normative e sicurezza delle informazioni

Le capacità invasive della privacy dei veicoli automatici, nonché i potenziali rischi per la sicurezza associati alla raccolta di dati da sistemi intelligenti, fanno sorgere diverse questioni etiche e legate alla sicurezza che meritano di essere analizzate. Le preoccupazioni etiche hanno tuttavia ricevuto pochissima attenzione in relazione al processo decisionale e ai cambiamenti del mercato del lavoro. Questi sistemi di intelligenza artificiale hanno la capacità di raccogliere dati di posizione e movimento sui residenti di un’intera città semplicemente archiviando le informazioni già acquisite dai loro sensori e utilizzando il software disponibile per analizzarle. Questa capacità pone un nuovo enigma normativo, poiché combina quattro diversi aspetti delle tecnologie invasive per la privacy: l’acquisizione onnipresente dei dati in pubblico, la sorveglianza fisica da parte di aziende private, la capacità di scalare senza infrastruttura aggiuntiva e la difficoltà di avviso e scelta sulle pratiche relative ai dati per i sensori fisici che acquisiscono dati sugli utenti.

Anche se problemi simili si applicano pure alle telecamere di videosorveglianza, la scalabilità e la potenziale ubiquità di un parco auto a guida autonoma in rete è notevole. A differenza della videosorveglianza, le driverless car possono aumentare i limiti della loro sorveglianza senza infrastrutture aggiuntive e possono viaggiare su qualsiasi strada pubblica che sono legalmente autorizzati a percorrere[7].

In ultimo, questi veicoli operano in spazi pubblici dove gli individui non hanno una ragionevole aspettativa di privacy, e dove un’informativa privacy con richiesta di consenso al trattamento dati sarebbe difficile da fornire.

Tesla: l’Autopilot e l’intelligenza artificiale

Le tecniche e gli strumenti di intelligenza artificiale stanno oggi beneficiando dell’enorme quantità di dati personali e ambientali che ogni giorno sono registrati dai sistemi informatici.

La qualità e l’interoperabilità di questi dati rappresentano un fattore determinante per la possibilità stessa di applicare le nuove tecnologie, specie in riferimento all’AI, dove il ruolo dei computer ha raggiunto un livello un tempo inimmaginabile. Se infatti un programma viene eseguito da un computer programmabile generico o esegue le funzioni di un file dispositivo strettamente specializzato, come ad esempio un sensore di apertura automatica della porta, l’uso di algoritmi è al centro di tutto il processo informatici.

Gli algoritmi possono essere molto semplici, specificando, ad esempio, come organizzare elenchi di parole in ordine alfabetico o come trovare il massimo comune divisore tra due numeri (come il cosiddetto algoritmo euclideo). Possono anche essere molto complessi, come algoritmi per la crittografia dei file, la compressione di file digitali, il riconoscimento vocale o le previsioni finanziarie. Ovviamente, non tutti gli algoritmi coinvolgono l’AI, ma ogni sistema di intelligenza artificiale, come qualsiasi sistema informatico, include algoritmi, e alcuni si occupano di compiti che riguardano direttamente le funzioni dell’AI[8].

driverless car

Foto: Tesla

Gli algoritmi di intelligenza artificiale possono coinvolgere diversi tipi di ragionamento epistemico o pratico (rilevare schemi e forme, applicare regole, fare previsioni o piani), nonché diversi modi di apprendimento. L’unione tra i cd. big data e i sistemi di AI hanno aumentato in maniera esponenziale le possibilità di profilazione. Tali sistemi, infatti, basati sull’apprendimento automatico, sono in grado di elaborare inferenze, classificazioni, previsioni e decisioni su dati riguardanti persone fisiche.

Essendo “istruiti” su esempi e alimentati da dati, tali sistemi basano le loro scelte su input, stimoli ed eventi passati, collegando così alcune caratteristiche di individui a un’altra caratteristica degli stessi individui. Il sistema apprende così nuovi dati deducendo valori corrispondenti a determinati individui autoalimentandosi.

Ed è proprio sugli algoritmi e sui sistemi di intelligenza artificiale che si basa la tecnologia di Tesla. L’Autopilot inserito nelle driverless car è in grado di identificare oggetti, interpretare situazioni e prendere decisioni basate sul rilevamento di cose e sugli algoritmi di classificazione delle medesime. È un processo basato sulla rilevazione, classificazione e interpretazione[9].

Inoltre, alcuni veicoli Tesla sono dotati di una telecamera interna in grado di monitorare se il conducente sta prestando attenzione e le riprese video possono essere trasmesse all’azienda madre per rivedere i momenti prima di un incidente. Detto ciò, il fatto che i video all’interno dell’auto vengano salvati e trasmessi solleva problemi di privacy e potrebbe minare i vantaggi del monitoraggio dei conducenti[10]. In questo modo, Tesla potrebbe utilizzare le riprese video per dimostrare che un guidatore è distratto piuttosto che affrontare i motivi per cui il guidatore non ha prestato attenzione. Oltre alle tutele privacy che devono essere poste in essere devono essere considerate, in primis, l’adozione di adeguate misure di sicurezza.

Conclusioni

Il concetto di driverless car, o auto senza conducente, porta sia domande che opportunità. Migliorerà la sicurezza stradale e ridurrà l’incidenza di ingorghi e incidenti, ma aumenterà anche i rischi di attacchi informatici e la possibilità di perdere dati personali. Le auto connesse e automatizzate comunicano tra loro altro e con le infrastrutture, per farlo registrano un numero enorme di dati che potrebbero essere bersaglio di cyber attacchi.

Eppure, fra pochi decenni le driverless car saranno considerate sicure a tal punto che sarà la guida umana a essere considerata pericolosa. È questo quanto afferma la società  IDTechEx nel suo report Autonomous Cars, Robotaxis & Sensors 2022-2042 ritenendo che, sulla base degli sviluppi recenti delle varie tecnologie proposte dai produttori di auto, i veicoli autonomi potranno raggiungere i livelli di sicurezza tipici della guida umana già nel 2024[11].

Sebbene ci sembri ancora improbabile la circolazione delle auto riservata solo a quelle autonome, un’eventualità meno remota è l’istituzione di percorsi specifici che saranno aperti solo alle auto con tecnologie self-driving, lasciando invece su altri il normale flusso di circolazione delle auto con conducente.

Note

  1. La Society of Automotive Engineers, uno dei principali enti di normazione nel campo dell’industria automobilistica ha pubblicato un nuovo standard internazionale volto a definire sei differenti livelli per la guida autonoma che vanno dal livello 0 ove vi è un’azione esclusiva dell’uomo fino al livello 5 cd. full automation, ove il sistema automatizzato può assolvere tutte le funzioni di guida, in tutte le situazioni che un autista umano possa affrontare.
  2. Sul punto M. Soffientini, Privacy. Protezione e trattamento dei dati personali, Ipsoa, Assago, 2016
  3. Sul tema sono disponibili varie definizioni di IoT, tra le quali si sottolinea quella elaborata dalla Internet Society nel 2015 ove si definiscono IoT tutti quegli oggetti, dispositivi o sensori non comunemente considerati dei computer, capaci di alloggiare una capacità elaborativa di connettersi alla rete internet. Questi “oggetti intelligenti” possono utilizzare, scambiare e generare dati richiedendo un intervento umano minimo e possono collegarsi a sistemi remoti per la raccolta e l’analisi dei dati stessi. Internet Society, The Internet Of Things: An Overview, October 2015. Sul punto si consiglia anche M. Stanley, Morgan Stanley: 75 Billion Devices Will Be Connected To The Internet Of Things by 2020, Business Insider, October 2, 2013; D. Benedetti, IA e (in)sicurezza informatica, in Intelligenza artificiale, protezione dei dati personali e regolazione
  4. IoT Won’t Work Without Artificial Intelligence, disponibile al seguente link https://www.wired.com/insights/2014/11/iot-wont-work-without-artificial-intelligence/
  5. EDPB, Guidelines 1/2020 on processing personal data in the context of connected vehicles and mobility related applications, 28 January 2020, https://edpb.europa.eu/sites/default/files/consultation/edpb_guidelines_202001_connectedvehicles.pdf
  6. Cardone E., Curtarelli F., Veicoli connessi: profili di data protection nelle “smart car”, https://www.cybersecurity360.it/legal/privacy-dati-personali/veicoli-connessi-profili-di-data-protection-nelle-smart-car/
  7. M. Sabatino Riontino, Who will take care of Data Privacy on Autonomous Vehicles? Implications of data privacy once autonomous vehicles will be commercially available, 15 January 2021, https://www.celantur.com/blog/autonomous-vehicle-data-privacy/
  8. L’AI può essere suddivisa in varie categorie di algoritmi, rispettivamente: 1) Simple algorithm un algoritmo semplice che funziona su un computer o un dispositivo che è stato programmato da un essere umano per eseguire appunto un particolare algoritmo o un insieme di algoritmi; 2) Weak AI, un sistema che coinvolge un elemento simile a un’autonomia. Tipicamente, un sistema di “IA debole” viene creato utilizzando alcuni algoritmi di “apprendimento”. Questi algoritmi eseguono un processo di ottimizzazione automatizzato (simile ad un’analisi) basato su esempi precedenti e questo rende possibili ulteriori correzioni al modello di previsione utilizzato fino a raggiungere ai migliori risultati possibili ottenibili con quel dato algoritmo; 3) Strong AI è un sistema che pensa genuinamente per sé stesso nello stesso modo in cui farebbe un essere umano Tuttavia, l’intelligenza artificiale forte non esiste ancora. Per un’analisi sul tema si rinvia a Council of Bars and Law Societies of Europe, CCBE Considerations on the Legal Aspects of Artificial Intelligence, Brussels, 2020, p. 9
  9. I sistemi di calcolo computazionale e i sistemi di AI aumenta l’identificabilità dei dati pseudonimizzati grazie all’utilizzo di algoritmi. Per un’analisi sulla capacità dei sistemi di AI di decifrare le informazioni pseudonomizzate si veda L. Rocher, J. Hendrickx, Y. A. Montjoye, Estimating the success of re-identifications in incomplete datasets using generative models, NatureCommunication, 2019 ove viene riportata la seguente analisi: “Yet numerous supposedly anonymous datasets have recently been released and re-identified. In 2016, journalists re-identified politicians in an anonymized browsing history dataset of 3 million German citizens, uncovering their medical information and their sexual preferences. A few months before, the Australian Department of Health publicly released de-identified medical records for 10% of the population only for researchers to re-identify them 6 weeks later. Before that, studies had shown that de-identified hospital discharge data could be re-identified using basic demographic attributes and that diagnostic codes, year of birth, gender, and ethnicity could uniquely identify patients in genomic studies data. Finally, researchers were able to uniquely identify individuals in anonymized taxi trajectories in NY, bike sharing trips in London, subway data in Riga, and mobile phone and credit card datasets”.
  10. If Tesla has the ability to determine if the driver isn’t paying attention, it needs to warn the driver in the moment, like other automakers already do,” Jake Fisher, senior director of Consumer Reports’ auto test center, https://www.marketwatch.com/story/teslas-in-car-cameras-pose-a-privacy-risk-consumer-reports-says-11616549753
  11. Autonomous Cars, Robotaxis & Sensors 2022-2042. Peak car, robotaxi, private and shared mobility, lidar, radar, camera, HD map, 5G and V2X, market forecasts, https://www.idtechex.com/en/research-report/autonomous-cars-robotaxis-and-sensors-2022-2042/832
WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

 

FacebookTwitterLinkedIn