La proliferazione di leggi sulla protezione e la sicurezza dei dati conduce le organizzazioni multinazionali a dover affrontare un puzzle di norme diverse provenienti da nazioni con interessi concorrenti. E vi sono diversi aspetti da tenere presenti per chi si occupa di business, secondo il World Economic Forum. Da ultimo, è arrivata la severa legislazione cinese del 2022, ma si prevede che il 2023 sarà un anno cruciale per la protezione dei dati personali. Diversi Paesi, infatti, stanno prendendo in considerazione iniziative legislative, tra cui l’India, il Brasile e forse perfino gli Stati Uniti (dove i singoli Stati stanno creando un vero e proprio mosaico di norme). Ovviamente, al di là dei problemi di compliance, vi sono importanti questioni geopolitiche da tenere in considerazione. E intanto le aziende, grazie anche ai progressi dell’intelligenza artificiale, stanno trovando sempre più modi per utilizzare i dati raccolti: operare in modo più efficiente, gestire i rischi, migliorare i servizi ai clienti, creare e supportare nuovi modelli di business e altro ancora. La questione essenziale diventa quindi trovare modalità efficaci per proteggere i dati. E molte aziende si trovano ancora nella condizione di individuare una risposta efficace. Stando all’analisi del World Economic Forum, del resto, la metà dei dirigenti aziendali intervistati in tutto il mondo ha dichiarato di non sentirsi sicuro della governance e della sicurezza dei dati della propria organizzazione.
Il rispetto di principi etici e la protezione dei diritti delle persone possono rivelarsi un vantaggio in molti settori in cui viene impiegata l’AI. Specialmente in quello dei servizi finanziari. Il settore finanziario è, infatti, tra i più attivi nell’utilizzo del machine learning e dell’AI, impiegati tanto nell’automazione dei processi di back-office quanto nelle applicazioni rivolte ai clienti. In particolare, le soluzioni di AI eccellono nel riconoscimento di pattern basati su dati ben etichettati, come i modelli di rilevamento delle frodi addestrati su comportamenti passati. L’AI può supportare i dipendenti e migliorare l’esperienza dei clienti, ad esempio attraverso chatbot per assistere i consumatori. Inoltre, le società di servizi finanziari hanno utilizzato il machine learning per prospettare scenari e per aiutare i trader a rispondere rapidamente alle evoluzioni e alle turbolenze dei mercati finanziari. Vi sono però dei rischi, tra cui quello dei pregiudizi. Alcune disuguaglianze sociali, infatti, sono in qualche modo incorporate nei “dati grezzi” e possono condurre a decisioni automatizzate ingiuste – e, a volte, anche errate – in materia di credito, prestiti e assicurazioni. Un esempio ben documentato è la “distorsione da codice postale”, che causa discriminazioni a partire dalla zona di provenienza. In realtà, gli istituti di credito sono già soggetti a regole – al fine di minimizzare gli impatti negativi basati su pregiudizi –, ma se le decisioni sono prodotte da algoritmi “black box”, la questione è più complicata. Il GDPR europeo o l’Equal Credit Opportunity Act statunitense prevedono che le società forniscano spiegazioni, ma né la comunità informatica mondiale, né tantomeno quella giuridica, hanno infatti determinato con precisione quali tecniche siano appropriate o affidabili.
Il governo australiano sta per proporre una riforma del Privacy Act per aumentare il controllo degli interessati sui propri dati personali. Tra le misure in esame, vi sono anche l’opt-out relativo alle pubblicità mirate, la cancellazione dei propri dati e la possibilità di intentare cause per gravi violazioni della privacy. Il procuratore generale Mark Dreyfus sta per pubblicare una relazione redatta dal suo dicastero sulla modernizzazione del Privacy Act. Da alcune indiscrezioni, sembra che sia stata prospettata l’abolizione dell’esenzione dalla legge sulla privacy per le piccole imprese, benché preceduta da una “impact analysis” del governo, volta a fornire assistenza a questi soggetti nell’adempimento dei loro obblighi. Anche per quanto riguarda i partiti politici si profilano delle novità: sebbene probabilmente non verrà abolita l’esenzione prevista dall’attuale normativa, nel progetto di revisione vengono predisposte maggiori salvaguardie, come l’obbligo di pubblicare l’informativa privacy e il divieto di targettizzare gli elettori “sulla base di informazioni sensibili”. Ma le modifiche più significative riguarderanno, verosimilmente, i nuovi limiti nel campo dell’advertising, tra cui il divieto di indirizzare le pubblicità ai bambini – fatti salvi i casi di “best interest” – e di fornire a tutti un “diritto incondizionato di opt-out” relativo alla pubblicità mirata e al trattamento dei dati per finalità di marketing diretto. Inoltre, ispirandosi proprio al GDPR, dovrebbero essere introdotti diritti quali quello all’opposizione alla raccolta e alla cancellazione (e alla deindicizzazione). Il governo dovrà attendere un feedback sulle proposte contenute nel rapporto prima di intraprendere ulteriori passi, ma finora il Business Council of Australia si è opposto alla riforma del Privacy Act nel corso di precedenti consultazioni.
English version
The proliferation of data protection and security laws leads multinational organisations to face a jigsaw puzzle of different regulations from nations with competing interests. And there are a number of issues for those in business to keep in mind, according to the World Economic Forum. Most recently, China’s stringent 2022 legislation has arrived, but 2023 is expected to be a crucial year for data protection. Several countries, in fact, are considering legislative initiatives, including India, Brazil and perhaps even the United States (where individual States are creating a veritable patchwork of regulations). Obviously, beyond compliance issues, there are important geopolitical issues to consider. And meanwhile, companies, thanks in part to advances in artificial intelligence, are finding more and more ways to use the data they collect: to operate more efficiently, manage risks, improve customer services, create and support new business models, and more. The key issue then becomes finding effective ways to protect data. And many companies are still struggling to find an effective answer. According to analysis by the World Economic Forum, moreover, half of the business executives surveyed worldwide said they did not feel confident about their organisation’s data governance and security.
Respect for ethical principles and protection of people’s rights can be an advantage in many sectors where AI is used. Especially in the financial services sector. The financial sector is, in fact, among the most active in the use of machine learning and AI, employed both in the automation of back-office processes and in customer-facing applications. In particular, AI solutions excel in pattern recognition based on well-labelled data, such as fraud detection models trained on past behaviour. AI can support employees and improve the customer experience, for instance through chatbots to assist consumers. In addition, financial services companies have used machine learning to predict scenarios and help traders respond quickly to developments and turbulence in the financial markets. However, there are risks, including that of bias. Indeed, some social inequalities are somehow embedded in the ‘raw data’ and can lead to unfair – and sometimes wrong – automated decisions on credit, loans and insurance. A well-documented example is the ‘postcode bias’, which causes discrimination based on the area of origin. In reality, credit institutions are already subject to rules – in order to minimise negative impacts based on bias -, but if decisions are produced by ‘black box’ algorithms, the issue is more complicated. The European GDPR or the US Equal Credit Opportunity Act require companies to provide explanations, but neither the global IT community nor the legal community has in fact determined precisely which techniques are appropriate or reliable.
The Australian government is going to propose a reform of the Privacy Act to increase data subjects’ control over their personal data. Among the measures under consideration are the opt-out on targeted advertisements, the deletion of one’s data and the possibility to sue for serious privacy violations. Attorney General Mark Dreyfus is about to publish a report prepared by his department on the modernisation of the Privacy Act. According to rumours, it seems that the abolition of the exemption from the Privacy Act for small businesses has been envisaged, albeit preceded by a government ‘impact analysis’ aimed at assisting these entities in fulfilling their obligations. There are also innovations with regard to political parties: although the exemption in the current legislation will probably not be abolished, the draft revision provides for more safeguards, such as the obligation to publish privacy notices and the prohibition to target voters ‘on the basis of sensitive information’. But the most significant changes are likely to concern new limits on targeted advertising, including a ban on targeting advertisements to a child – except where it is in his or her ‘best interest’ – and providing everyone with an ‘unconditional right to opt-out’ of targeted advertising and data processing for direct marketing purposes. Furthermore, inspired by the GDPR, rights such as the right to object to collection and deletion (and de-indexing) should be introduced. The government will have to wait for feedback on the proposals in the report before taking further steps, but so far the Business Council of Australia has opposed Privacy Act reform in previous consultations.
