Questo articolo è stato pubblicato anche sulla testata specializzata “Agenda Digitale” in data 8 gennaio 2024: https://www.agendadigitale.eu/sicurezza/privacy/ia-nelle-scuole-come-introdurla-senza-mettere-in-pericolo-la-privacy
Dopo l’approvazione della relazione sulla proposta di Regolamento dello scorso 11 maggio, il 14 giugno il Parlamento europeo ha approvato per la prima volta nella storia una regolamentazione sull’utilizzo dell’Intelligenza Artificiale (IA), mediante il regolamento denominato “Artificial Intelligence Act”, o anche, più brevemente, “AI-Act”.
L’IA e la sua regolamentazione
Sul testo dell’AI act è stato raggiunto l’accordo in sede di trilogo (Parlamento europeo, Commissione europea e Consiglio europeo).
Dopodiché, ai sensi dell’art. 85 del testo votato dal Parlamento europeo, l’AI Act entrerà in vigore il ventesimo giorno successivo alla sua pubblicazione sulla Gazzetta ufficiale dell’Unione europea, per poi trovare piena applicazione 24 mesi dopo, analogamente a quanto già avvenuto con il GDPR.
Per la prima volta al mondo si legifera dunque sull’Intelligenza Artificiale, prevedendo specifici divieti per la sorveglianza biometrica, il riconoscimento delle emozioni, e i sistemi di polizia predittiva.
Questo perché, se da un lato è vero che l’IA può portare a numerosi benefici (come ad esempio una migliore assistenza sanitaria o una produzione più efficiente), dall’altro il suo utilizzo distorto può arrecare pregiudizio alla privacy e ai diritti umani (si pensi ai sistemi di polizia predittiva o al “Social Credit System” cinese).
Tutto dipende da come l’Intelligenza Artificiale viene progettata, e quindi da quali dati vengono immessi.
Se non sono rispettati i requisiti di trasparenza, equità, sicurezza e protezione, le applicazioni pratiche dell’IA possono portare a errori o abusi.
Una regolamentazione uniforme sul corretto utilizzo dell’Intelligenza Artificiale è dunque più che mai opportuna, considerato il suo sempre più ampio utilizzo in ogni ambito in questi ultimi anni.
Il settore dell’istruzione non è esente da questo discorso.
L’IA nelle scuole
Se implementata in maniera corretta, l’Intelligenza Artificiale nelle scuole può generare forme di apprendimento potenziate, in grado ad esempio di contribuire a individuare i punti di forza e di debolezza di ciascun alunno.
Non bisogna però dimenticare che l’impiego dell’IA in un contesto delicato come quello scolastico deve necessariamente essere contemperato con l’esigenza di garantire ai minori un armonico sviluppo della loro persona.
Il documento “The Future of Education and Skills: Education 2030” dell’OCSE (Organizzazione per la Cooperazione e lo Sviluppo Economico) ricorda che: “Esiste una domanda crescente nei confronti delle scuole perché preparino gli studenti ai cambiamenti economici e sociali più rapidi, ai posti di lavoro che non sono stati ancora creati, alle tecnologie che non sono state ancora inventate e a risolvere problemi sociali che non esistevano in passato”.
Pertanto gli studenti dovranno essere educati all’uso e al corretto funzionamento dell’Intelligenza Artificiale, in modo da poterla sfruttare a proprio vantaggio.
I ragazzi devono innanzitutto saper distinguere la realtà da quanto può creare la tecnologia.
L’IA, infatti, sta diventando uno strumento di produzione di contenuti digitali, tra cui testi e immagini, che spesso però si rivelano essere dei falsi (le cosiddette “fake news”).
Non a caso, all’interno dell’AI Act, sono configurati dei sistemi di Intelligenza Artificiale definiti come a “rischio limitato”, che, pur non comportando pericoli considerevoli, dovranno comunque rispettare un set di requisiti minimi di trasparenza.
Questo per consentire agli utenti di fare scelte informate, e poter decidere di continuare a utilizzare l’IA dopo aver appreso di stare interagendo con essa.
Questa categoria include ad esempio i sistemi di Intelligenza Artificiale in grado di generare o manipolare contenuti di immagini, audio o video (i cosiddetti “deepfake”).
La scuola dovrà perciò educare i ragazzi anche a un uso consapevole e responsabile dell’IA.
Inoltre, l’Intelligenza Artificiale in ambito scolastico potrebbe essere utilizzata per nuove pratiche didattiche, come risorsa per migliorare l’istruzione.
È quanto suggerito anche dal documento “Strategia italiana per l’Intelligenza Artificiale”, pubblicato dal Ministero dello Sviluppo Economico, che afferma che l’IA “dovrebbe essere adottata come metodo educativo in grado di portare alla formazione del cosiddetto pensiero computazionale, alla multidisciplinarietà intrinseca nella soluzione di problemi e nella trasversalità delle competenze”.
Nel “Libro Bianco per l’Intelligenza Artificiale al servizio del cittadino” a cura dell’Agenzia per l’Italia Digitale, viene specificato che l’uso di soluzioni di IA nel settore scolastico consentirebbe di ridurre le diseguaglianze sociali.
Nel documento è scritto infatti che nelle scuole “…è ipotizzabile un intervento significativo dei sistemi intelligenti di supporto all’apprendimento. C’è una lunga tradizione nell’uso del calcolatore per tali scopi: dai sistemi Computer Assisted Instruction (CAI) ai sistemi Intelligent Tutoring Systems (ITS). Negli ITS è sempre presente uno student model, inteso come base di conoscenza in cui sono rappresentate in modo esplicito le caratteristiche e le conoscenze dello studente. Questa soluzione svolge un ruolo di sostegno fornendo un’integrazione ai sistemi di insegnamento tradizionali, contribuendo a colmare le lacune di apprendimento degli studenti con problemi cognitivi”.
Inoltre, l’uso dell’IA nelle scuole potrebbe anche ridurre il gap linguistico.
In particolare, “L’offerta di servizi di traduzione simultanea adeguatamente modellati potrebbe aiutare a colmare il divario generato dalle nuove ondate migratorie, offrendo dunque una preziosa assistenza allo studio”.
Le tecnologie di Intelligenza Artificiale potrebbero quindi essere strumenti importanti nella battaglia contro l’analfabetismo funzionale.
L’IA, inoltre, potrebbe essere applicata “per superare i limiti posti dall’esigenza di possedere conoscenze specialistiche per svolgere determinate attività”. Sistemi di IA potrebbero diffondere l’accesso all’informazione, alla conoscenza dei diritti e potrebbero facilitare le modalità di esercizio degli stessi da parte dei soggetti che si trovano in condizioni di disagio e che non hanno determinate conoscenze, contribuendo in tal modo a ridurre le discriminazioni”.
Questo rappresenta un importantissimo ambito di lavoro, che comporterebbe un miglioramento dell’inclusività della scuola, ma che richiede un adeguato intervento di sensibilizzazione e di promozione culturale.
L’IA e il trattamento dei dati personali
Non va trascurato il fatto che, per poter funzionare, l’IA deve trattare una grande quantità di dati personali, immessi dagli stessi utenti utilizzatori.
Diventa quindi fondamentale accertarsi che tutti i sistemi vengano implementati secondo il rispetto dei principi di “privacy by design” e “privacy by default” previsti dal GDPR.
Gli algoritmi, fin dalla loro fase di progettazione, vanno impostati sul rispetto della riservatezza delle persone, e devono perciò trattare solamente i dati necessari per l’assolvimento delle finalità per cui sono programmati.
Le scuole dunque, laddove intendano dotarsi di sistemi di IA (in quanto dalle stesse ritenuti importanti per lo svolgimento delle attività didattiche), saranno libere di farlo, previo accertamento della loro sicurezza e della loro conformità alle disposizioni del GDPR.
Gli strumenti per giungere a questo risultato sono costituiti dalla valutazione del rischio e dalla valutazione di impatto (DPIA).
Valutazione del rischio
La valutazione del rischio è una metodologia di “risk assessment”, le cui fondamenta possono essere rinvenute all’interno dello stesso GDPR.
In particolare, i considerando 75 e 76 del GDPR prevedono che, se da un trattamento dati possono derivare danni fisici e materiali, la probabilità e la gravità del rischio devono essere determinate sulla base di una valutazione oggettiva, svolta dal titolare del trattamento tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento stesso, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, mettendo in atto misure tecniche e organizzative adeguate, riesaminate periodicamente, per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR (cfr. Art. 24 e 32 GDPR).
Deve perciò essere condotta un’analisi finalizzata a determinare il livello di esposizione al rischio dei dati personali trattati.
L’importanza di tale analisi consiste nel fatto che i suoi risultati consentiranno di individuare gli ambiti su cui focalizzare gli interventi, ottimizzando l’impiego delle risorse a disposizione.
L’analisi del rischio non è condotta attraverso modalità codificate, e pertanto nell’ottica di accountability, ciascun titolare del trattamento sarà libero di individuare la metodologia ritenuta più idonea per la propria organizzazione.
Nella prassi è tuttavia ricorrente rifarsi agli standard messi a disposizione dall’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA) nelle sue linee guida.
Il punto focale di questa analisi è che, una volta effettuata, dovrà essere coinvolto il responsabile della protezione dei dati (DPO) affinché possa esprimere il suo parere in merito.
Una volta approvata definitivamente, andranno implementate le misure di sicurezza suggerite dai risultati.
Valutazione d’impatto
La valutazione d’impatto (DPIA – Data Protection Impact Assessment) è invece prevista dall’art. 35 del GDPR, ed è utile per delineare un trattamento di dati, e valutarne la necessità, la proporzionalità e i relativi rischi.
Solitamente si ricorre a questa metodologia in tutte le ipotesi espressamente previste dall’articolo, sotto pena in difetto di sanzione, a titolo non esaustivo:
- Valutazione sistematica e globale di aspetti personali, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici;
- Trattamento su larga scala di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;
- Sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Date le implicazioni dei sistemi basati sull’IA, è opportuno che, laddove una scuola decida di dotarsi di un sistema di Intelligenza Artificiale particolarmente invasivo (si pensi ad esempio ad un istituto che decida di adottare un sistema di valutazione degli studenti basato su un algoritmo), proceda con la redazione di una DPIA volta ad approfondire maggiormente i profili di rischio insiti nell’adozione di un determinato trattamento dati considerato come a rischio.
Una volta effettuata la valutazione, si dovrà chiedere un parere in merito al proprio DPO (oppure chiedergli di sorvegliarne lo svolgimento), e attenersi alle sue eventuali indicazioni.
Laddove, a seguito della DPIA, permangano dubbi in merito alla rischiosità del nuovo trattamento dati, il titolare del trattamento dovrà chiedere un parere preventivo all’autorità di controllo.
È importante sottolineare che sia la valutazione del rischio che la DPIA devono essere redatte prima dell’adozione del trattamento dati considerato come a rischio.
Per entrambe le ipotesi diventa perciò essenziale il ruolo del DPO che, alla luce di un contesto in costante evoluzione riguardante i sistemi di Intelligenza Artificiale, dovrà necessariamente essere dotato anche di competenze specifiche in materia.
Conclusioni
Proprio qualche settimana fa il direttore operativo di OpenAI, Brad Lightcap, ha dichiarato che metterà in piedi un team per valutare le possibili applicazioni educative di ChatGPT nelle scuole.
L’Intelligenza Artificiale sta entrando – ed entrerà sempre di più – nelle aule, e pertanto dirigenti e insegnanti devono iniziare a prepararsi all’uso di questo strumento, e capire quali possono essere i rischi, ma anche le innumerevoli opportunità per gli alunni.