La normativa

Trattamento dati personali via intelligenza artificiale, tutti gli strumenti del Gdpr

Il regolamento europeo GDPR ha introdotto misure per gestire le criticità che possono emergere quando a trattare i dati sono sistemi di Intelligenza artificiale. Tra gli strumenti, la disposizione di garantire la privacy by design e by default e il diritto a non esser sottoposti solo a trattamenti automatizzati

Pubblicato il 28 Feb 2019

Niccolò Anselmi

Dentons Europe Studio Legale Tributario

Giangiacomo Olivi

Dentons Europe Studio Legale Tributario

privacy ai

Il GDPR ha introdotto strumenti utili per gestire al meglio le criticità emerse nell’ambito dei trattamenti di dati personali da parte di sistemi Intelligenza artificiale. Tra queste misure sono contemplati i concetti di privacy by design e by default e il diritto a non esser sottoposti unicamente a trattamenti automatizzati, strumenti pensati nel rispetto del principio generale di neutralità tecnologica[1] .

Qui di seguito, svolgeremo un’analisi delle disposizioni normative utili a affrontare e, talvolta, a limitare le criticità che si pongono in materia di AI.

Privacy by design e privacy by default – art. 25 del GDPR

Sulla base di quanto indicato all’interno dell’art. 25 del GDPR, il titolare[2] deve adottare misure idonee a garantire sin dalla progettazione, cioè by design, e per impostazione predefinita, cioè by default, il rispetto di tutti i principi in materia di trattamento di dati personali tra i quali, ad esempio, i principi di finalità e base giuridica del trattamento, e il principio di minimizzazione, secondo cui devono essere trattati solo i dati personali strettamente necessari al perseguimento delle finalità predeterminate.

Si tratta della disposizione del GDPR forse più rilevante in materia di sistemi AI, per via del potenziale impatto sulle specifiche di programmazione e settaggio: questi, infatti, devono essere sin dall’inizio programmati in modo da garantire il rispetto delle prescrizioni del GDPR, e allo stesso modo anche le configurazioni di default dovranno rispondere alle medesime necessità.

Processi decisionali automatizzati – art. 22 del GDPR

Sulla base di tale disposizione, all’interessato[3] viene riconosciuto il “diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”. In estrema sintesi, qualora il trattamento di dati sia totalmente automatizzato, e da questo possano derivare conseguenze dirette nella sfera personale dell’interessato, quest’ultimo si potrà opporre al trattamento (e, in alcuni casi, potrà altresì richiedere un intervento umano e contestare l’eventuale decisione sulla base di trattamenti automatizzati). .

La disposizione di cui all’art. 22 del GDPR ha una rilevanza diretta e significativa sull’operatività dei sistemi AI: considerato che il loro funzionamento è interamente automatizzato (e così anche le decisioni da questi adottate, o prese sulla base di output e risultati provenienti da essi) e solitamente non prevede interventi umani, l’adeguamento a tale prescrizione comporterebbe modiche e interventi sulle modalità di funzionamento degli stessi (dovrebbe, in pratica, essere limitata, vincolata o comunque sottoposta da una seppur minima supervisione umana la capacità decisionale autonoma dei sistemi AI)..

DPIA e consultazione preventiva – artt. 35 e 36 del GDPR

Ai sensi dell’art. 35 del GDPR, sussiste l’obbligo di svolgere una valutazione di impatto sulla protezione dei dati (Data protection impact assessment, “DPIA” – cioè, una valutazione analitica dei rischi per gli interessati che si pongono nell’ambito del trattamento considerato, e delle misure di sicurezza adottate per ridurre al minimo le probabilità di accadimenti negativi) in caso di trattamento che presenti rischi per diritti e libertà degli interessati. Sul punto, le autorità nazionali sono chiamate a stilare elenchi di trattamenti di dati personali che, a prescindere dalle circostanze concrete, comportano l’obbligo, in capo al titolare, di predisporre una DPIA.

Se – come già sta accadendo (e come ha già proceduto, in Italia, anche il Garante per la protezione dei dati personali[4]) – fossero assoggettati a DPIA tutti i (o la maggior parte dei) trattamenti che possono essere effettuati nell’ambito di sistemi AI, ciò consentirebbe, in modo generalizzato, di entrare nel merito delle dinamiche delle operazioni di trattamento poste in essere mediante sistemi AI, con riferimento sia al loro funzionamento, sia alle misure di sicurezza eventualmente adottate.

Inoltre, qualora dalla DPIA si rilevi la persistenza di rischi per i diritti e le libertà degli interessati, si dovrà ricorrere all’autorità di controllo competente, con la procedura di consultazione preventiva ai sensi dell’art. 36 del GDPR. Tale strumento, se utilizzato dai titolari del trattamento (cioè, nella maggior parte dei casi, i fornitori di servizi AI), potrebbe addirittura aprire una fase di collaborazione tra autorità e operatori del settore, volta a stabilire procedure e standard di trattamento.

Diritti degli interessati – artt. 15-ss del GDPR

Non devono essere dimenticate, ovviamente, le disposizioni del GDPR relative ai diritti degli interessati, il cui corretto enforcement potrebbe consentire la “apertura” dei sistemi AI (cioè, l’accesso a informazioni sul funzionamento, l’operatività e i dati trattati) almeno con riferimento alle garanzie da fornire in materia data protection.

Si pensi, ad esempio, alle disposizioni che consentono all’interessato di accedere ai suoi dati personali trattati dal titolare (art. 15 del GDPR), di ottenerne la rettifica (art. 16 del GDPR), la cancellazione (art. 17 del GDPR), la limitazione (art. 18 del GDPR), o di opporsi in tutto o in parte al trattamento (art. 21 del GDPR), oppure ancora a ottenere dal titolare una copia dei suoi dati personali trattati in formato “strutturato, di uso comune e leggibile da dispositivo automatico” (diritto di portabilità dei dati, ai sensi dell’art. 20 del GDPR).

____________________________________________________________

  1. Nel caso di specie, in virtù del principio di neutralità tecnologica le prescrizioni normative del GDPR devono essere adottate ed attuate a prescindere dal mezzo e dalle modalità mediante cui è posto in essere il trattamento di dati personali. All’atto pratico, non si tratta di disposizioni specificamente introdotte per regolare le implicazioni AI in materia privacy, ma di principi e prescrizioni valevoli in ogni caso.
  2. Il titolare, in estrema sintesi, è il soggetto che tratta i dati personali (o determina in ogni caso i mezzi e le finalità del trattamento); nel caso di specie, si tratta spesso del fornitore del servizio erogato mediante il sistema AI.
  3. Il soggetto interessato è il soggetto i cui dati personali sono trattati (nel caso di specie, si tratta spesso dell’utilizzatore del servizio fornito dal sistema AI).
  4. Sul punto, acquista rilievo l’elenco di trattamenti di dati da assoggettare a DPIA, pubblicato nel mese di novembre 2018 dal Garante per la protezione dei dati personali: nell’elenco, risulta presente la stragrande maggioranza dei trattamenti posti in essere in ambito AI.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2