privacy

Intelligenza Artificiale: gli step per un corretto trattamento dati



Indirizzo copiato

L’intelligenza artificiale pone sfide nuove per le aziende e i professionisti che la usano nello svolgimento delle loro attività. Vediamo quali sono i punti di maggiore criticità, i rischi per gli interessati e gli step per garantire la conformità del trattamento effettuato mediante strumenti di IA

Pubblicato il 28 lug 2023

Lorenzo Baudino Bessone

praticante avvocato, Studio Previti

Rossella Bucca

avvocato, Studio Previti associazione professionale



edpb edps data act

Sebbene la normativa sulla protezione dei dati personali europea si ispiri al principio di neutralità tecnologica, per cui i principi in esso contenuti si applicano a qualsiasi tecnica utilizzata, l’intelligenza artificiale pone sfide nuove per l’interprete e per le aziende e i professionisti che sempre più oggi si avvicinano a tale utile strumento nello svolgimento delle attività riguardanti i settori più disparati.

Ma quali sono i punti di maggiore criticità nell’utilizzo dell’IA? Quali i rischi per gli interessati?

Esaminiamo tutti gli step che il titolare dovrà seguire per garantire la conformità del trattamento effettuato mediante strumenti di intelligenza artificiale alla normativa sulla data protection.

I moderni modelli di intelligenza artificiale (“IA”) sono divenuti parte integrante della nostra vita, sia nell’ambito privato che, soprattutto, in quello professionale, ove numerosi settori economici si affidano a tale strumento per prendere decisioni che hanno un impatto sulle persone.

Data protection e trattamenti automatizzati: la normativa Ue

La normativa sulla data protection, contenuta – tra le altre fonti nazionali – nel Regolamento (UE) 2016/679 (“GDPR”), estende i propri principi generali a tutti i trattamenti di dati personali, compresi quelli integralmente automatizzati, intesi come quelli effettuati da una “macchina” in assenza di intervento ad opera di una persona fisica. Proprio con riguardo all’utilizzo di tali processi decisionali automatizzati (a prescindere dalla finalità che questi perseguano), il GDPR ha fondato un sistema di tutele rafforzato per prevenire l’impatto ingiustificato sui diritti e sulle libertà degli interessati che ne potrebbe derivare.

La scelta del sistema di IA e la comprensione del suo funzionamento

Sembrerà banale, ma il primo step da effettuare (oltre che il più importante) è quello di scegliere in maniera oculata il sistema di IA da utilizzare.

Al boom dell’IA, nel mondo ha fatto seguito un’evoluzione esponenziale del mercato di strumenti di intelligenza artificiale e, in tal senso, l’approccio del legislatore europeo con l’approvazione del nuovo “AI Act” mira, in prima battuta, a fissare regole armonizzate per l’introduzione sul mercato, la messa in servizio e l’uso dei sistemi di IA.

Ma la scelta del prodotto, e così la valutazione in ordine alla sua conformità alla normativa privacy, rimane in capo al titolare del trattamento che, in ottica di accountability avrà il compito di avvalersi del sistema che offrirà maggiori garanzie e rispetto dei principi discendenti dal GDPR (in particolare con riguardo al principio di proporzionalità e minimizzazione del trattamento).

Si tratta, ad uno sguardo più approfondito, di una scelta complessa, che comporta un’attenta valutazione da parte del titolare, il quale dovrà, altresì, documentare le decisioni assunte, dal momento che i sistemi di IA funzionano, molto spesso, come motori decisionali opachi; giungono a conclusioni scarsamente motivate, prive di argomentazioni “trasparenti”.

Il titolare del trattamento dovrà, pertanto, necessariamente calibrare le proprie considerazioni in base a quali saranno i cosiddetti “dati di input” (vale a dire le informazioni date “in pasto” all’IA), e al modo in cui lo strumento elabora i dati.

Decisioni prese dall’IA, i possibili problemi

Allo stesso tempo, le decisioni assunte dall’IA, dunque il risultato dell’elaborazione potrebbero sollevare criticità in relazione a:

  • explainability (o interpretabilità) dell’IA che, oltre a costituire un terreno di ricerca del tutto nuovo, diverrà un tassello essenziale ed imprescindibile, in quanto maggiore sarà la comprensione del funzionamento dell’IA, più incisiva sarà la consapevolezza di quali rischi possano derivare dal suo utilizzo;
  • incertezza dell’IA, strettamente correlata al principio di esattezza dei dati personali (di cui all’art. 5 del GDPR), poiché la “data accuracy” dell’output fornito dal sistema di IA potrebbe incidere negativamente e direttamente sui diritti degli interessati (tema che è stato peraltro oggetto di un’analisi specifica all’interno della “Guidance on AI and data protectionpubblicate dall’ICO).

La fase appena illustrata (che inizia con l’individuazione e lo studio del funzionamento dell’IA e rinviene il proprio completamento nella valutazione delle specificità del trattamento) è, difatti, prevista dal GDPR nella norma cardine dell’art. 25 concernente i principi di “privacy by design” e “privacy by default”.

Il calcolo del rischio nella valutazione d’impatto

Come anticipato, il GDPR sancisce che i rischi più significativi per i diritti e le libertà delle persone fisiche si verificano quando un processo è completamente automatizzato, oppure quando tale sistema permetta di utilizzare i dati personali raccolti per “costruire” profili degli interessati; per tale motivo, l’art. 35 fa discendere un particolare adempimento in capo al titolare, ossia quello di svolgere una valutazione (documentata) dell’impatto (cd. “DPIA” – Data Protection Impact Assessment).

Tale adempimento diviene, peraltro, obbligatorio nell’ipotesi di cui al paragrafo 3, lett. a) dell’articolo in parola, allorché il trattamento abbia come finalità “una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche”.

Al di là dell’obbligatorietà o meno di tale adempimento, lo svolgimento di una valutazione d’impatto è, a tutti gli effetti, uno step necessario per il titolare del trattamento che voglia avvalersi di sistemi di IA (lo stesso Working Party art. 29, nelle Linee Guida sulla Valutazione d’impatto ha precisato che: “Una valutazione d’impatto sulla protezione dei dati può essere altresì utile per valutare l’impatto sulla protezione dei dati di un prodotto tecnologico, ad esempio un dispositivo hardware o un software, qualora sia probabile che lo stesso venga utilizzato da titolari del trattamento distinti per svolgere tipologie diverse di trattamento”).

Il trasferimento di dati personali verso Paesi terzi

Massima attenzione dovrà inoltre essere prestata, in fase di scelta del sistema di IA, alla circostanza che l’utilizzo di tale prodotto comporti un possibile trasferimento di dati personali verso paesi collocati al di fuori del territorio dell’Unione Europea.

Il Capo V del GDPR, come noto, subordina la liceità del trasferimento ad alcune condizioni, tra cui: l’adeguatezza del Paese Terzo o dell’organizzazione che sia riconosciuta tramite decisione della Commissione europea (art. 45 GDPR); ovvero, in assenza di tale decisione, che il responsabile del trattamento fornisca garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (art. 46 GDPR – fanno parte di tali garanzie: gli strumenti giuridici vincolanti ed esecutivi tra soggetti pubblici; le norme vincolanti d’impresa; le clausole contrattuali standard; codici di condotta (art. 46, par. 2, lett. e); meccanismi di certificazione (art. 46, par. 2, lett. f).

Nulla quaestio, laddove il trasferimento avvenga verso un paese terzo “coperto” da una decisione di adeguatezza; in caso negativo, come oggi avviene per i trasferimenti di dati personali verso gli Stati Uniti, sarà l’esportatore a dover considerare la liceità del trasferimento sulla base delle Clausole Contrattuali Standard (“SCC”), tenuto conto delle circostanze del trasferimento e delle misure supplementari eventualmente messe in atto dall’importatore.

L’obbligo di informativa e garanzia dei diritti privacy degli interessati

Il tema della trasparenza (o meglio, dell’opacità) dei sistemi dotati di IA è stato già preso in considerazione; basti qui precisare che il titolare del trattamento ha l’ulteriore compito di informare gli interessati, ai sensi degli artt. 13 e 14 del GDPR dell’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, di fornire informazioni significative sulla logica utilizzata, nonché sull’importanza e sulle conseguenze previste di tale trattamento per l’interessato (obblighi informativi che sono al pari previsti, per il caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati in ambito lavorativo ai sensi del novellato art. 1 bis D. Lgs. 152/1997, con la specificità che il datore di lavoro dovrà informare i lavoratori anche in merito alle categorie di dati e ai parametri principali utilizzati per programmare o addestrare – “calibrare” – i sistemi, inclusi i meccanismi di valutazione delle prestazioni; alle misure di controllo adottate per le decisioni automatizzate, agli eventuali processi di correzione e al responsabile del sistema di gestione della qualità; e al livello di accuratezza, robustezza e cybersicurezza e alle metriche utilizzate per misurare tali parametri, nonché agli impatti potenzialmente discriminatori delle metriche stesse).

Conclusioni

Ma ancora maggiori sfide saranno poste nel garantire il rispetto degli altri diritti dell’interessato, di accesso, rettifica, cancellazione e limitazione del trattamento, portabilità dei dati e opposizione. Lo stesso ICO, nella guida già menzionata, riconosce che il trattamento di dati personali attuato mediante l’intelligenza artificiale può rendere più difficile l’adempimento dei diritti individuali anzidetti.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2