Trattamenti dati personali via intelligenza artificiale


Se la maggior parte dei dati personali sono gestiti da persone, esiste però anche la possibilità che questo ruolo sia svolto da una intelligenza artificiale, ovvero da una macchina, o da un algoritmo, in grado di sviluppare le capacità cognitive di un essere umano. Attualmente gli sviluppi dell’intelligenza artificiale mirano ad esempio ad affidare ad una macchina compiti complessi precedentemente attribuiti ad essere umani, in particolare le posizioni tecniche su cui oggi maggiormente si concentra l’attenzione sono:

  • domotica,
  • smart city,
  • sanità,
  • prevenzione del crimine.

 

In tal caso come si devono comportare un’azienda o un ente pubblico per rispettare la normativa europea?

Il GDPR ha introdotto diverse misure per gestire le criticità che possono emergere quando a trattare i dati sono sistemi di Intelligenza artificiale. In questo articolo andremo ad analizzare i diversi strumenti per garantire la privacy by design e by default, pensati nel rispetto del principio generale di neutralità tecnologica.

 

INDICE

Trattamento dati personali via intelligenza artificiale

Linee guida per garantire la privacy by design e by default

 

Trattamento dati personali via intelligenza artificiale

 

privacy, Intelligenza Artificiale, Labor Project

 

 

A quasi un anno dall’entrata in vigore del Regolamento per la protezione dei dati personali (GDPR), lo scorso inverno (convenzione 108 del 25 gennaio 2019), sono state emanate, a livello europeo, le linee guida sull’intelligenza artificiale e la protezione dei dati. Diversi punti che anche in Italia devono essere recepiti per salvaguardare i diritti umani in ambiti in cui l’intelligenza artificiale ha preso la scena.

  • Dati trattati dall’intelligenza artificiale

“Se facciamo una sorta di analisi su quali sono i dati acquisiti – spiega Davide Maspero consulente Privacy e formatore GDPR di Labor Project – dobbiamo tenere conto oltre che dei dati personali anche dei dati inferiti che vengono sviluppati attraverso gli algoritmi dell’intelligenza artificiale. Quindi l’attenzione viene posata sia sui dati personali acquisiti all’inizio del trattamento, sia su quelli dedotti e ricavati dall’elaborazione degli algoritmi”.

 

  • Il ruolo dell’Europa

Se pur le linee guida sull’intelligenza artificiale e la protezione dei dati del Consiglio d’Europa non rappresentino una normativa vincolante per gli Stati, è altrettanto vero che, per la prima volta, un organismo internazionale ha stabilito confini netti all’interno dei quali potersi muovere per salvaguardare i diritti umani, la protezione dei dati e la libertà dell’individuo rispetto ai big data. È proprio questo il ruolo del vecchio continente che, non potendo competere con le superpotenze Usa e Cina negli investimenti industriali in intelligenza artificiale, si è focalizzata sull’attività giuridica per cercare di regolamentare il far west legislativo.

Cosa deve fare un’azienda o un ente pubblico per rispettare la normativa europea in questo ambito?

Al riguardo occorre fare alcune considerazioni che si focalizzano su diversi argomenti che vanno riferiti alla privacy by design e by default.  Attraverso queste due misure il titolare del trattamento, colui che va ad acquisire i dati e a trattarli, deve garantire sin dalla progettazione (by design) che per impostazione predefinita (by default) il rispetto di tutti i principi in materia di trattamento dei dati.  I principi che non possono venire meno sono: il rispetto della finalità del trattamento (privacy by default e privacy by design) e il principio di minimizzazione. Questi due blocchi devono essere inseriti all’interno delle specifiche di programmazione e settaggio dei vari algoritmi e delle varie macchine che lavorano attraverso l’intelligenza artificiale.

Linee guida per garantire la privacy by design e by default

 

quando è obbligatorio data protection officer

 

 

  • I principi

Il principio fondamentale delle linee guida, che accomuna pubblico e privato, è la tutela dei diritti umani come prioritaria rispetto allo sviluppo e all’adozione di sistemi basati sull’intelligenza artificiale, anche quando utilizzati nei processi decisionali automatizzati.

Nella Convenzione (denominata 108+) il comitato scientifico ha aggiunto che non possono venire meno altri principi quali:

  • liceità,
  • correttezza,
  • specificazione della finalità,
  • proporzionalità del trattamento,
  • protezione dei dati fin dalla progettazione (privacy by design)
  • protezione per impostazione predefinita (privacy by default),
  • responsabilità e dimostrazione della conformità (accountability),
  • trasparenza,
  • sicurezza dei dati,
  • gestione dei rischi.

 

  • Linee guida

Il comitato scientifico ha fornito inoltre una serie di indicazioni per quanto riguarda il funzionamento dei software basati sull’intelligenza artificiale che stanno rivoluzionando la vita individuale e collettiva.  Ha realizzato delle linee guida sull’intelligenza artificiale per garantire la privacy by design e by default in tre parti: l’introduzione a carattere generale, la seconda parte dedicata ai fornitori, produttori e agli sviluppatori dei servizi e la terza dedicata ai legislatori. Quello a cui si vuole arrivare è garantire la privacy by design e by default con elementi chiari. Le linee guida vanno in quella direzione.

 

  • fornitori sviluppatori e produttori

Le indicazioni a produttori, fornitori e sviluppatori sono basate sul principio della corretta valutazione del rischio in relazione al trattamento dei dati in tutte le fasi: di progettazione, sviluppo e gestione dei sistemi. Fondamentale è l’acquisizione di un approccio by design, ovvero fin dalla progettazione, che tenga conto dei diritti umani, eviti alcun pregiudizio e scongiuri il rischio di discriminazione in tutte le fasi del trattamento, compresa quella della raccolta dati. Alle aziende spetta il compito di valutare in modo critico qualità, natura, origine e quantità di dati personali utilizzati in modo da ridurre la raccolta di dati inutili durante tutte le fasi del processo.

 

  • Comitati di esperti a garanzia

Il secondo punto riguarda l’invito alla creazione di comitati di esperti indipendenti, tra cui le università, che possano delineare un quadro basato su diritti umani, principi etici e sociali a cui fare riferimento nella creazione e nello sviluppo delle applicazioni di Intelligenza artificiale.

  • Tutela della libertà di scelta

Il terzo aspetto delle linee guida riguarda la libertà di scelta e la consapevolezza degli individui nell’uso di applicazioni di Intelligenza Artificiale. In questo senso è opportuno che tutti i prodotti siano progettati in modo da garantire agli individui il diritto di prendere decisioni che li coinvolgano in modo significativo, nel rispetto delle loro opinioni.

Le raccomandazioni agli Stati e ai responsabili politici stabiliscono, per la prima volta, principi e suggerimenti innovativi, due su tutti: dall’obbligo di preservare il libero arbitrio dell’individuo, all’importanza di investire risorse nell’educazione digitale.

  • Libero arbitrio

Il Consiglio d’Europa suggerisce di fare procedure di appalto pubblico in grado di stabilire il cosiddetto algoritmo di vigilanza, inteso come un insieme di doveri di prevenzione, trasparenza, responsabilità e monitoraggio di tutto il ciclo di vita dei prodotti e servizi di Intelligenza Artificiale. Questo algoritmo di vigilanza deve essere assicurato con una periodica revisione da parte di Autorità di supervisione che collaborano con altri organi, come associazioni di consumatori, categorie di stakeholders e autorità indipendenti.

  • Formazione e educazione digitale

Al fine di evitare che l’Intelligenza Artificiale abbia un ruolo predominante, ma ci sia sempre la consapevolezza e l’autodeterminazione umana nei processi decisionali, il Comitato D’Europa invita gli Stati ad investire risorse in formazione e educazione digitale per aumentare la consapevolezza dei soggetti interessati sull’impatto che l’Intelligenza Artificiale avrà sulla loro vita e sulla società.

 

 

Se ti è piaciuto l'articolo condividi:

Matteo Colombo

Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Consulente d’impresa e formatore, esperto in materia privacy e lavoristica. Dopo un’esperienza di alcuni anni in una primaria multinazionale del settore Agenzie per il Lavoro quale Risk Manager e componente del Team ufficio legale, è socio fondatore di Labor Project Srl, azienda che da quindici anni opera nel campo della “compliance” in tema Privacy e 231/01 e di cui è a tutt’oggi l’Amministratore Delegato. A capo di un pool di tecnici, nel corso di questi anni ha seguito imprese private e pubbliche amministrazioni nell’adempimento del Testo Unico Privacy e GDPR. È DPO di alcune importanti società multinazionali. Relatore in molteplici eventi in tutta Italia sui temi Privacy e autore di diversi libri sul Regolamento (UE) Privacy. Esperto in materia di reati societari D.Lgs. 231/01 e componente di Organismi di Vigilanza. Relatore in molteplici eventi in tutta Italia sui temi Privacy e 231 e ideatore del progetto E-Learning “Master DPO”. CIPP/E: Certified Information Privacy Professional/Europe Socio Fondatore e Presidente dell’Associazione dei Data Protection Officer – ASSO DPO. Fondatore del gruppo Linkedin “ASSO DPO | Data Protection Officer”. Componente del Comitato Scientifico di Istituto Italiano Privacy Componente del gruppo di Esperti Italiani di Privacy Italia