Il Garante privacy (DPA) del Baden-Württemberg ha pubblicato un discussion paper che affronta la complessa intersezione tra il trattamento dei dati personali e l’intelligenza artificiale (AI) nel contesto del Regolamento Generale sulla Protezione dei Dati (GDPR). L’Autorità invita a fornire feedback sul documento entro il 1° febbraio 2024.
Ecco di seguito i punti salienti:
- Dati Personali nei Sistemi di AI: Il documento esplora l’identificabilità all’interno dei modelli di AI e i rischi connessi di re-identificazione tramite gli attacchi ai modelli. Viene sottolineata l’importanza delle valutazioni periodiche del rischio per mitigare tali rischi. Inoltre, si enfatizza la variabilità nel tempo del processo di identificazione, dove gli interessati possono essere identificabili sin dall’inizio o solo successivamente con informazioni aggiuntive. È fondamentale analizzare i metodi di apprendimento automatico impiegati e valutare la probabilità che gli individui possano essere re-identificati attraverso influenze atipiche sui sistemi.
- Individuazione della responsabilità: La complessità delle basi legali in scenari con più attori e la continua evoluzione dei dati sono messe in risalto nel documento, che evidenzia la necessità di chiare basi legali per il trattamento dei dati di AI. Inoltre, si accenna alla necessità di una differenziazione fattuale nel determinare la responsabilità: bisogna stabilire se i dati personali vengono elaborati solo su istruzioni e per conto di un altro ente e se una parte ha un proprio interesse nell’elaborazione dei dati personali.
- Ruoli nel Trattamento dei Dati: Il documento analizza la distinzione tra ‘responsabili del trattamento’ e ‘titolari del trattamento’, e come i ruoli possano cambiare in base all’uso dei dataset per l’addestramento di AI facendo sorgere ipotesi di contitolarità.
- Interesse Legittimo come Base Legale: Si dettaglia come l’interesse legittimo possa fungere da base legale nell’AI, promuovendo un equilibrio tra l’elaborazione dei dati e i diritti degli individui. Proprio nel bilanciamento degli interessi il documento raccomanda di includere oltre al livello di dettaglio e all’ambito dei dati di addestramento, circostanze quali l’impatto sui soggetti dei dati o le garanzie per assicurare un adeguato addestramento.
- Altre Basi Legali: Vengono esplorate anche altre basi legali, come l’esecuzione di un contratto, il consenso, l’obbligo legale e la protezione di un interesse vitale, proponendo questioni chiave allineate alle guide dell’EDPB.
- Sfide della Conformità GDPR e Innovazione: Il documento sottolinea come le aziende debbano essere attente nel conformarsi al GDPR, promuovendo al contempo l’innovazione. Si evidenzia che il trattamento di grandi insiemi di dati personali in connessione con i sistemi di AI comporta il rischio che questi possano diventare categorie particolari di dati personali nel corso del ciclo di vita del trattamento. Pertanto, i titolari del trattamento dovrebbero includere i requisiti per l’elaborazione di categorie particolari di dati personali fin dall’inizio (by design).
Lo svolgimento di analisi di conformità come quella suggerita dal documento può richiedere competenze verticali su molteplici normative, proprio per questo abbiamo sviluppato uno strumento innovativo per aiutare le aziende a misurare la conformità dei propri sistemi AI rispetto alla bozza del nuovo Regolamento Europeo sull’AI, alla normativa privacy, IP e agli standard ISO. Per saperne di più potete vedere il video disponibile QUI e contattarci per eventuali chiarimenti.
Autore: Tommaso Ricci
