L’Autorità francese per la protezione dei dati (CNIL) ha pubblicato utili raccomandazioni su come utilizzare le soluzioni di AI per il trattamento dei dati personali in conformità con il GDPR.
Ecco i punti chiave delle ultime raccomandazioni del CNIL:
- Fasi di sviluppo: La CNIL sottolinea l’importanza di aderire al GDPR fin dalla fase iniziale dello sviluppo dell’IA, che comprende la progettazione del sistema, la creazione del database e la fase di apprendimento 📌 Abbiamo molti clienti che stanno conducendo progetti pilota relativi all’AI e ignorano gli obblighi di conformità a causa della portata limitata. Ma anche i progetti di intelligenza artificiale di portata limitata richiedono la conformità al GDPR;
- Definizione della finalità: Una finalità chiara, esplicita e legittima per i sistemi di intelligenza artificiale è fondamentale. Che si tratti di un uso operativo specifico o di scopi generali, delineare le potenziali capacità e funzionalità è fondamentale per la conformità al GDPR 📌 Alcune soluzioni di AI hanno uno scopo generale, ma il GDPR richiede una definizione dello scopo e una valutazione ad hoc;
- Chiarimento della responsabilità: Identificare se si è un Titolare del trattamento, un Responsabile del trattamento o se si rientra in altri ruoli definiti nel Regolamento UE sull’AI è fondamentale per determinare gli obblighi di conformità 📌 Sembra ovvio, ma potrebbe non esserlo se il fornitore ha un ruolo di primo piano nel determinare le modalità di funzionamento dell’AI;
- Identificazione della base giuridica: È essenziale stabilire una base giuridica per il trattamento dei dati personali, che sia il consenso, l’interesse legittimo o altre disposizioni del GDPR 📌 L’interesse legittimo sembra essere il più ovvio, ma è necessario eseguire una LIA appositamente motivata per dimostrare l’interesse legittimo sottostante;
- Riutilizzo e minimizzazione dei dati: La CNIL sostiene il riutilizzo lecito dei dati personali e sottolinea l’importanza della minimizzazione dei dati, garantendo che vengano trattati solo i dati necessari per finalità definite 📌 Date le enormi capacità delle soluzioni di AI, definire ciò che è necessario sembra essere oneroso. Tuttavia, si tratta di un processo di valutazione che deve essere eseguito;
- Conservazione e DPIA: Si raccomanda di stabilire un periodo di conservazione definito per i dati personali e di condurre una valutazione d’impatto sulla protezione dei dati (DPIA) per mitigare i rischi e mantenere gli standard di protezione dei dati 📌 Può essere difficile sostenere che una GPAI non tratti dati personali su larga scala, data la sua capacità di trattamento.
Questi principi sono utili e dovrebbero essere considerati parte della politica interna che ogni azienda intenzionata a sfruttare l’intelligenza artificiale da un lato e a evitare che l’AI di terze parti faccia scraping dei propri dati protetti da copyright dovrebbe adottare. In DLA Piper stiamo assistendo diversi clienti su questo tema, contattateci se volete saperne di più.
Su un argomento simile può essere d’interesse l’articolo “Siete un Provider o un Deployer ai sensi dell’AI Act?”
(Visited 70 times, 1 visits today)
Autore: Giulio Coraggio
