RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Una norma ad hoc per l’intelligenza artificiale

La pubblicazione della norma tecnica ISO/IEC 42001:2023 “Information technology Artificial intelligence – Management system” (AIMS) è dello scorso dicembre. Essa specifica, come ricorda l’articolo Il sistema di gestione dell’intelligenza artificiale: la norma ISO/IEC 42001:2023, i requisiti, da parte di chi, in maniera responsabile, sia fornisce che utilizza prodotti o servizi basati sull’IA, per stabilire, implementare, mantenere e migliorare continuamente un Sistema di Gestione dell’IA.

Questo articolo intende illustrare la struttura della norma, avvertendo che per la comprensione dei termini è necessario avvalersi della  ISO/IEC 22989:2022 “Information technology – Artificial intelligence – Artificial intelligence concepts and terminology”.

La ISO 42001 utilizza un framework di requisiti di rischio e di controlli e fornisce linee guida per la governance e la gestione di sistemi con componente di AI. La gestione del rischio si attua attraverso l’individuazione delle minacce, delle vulnerabilità e degli agenti di minaccia nella gestione delle tecnologie, in modo da definire ed attuare le misure di mitigazione.

La norma affronta, sistematicamente e con approccio etico, la protezione dei dati personali, i pregiudizi, la responsabilità e la trasparenza. Considerando l’evoluzione costante del panorama (innovazione tecnologica, componente di machine learning e l’enorme casistica di applicazione), lo standard richiede anche di integrare, ridefinire e migliorare costantemente i processi decisionali e le responsabilità connesse ai sistemi.

La norma è conforme ai sistemi di gestione (Annex SL) e si presta quindi ad essere inserita in un sistema di gestione integrato, anche e soprattutto comprensivo della ISO 27001. Di conseguenza alla necessità di essere ampiamente applicabile, i requisiti sono piuttosto generici e diventano fondamentali le note ed i molti riferimenti. E’ inoltre allineata all’ Artificial Intelligence Act (AI Act) dell’UE.

La norma è corredata di 4 allegati:

  • l’allegato A (normativo) contiene i controlli, ovvero le misure da porre in atto per mantenere o modificare un rischio (analogamente a quanto prevede il corrispondente allegato A della ISO/IEC 27001:2022);
  • l’allegato B (normativo) riporta le linee guida per l’applicazione dei controlli definiti nell’allegato A (analogamente alla ISO/IEC 27002:2022, per quanto senza la componente degli attributi);
  • l’allegato C (informativo) delinea i potenziali obiettivi organizzativi, le fonti di rischio e le descrizioni che possono essere prese in considerazione nella gestione dei rischi legati all’uso dell’IA;
  • l’allegato D (informativo) riguarda gli ambiti e i settori in cui può essere utilizzato un AIMS.

I controlli e gli obiettivi di controllo sono suddivisi in 9 sezioni:

  • Politiche relative all’AI
  • Organizzazione interna
  • Risorse per i sistemi di AI
  • Analisi dell’impatto dei sistemi di AI
  • Ciclo di vita del sistema AI
  • Dati per i sistemi di AI
  • Informazioni per le parti interessate ai sistemi di AI
  • Utilizzo dei sistemi di AI
  • Rapporti con terze parti

Non è necessario utilizzarli tutti, viceversa se ne possono introdurre altri.

Le fonti di rischi considerate nell’All. C sono:

  • complessità dell’ambiente
  • mancanza di trasparenza e condivisione
  • livello di automazione
  • componente di machine learning
  • problemi hardware del sistema
  • stato del sistema nel corso del suo “ciclo di vita”
  • livello di maturità della tecnologia.

L’innovazione tecnologia, la componente di machine learning, e l’enorme casistica di applicazione della componente di AI fanno sì che sia necessario aggiornare continuamente l’analisi ed il trattamento dei rischi.

All’Intelligenza Artificiale dovrebbe essere attribuita una personalità giuridica?

In vista del Regolamento europeo che a breve dovrebbe essere approvato dal Parlamento e dal Consiglio Europeo, l’autore dell’articolo Intelligenza Artificiale: verso una nuova frontiera della personalità giuridica si interroga sulla possibilità che all’Intelligenza Artificiale sia attribuita una personalità giuridica.

Da un lato questa eventualità potrebbe sembrare opportuna, operando l’ IA con elevato livello di autonomia e complessità, sollevando almeno in parte da eventuali responsabilità sia gli sviluppatori che gli utenti.

Dall’altro, la personalità giuridica è uno status attribuito a entità che possono detenere diritti e obblighi, quindi a una persona fisica o una società [che assume, appunto, il ruolo di “persona giuridica”; ndr]. Come potrebbe l’IA esercitare i propri diritti o rispondere per eventuali colpe? L’IA dovrebbe possedere coscienza e avere intenzioni al pari degli umani, ciò che potenzialmente comprometterebbe la dignità umana e i valori etici fondamentali.

Risarcimento del danno privacy: l’indennizzo non ha funzione punitiva o dissuasiva, ma solo compensativa

L’articolo Risarcimento del danno privacy: l’indennizzo non ha funzione punitiva o dissuasiva, ma solo compensativa informa che la Corte di giustizia dell’Unione Europea ha stabilito, con una sentenza del dicembre scorso, che l’indennizzo di un danno privacy non può superare il valore del pregiudizio subito, in quanto ha una funzione compensativa, non punitiva o dissuasiva. Questa è dunque la corretta interpretazione dell’Art. 82 del GDPR, circa il risarcimento.

D’altra parte, ai fini dissuasivi e/o punitivi, vi sono già le sanzioni amministrative previste dall’Art. 83.

La sentenza precisa inoltre che la responsabilità civile per danni a carico dei titolari del trattamento è anche solo presunta e questo agevola il danneggiato, sollevato dall’onere della prova. Viceversa, sono i titolari che per non pagare i danni devono dimostrare che il fatto che ha causato il danno non è a loro imputabile.

Viene infine sancito che la base giuridica del trattamento nell’ambito della salute trova fondamento nell’Art 9, paragrafo 2, lett. h), unitamente a una delle condizioni dell’Art. 6, paragrafo 1. Quindi, un’informativa privacy, relativa a trattamenti con “finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali”, dovrà citare anche una delle seguenti clausole (in breve):

  • consenso dell’interessato,
  • esecuzione di un contratto,
  • obbligo legale,
  • interessi vitali di persona fisica,
  • compito di interesse pubblico,
  • legittimo interesse del titolare (che non prevalga sui diritti e le libertà fondamentali degli interessati).

Su chi ricadono le sanzioni pecuniarie per violazione della privacy?

L’articolo La colpa per la violazione della privacy ricade sull’organizzazione anche se non è identificata la singola persona che l’ha causata informa che da una sentenza della Corte di giustizia della UE su un tema di privacy emergono due affermazioni, peraltro coincidenti con analoghi pronunciamenti in sede nazionale.

L’impresa risponde direttamente, in termini sanzionatori amministrativi pecuniari, per violazioni commesse da un dipendente o chiunque altro agisca nell’ambito delle attività dell’impresa, anche se questo non è stato identificato e senza che gli amministratori dell’impresa abbiano necessariamente avuto la consapevolezza dell’illecito. Tuttavia la responsabilità dell’impresa deve ricadere in un dolo o in una colpa di carattere organizzativo, cioè la violazione deve essere avvenuta per via della politica o dell’organizzazione sulla protezione dei dati, in quanto non conformi o non vigilate nella loro applicazione.

Diverso è il caso in cui un dipendente commetta una violazione della privacy per proprio interesse personale, in modo estraneo alle scelte dell’impresa [ciò che fa però presupporre la possibile individuazione dell’autore del reato; ndr].

In conclusione l’autore consiglia che gli atti difensivi, a fronte di un eventuale procedimento contro l’impresa, prevedano la dimostrazione dell’assenza di dolo o colpa dell’impresa stessa.

Il diritto all’oblio non è assoluto

L’articolo Se la biografia non è più attuale il motore di ricerca deve deindicizzare la notizia riferisce che la Suprema Corte ha affermato che il diritto di ogni persona all’oblio, strettamente collegato ai diritti alla riservatezza e all’identità personale, deve essere controbilanciato con il diritto della collettività all’informazione.

Secondo questo articolo, in riferimento a dati personali pubblicati sul web, si raggiunge il risultato attraverso la deindicizzazione. Questa evita che un accesso ai dati personali di un soggetto, tramite il semplice utilizzo di nome/cognome come parole chiave, possa ledere il diritto a non vedersi attribuita sine die una ‘biografia telematica’ divenuta diversa da quella ‘reale’ ed attuale. Di contro, la possibilità di accedervi comunque, attraverso parole chiave diverse, legate ad una ricerca su un argomento anziché su una persona, garantisce il diritto della collettività ad essere informata e a conservare memoria di un fatto storico, avvenuto.

Se il tuo sito ostacola la gestione delle opzioni relative ai cookie, sei nell’occhio del mirino

L’articolo I dark pattern sotto la lente delle autorità per la privacy ha informato che tra il 29 gennaio ed il 2 febbraio è caduta la data scelta dal GPEN (Global Privacy Enforcement Network, una rete internazionale di cui fa parte anche il Garante italiano) per effettuare il “Privacy Sweep”, un’analisi dei siti web per verificare la chiarezza dei testi informativi, la progettazione dell’interfaccia, la presenza di messaggi assillanti, o di ostacoli, o interazioni obbligate frapposti alle scelte.

In base ai risultati, le Autorità nazionali per la protezione dei dati personali potranno sensibilizzare i titolari dei siti, oppure avviare direttamente istruttorie nei loro confronti

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Investire nell’IA per far fronte allo sviluppo (quantitativo e qualitativo) delle offensive informatiche

Così come riporta il titolo stesso dell’articolo Frodi informatiche in aumento per il 73% delle imprese, a livello globale, nel 2023 le perdite dovute a frodi informatiche sono cresciute del 73% e la percentuale sale al 78% se si considera solo il settore dei servizi finanziari.

I fattori che hanno concorso a tale aumento vanno dalla pressione finanziaria sui consumatori, alle violazioni di dati che fanno trapelare informazioni sensibili nel dark web e alla crescente diffusione di strumenti di IA generativa che hanno facilitato l’esecuzione delle frodi.

Cosa fare per diminuire i rischi di frode informatica?

Prevenzione attraverso il riconoscimento sicuro dei dispositivi degli utenti, basato sulla biometria, ed attraverso l’intelligenza artificiale, poiché il Machine Learning consente di analizzare grandi quantità di dati in tempo reale, migliorando l’individuazione dei truffatori rispetto agli utenti legittimi. L’IA inoltre dovrebbe portare ad una significativa riduzione dei cosiddetti falsi positivi, la cui gestione è sempre dispendiosa.

Si sostiene dunque la necessità di investire in IA generativa e strumenti di deep learning per contrastare le minacce cyber.

Maggiori misure contro gli attacchi hacker, in una strategia nazionale

Si apprende, dall’articolo Via libera del Consiglio dei Ministri al disegno di legge sulla cybersicurezza, giro di vite contro gli hacker, che il disegno di legge sulla cybersicurezza, approvato dal governo il 25 gennaio scorso, introduce regole più stringenti per contrastare i crimini informatici.

Ai soggetti tenuti a dotarsi di sistemi di cybersicurezza si aggiungono i Comuni sopra i 100 mila abitanti, le Asl ed i capoluoghi di Regione. Tutti gli enti sono obbligati a notificare immediatamente gli attacchi ad ACN [Agenzia per la Cybersicurezza Nazionale], per avere un’immediata reazione.I bandi di gara per forniture cyber dovranno prevedere regole specifiche.

Le pubbliche amministrazioni dovranno dotarsi di un proprio ufficio di cybersicurezza.

Sono previste norme per il coordinamento tra l’ACN, l’intelligence e la polizia giudiziaria.

I reati cyber rientreranno nella disciplina dei reati di criminalità organizzata, permettendo quindi l’utilizzo di strumenti più efficaci di indagine e accertamento ed il coordinamento tra le direzioni distrettuali antimafia e la procura nazionale antimafia.

PUBBLICITA’ E PRIVACY

Articoli dei quotidiani online: se vuoi leggere devi pagare, salvo interventi della Comunità europea

L’articolo Così si muove l’Europa sui cookie: il timore è che la privacy diventi un lusso informa che si attende per l’aprile 2024 un’iniziativa della Commissione Europea, detta “Cookie Pledge”, dato che il parlamento europeo continua a rinviare un regolamento specifico sui cooky. La Cookie Pledge sarà volontaria e, in sostanza, prevede informative sui cookie più sintetiche ma più rilevanti, per alleviare i navigatori dalla “cookie fatigue”.

L’aspetto ancora da definire è il sistema “Pay or leave” adottato da molti siti di editoria e non solo, per cui l’utente è posto di fronte ad un aut aut: o si iscrive a pagamento, o rinuncia al servizio [o in certi casi si accetta di essere profilato, nonostante talune raccomandazioni comunitarie dicessero che non pagando, il provider dovesse comunque non escludere completamente dalla navigazione; ndr].

Diversi Garanti europei hanno già espresso dubbi sulla legittimità del “Pay or leave” e la Cookie Pledge prevederebbe un’ulteriore possibilità: continuare a usufruire dei servizi accettando una pubblicità meno invasiva. Gli editori hanno già espresso la loro contrarietà.

Si rischia che la privacy diventi tale solo per chi se la può permettere.

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Se si gestisce il whistleblowing è opportuno un audit circa il trattamento dei dati personali

E’ in vigore [dal 30/03/2023] il D.Lgs. 24/2023 che attua la direttiva UE 2019/1937 riguardo alla protezione delle persone che segnalano violazioni del diritto nazionale od europeo [il cosiddetto whistleblowing] .

[La legge è vincolante, per quanto riguarda le imprese private, per i soggetti che operano nel settore dei servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo, della tutela dell’ambiente e della sicurezza dei trasporti, per i soggetti che rientrano nell’ambito di applicazione del d.lgs. n. 231/2001 (sulla responsabilità amministrativa da reato) e adottano i modelli di organizzazione e gestione ivi previsti e per i soggetti che hanno impiegato nell’ultimo anno la media di almeno cinquanta lavoratori subordinati. Ndr]

La gestione del whistleblowing implica necessariamente un trattamento di dati personali e pertanto ricade inevitabilmente nell’applicazione del GDPR. L’autore dell’articolo Pianificazione ed esecuzione degli audit in ambito di protezione dei dati personali connessi al whistleblowing promuove quindi l’esecuzione di un audit periodico, salvo anticipazioni dovute alla quantità di segnalazioni ricevute e/o alle eventuali criticità riscontrate nella loro gestione e/o variazioni della piattaforma o dei processi utilizzati.

Gli item da verificare in fase di audit potrebbero essere i seguenti:

  • requisiti della direttiva whistleblowing;
  • DPIA (valutazione di impatto) sul processo di gestione della segnalazione e non solo sulla piattaforma utilizzata;
  • procedura interna per la gestione delle segnalazioni;
  • possibilità che le segnalazioni avvengano attraverso più canali;
  • istruzioni per il segnalante, che devono essere esaustive e riguardare il ciclo di vita delle segnalazioni;
  • richiesta di consenso al segnalante ove necessaria;
  • eventuali istruzioni al facilitatore (chi assiste il segnalante nel processo di segnalazione, la cui assistenza deve rimanere riservata);
  • registro dei trattamenti;
  • modello di informativa per il segnalante, segnalato, persona coinvolta (quale testimone, persona citata, facilitatore);
  • qualifica del fornitore della piattaforma/servizio e di eventuali altri fornitori coinvolti;
  • atto di designazione a responsabile per il fornitore della piattaforma e per altri eventuali altri soggetti coinvolti;
  • congruenza tra i vari elementi e processi coinvolti;disponibilità di una funzionalità che permetta la cancellazione/rimozione sicura dei dati in tempi richiesti;
  • valutazione di soggetti ulteriori al titolare ed al/i responsabile/i del trattamento dati personali, se presenti contitolari o altri titolari autonomi.

Ulteriori spunti possono essere tratti dalle Linee guida di ANAC.Il DPO, o comunque l’auditor, non deve poter conoscere il contenuto della segnalazione, chi è il segnalato, il segnalante o i dati riferiti ad altri soggetti nel ruolo di testimoni, persone citate, facilitatori. La sua analisi deve essere limitata ai processi, non ai contenuti.

L’audit dovrà tener conto di quanto emerso nell’eventuale audit precedente.Se dall’audit emergono criticità, queste devono essere pianificate e risolte.

Rilievi e conclusioni devono costituire un rapporto di audit.

Quanto sopra dovrà essere integrato nel caso di audit rivolti ad organizzazioni fornitrici di piattaforme per la gestione del whistleblowing.

Whistleblowing: non tutto è chiaro sui canali di segnalazione

L’articolo Whistleblowing: un diritto a geometria variabile anche per la privacy, a cui si rimanda, disamina i casi in cui un’organizzazione privata deve utilizzare anche o solo un canale interno, oltre che esterno (gestito dall’ANAC) per le segnalazioni di whistleblowing.

Emergono dubbi su possibili incongruenze, specie sul fatto che il segnalante sarebbe tutelato solo se l’ente in cui opera è tenuto a istituire il canale interno.

L’autore auspica una norma di recepimento per l’applicazione del regolamento UE sul whistleblowing.

Associare un punteggio alle persone mediante un algoritmo è un processo decisionale automatizzato

L’articolo Corte di Giustizia UE: è un diritto conoscere metodi e risultati della profilazione per cui si viene classificati come ‘cattivi pagatori’ riferisce che, secondo una sentenza della Corte di Giustizia UE, lo scoring, cioè l’assegnare un punteggio alle persone, costituisce di per sé una decisione automatica, anche se necessita di essere resa operativa da una persona fisica, in quanto fornisce le basi per includere o escludere un interessato da determinati trattamenti o benefici. Questa sentenza ha contraddetto il pronunciamento dell’Autorità garante tedesca su un caso in cui una banca prendeva decisioni legate alla solvibilità dei soggetti, in base al punteggio fornito da una società di informazioni commerciali che aveva effettuato la profilazione.

Di conseguenza allo scoring si applica completamente l’Art. 22 del GDPR sui processi decisionali automatizzati, per cui la loro legittimità può derivare solo per necessità contrattuali, o se c’è il consenso esplicito degli interessati, oppure in presenza di una disciplina normativa con adeguate misure di tutela. Inoltre i soggetti trattati acquisiscono il pieno diritto a conoscere, su richiesta, l’algoritmo che governa la valutazione del punteggio loro assegnato.

Difficilmente gli interessati potranno dare il consenso ad un procedimento che potrebbe penalizzarli, sicuramente non intercorre un contratto tra gli interessati e la società di informazioni, per cui in assenza di un quadro legislativo con disposizioni integrative sui servizi di informazioni commerciale, si corre il rischio giuridico di violazione del GDPR.

IN BREVE, DALL’ITALIA E DAL MONDO

Algoritmi vs decisioni umane

L’articolo Il principio del mondo stabile nell’era degli algoritmi riveste un interesse culturale per il confronto tra le decisioni che può prendere un algoritmo e quelle umane.

E’ citata la sconfitta nel 1997 di un campione di scacchi ad opera di un supercomputer dell’IBM in grado di elaborare milioni di operazioni in minime frazioni di tempo. E’ interessante che, sempre in ambito di scacchi [ma i campi possono essere i più disparati], le decisioni erano prese in origine per la conoscenza di un vasto database di mosse storiche, mentre poi sono state basate semplicemente sulle regole del gioco.

L’autore si chiede, retoricamente, come mai gli algoritmi falliscono nella scelta del miglior partner per la vita. La risposta è che gli algoritmi complessi funzionano al meglio in situazioni ben definite, stabili, in cui sono disponibili grandi quantità di dati (“principio del mondo stabile”, appunto); invece l’intelligenza umana è  in grado di gestire l’incertezza e prescinde dalla quantità di dati disponibili.

[L’incertezza è peraltro gestibile e gestita ormai dall’Intelligenza Artificiale, tramite metodi probabilistici, auto apprendimento ed altre logiche] Gli algoritmi possono assegnare punteggi e creare profili per fornire risposte non generalistiche, ma ritagliate su un preciso soggetto. Tuttavia non possono cogliere le mille sfumatura dell’essere umano [tra cui l’umore, la memoria inconscia, la sensibilità, le emozioni e la possibilità di scegliere anche al di fuori del puro ragionamento; e meno male che è così, almeno nei confronti del partner e di altri ambiti affettivi e sociali. Ndr]

Confermata la decisione di adeguatezza al GDPR per la Svizzera ed altri paesi

L’articolo L’UE riconosce come adeguata al GDPR la legge svizzera sulla protezione dei dati informa che, in relazione alla nuova legge federale sulla protezione dei dati (nLPD) emanata dalla Svizzera dallo scorso settembre 2023, la Commissione Europea ha concluso che i dati personali trasferiti dall’UE alla Svizzera «continuano a beneficiare di adeguate garanzie di protezione». Per altri paesi (Andorra, Argentina, Canada, Isole Faroe, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda e Uruguay) si è arrivati alla medesima conclusione.

[Fra l’altro tutti questi paesi, assieme ad altri, erano già stati oggetto di decisione di adeguatezza, ai sensi della Direttiva 95/46/CE, come riporta il provvedimento del Garante “Trasferimento di dati personali all’estero“. Ndr]

Sondaggio sul ruolo del Responsabile della Protezione dei Dati personali

Si riporta integralmente il sommario incluso nell’articolo Ruolo e riconoscimento del ruolo di Data Protection Officer, i risultati dell’indagine delle autorità europee: << I risultati sono stati incoraggianti, nonostante alcune preoccupazioni e sfide affrontate da alcuni Data Protection Officer, come la mancanza di designazione anche se obbligatoria, le insufficienti risorse o conoscenze specialistiche per i DPO, la mancanza di incarico di tutti i compiti richiesti a questa figura dal diritto in materia di protezione dei dati, e la mancanza di indipendenza o di segnalazione al top management. >> [In realtà non sembra che si tratti di mancanze da poco. Ndr]

Se il Garante ritarda, le sanzioni non si pagano

In base ad un sentenza del Tribunale di Roma, di cui all’articolo Sanzioni privacy ko se il Garante della privacy non rispetta i termini per la notifica delle violazioni, sono nulle le ingiunzioni e sanzioni per violazioni della privacy, comminate dal Garante, se arrivano oltre 120 giorni dall’accertamento. Questo termine perentorio è stato fissato dallo stesso Garante.

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • A seguito del patteggiamento in una causa collettiva risalente al 2020, secondo l’articolo Google ammette di tracciare gli utenti anche nella navigazione in incognito con il browser Chrome, Google ammette di tracciare gli utenti che utilizzano Chrome anche nella modalità di navigazione in incognito, senza che questi abbiano prestato il loro consenso per la raccolta dei dati. E’ probabile che verranno aggiornati i termini di trattamento dei dati degli utenti, ai fini di una maggior trasparenza.

    ing. Michele Lopardo

    Responsabile Qualità @ Wondersys