RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

L’AI Act per regolamentare un utilizzo sicuro e conforme dell’Intelligenza Articiale

L’autore dell’articolo “Il «machine unlearning» sarà fondamentale per la scelta dei sistemi di intelligenza artificiale” disquisisce sull’importanza della consapevolezza di fronte all’utilizzo di uno strumento potente come l’Intelligenza Artificiale.

[Nell’IA il Machine Learning è costituito da algoritmi basati su metodi computazionali, senza modelli matematici ed equazioni predeterminate, per l’apprendimento automatico e la previsione di nuove informazioni e modelli, direttamente da grandi set di dati. Il Reinforcement Learning è una tecnica di Machine Learning in cui un computer impara a svolgere un’attività tramite ripetute interazioni di tipo “trial-and-error” con un ambiente dinamico. Questo approccio all’apprendimento consente di adottare una serie di decisioni in grado di massimizzare una metrica di ricompensa per l’attività, senza essere esplicitamente programmato per tale operazione e senza l’intervento dell’uomo. Ndr]

Un esempio di Reinforcement Learning è l’installazione in un sito di e-commerce di un sistema che impara, da tanti altri siti, quali possono essere le preferenze di una persona e, a fronte della navigazione degli utenti sull’e-commerce, continua a imparare. Questo implica un delicato trattamento di dati personali da parte del titolare del sito, che dovrebbe avere la consapevolezza di cosa viene fatto.

A proposito del Regolamento europeo sull’IA (IA Act) di prossima emissione, l’articolo riporta un esempio tanto elementare quanto efficace: << Visto che gli strumenti di intelligenza artificiale sono macchine da Formula 1 nel trattamento dei dati e visto che gli utenti che li usano, se va bene, hanno la patente per guidare il triciclo – altrimenti non ci sarebbero problemi – dobbiamo dare un contesto, disegnare le strisce del campo da gioco, per far sì che i nostri cittadini, di cui dobbiamo tutelare i diritti, non si schiantino tutti contro il palo. >>

Riporta anche che l’IA è un sistema che deduce attraverso l’apprendimento automatico e che i sistemi di intelligenza artificiale hanno anche l’obiettivo di condizionare le persone. Obiettivo dell’AI Act è contribuire a costruire un mercato digitale unico, attraverso apposite regole; quindi, le intelligenze artificiali che lavoreranno in Europa sui dati degli europei dovranno subire un auditing e una certificazione.

Poiché i sistemi possono sbagliare (e talvolta sbagliano) è importante, fondamentale sceglie un sistema di IA dotato di Machine Unlearning, cioè della possibilità che l’IA disimpari apprendimenti e modelli formulati in modo erroneo, per poter fornire i feedback corretti. [Con le tecniche di Machine unlearning è possibile modificare il comportamento e gli output dell’AI per salvaguardare la privacy degli utenti e garantire l’imparzialità dei sistemi autonomi. Ndr].

L’IA non è ancora perfetta. Si può usare per copie, ricerche di mercato, creazione di immagini completamente nuove. Ma non per lasciarla libera di trattare dati personali; per questo ci vuole la consapevolezza circa i dati personali in gioco, la redazione di un’informativa privacy, di un registro del trattamento, di un’analisi dei rischi e di una valutazione di impatto.

Il Data Privacy Framework è a rischio per le facoltà concesse all’intelligence statunitense

L’articolo “La proroga della sezione 702 del FISA: implicazioni per la privacy dei cittadini europei e il nuovo Data Privacy Framework” informa che il Foreign Intelligence Surveillance Act (FISA) ha prorogato la Sezione 702, che autorizza le agenzie di intelligence americane a intercettare le comunicazioni di stranieri situati all’estero, ai fini della sicurezza nazionale, per combattere terrorismo, spionaggio e contrabbando di armi.

Ciò coinvolge anche i cittadini europei e può quindi compromettere il Data Privacy Framework, stipulato tra l’UE e gli USA per superare le difficoltà introdotte dalla caduta del Privacy Shield, proponendo nuove garanzie per la protezione dei dati personali. E’ evidente il contrasto tra necessità di sicurezza nazionale e diritti fondamentali della privacy.

I principi fondamentali del GDPR, che limitano il trasferimento di dati personali a paesi terzi, a meno che non sia garantito un livello adeguato di protezione, appaiono messi a repentaglio dalla proroga in oggetto, nonostante i propositi di garanzie del Data Privacy Framework. A maggior ragione per il fatto che possono essere prelevati e conservati dati di cittadini europei, inclusi incidentalmente durante la sorveglianza di cittadini stranieri.

Inoltre, i meccanismi per contestare l’uso improprio dei dati o per ottenere la trasparenza su come i dati vengono gestiti e utilizzati dalle agenzie di intelligence sono complessi, per non dire inaccessibili, per cui il cittadino europeo è di fatto privato dalla possibilità di esercitare i diritti previsti dal GDPR.

L’utilizzo di dati personali resi pubblici non implica necessariamente la sua legitimità

[Nel riportare l’articolo “Rivelare i propri dati sensibili in pubblico non significa che Facebook possa usarli a suo piacimento” si prescinde dal caso specifico, per prende atto, invece, delle conclusioni generali che derivano da una sentenza della Corte di giustizia europea. Ndr]

L’Art. 9 del GDPR, che consente il trattamento di dati anche appartenenti a categorie particolari se resi manifestamente pubblici dall’interessato, non è valido in senso assoluto, ma necessita anche del rispetto dell’Art.5, riguardante la correttezza e la liceità, e dell’Art. 6 sul consenso o altra valida base giuridica. Quindi, ad esempio, non si potranno utilizzare dati sensibili, ancorché pubblici, per effettuare pubblicità mirata, senza il consenso esplicito dell’interessato.

Aggiornamenti in merito di intelligenza sanitaria e di privacy in ambito sanitario

[Si propone l’articolo “L’Intelligenza Artificiale nel campo della sanità: gli effetti delle recenti modifiche al Codice Privacy”, accessibile tramite il link, all’attenzione di chi opera in campo sanitario, poiché viene fatta una disamina di diversi decreti, a partire da quello sul PNRR, che riguardano il trattamento dei dati personali nell’ambito dei servizi sanitari]

Per l’Italia, un Disegno di Legge sull’Intelligenza Artificiale

L’articolo “DDL Intelligenza Artificiale: ribadito il ruolo centrale della protezione dati” informa che è stato presentato un disegno di legge per l’introduzione di disposizioni e la delega al Governo in materia di Intelligenza Artificiale. L’intento è equilibrare il rapporto tra le opportunità che offrono le nuove tecnologie e i rischi legati al loro uso improprio, al loro sottoutilizzo o al loro impiego dannoso.

Il DDL ha il focus sulle persone e vorrebbe promuovano l’utilizzo delle nuove tecnologie per il miglioramento delle condizioni di vita dei cittadini e della coesione sociale, gestendo nel contempo i rischi introdotti dall’Intelligenza Artificiale e la protezione dei dati personali (nel rispetto, previsto dal GDPR, dei principi fondamentali di libertà, obiettività e trasparenza e di tutela della privacy).

I sistemi di IA devono operare in modo trasparente, sicuro e non discriminatorio, aderendo strettamente ai principi di sostenibilità ambientale ed economica e impedendo che decisioni autonome possano avere impatti significativi sui diritti individuali.

L’IA deve fornire informazioni obiettive, complete, imparziali e leali, evitando la diffusione di informazioni parziali o manipolate.

I sistemi di IA raccolgono dati da molte fonti (sensori IoT, interazioni online, transazioni commerciali, database pubblici e privati, e input degli utenti), la cui scelta dipende dal fine prefissato e determinano l’efficacia e l’accuratezza dei modelli di IA, ma pongono nello stesso tempo problematiche in termini di privacy, sicurezza e conformità. Diventa quindi fondamentale che le tecniche di raccolta dei dati siano attentamente progettate e che le fonti di raccolta siano di elevata qualità, per garantire che i dati di output siano rappresentativi, accurati e validi. Per questo è necessaria anche una pre-elaborazione che includa la rimozione di errori, la gestione di valori mancanti, la normalizzazione, e la categorizzazione.

Le strategie di sicurezza includono l’uso di crittografia, autenticazione, controllo degli accessi e altre misure di sicurezza per proteggere i dati da accessi non autorizzati, perdite o furti, nonché la necessità di aggiornamenti continui.

Le informative privacy devono essere redatte in linguaggio chiaro e semplice, affinché tutti possano comprendere come i loro dati vengono trattati e come possono esercitare i propri diritti. Per il consenso al trattamento dei dati dei minori (sono previste regole specifiche.

Indirizzi IP e identificazione degli individui: gli stati possono imporre la separazione di questi dati

L’articolo “Si può imporre ai provider di conservare in maniera «stagna» gli indirizzi IP degli utenti” cita che, In base a una sentenza della Corte di giustizia europea, gli stati membri possono imporre ai provider internet di conservare, ai fini della lotta contro i reati, indirizzi IP e dati relativi all’identità civile dei naviganti, in maniera separata affinché non possano essere messe in relazione le informazioni raccolte per trarre conclusioni precise sulla vita privata degli interessati.

Gli stati membri possono però, autorizzare l’autorità nazionale competente ad accedere ai dati relativi all’identità civile riferentesi a indirizzi IP, al solo scopo di identificare la persona sospettata di aver commesso un reato e purché sia vietato divulgare informazioni sul contenuto degli archivi consultati, effettuare un tracciamento del percorso di navigazione a partire dagli indirizzi IP e utilizzare tali indirizzi per fini diversi dall’identificazione dei loro titolari.

Non è legittimo conservare, senza particolari misure, gli account di utenti fuoriusciti dall’azienda

Secondo l’articolo “Mantenere attiva l’email aziendale dopo la cessazione del rapporto di lavoro per ‘garantire la continuità operativa’ viola la privacy dell’ ex dipendente”, con un provvedimento del Garante della privacy sono stati inflitti ventimila euro di sanzione ad una società che ha mantenuto, per diversi mesi, gli account individuali di dipendenti che si erano dimessi, accedendo alla loro posta. E’ stato precisato che è ammesso mantenere un account solo per un tempo proporzionato alle esigenze di continuità dell’attività svolta e purché sia attivato un messaggio automatico di risposta alle email che informa dell’imminente disattivazione dell’account e che è possibile contattare altri indirizzi e-mail aziendali e purché sia impedita la visualizzazione dei messaggi in arrivo.

Il GDPR richiede che  Responsabili del trattamento siano auditati

L’articolo “Audit dei responsabili del trattamento: un passo cruciale per la gestione dei dati conforme al GDPR” avverte che, se si affida all’esterno un trattamento di dati personali, la nomina del Responsabile del trattamento non è sufficiente per rispettare i requisiti del GDPR. E’ necessario che la scelta del Responsabile sia accompagnata da un rigoroso audit in modo che il Titolare possa verificare la conformità con il GDPR, specie circa le misure di sicurezza tecniche e organizzative, e con le istruzioni che gli sono state fornite in merito alle finalità e mezzi del trattamento [quando la scelta operativa dei mezzi non sia di stretta pertinenza del fornitore stesso; ndr]. La verifica del Responsabile deve inoltre essere ripetuta periodicamente. Il Titolare può così anche richiedere al Responsabile un supplemento di interventi ove rilevi delle carenze.

Se ciò non avviene, secondo la terminologia legale utilizzata in questo articolo, al Titolare del trattamento possono essere contestate una “culpa in eligendo” (per aver mancato ad una valutazione iniziale) e una “culpa in vigilando” (per non aver tenuto sotto controllo nel tempo il fornitore).

Il Titolare dovrebbe dunque ricorrere ad un audit, anche incaricando il DPO se presente, oppure terze parti qualificate, e l’audit potrebbe addirittura precedere il contratto fornendo per questo una base decisionale. Argomenti che possono essere verificati nell’audit sul Responsabile sono: l’individuazione, la nomina (scritta) e la formazione degli incaricati al trattamento ed altre figure quali gli amministratori di sistema; la predisposizione e l’utilizzo di un’adeguata documentazione privacy (registro dei trattamenti, procedure, informative); le misure di sicurezza applicate sui dati trattati in formato digitale e cartaceo, oppure il monitoraggio dei sistemi in cloud.

L’IA nei sistemi per la sicurezza sul lavoro [e in qualsiasi altra soluzione di supporto al lavoro]

L’articolo “L’utilizzo dell’Intelligenza Artificiale nei prodotti per la sicurezza sul lavoro: gli aspetti privacy da valutare” considera i rischi privacy connessi con l’utilizzo dell’Intelligenza Artificiale nelle soluzioni per la sicurezza sul lavoro [Ben vengano queste, purché a fondo collaudate, visto il numero e la gravità degli infortuni sul lavoro di cui si apprende di continuo. Un esempio di soluzioni di IA per la sicurezza sul lavoro è dato dai sistemi che monitorano con sensori e videocamere i movimenti di mezzi pesanti e l’avvicinamento di pedoni, in modo da allertare in caso di pericolo. Ndr].

Le questioni legate alla privacy sono molteplici [e possono riguardare anche altre soluzioni di ausilio alle attività lavorative; ndr].

I dati personali possono essere trasferiti a terzi e possono anche finire al di fuori della UE, nei cosiddetti “paesi terzi” non suffragati da una “decisione di adeguatezza”. Diventa necessario verificare che siano poste in essere tutte le misure tecniche ed organizzative adeguate al rischio del trattamento, procedere alla nomina del responsabile del trattamento e, nel caso, verificare su quale base legale avviene il trasferimento al di fuori dello Spazio Economico Europeo e se sono offerte garanzie adeguate. In caso contrario, si è esposti ai provvedimenti del Garante della privacy, con conseguenti danni reputazionali e possibili sanzioni economiche.

Non è impossibile che, analizzando a chi vengono affidati i dati personali, si scopra che non ci sono garanzie sufficienti o addirittura alcuna garanzia di aderenza al GDPR.

Va accertato che la modalità di trattamento dei dati attraverso l’IA sia effettivamente l’unica possibile in relazione alla finalità, cioè se quest’ultima non possa essere raggiunta con un trattamento tradizionale in assenza di IA, e comunque se è rispettato il principio di minimizzazione dei dati.

Deve essere effettuata la valutazione di impatto e, se dal trattamento deriva un controllo a distanza dei lavoratori, si deve verificare che siano rispettati i requisiti di cui all’Art. 4 della Legge 300/1970 (lo Statuto dei Lavoratori).

Ovviamente vanno rispettate anche tutte le altre disposizioni del GDPR, tra cui l’informativa privacy [e il registro del trattamento].

Il diritto di accesso ai dati personali vale anche per le sanzioni disciplinari

Indipendentemente dal caso specifico di cui all’articolo “Il dipendente ha diritto di accedere al proprio fascicolo per conoscere le informazioni da cui è scaturita una sanzione disciplinare del datore di lavoro”, viene ribadito dal Garante della privacy che un’organizzazione non si può esimere, a seguito della richiesta di un dipendente, dal fornirgli tutta la documentazione personale (completa) utilizzata per la decisione di somministrargli una sanzione disciplinare.

Meno vincoli per la privacy in ambito sanitario e di ricerca

Si cita questo l’articolo Ricerca scientifica e sanità, passo in avanti con la modifica del Codice Privacy e con il DDL sull’Intelligenza Artificiale, rimandando all’originale, per chi si occupa di privacy in campo sanitario. Riferisce infatti di una sentenza della Corte di Giustizia Europea che riguarda l’Art. 9 del GDPR, della modifica dell’Art. 110 del Codice Privacy [DLgs 196/2003] da parte del PNRR e del DDL sull’Intelligenza Artificiale (in particolare riguardo agli articoli 7 e 8).

Si tratta di “aperture” (rimozione di alcune limitazioni e consensi preventivi e riduzione di taluni obblighi) che vengono concesse ai trattamenti di dati personali per finalità di medicina preventiva e ricerca scientifica, pur senza perdere di vista la sicurezza delle informazioni personali e la privacy dei cittadini.

[Per maggiori particolari circa la modifica del Codice Privacy si veda anche l’articolo “Modifica al Codice Privacy: come cambiano le regole per la ricerca scientifica in campo medico, biomedico ed epidemiologico“]

Le misure di protezione devono essere continuamente aggiornate

L’articolo “Data breach: non libera da responsabilità neppure l’assenza di danni per gli interessati” non raccont novità: il Garante applica le sanzioni amministrative in capo alle organizzazioni che hanno subito un data breach anche se l’attacco è avvenuto per mano criminale e se gli interessati non hanno riportato danni. Nel caso specifico (dettagli nel testo originale) il fatto che le misure di protezione fossero adeguate al momento della progettazione del trattamento non serve ad evitare la sanzione, in quanto devono essere aggiornate continuamente in rapporto alla tecnologia ed alle minacce.

Quando si devono nominare rappresentanti, situati nella UE, di titolari e responsabile esterni alla UE

L’articolo “L’obbligo di nomina del rappresentante in Europa e nel mondo previsto dal GDPR” considera che possono esservi titolari e responsabili del trattamento che non si trovano nell’UE, ma che trattano dati personali di soggetti che si trovano nella UE. In tal caso, il GDPR impone (Art. 27) di nominare loro rappresentanti stabiliti in uno dei paesi membri dell’UE, se  il trattamento è relativo all’offerta di beni o servizi a persone della UE o se è relativo al monitoraggio del comportamento di persone all’interno della UE.

Questo obbligo è però escluso se  Il trattamento è occasionale, non include su larga scala categorie particolari di dati personali e non comporta un rischio elevato per i diritti e le libertà delle persone fisiche, oppure se Il titolare del trattamento è un’autorità o un organismo pubblico.

I rappresentanti devono essere stabiliti nel paese in cui si trovano gli interessati oggetto del trattamento. Per tale trattamento assumono i compiti del titolare o del responsabile, ma ciò non manleva titolare e responsabile dalle loro responsabilità.

Le nomine devono essere scritte e documentate.

Sanzioni ad organizzazioni risultate inadempienti sono già state comminate dai Garanti della privacy.

Infine, vi sono anche altre nazioni, quali Regno Unito, Svizzera, Turchia, Egitto e Cina, che richiedono la nomina di rappresentanti nel loro territorio.

Sanzioni al fornitore per sue responsabilità in caso di data breach

Secondo l’articolo “Se le violazioni della sicurezza dipendono da scelte del fornitore esterno è a lui che vanno applicate le sanzioni previste dal Gdpr”, si applicano al fornitore esterno le sanzioni per eventuali violazioni della sicurezza dei dati personali, se queste sono avvenute a causa delle sue scelte. Questo deriva da una ingiunzione del Garante dell’aprile 2024.

Tuttavia in diversi altri casi, le sanzioni sono state applicate anche al titolare, in ragione della sua responsabilità sulla vigilanza circa l’operato del fornitore.

Il contrasto alle fake news in ambito lavorativo

Il lungo articolo “Il contrasto alle fake news in ambito lavorativo”, di cui si dà qua solo un brevissimo cenno, prende in esame due situazioni relative alla divulgazione di false notizie in ambito lavorativo.

Nel caso in cui un lavoratore abbia a subire danni di qualsiasi tipo per fake news diffuse da o nell’ambiente di lavoro, è chiamato in causa il datore di lavoro se non può dimostrare di aver messo in atto quanto necessario per preservare la salute psicofisica del dipendente.

Può essere, viceversa, il datore di lavoro ad essere danneggiato dalla disinformazione (per esempio perché questa ha prodotto una concorrenza sleale). Se le fake news sono state perpetrate da un dipendente dell’azienda svantaggiata, egli risponderà in solido dei danni provocati; se invece appartiene all’azienda avvantaggiata sarà questa a dover rispondere.

Può essere una misura preventiva l’adozione in azienda di un “codice etico 231”, che preveda tra i suoi princìpi il divieto di diffondere notizie false sia all’interno che all’esterno riguardo all’azienda, ai suoi dipendenti, ai collaboratori ed ai terzi che per essa operano, in genere a tutti gli stakeholders. A livello dissuasivo l’azienda può prevedere e comunicare l’adozione di adeguate sanzioni disciplinari contro chi internamente o esternamente diffonda notizie false riguardanti l’ambito lavorativo, indipendentemente dalla loro possibile rilevanza penale.

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

La valutazione di impatto richiede consapevolezza

Come ricorda l’articolo La prima misura di sicurezza per la protezione dei dati? la consapevolezza, la protezione dei dati personali è realizzata con l’attuazione delle misure di limitazione del livello di rischio che si è calcolato, attraverso la determinazione della probabilità e della gravità del rischio stesso.

La valutazione di impatto non è altro che l’adozione del processo appena descritto, con la precisazione che la valutazione riguarda i rischi per i diritti e le libertà degli individui e che gli stessi rischi, da gestire e mitigare, sono quelli derivanti dal trattamento.

Le misure da attuare saranno in funzione del contesto, dello stato dell’arte e dei costi e saranno affrontate in base al principio di responsabilizzazione (accountability) del titolare.

In caso di data breach conclamato, il rischio non è più probabile ma concretizzato. Si dovrà tener conto dei rischi ulteriori e/o delle effettive conseguenze da questo introdotti sulle libertà e sui diritti fondamentali degli interessati. Il DPO [se presente] non dovrebbe avere incertezze su queste valutazioni, ma è possibile che le abbiano il titolare e il responsabile del trattamento a causa della immaterialità dei dati personali.

Diventa quindi fondamentale acquisire consapevolezza, anche considerando le potenziali conseguenze, che potrebbero verificarsi in caso di un data breach, elencate dal considerando 85 del GDPR [quali perdita del controllo dei dati personali, limitazione dei diritti degli interessati, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale].

Protezione dei dati personali: quante valutazioni!

L’articolo “Uno, nessuno e cento*IA: la centralità del trattamento dei dati nei processi di valutazione del rischio DPIA, LIA, TIA e FRIA” sottolinea che la crescente raccolta ed elaborazione di dati personali richiede una particolare attenzione alla protezione dei diritti e delle libertà delle persone fisiche.

L’autore illustra quattro aspetti essenziali [e questa diventa anche l’occasione per familiarizzare con alcune sigle].

  • La Valutazione d’Impatto sulla Protezione dei Dati (DPIA) – E’ cogente per i trattamenti che presentano rischi elevati per i diritti e le libertà delle persone fisiche. Fornisce un quadro dettagliato dei potenziali rischi e delle misure di mitigazione necessarie per garantire la conformità normativa e proteggere i diritti degli individui.
  • La Valutazione degli Interessi Legittimi (LIA) – E’ necessaria per determinare se i diritti e gli interessi dei soggetti interessati prevalgono sugli interessi legittimi del Titolare del trattamento e far, quindi, sì che sia bilanciato il soddisfacimento degli interessi delle diverse parti coinvolte.
  • La Valutazione dell’Impatto del Trasferimento (TIA) – Questa è relativa al trasferimento di dati personali in Paesi terzi. In questi casi, è necessario condurre una Valutazione dell’Impatto del Trasferimento (TIA) per valutare se vi siano garanzie adeguate per proteggere i dati durante il trasferimento e il successivo trattamento, in modo da assicurare che i dati personali siano soggetti agli stessi standard di protezione.
  • La Valutazione dell’Impatto sui Diritti Fondamentali (FRIA) – Questa valutazione deriva dall’introduzione dell’AI Act, ed è obbligatoria per i sistemi ad alto rischio basati sull’intelligenza artificiale e sulle relative tecnologie avanzate.

L’autore conclude che queste valutazioni possono essere ed è, anzi, meglio che siano integrate tra loro in un’unica valutazione di impatto, ai fini di una gestione più efficace e efficiente dei rischi associati al trattamento dei dati personali e della conformità normativa.

L’AI Act classifica i sistemi di Intelligenza Artificiale in base ai rischi che comportano

L’articolo “Il Consiglio dell’Ue ha approvato definitivamente il Regolamento europeo sull’intelligenza artificiale: l’Artificial Intelligence Act è legge” informa che il Regolamento Ue sull’intelligenza artificiale (Artificial Intelligence Act) è stato definitivamente approvato dal Consiglio Europeo ed è quindi legge a tutti gli effetti. Andrà in vigore 20 giorni dopo la firma dei presidenti della Comunità europea e del Consiglio europeo e diverrà applicabile con gli obblighi che ne conseguono dopo due anni dall’entrata in vigore.

Si applica ad entità pubbliche e private con lo scopo di promuovere lo sviluppo e l’adozione di sistemi di IA sicuri e affidabili, mantenendo le garanzie per i diritti fondamentali dei cittadini dell’Ue e prevedendo però esclusioni in ambito militare e della ricerca.

Come già indicato da numerosi precedenti articoli, questa legge classifica i diversi tipi di intelligenza artificiale in base ai rischi che essi comportano: quelli a rischio limitato hanno requisiti relativi solo alla trasparenza, mentre quelli ad alto rischio sono soggetti a maggiori obblighi ed alla registrazione in un’apposita banca dati della UE. E’ considerato inaccettabile il rischio di certi sistemi di IA, come la manipolazione cognitivo-comportamentale, la polizia predittiva basata sulla profilazione e l’utilizzo di dati biometrici per classificare le persone in base a razza, religione o orientamento sessuale. Chi utilizza sistemi di riconoscimento delle emozioni dovrà informare gli interessati.

I modelli di intelligenza artificiale per scopi generali (GPAI, General Purpose Artificial Intelligence) sono soggetti alle stesse categorizzazioni in base al livello di rischio.

Saranno istituiti diversi organismi europei per vigilare sull’applicazione della legge.

Per chi viola l’Artificial Intelligence Act, le sanzioni saranno proporzionate al fatturato annuo.

Le Pubbliche Amministrazioni dovranno valutare l’impatto sui diritti fondamentali, prima di applicare un sistema di IA.

I sistemi innovativi di IA dovranno essere sperimentati in ambienti separati e controllati.

L’AI Act prevede numerosi requisiti da rispettare

L’articolo Artificial Intelligence Act e valutazione del rischio tra compliance e responsabilità sociale dell’impresa riprende la categorizzazione dei rischi per i sistemi di IA: 1) rischio inaccettabile; 2) rischio elevato e 3) rischio limitato. A queste categorie si aggiungono i  sistemi di GenAI (ossia ai sistemi di intelligenza artificiale a uso generale) che presentino un rischio sistemico per l’Unione Europea e cui si applicano ulteriori requisiti rispetto ai sistemi di Ai a rischio limitato.

I sistemi con rischio inaccettabile non possono essere utilizzati in UE. Quelli ad alto rischio sono soggetti a requisiti rigorosi, come la valutazione della conformità, la supervisione umana, la trasparenza, la qualità dei dataset di addestramento, la tracciabilità, la cybersecurity e l’obbligo di condurre una valutazione di impatto sui diritti fondamentali.

Per quanto riguarda i criteri per la valutazione del rischio nei sistemi di IA, l’Allegato II dell’IA Act si riferisce ai prodotti che possono incorporare un sistema di IA; l’Allegato III considera, invece, altri fattori come lo scopo, il contesto di utilizzo e le caratteristiche tecniche.

I sistemi di IA ad alto rischio non hanno requisiti pressanti solo per i produttori e distributori, ma anche per gli stessi utilizzatori.

I produttori dei sistemi di IA ad alto rischio devono stabilire dei requisiti per l’addestramento, la validazione ed il test dei dataset, produrre la documentazione tecnica del sistema prima della sua immissione sul mercato, mantenere un log delle operazioni effettuate, fornire informazioni trasparenti agli installatori, prevedere la supervisione umana del sistema, garantire l’accuratezza, robustezza e sicurezza cyber del sistema, svolgere la valutazione di impatto sui diritti fondamentali del sistema.

I requisiti devono essere rispettati durante tutto il ciclo di vita dei sistemi di IA. E’ necessario definire le responsabilità e istituire meccanismi di supervisione.

Le imprese devono considerare l’impatto potenziale dei loro sistemi di IA sulla società, inclusi aspetti come la privacy, la non discriminazione ed il fondamentale principio di autodeterminazione nelle scelte.

I sistemi a rischio inaccettabile devono essere esclusi, in quanto di per sé pericolosi. L’autore precisa la distinzione tra pericolo, per il quale non vi è incertezza sulla possibilità che si verifichi un danno, e rischio, che, valutato preventivamente, si basa [oltre che sulla gravità del possibile danno] sulla probabilità che l’evento dannoso si verifichi.

L’autore ammette che il rispetto dell’IA Act può comportare costi importanti per le PMI, mentre solo a lungo termine si vedrebbero benefici dovuti alla fiducia dei clienti verso sistemi che impiegano l’IA. Ritiene inoltre che le regole severe non possano pregiudicare l’innovazione per l’utilizzo dell’IA, la quale offrirà invece un’opportunità di condivisione delle conoscenze tra le imprese e le altre parti interessate.

Intelligenza Artificiale: difficoltà di compliance con il GDPR, ma anche opportunità di aiuto

Secondo l’articolo “Protezione dei dati sempre più complessa con l’AI Act, ma l’Intelligenza Artificiale può essere un prezioso alleato dei DPO”, con l’avvento dell’Intelligenza Artificiale, il suo utilizzo da parte delle imprese per migliorare il proprio business, il rischio che questa comporta ed i requisiti imposti dall’IA Act, i compiti dei Data Protection Officer si complicano. Le sanzioni per mancata conformità al regolamento sono molto elevate: fino a 35 milioni di euro o al 7% del fatturato annuo.

Non è più sufficiente la conoscenza del GDPR, magari acquisita attraverso la frequenza a qualche corso. D’altra parte, secondo l’autore dell’articolo, è proprio l’IA che può venir in aiuto sia ai DPO che ai professionisti legali, fornendo pareri legali o risposte pragmatiche suffragate dalle fonti consultate per l’elaborazione. Questo, perlomeno, è quanto dice di fare Lexroom.

L’Intelligenza Artificiale per un contributo alle ricerche sulla privacy e legali

L’Intelligenza Artificiale è ormai un dato di fatto, ma, secondo l’articolo “Il Data Protection Officer e l’epoca dei neuro-diritti”, anche la lettura del pensiero non è lontana, grazie alle nanotecnologie che utilizzano specifici impianti anatomici e la stessa IA.

Si porranno quindi importanti problemi di riservatezza e “privacy mentale”, che il DPO sarà chiamato a dirimere. [Tuttavia, allora senz’altro vedremo sorgere, in merito, anche regolamenti e prassi a tutela dei diritti fondamentali dei cittadini. E cosa può essere più fondamentale del diritto alla proprietà del proprio pensiero? Ndr]

PUBBLICITA’ E PRIVACY

L’EDPB contro la formula “paga o accetta la profilazione”

L’articolo “Piattaforme online, per gli utenti che non vogliono essere profilati è necessaria una terza via in alternativa al modello «Pay or Ok»” riferisce circa un parere dell’EDPB (European Data Protection Board).

Data l’opinione di alcuni Garanti europei, contraria ad una decisione della Corte di giustizia europea dello scorso anno, che acconsentiva alla proposta di un pagamento periodico in cambio della fruizione di servizi online, l’ EDPB si è pronunciato in merito al modello binario di business “pay or ok”. In ogni caso la valutazione dell’EDPB è stata relativa solo alle grandi piattaforme online e non, per esempio, ai giornali online.

L’EDPB non ha negato in modo assoluto la possibilità di utilizzare tale formula (infatti sono state usate espressioni come «nella maggior parte dei casi», «è probabile»), tuttavia ne ha reso difficoltoso dimostrarne la legittimità ed ha rimandato alla accountability del titolare del trattamento, che deve bilanciare i propri interessi commerciali e i diritti dell’utente e che resta poi, a posteriori, sempre sottoposto al giudizio del garante.

Sarà difficile dimostrare il consenso dell’utente, il quale di fronte ad una scelta di tipo aut-aut non sarebbe in grado di fornire un consenso libero. Anche l’offerta di un servizio con meno funzionalità, ma gratuito, e uno con più funzionalità, ma con profilazione, non potrebbe considerarsi “equivalente”, e quindi il consenso prestato non sarebbe comunque valido.

Una soluzione potrebbe essere una terza opzione, sempre gratuita, che non preveda la profilazione, ma una pubblicità generica o, al più, contestuale, basata sugli interessi indicati dall’utente, quindi con un grado di invasività molto inferiore rispetto alla profilazione comportamentale.

LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE

Il rispetto del GDPR si complica in caso di controlli dei lavoratori tramite strumenti aziendali concessi ad uso promiscuo

In base all’Art. 4 delle Statuto dei Lavoratori ed al più recente cosiddetto Job Act (legge delega in materia di lavoro 183/2014), il datore di lavoro è legittimato ad effettuare controlli sui beni strumentali affidati al dipendente in ragione delle sue mansioni, se se finalizzati alla tutela e la sicurezza del patrimonio aziendale o per scopi organizzativi e produttivi. Beninteso, devono essere rispettati anche altri requisiti quali la completa informazione al dipendente e la riservatezza dei dati rilevati.

Secondo l’articolo “Privacy e controlli sul lavoro: la problematica dell’uso promiscuo degli strumenti aziendali”, le cose sono un po’ più complicate quando questi strumenti, quali l’auto aziendale, piuttosto che un telefono cellulare [o un personal computer], sono concessi ad uso promiscuo, cioè anche ad uso personale. In questo caso, infatti,il controllo deve essere circoscritto all’attività lavorativa e non può in alcun modo invadere la sfera privata del lavoratore.

Nel caso dell’utilizzo di sistemi GPS di localizzazione, disponibili attraverso le funzionalità dell’autovettura o dello smartphone, la raccolta di informazioni dettagliate su percorsi e pause può violare i principi di necessità, pertinenza e non eccedenza e non è sufficiente l’ottenimento dell’autorizzazione degli interessati a seguito di una pur adeguata informativa. La normativa privacy non permette, infatti, un controllo massivo, prolungato e indiscriminato dell’attività dei lavoratori. Quanto meno la localizzazione deve essere temporalmente contenuta entro l’orario di lavoro previsto.

In merito al controllo dei cellulari aziendali, da parte del datore di lavoro, il Garante della privacy ha fornito una serie di obblighi: informare preventivamente i lavoratori sulla possibilità di controllo da parte dell’azienda, adottare un disciplinare interno che regoli le modalità di utilizzo delle SIM fornite e che delinei i criteri di controllo, limitare i tempi di conservazione dei dati a un massimo di sei mesi, limitare, ovviamente, alle finalità specifiche il controllo delle chiamate e degli SMS, conservare i log dei controlli per garantire trasparenza sulle attività monitorate e sui soggetti che vi hanno acceduto.

Per ChatGPT difficoltà circa il rispetto del GDPR

L’articolo “Il reclamo di noyb mette ChatGPT sotto la lente del garante austriaco” riferisce che l’associazione che fa capo al noto avvocato Max Schrems ha presentato al Garante austriaco un reclamo riguardante ChatGPT. La piattaforma di IA non è in grado infatti, di rispettare i diritti degli interessati circa la correzione e/o rimozione parziale di informazioni personali che li riguardano, né può (o vuole) fornire le informazioni relative al trattamento dei dati personali, le fonti utilizzate, i dati oggetto di trattamento, la base giuridica, le finalità perseguite e i tempi di conservazione stabiliti.

IN BREVE, DALL’ITALIA E DAL MONDO

La legge sul whistleblowing non protegge i dipendenti sanzionati per giusta causa

La legge su whistleblowing protegge il segnalante da qualsiasi ritorsione nei suoi confronti, da parte dell’impresa cui appartiene o con cui ha rapporti. Tuttavia, afferma l’articolo “Whistleblower, la giusta causa non può celare il licenziamento ritorsivo”, citando una sentenza della Corte di Cassazione, se un dipendente ha commesso infrazioni per cui sono applicabili provvedimenti disciplinari, anche fino al licenziamento, egli non può trincerarsi dietro lo scudo del whistleblowing.

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • L’Italia è il terzo paese al mondo più colpito dal ransomware: è un dato molto allarmante!
  • Una società che gestisce due negozi di telefonia dovrà pagare una multa di 150mila euro per aver attivato illecitamente Sim, abbonamenti e addebiti per l’acquisto di cellulari e localizzatori GPS utilizzando i dati personali di centinaia di utenti a loro insaputa. [Francamente, colpisce che si parli solo dell’aspetto privacy, senza fare menzione del fatto se sia stato o meno avviato un procedimento penale per i reati di frode, usurpazione di identità e truffa informatica. Ndr]
  • E’ stato determinato l’impatto dell’attacco hacker, subito da Synlab Italia, di cui ad un precedente articolo: consiste nella sottrazione di 1,5 Terabyte di dati, inclusi dati aziendali, documenti personali dei dipendenti, dati personali dei clienti e analisi mediche.
  • E’ stato sanzionato un hotel che aveva installato le telecamere di videosorveglianza che puntavano direttamente sulla strada e sulle proprietà altrui
  • E’ incredibile, ma la società che distribuisce l’antivirus Avast ha raccolto e venduto i dati di navigazione degli utenti senza chiedere il consenso e senza renderli consapevoli. Dopo la sanzione di 16,5 milioni di dollari da parte della Federal Trade Commission, ne ha recentemente ricevuta una in Europa per 13,9 milioni di euro.
  • Uno degli esiti dell’attacco hacker a Synlab Italia, cui erano stati sottratti 1,5 TeraByte di dati, pare sia stato la pubblicazione dei dati personali nel dark web.
  • Il Garante Privacy sanziona un Comune che aveva installato le telecamere in prossimità dei dispositivi di rilevazione delle presenze dei lavoratori.
  • Multa di 100 mila euro a due gestori di energia per l’effettuazione di telefonate indesiderate e l’attivazione di contratti energetici non richiesti.
  • Migliaia di server Linux colpiti dalla botnet Ebury per rubare informazioni sensibili, quali credenziali e dati delle carte di credito.
  • Sanzionato un patronato che aveva affidato un trattamento di dati personali ad un lavoratore “in nero”; questo infatti è consierato un “terzo”, non autorizzato al trattamento.

    ing. Michele Lopardo

    Responsabile Qualità @ Wondersys