Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

intelligenza artificiale

AI e data protection, come si adegua un’azienda al Gdpr: tre temi chiave

I trattamenti di dati personali posti in essere mediante sistemi di intelligenza artificiale coinvolgono numerosi soggetti e l’aggregazione di molteplicità di informazioni. Lo svolgimento di audit e controlli verso titolari o responsabili è inoltre molto complicato. Ecco gli aspetti da considerare

15 Feb 2019

Niccolò Anselmi

Dentons Europe Studio Legale Tributario

Giangiacomo Olivi

Dentons Europe Studio Legale Tributario


Le questioni legate alla data protection nell’ambito dei sistemi di intelligenza artificiale devono essere gestite in maniera adeguata, con particolare riferimento alla necessità di prestare attenzione alle basi giuridiche e alle finalità. Vediamo quali sono ulteriori aspetti da tenere in considerazione oltre a quelli già trattati in questo precedente articolo.

Corretta identificazione di titolari e responsabili

I trattamenti di dati personali posti in essere mediante sistemi AI comportano il coinvolgimento di numerosi soggetti (fornitori dei servizi, progettisti / designer, eventuali terzi ai quali i dati sono trasferiti, ecc.).

La presenza di tali numerosi soggetti rende talvolta difficoltosa l’identificazione del ruolo da essi svolto – anche in modo sostanziale – a livello di struttura privacy: è arduo comprendere se un soggetto svolge il ruolo di titolare (con predisposizione autonoma di mezzi e finalità del trattamento) o di responsabile (con trattamento posto in essere per conto di un titolare).

Nello specifico, la questione si pone per i soggetti che dovrebbero essere responsabili del trattamento, ma in realtà utilizzano i dati e le informazioni elaborate anche per finalità proprie (si pensi ad esempio ai terzi che elaborano i dati provenienti da più sistemi AI).

Ciò si può tradurre in una situazione di incertezza anche tra soggetti coinvolti nel medesimo trattamento: alcuni soggetti potrebbero erroneamente fare affidamento su altri per l’espletamento di specifici compiti e adempimenti dalle leggi applicabili in materia di data protection.

Molteplicità di informazioni e dati trattati

I sistemi AI, per loro stessa natura, aggregano molteplicità di informazioni, recepite durante la loro operatività. A ciò si aggiunga che possono interagire con altri e ulteriori sistemi AI, condividendo quantità di dati e informazioni ancora più elevate. Da ciò deriva che un singolo sistema AI può disporre di dati complessi circa le abitudini di vita e di consumo degli utilizzatori (anche esulanti dalle finalità e destinazioni cui il sistema AI è preordinato).

Addirittura, l’aggregazione di informazioni di per sé apparentemente “innocue” può consentire di elaborare dati appartenenti a categorie particolari ai sensi dell’art. 9 del GDPR – es. stato di salute, convinzioni politiche o religiose, vita sessuale – con il risultato di realizzare una eccessiva, e talvolta illecita, intrusione nelle vite degli interessati.

Audit e controlli

Lo svolgimento di audit e controlli nei confronti dei soggetti che, in qualità di titolari o responsabili, sono coinvolti nei trattamenti di dati personali posti in essere mediante sistemi AI, non è agevole.

Ciò è dovuto in parte a limitazioni di natura tecnologica, dovute cioè alle difficoltà di lettura degli algoritmi posti alla base del funzionamento dei sistemi AI, e in parte a mere scelte di opportunità di fornitori di servizi AI.

Di conseguenza, non sono facilmente disponibili informazioni sulle modalità di funzionamento dei sistemi AI e soprattutto sui mezzi e criteri di trattamento di dati personali da parte di questi.

Da ciò deriva una sensazione di “impenetrabilità” dei sistemi AI, anche in violazione di disposizioni contrattuali o normative (si pensi ad esempio ai diritti di audit previsti nell’ambito di rapporti contrattuali, o ai diritti garantiti all’interessato ai sensi del GDPR).

@RIPRODUZIONE RISERVATA

LinkedIn

Twitter

Whatsapp

Facebook

Google+

Link

Articolo 1 di 4