La normativa

Trattamento dati personali via intelligenza artificiale, tutti gli strumenti del Gdpr

Il regolamento europeo GDPR ha introdotto misure per gestire le criticità che possono emergere quando a trattare i dati sono sistemi di Intelligenza artificiale. Tra gli strumenti, la disposizione di garantire la privacy by design e by default e il diritto a non esser sottoposti solo a trattamenti automatizzati

28 Feb 2019
Niccolò Anselmi

Dentons Europe Studio Legale Tributario

Giangiacomo Olivi

Dentons Europe Studio Legale Tributario

privacy ai

Il GDPR ha introdotto strumenti utili per gestire al meglio le criticità emerse nell’ambito dei trattamenti di dati personali da parte di sistemi Intelligenza artificiale. Tra queste misure sono contemplati i concetti di privacy by design e by default e il diritto a non esser sottoposti unicamente a trattamenti automatizzati, strumenti pensati nel rispetto del principio generale di neutralità tecnologica[1] .

Qui di seguito, svolgeremo un’analisi delle disposizioni normative utili a affrontare e, talvolta, a limitare le criticità che si pongono in materia di AI.

Privacy by design e privacy by default – art. 25 del GDPR

Sulla base di quanto indicato all’interno dell’art. 25 del GDPR, il titolare[2] deve adottare misure idonee a garantire sin dalla progettazione, cioè by design, e per impostazione predefinita, cioè by default, il rispetto di tutti i principi in materia di trattamento di dati personali tra i quali, ad esempio, i principi di finalità e base giuridica del trattamento, e il principio di minimizzazione, secondo cui devono essere trattati solo i dati personali strettamente necessari al perseguimento delle finalità predeterminate.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Si tratta della disposizione del GDPR forse più rilevante in materia di sistemi AI, per via del potenziale impatto sulle specifiche di programmazione e settaggio: questi, infatti, devono essere sin dall’inizio programmati in modo da garantire il rispetto delle prescrizioni del GDPR, e allo stesso modo anche le configurazioni di default dovranno rispondere alle medesime necessità.

Processi decisionali automatizzati – art. 22 del GDPR

Sulla base di tale disposizione, all’interessato[3] viene riconosciuto il “diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”. In estrema sintesi, qualora il trattamento di dati sia totalmente automatizzato, e da questo possano derivare conseguenze dirette nella sfera personale dell’interessato, quest’ultimo si potrà opporre al trattamento (e, in alcuni casi, potrà altresì richiedere un intervento umano e contestare l’eventuale decisione sulla base di trattamenti automatizzati). .

La disposizione di cui all’art. 22 del GDPR ha una rilevanza diretta e significativa sull’operatività dei sistemi AI: considerato che il loro funzionamento è interamente automatizzato (e così anche le decisioni da questi adottate, o prese sulla base di output e risultati provenienti da essi) e solitamente non prevede interventi umani, l’adeguamento a tale prescrizione comporterebbe modiche e interventi sulle modalità di funzionamento degli stessi (dovrebbe, in pratica, essere limitata, vincolata o comunque sottoposta da una seppur minima supervisione umana la capacità decisionale autonoma dei sistemi AI)..

DPIA e consultazione preventiva – artt. 35 e 36 del GDPR

Ai sensi dell’art. 35 del GDPR, sussiste l’obbligo di svolgere una valutazione di impatto sulla protezione dei dati (Data protection impact assessment, “DPIA” – cioè, una valutazione analitica dei rischi per gli interessati che si pongono nell’ambito del trattamento considerato, e delle misure di sicurezza adottate per ridurre al minimo le probabilità di accadimenti negativi) in caso di trattamento che presenti rischi per diritti e libertà degli interessati. Sul punto, le autorità nazionali sono chiamate a stilare elenchi di trattamenti di dati personali che, a prescindere dalle circostanze concrete, comportano l’obbligo, in capo al titolare, di predisporre una DPIA.

Se – come già sta accadendo (e come ha già proceduto, in Italia, anche il Garante per la protezione dei dati personali[4]) – fossero assoggettati a DPIA tutti i (o la maggior parte dei) trattamenti che possono essere effettuati nell’ambito di sistemi AI, ciò consentirebbe, in modo generalizzato, di entrare nel merito delle dinamiche delle operazioni di trattamento poste in essere mediante sistemi AI, con riferimento sia al loro funzionamento, sia alle misure di sicurezza eventualmente adottate.

Inoltre, qualora dalla DPIA si rilevi la persistenza di rischi per i diritti e le libertà degli interessati, si dovrà ricorrere all’autorità di controllo competente, con la procedura di consultazione preventiva ai sensi dell’art. 36 del GDPR. Tale strumento, se utilizzato dai titolari del trattamento (cioè, nella maggior parte dei casi, i fornitori di servizi AI), potrebbe addirittura aprire una fase di collaborazione tra autorità e operatori del settore, volta a stabilire procedure e standard di trattamento.

Diritti degli interessati – artt. 15-ss del GDPR

Non devono essere dimenticate, ovviamente, le disposizioni del GDPR relative ai diritti degli interessati, il cui corretto enforcement potrebbe consentire la “apertura” dei sistemi AI (cioè, l’accesso a informazioni sul funzionamento, l’operatività e i dati trattati) almeno con riferimento alle garanzie da fornire in materia data protection.

Si pensi, ad esempio, alle disposizioni che consentono all’interessato di accedere ai suoi dati personali trattati dal titolare (art. 15 del GDPR), di ottenerne la rettifica (art. 16 del GDPR), la cancellazione (art. 17 del GDPR), la limitazione (art. 18 del GDPR), o di opporsi in tutto o in parte al trattamento (art. 21 del GDPR), oppure ancora a ottenere dal titolare una copia dei suoi dati personali trattati in formato “strutturato, di uso comune e leggibile da dispositivo automatico” (diritto di portabilità dei dati, ai sensi dell’art. 20 del GDPR).

____________________________________________________________

  1. Nel caso di specie, in virtù del principio di neutralità tecnologica le prescrizioni normative del GDPR devono essere adottate ed attuate a prescindere dal mezzo e dalle modalità mediante cui è posto in essere il trattamento di dati personali. All’atto pratico, non si tratta di disposizioni specificamente introdotte per regolare le implicazioni AI in materia privacy, ma di principi e prescrizioni valevoli in ogni caso.
  2. Il titolare, in estrema sintesi, è il soggetto che tratta i dati personali (o determina in ogni caso i mezzi e le finalità del trattamento); nel caso di specie, si tratta spesso del fornitore del servizio erogato mediante il sistema AI.
  3. Il soggetto interessato è il soggetto i cui dati personali sono trattati (nel caso di specie, si tratta spesso dell’utilizzatore del servizio fornito dal sistema AI).
  4. Sul punto, acquista rilievo l’elenco di trattamenti di dati da assoggettare a DPIA, pubblicato nel mese di novembre 2018 dal Garante per la protezione dei dati personali: nell’elenco, risulta presente la stragrande maggioranza dei trattamenti posti in essere in ambito AI.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

LinkedIn

Twitter

Whatsapp

Facebook

Link