GDPR e IA: l'importanza del controllo sul patrimonio informativo gestito

Il tema della privacy e protezione dei dati personali coinvolge non solo utenti e consumatori ma inevitabilmente anche le aziende che, a prescindere dalla loro dimensione, si trovano ogni giorno a dover gestire le proprie informazioni e quelle relative ai propri clienti.

business_strategy_technology_connection_network_future_green_1.png

L'importanza di proteggere le informazioni gestite

Riuscire a proteggersi in modo sicuro, dunque, è fondamentale e per varie ragioni:

  • evitare di incorrere in sanzioni onerose, sia in sede civile che penale;
  • evitare di rovinare la reputazione aziendale;
  • garantire sicurezza in questo ambito ai propri clienti e capacità di risposta alle richieste che possono essere fatte da parte dell’Authority.

La materia della protezione dei dati personali e il trattamento di dati personali sono disciplinati rispettivamente dal Regolamento UE 2016/679 (GDPR) e dalla Direttiva UE 2016/680 e dalle legislazioni nazionali di recepimento.

Il GDPR contiene numerose disposizioni applicabili all’intelligenza artificiale, anche se l’IA non è mai esplicitamente menzionata.

Il trattamento di dati personali tramite tecnologie di IA, infatti, può presentare rilevanti rischi nella tutela dei diritti degli interessati, di conseguenza, tali diritti devono essere tutelati attraverso l’applicazione delle regole del GDPR.

Gli articoli del GDPR che trovano applicazione nei sistemi IA

Il contesto normativo relativo alla protezione dei dati è particolarmente complesso ed in continua evoluzione. A questo si aggiungono un rapido sviluppo tecnologico e la sempre maggiore attenzione che utenti e consumatori attribuiscono alla tutela dei propri dati.

Gli articoli più rilevanti del GDPR che trovano applicazione nei sistemi di IA sono i seguenti:

  • Gli articoli 13 e 14 relativi al principio di trasparenza, da cui discende l’obbligo, per il titolare che intende trattare i dati, anche avvalendosi di processi decisionali automatizzati, di informare l’interessato di tale processo, fornendogli altresì informazioni significative sulla logica utilizzata.
  • L’articolo 22 ovvero il diritto dell’interessato a non essere oggetto di un processo decisionale automatizzato, compresa la profilazione, salvo che tale processo:
    • sia necessario per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento;
    • sia autorizzato dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento;
    • si basi sul consenso esplicito dell'interessato.
  •  L’articolo 25 in forza del quale tutti i processi che trattano dati personali devono sempre rispettare i principi della privacy by design e privacy by default: ne deriva che il rispetto dei principi per il trattamento dei dati deve essere tenuto in considerazione già in fase di progettazione e realizzazione del sistema di IA.
  • Gli articoli 44 e seguenti che dettano le regole per i trasferimenti dei dati personali al di fuori dello SEE, trattamento molto frequente nei sistemi di IA che operano sul cloud.

RSM opera con un team multidisciplinare altamente competente, per supportare i propri clienti nell’adeguamento al Regolamento Europeo sulla Privacy GDPR 679/2016 e al Dlgs 101/2018 nei seguenti ambiti:

  • giuridico
  • organizzativo e risk assessment
  • IT e cybersecurity
  • ruolo di DPO

Il team dedicato RSM ha sviluppato una metodologia che copre tutte le fasi del progetto privacy indirizzando la governance ed i processi: a partire dalla definizione di ruoli e responsabilità, DPO (Data Protection Officer), formalizzazione di procedure, gestione dei rischi privacy ecc .

Le molteplici esperienze in progetti GDPR hanno inoltre consentito a RSM di sviluppare conoscenze anche in merito alle più innovative soluzioni tecnologiche disponibili sul mercato e quindi poter offrire un approccio evoluto per la gestione della privacy.

Leggi anche: