Privacy e Intelligenza Artificiale: come rispettare il GDPR
La CNIL ha recentemente pubblicato un insieme di Linee guida essenziali per navigare nel complicato intreccio tra lo
sviluppo di sistemi di Intelligenza Artificiale (IA) e la protezione dei dati personali.
In un mondo dove l'IA è sempre più integrata nella nostra vita quotidiana,
garantire la privacy e la sicurezza dei dati è di vitale importanza.
In questo articolo,
esploriamo le raccomandazioni della CNIL, fornendo chiare spiegazioni e approfondimenti su come
bilanciare efficacemente innovazione e privacy.
SOMMARIO
Introduzione
La legge applicabile
Identificare lo scopo del trattamento
I fornitori
Le basi giuridiche
La Valutazione di Impatto
Privacy fin dalla progettazione
Convalide delle scelte di progettazione
Conclusioni
La
CNIL (l'Autorità francese per la protezione dei dati personali, l'omologo del Garante Privacy italiano) ha pubblicato in data
16 ottobre 2023 delle
importanti Linee guida e raccomandazioni per
sviluppare sistemi di intelligenza artificiale (IA) e creare set di
dati personali che coinvolgono dati personali.
Queste Linee guida sono focalizzate sulla fase di sviluppo e sono rilevanti quando sono trattati dati personali di persone fisiche, garantendo che vengano trattati in conformità con il
GDPR.
Il
trattamento di dati personali è un punto molto importante.
Infatti, Le Linee guida si applicano se i dati personali sono certamente oggetto di trattamento o se potrebbero essere oggetto di trattamento.
In caso contrario,
se non ci sono dati personali, le Linee guida non sono applicabili.
Quando i dati personali sono coinvolti, misure specifiche, come la verifica manuale o automatica, devono essere attuate per garantire la conformità.
Le Linee guida pubblicate dalla CNIL coprono vari
tipi di sistemi di IA, come quelli basati sul machine learning. Anche i sistemi di apprendimento continuo e iterativo rientrano in queste categorie.
Le
Linee guida si applicano principalmente alla fase di sviluppo del sistema di IA, che include la progettazione, la creazione del set di dati e l'apprendimento del sistema. Non si applicano direttamente alla fase di implementazione o spegnimento del sistema che gestisce il sistema di Intelligenza Artificiale.
Infine, le
Linee guida si concentrano su casi in cui solo il GDPR è applicabile, escludendo trattamenti di dati che rientrano sotto altri regimi legali specifici, come quelli legati alla sicurezza dello Stato e alla difesa nazionale.
Nello
sviluppo di sistemi di intelligenza artificiale (IA) che coinvolgono dati personali, è essenziale determinare le leggi applicabili per garantire la conformità nella gestione dei dati. Secondo la CNIL, la fase di sviluppo e la fase di implementazione di un sistema di IA sono considerate separate e
potrebbero essere soggette a diversi regimi legali.
Il GDPR è la norma generale per il trattamento dei dati personali, ma ci sono eccezioni, ad esempio per i dati trattati per la difesa nazionale e la sicurezza dello Stato. Le
Linee guida della CNIL si applicano specificamente ai casi in cui il GDPR è rilevante.
In pratica, ci sono
due scenari principali:
1. Scenario in cui l'uso operativo dell'IA è già definito durante la fase di sviluppo:
Se lo scopo del sistema di IA e il trattamento dei dati sono noti e definiti durante la fase di sviluppo, allora generalmente le stesse leggi applicabili alla fase di implementazione si applicano anche durante lo sviluppo.
2. Scenario in cui l'uso operativo dell'IA non è definito durante la fase di sviluppo:
In alcuni casi, un sistema di IA può essere sviluppato senza uno scopo operativo specifico. Qui, le leggi applicabili possono differire tra le fasi di sviluppo e implementazione. Generalmente, la fase di sviluppo è soggetta al GDPR, ma è necessaria un'analisi specifica del caso per confermare.
Un
esempio pratico di questo è lo sviluppo di un
modello di riconoscimento vocale: durante la fase di sviluppo, quando il modello è creato e addestrato, il GDPR è applicabile. Tuttavia, l'applicazione specifica del modello durante la fase operativa potrebbe essere soggetta a differenti leggi, ad esempio, se viene utilizzato per finalità di legge o sicurezza.
In sintesi, è cruciale determinare le leggi applicabili in ogni fase del ciclo di vita di un sistema di IA per garantire che i dati personali siano trattati in modo conforme ed etico.
Il trattamento dei dati personali tramite AI deve avere uno scopo ben definito, chiaro e legittimo, identificato all'inizio del progetto.
I dati raccolti non devono essere elaborati ulteriormente in modo incompatibile con lo scopo originario, in accordo con i principi di trasparenza, minimizzazione dei dati e limitazione della conservazione previsti dal GDPR.
In pratica:
Esistono due scenari basati sulla chiarezza dello scopo durante la fase di sviluppo dell'IA.
Nel primo caso, se l'uso operativo dell'IA è chiaramente identificato sin dalla fase di sviluppo, entrambe le fasi condividono lo stesso scopo, che deve essere specifico, esplicito e legittimo.
Nel secondo caso, per sistemi IA di uso generale, dove l'uso operativo non è chiaramente definito, lo scopo deve essere abbastanza preciso, riferendosi al tipo di sistema e alle sue funzionalità tecnicamente realizzabili.
Nel contesto dello sviluppo di sistemi di Intelligenza Artificiale (IA) che coinvolgono dati personali,
identificare il ruolo legale dei fornitori è fondamentale per assicurare la conformità con il GDPR.
Ci sono
tre possibili "ruoli privacy":
- titolare del trattamento
- co-titolare del trattamento, e
- responsabile del trattamento.
Titolare del Trattamento:
-
Definizione: Colui che decide le finalità (perché) e i mezzi (come) del trattamento dei dati personali.
-
In pratica: Un fornitore di IA che inizia lo sviluppo di un sistema e crea un dataset di addestramento selezionando dati per conto proprio è considerato titolare del trattamento.
-
Esempio: Una piattaforma di video on demand che riutilizza i dati dei propri clienti per addestrare un sistema di raccomandazione.
Co-titolari del Trattamento:
-
Definizione: Quando due o più entità determinano congiuntamente le finalità e i mezzi del trattamento dei dati, sono considerati co-titolari.
-
In pratica: Questo accade quando diversi titolari del trattamento alimentano un dataset comune per uno scopo congiuntamente definito.
-
Esempio: Gli ospedali che utilizzano un protocollo di apprendimento federato condiviso per addestrare un sistema IA, o un comune e aziende che collaborano per sviluppare telecamere intelligenti per analizzare il traffico veicolare.
IMPORTANTE:
-
Nel caso dei co-titolari, è cruciale stabilire un accordo che definisca chiaramente i ruoli e le responsabilità di ciascuna parte per garantire la protezione dei dati trattati.
- Gli individui hanno il diritto di esercitare i loro diritti di protezione dei dati nei confronti di ciascuno dei co-titolari.
In
sintesi, è essenziale che i fornitori di sistemi di IA definiscano con precisione il loro ruolo legale nel trattamento dei dati personali per assicurare la conformità con le normative sulla protezione dei dati.
La chiarezza nei ruoli e nelle responsabilità è cruciale per garantire una gestione etica ed efficace dei dati.
Il titolare del trattamento che si avvale di un sistema di Intelligenza Artificiale deve
identificare correttamente le basi giuridiche del trattamento.
Di seguito elenchiamo i principali punti toccati dalle Linee guida della CNIL.
1. Come è permesso trattare i dati personali
- Ci deve essere una ragione chiara e accettata per legge per usare i dati.
- Questa ragione può essere il consenso della persona, un interesse legale, un dovere pubblico, o un contratto.
2. Il consenso
- Le persone devono dare il loro consenso liberamente e sapendo bene a cosa serviranno i loro dati personali.
3. Interesse legittimo
- Deve esserci un equilibrio tra il beneficio di usare i dati per l'azienda e i diritti delle persone.
- Ogni situazione deve essere valutata individualmente.
4. Dovere Pubblico
- Si possono usare i dati se è previsto dalla legge e serve a un bene pubblico.
5. Contratto
- Se c'è un contratto e serve usare i dati per rispettarlo, questo può essere un motivo valido per trattare i dati personali tramite un sistema di Intelligenza Artificiale.
6. Usare di Nuovo i Dati
- Se i dati sono usati per un motivo diverso da quello iniziale, bisogna fare un controllo per assicurarsi che via sia una nuova base giuridica o che la precedenza base giuridica sia ancora valida.
La creazione di un dataset per addestrare un sistema IA può comportare
rischi significativi per i diritti e le libertà delle persone, rendendo necessaria una
Valutazione d'Impatto sulla Protezione dei Dati (DPIA).
La DPIA aiuta a
identificare e valutare i rischi associati al trattamento dei dati personali e a sviluppare un piano per mitigarli.
La DPIA dovrebbe essere adeguata alle specifiche fasi di sviluppo e implementazione del sistema IA, e
prendere in considerazione i rischi unici associati all'IA, come l'uso improprio dei dati, la discriminazione automatizzata, la creazione di contenuti falsi, la perdita di controllo sui dati, gli attacchi specifici ai sistemi IA e le questioni di confidenzialità.
Le misure di mitigazione possono includere soluzioni tecniche come la
crittografia, l'anonimizzazione e la pseudonimizzazione, e strategie organizzative per limitare l'accesso ai dati e migliorare la governance. Queste azioni dovrebbero essere integrate in un piano d'azione e monitorate continuamente per assicurare la protezione dei dati durante lo sviluppo e l'implementazione dei sistemi IA.
Per lo sviluppo di un sistema IA rispettoso della privacy, è cruciale considerare la
protezione dei dati fin dalle prime fasi di progettazione.
I principi di protezione dei dati devono essere integrati, focalizzandosi sulla minimizzazione dei dati. Ci sono diverse domande chiave da considerare riguardo l'obiettivo, l'architettura tecnica, le fonti di dati, la selezione dei dati e la validità delle scelte di progettazione.
Le scelte architettoniche e tecniche dovrebbero essere influenzate dalla necessità di minimizzare i dati, ed è
importante identificare i dati personali necessari con attenzione, garantendo che siano adeguati, pertinenti e limitati.
Le Linee guida della CNIL sottolineano
l'importanza della gestione rigorosa e del monitoraggio dei dati di apprendimento.
Alcuni dei punti più importanti trattati dalla Autorità francese.
Raccolta dei dati:
- Deve essere controllata e minimizzata.
- Quando si utilizza il web scraping, è necessario garantire che i dati siano liberamente accessibili e pertinenti.
Pulizia, identificazione e protezione della privacy:
- La pulizia dei dati è essenziale per assicurare qualità ed integrità.
- È necessario identificare i dati rilevanti per evitare overfitting e underfitting.
- La "privacy by design" dovrebbe essere integrata fin dalla fase di progettazione.
Monitoraggio e aggiornamento:
- I dati devono essere monitorati regolarmente per garantire la loro rilevanza e protezione.
- È cruciale adattarsi alle fluttuazioni dei dati, agli aggiornamenti e alle evoluzioni tecniche.
Conservazione dei dati personali:
- I dati personali non dovrebbero essere conservati indefinitamente; è necessario definire un periodo di conservazione.
- I dati utilizzati per lo sviluppo del sistema IA dovrebbero essere conservati in modo sicuro e accessibili solo alle persone autorizzate.
Sicurezza:
- Sono necessarie misure tecniche e organizzative per garantire la sicurezza dei dati.
- La documentazione dei dati è essenziale per assicurare la tracciabilità e facilitare l'uso, la monitoraggio e l'eliminazione dei dati.
In pratica:
- È necessario effettuare analisi regolari per monitorare i dati, soprattutto quando si prevedono cambiamenti o evoluzioni.
- La conservazione dei dati dovrebbe essere pianificata e monitorata, con specifiche durate e procedure per l'eliminazione dei dati.
- La sicurezza dei dati deve essere una priorità, con misure specifiche per garantire la protezione dei dati e del sistema informativo.
- La documentazione completa è cruciale per tracciare l'uso dei dati, garantire la legalità della raccolta e facilitare il monitoraggio e l'eliminazione dei dati.
Il
team di LegalBlink è profondamente coinvolto nelle
questioni legali legate all'IA, una necessità crescente tra le software house innovative.
La complessità e la specificità delle normative in questo campo rendono essenziale
l’assistenza di esperti legali. Con LegalBlink al vostro fianco, puoi affrontare con sicurezza le
sfide legali che l'uso di sistemi di AI pone alle imprese, garantendo che la tua innovazione sia non solo all'avanguardia, ma anche conforme ed etica.
Team LegalBlink