L'uso di strumenti di Intelligenza Artificiale (IA) sta diventando sempre più diffuso sia in ambito organizzativo che personale. La gamma di strumenti di IA e i tipi di informazioni che elaborano sono in rapida espansione.
Questo articolo esplora le considerazioni chiave che le organizzazioni dovrebbero tenere a mente quando utilizzano strumenti di IA per garantire la conformità alle leggi sulla protezione dei dati.
Leggi sulla protezione dei dati nel Regno Unito
Il quadro normativo del Regno Unito in materia di protezione dei dati è costituito da quanto segue:
- La versione mantenuta del diritto dell'UE del Regolamento generale sulla protezione dei dati (UE 2016/679);
È importante notare che il Regolamento generale sulla protezione dei dati dell'UE (UE 2016/679) ha effetto extraterritoriale e può applicarsi anche ai responsabili e agli incaricati del trattamento del Regno Unito che operano all'interno dell'UE.
Strumenti e dati di intelligenza artificiale
Negli ultimi anni abbiamo assistito allo sviluppo di strumenti di intelligenza artificiale che si basano pesantemente sui dati personali. Ad esempio, Alexa di Amazon, ampiamente utilizzato dai residenti nel Regno Unito, raccoglie abitualmente quantità sostanziali di dati, tra cui:
- Informazioni sul pagamento
- Posizione live
- Registri delle richieste di comunicazione, che possono includere dati personali.
- Storia dell'acquisto
- Abitudini di acquisto
Allo stesso modo, Meltwater, uno strumento di intelligenza artificiale per i media, i social e i consumatori, genera approfondimenti sul comportamento dei clienti elaborando i dati provenienti da varie fonti, tra cui le chat dal vivo, gli account dei social media e le cronologie degli acquisti.
Con la rapida evoluzione degli strumenti di IA, la raccolta di dati rimane parte integrante del loro funzionamento. È quasi certo che i dati raccolti da alcuni strumenti di IA includeranno dati personali, dati di categorie speciali e potenzialmente dati sui bambini.
Per questo motivo, è fondamentale che le organizzazioni garantiscano la conformità alle leggi sulla protezione dei dati.
La guida AI
L'Information Commissioner's Office (ICO) ha prodotto una guida sull'intelligenza artificiale e la protezione dei dati (la "Guida AI") per aiutare le organizzazioni a interpretare le leggi sulla protezione dei dati applicabili all'IA. La Guida all'IA contiene anche raccomandazioni sulle buone prassi per le misure organizzative e tecniche volte a ridurre i rischi per le persone che l'IA potrebbe comportare.
L'ICO definisce l'IA in modo ampio, riconoscendola come un termine standard del settore che comprende varie tecnologie. Un'area chiave dell'IA è l'"apprendimento automatico", che prevede l'uso di tecniche computazionali per creare modelli statistici da grandi insiemi di dati. Questi modelli vengono poi utilizzati per fare previsioni o classificazioni su nuovi dati e gran parte dell'interesse attuale per l'IA ruota attorno all'apprendimento automatico.
La Guida all'IA affronta quindi principalmente i rischi e le sfide per la protezione dei dati posti dall'IA basata sull'apprendimento automatico. Tuttavia, riconosce anche che altre forme di IA possono presentare ulteriori problemi di protezione dei dati.
A chi si applica la Guida AI?
La Guida all'AI è destinata a due ampi destinatari:
- Quelli che si concentrano sulla conformità, tra cui:
- Responsabili della protezione dei dati
- Consulente generale
- Gestori del rischio
- Direzione generale
- Gli auditor dell'ICO, che utilizzeranno la Guida AI per informare le loro funzioni di audit ai sensi della legislazione sulla protezione dei dati.
- Specialisti in tecnologia, tra cui:
- Sviluppatori di machine learning e data scientist
- Sviluppatori/ingegneri software
- Responsabili della sicurezza informatica e del rischio IT
Questo articolo si concentra sugli aspetti della Guida AI rilevanti per chi si occupa di compliance. Tuttavia, le organizzazioni sono invitate a considerare la Guida AI nella sua interezza.
Aspetti chiave della Guida AI
La Guida all'IA è ampia e dettagliata. Di seguito, evidenziamo i punti chiave per le organizzazioni che utilizzano l'IA.
Quali sono le implicazioni dell'IA in termini di responsabilità e governance?
Le organizzazioni devono:
- Allineare le strutture interne, i ruoli e le responsabilità, i requisiti di formazione, le politiche e gli incentivi con le strategie di governance e gestione del rischio dell'IA.
- Dimostrare costantemente come hanno affrontato gli obblighi di protezione dei dati in fase di progettazione e di default.
- Garantire che le loro capacità di governance e di gestione del rischio siano proporzionate all'uso dell'IA.
- Sviluppare un quadro generale di responsabilità come base per dimostrare la propria responsabilità ai sensi delle leggi sulla protezione dei dati, su cui costruire il proprio approccio alla responsabilità dell'IA.
Come garantire la trasparenza nell'IA?
- Le organizzazioni devono essere trasparenti sulle modalità di trattamento dei dati personali all'interno dei sistemi di IA per rispettare il principio di trasparenza.
- Prima di iniziare qualsiasi trattamento di dati personali, un'organizzazione deve considerare i propri obblighi di trasparenza nei confronti delle persone di cui intende trattare i dati personali.
- L'organizzazione deve includere nelle informazioni sulla privacy dettagli sulle finalità del trattamento dei dati personali, sui periodi di conservazione di tali dati e sui soggetti con cui saranno condivisi.
- Se i dati vengono raccolti direttamente dalle persone, le informazioni sulla privacy devono essere fornite al momento della raccolta, prima che vengano utilizzate per addestrare un modello o per applicarlo. Se i dati sono raccolti da altre fonti, le informazioni sulla privacy devono essere fornite entro un periodo di tempo ragionevole, non oltre un mese.
Come garantire la legalità nell'IA?
- Per rispettare il principio di liceità, un'organizzazione deve suddividere ciascuna operazione di trattamento distinta, identificando la finalità e un'adeguata base giuridica per ciascuna di esse.
- Ogni volta che vengono trattati dati personali, sia per addestrare un nuovo sistema di intelligenza artificiale che per fare previsioni utilizzando quello esistente, l'organizzazione deve avere una base adeguata per farlo.
Cosa devono sapere le organizzazioni sull'equità e l'accuratezza statistica?
- L'accuratezza statistica si riferisce alla proporzione di risposte corrette e non corrette prodotte da un sistema di IA.
- I sistemi di IA devono essere sufficientemente accurati dal punto di vista statistico per garantire che il trattamento dei dati personali sia conforme al principio di equità.
- Per rispettare il principio di correttezza, le organizzazioni devono garantire che i dati personali siano trattati con modalità che le persone si aspetterebbero ragionevolmente e non con modalità che abbiano effetti negativi ingiustificati su di loro.
- Le organizzazioni devono evitare di trattare i dati personali in modo indebitamente dannoso, imprevisto o fuorviante per le persone interessate. Migliorare costantemente l'accuratezza statistica dei risultati di un sistema di IA è un modo per garantire il rispetto del principio di equità.
Come devono valutare le organizzazioni la sicurezza e la minimizzazione dei dati nell'IA?
- Quando trattano i dati personali, le organizzazioni devono garantire livelli adeguati di sicurezza contro l'elaborazione non autorizzata o illegale, la perdita accidentale, la distruzione o il danneggiamento.
- Le misure di sicurezza adottate da un'organizzazione devono essere proporzionate al livello e al tipo di rischi derivanti da specifiche attività di trattamento.
- Per proteggere i dati della formazione, i team tecnici devono registrare e documentare tutti i movimenti e l'archiviazione dei dati personali. Inoltre, tutti i file intermedi contenenti dati personali non più necessari devono essere cancellati.
- Indipendentemente dal fatto che i sistemi di IA siano sviluppati internamente, esternamente o attraverso una combinazione di entrambi, le organizzazioni devono valutarli per i rischi di sicurezza.
- Il personale deve essere dotato delle competenze e delle conoscenze necessarie per affrontare qualsiasi rischio per la sicurezza.
Come fanno le organizzazioni a garantire i diritti individuali nei loro sistemi di IA?
- Le leggi sulla protezione dei dati conferiscono alle persone diversi diritti sui loro dati personali. Nel contesto dell'IA, questi diritti si applicano ogni volta che i dati personali vengono utilizzati in qualsiasi fase dello sviluppo e dell'implementazione di un sistema di IA.
- Il diritto alla rettifica, ad esempio, può applicarsi ai dati personali utilizzati per l'addestramento di un sistema di intelligenza artificiale. Quanto maggiore è l'importanza dell'accuratezza di questi dati, tanto maggiore è l'impegno che le organizzazioni devono profondere per verificarne l'accuratezza e rettificarli, se necessario.
- Le organizzazioni possono anche ricevere richieste di cancellazione di dati personali nell'ambito della formazione. Sebbene il diritto alla cancellazione non sia assoluto, tali richieste devono essere prese in considerazione, a meno che i dati non siano trattati in base a un obbligo legale o a un compito pubblico.
- Per garantire equità e trasparenza, le organizzazioni devono informare le persone se i loro dati personali vengono utilizzati per addestrare un sistema di intelligenza artificiale. Queste informazioni devono essere fornite al momento della raccolta dei dati.
Contattaci - Avvocati per l'AI e la protezione dei dati personali
Sali Zaher, Contenzioso commerciale Associato, può fornire assistenza in caso di controversie relative all'IA e alla protezione dei dati. Per qualsiasi domanda su questo argomento, si prega di contattare Sali Zaher via e-mail all'indirizzo S.Zaher@rfblegal.co.uk o per telefono al numero 020 7467 5766.
Sali Zaher
Avvocato associato
