Gdpr e Intelligenza Artificiale: con l’IA ACT si chiuderà il cerchio?

 

GDPR e Intelligenza artificiale

Open IA o meglio, «Chat Gpt» si potrebbe considerare un po’ come la punta dell’iceberg di ciò che viene definito «intelligenza artificiale». Potremmo dire che il Gdpr sta alla privacy come l’intelligenza artificiale sta a Chat Gpt, proprio per sottolineare come spesso sia limitata la visione di massa di un tema che, in realtà, rappresenta un’ampiezza ben diversa.

A volte è anche peggio: si considera l’operatività di un semplice algoritmo, che lavora per condizioni, come un qualcosa che ha a che fare con l’intelligenza artificiale.

A dipanare, almeno in parte, alcuni dubbi, ci pensa l’art. 3 del testo del regolamento europeo sull’IA, che entrerà in vigore a breve:

«sistema di IA”: un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali».

 

IA e GDPR

Il collegamento è abbastanza intuitivo, l’IA tratta moltissimi dati, la maggior parte, sono personali, anche se, spesso, collegati a tecnologie di tipo meccanico; pensiamo ad una automobile che integra un sistema di gestione dei dati del suo proprietario, o ad una macchina utensile che regola alcune sue configurazioni sulla base dei dati biometrici di chi la utilizza.

Ecco, quindi, un grande dispositivo di trattamento dati che necessita di misure di sicurezza, di un utilizzo responsabile e regolato. Non solo, anche il suo sistema di autoapprendimento, base fondante dell’IA, necessita di essere costantemente alimentato da dati, spesso, anche personali, tanto che il Garante della privacy sta già affrontando il tema del «web scraping», cioè, la «pesca a strascico» di dati e informazioni dal mondo dei portali web.

 

…A proposito di regolamenti, è in arrivo l’IA Act

Ormai, parlare di GDPR, sembra di trattare un tema vecchio e consolidato, anche se, purtroppo, non è così ancora per molte imprese.

Alcune altre normative si sono allineate e ne sono diventate parte, pensiamo alla «whistleblowing», alla «Nis», alle regole per la gestione delle comunicazioni elettroniche, etc.

A breve, bisognerà fare i conti con l’IA ACT, la normativa europea per la regolamentazione dei sistemi di intelligenza artificiale.

Il testo definitivo è già pronto, si attende, a breve, l’entrata in vigore, anche se la sua piena applicazione non è prevista prima di un paio di anni, attenzione, però, perché alcune situazioni andranno affrontate già alcuni mesi prima.

Ecco il link per la lettura del testo approvato dalla Commissione: testo definitivo

 

Struttura simile al GDPR

Vediamo alcune similitudini dell’IA ACT con il GDPR:

-è un regolamento (non necessita di decreto attuativo);

-è finalizzato alla tutela dei diritti e delle libertà fondamentali dell’individuo (anche se comprende il copyright e l’ambiente);

-è basato sull’assessment dei rischi;

-necessita di una documentazione a supporto delle analisi dei rischi;

-dispone l’attuazione di misure di sicurezza;

-dispone la formazione dei responsabili del processo;

-auspica una fluida circolazione delle informazioni e dei dati, specialmente a scopo di ricerca;

-pone l’attenzione sulle categorie di persone più vulnerabili;

-dispone una logica «by design», cioè deve essere pensato fin dalla progettazione di un nuovo processo;

-le sanzioni saranno comminate anche sulla base del fatturato aziendale.

 

Cosa bisognerà fare?

Il processo di compliant passerà attraverso la costruzione di un modello organizzativo basato sul risk assessment. Verranno quindi individuati i rischi e mitigati attraverso misure di sicurezza, non perdendo di vista la liceità dei trattamenti di dati.

Nella pratica, bisognerà classificare i sistemi utilizzati, redigendo un’analisi dei rischi e un’analisi di impatto, nella quale verrà valutata l’efficacia delle misure implementate. Le misure saranno proporzionali alla gravità degli impatti rilevati, tenendo in considerazione l’eventuale coinvolgimento di infrastrutture critiche.

Nei casi, definiti nel testo del regolamento, di rischio elevato, è prevista una richiesta di conformità e la registrazione in una specifica banca dati dell’UE.

Naturalmente, il modello per l’IA dovrà essere armonizzato con il GDPR e si dovrà tener conto dell’implementazione dei registri di trattamento, delle misure tecniche e organizzative per la tutela dei dati e la definizione dei ruoli di responsabilità.

 

 

Kruzer, già attiva nell’implementazione del modello organizzativo del GDPR, della gestione della normativa «Whistleblowing» e della NIS 2, si occuperà anche dell’applicazione dell’IA Act, regolamento, in alcuni casi, piuttosto impattante sull’attività, oggi, di molte imprese, nel prossimo futuro, di qualsiasi entità privata o pubblica.

Infatti, all’applicazione della nuova normativa, saranno tenute le imprese che producono, utilizzano, applicano o rivendono sistemi di intelligenza artificiale, a prescindere dal settore produttivo, dal fatturato e dal numero di addetti.

 

Per maggiori informazioni, contattaci, cliccando qui.

 

 

 

Condividi