Data protection

Come i titolari del trattamento devono approcciarsi ai sistemi di AI in una logica risk based.

Il Regolamento Europeo sull’IA (RIA)[1] mira a regolamentare lo sviluppo, la commercializzazione e l’uso dei sistemi di intelligenza artificiale (AI) in Europa, poiché questi sistemi possono comportare rischi per la salute, la sicurezza o i diritti fondamentali delle persone. [2]

La RIA si applica quindi ai seguenti soggetti:

a) ai fornitori che immettono sul mercato o mettono in servizio sistemi di IA o immettono sul mercato modelli di IA per finalità generali nell’Unione, indipendentemente dal fatto che siano stabiliti o ubicati nell’Unione o in un paese terzo; per «fornitore» si intende: una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che sviluppa un sistema di IA o un modello di IA per finalità generali o che fa sviluppare un sistema di IA o un modello di IA per finalità generali e immette tale sistema o modello sul mercato o mette in servizio il sistema di IA con il proprio nome o marchio, a titolo oneroso o gratuito;

b) ai deployer dei sistemi di IA che hanno il loro luogo di stabilimento o sono situati all’interno dell’Unione; per deployer si intende  una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che utilizza un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un’attività personale non professionale;

c) ai fornitori e ai deployer di sistemi di IA che hanno il loro luogo di stabilimento o sono situati in un paese terzo, laddove l’output prodotto dal sistema di IA sia utilizzato nell’Unione;

d) agli importatori e ai distributori di sistemi di IA;

e) ai fabbricanti di prodotti che immettono sul mercato o mettono in servizio un sistema di IA insieme al loro prodotto e con il loro nome o marchio;

 f) ai rappresentanti autorizzati di fornitori, non stabiliti nell’Unione; per rappresentante autorizzato si intende: una persona fisica o giuridica ubicata o stabilita nell’Unione che ha ricevuto e accettato un mandato scritto da un fornitore di un sistema di IA o di un modello di IA per finalità generali al fine, rispettivamente, di adempiere ed eseguire per suo conto gli obblighi e le procedure stabiliti dal presente regolamento;

g) alle persone interessate che si trovano nell’Unione.

Il rapporto tra RIA e GDPR esiste sia nelle fasi di sviluppo dei sistemi AI che nel loro utilizzo, perché lo sviluppo di algoritmi richiede l’utilizzo di un gran numero di dati, la maggior parte dei quali sono dati personali e l’utilizzo di questi dati è, in infatti, è inevitabile in quanto consente agli strumenti di progredire ed evolversi.

A tale proposito si rileva che l’obiettivo principale dei sistemi di intelligenza artificiale è simulare l’intelligenza umana nelle macchine e nei processi, al fine di consentire loro di svolgere compiti complessi e prendere decisioni in modo autonomo, il più delle volte coinvolgendo le persone.

A causa del fatto che una decisione può essere errata, causata da bias di sistema, che i sistemi di intelligenza artificiale non sono in grado di reagire autonomamente a un errore e che tutti i dati e le decisioni potrebbero essere utilizzati in modo improprio, questo insieme di potenziali situazioni potrebbe determinare una limitazione della libertà e diritti fondamentali.

Sulla base di questa nozione di rischio, il legislatore comunitario ha definito sistemi il cui utilizzo è vietato e sistemi con rischi più o meno elevati.

Per quanto riguarda i sistemi proibiti, qualsiasi organizzazione non può utilizzare l’intelligenza artificiale per manipolare il comportamento umano e sfruttare una vulnerabilità o addirittura fornire una “classificazione sociale” perché queste attività possono minacciare i diritti fondamentali. Sono vietati anche i sistemi di identificazione biometrica a distanza.

I 4 livelli di rischio RIA sono così riassunti:

  • RISCHIO INACCETTABILE: il RIA vieta un insieme limitato di pratiche contrarie ai valori dell’Unione Europea e ai diritti fondamentali.

Le fattispecie prese in considerazione dal legislatore comunitario sono le seguenti:

  • social scoring,
  • sfruttamento della vulnerabilità delle persone,
  • uso di tecniche subliminali,
  • utilizzo da parte delle forze dell’ordine di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico,
  • polizia predittiva mirata ai singoli individui,
  • riconoscimento delle emozioni in sul posto di lavoro e nelle istituzioni educative.
  • ALTO RISCHIO: il RIA definisce i sistemi di IA ad alto rischio quando possono nuocere alla sicurezza delle persone o ai loro diritti fondamentali, il che giustifica che il loro sviluppo sia soggetto a requisiti rafforzati (valutazioni di conformità, meccanismi di gestione del rischio della documentazione tecnica).[3]

Esempi:

  • sistemi biometrici,
  • sistemi utilizzati nel reclutamento o per usi repressivi.
  • Sistemi elencati nell’Allegato I dell’AIR per i sistemi integrati in prodotti già sottoposti a vigilanza del mercato (dispositivi medici, giocattoli, veicoli, ecc.) e nell’Allegato III per i sistemi utilizzati in aree a rischio.

Rischio specifico in termini di trasparenza: l’AIR sottopone i sistemi di IA a specifici obblighi di trasparenza, soprattutto in caso di evidente rischio di manipolazione.

Esempi:

utilizzo di chatbot o generazione di contenuti artificiali come voce, documenti ufficiali, ecc. che possono essere utilizzati per scopi fraudolenti.

  • RISCHIO MINIMO: per tutti gli altri sistemi di IA l’ARIA non prevede obblighi specifici.

Ciò rappresenta la stragrande maggioranza dei sistemi di intelligenza artificiale attualmente utilizzati nell’UE o che potrebbero essere utilizzati secondo la Commissione europea.

Quando si tratta di modelli di intelligenza artificiale di scopo generale,[4] in particolare nel campo dell’intelligenza artificiale generativa, questi modelli sono definiti dalla loro capacità di essere utilizzati per un gran numero di compiti (come modelli linguistici di grandi dimensioni, o LLM, come quelli offerti dall’intelligenza artificiale). società Mistral AI o OpenAI), il che li rende difficilmente classificabili nelle categorie precedenti.

Per i modelli di uso generale, il RIA prevede diversi livelli di obbligo, che vanno da misure minime di trasparenza e documentazione a una valutazione approfondita e all’implementazione di misure di mitigazione del rischio sistemico che alcuni di questi modelli potrebbero includere, in particolare a causa della loro potenza: rischi di incidenti rilevanti , l’abuso per lanciare attacchi informatici, la propagazione di pregiudizi dannosi (relativi, ad esempio, all’etnia o al genere) e effetti discriminatori nei confronti di alcune persone, ecc. (cfr. in particolare il considerando 110 dell’RIA).

Cosa raccomanda di fare  il CNIL in presenza di un progetto che include l’AI?

In relazione ai sistemi di IA ad alto rischio è istituito, attuato, documentato e mantenuto un sistema di gestione dei rischi.  Il sistema di gestione dei rischi è inteso come un processo iterativo continuo pianificato ed eseguito nel corso dell’intero ciclo di vita di un sistema di IA ad alto rischio, che richiede un riesame e un aggiornamento costanti e sistematici. Esso comprende le fasi seguenti:

 a) identificazione e analisi dei rischi noti e ragionevolmente prevedibili che il sistema di IA ad alto rischio può porre per la salute, la sicurezza e i diritti fondamentali quando il sistema di IA ad alto rischio è utilizzato conformemente alla sua finalità prevista;

b) stima e valutazione dei rischi che possono emergere quando il sistema di IA ad alto rischio è usato conformemente alla sua finalità prevista e in condizioni di uso improprio ragionevolmente prevedibile;

c) valutazione di altri eventuali rischi derivanti dall’analisi dei dati raccolti dal sistema di monitoraggio successivo all’immissione sul mercato di cui all’articolo 72[5];

d) adozione di misure di gestione dei rischi opportune e mirate intese ad affrontare i rischi individuati ai sensi della lettera a).

La raccomandazione generale dell’autorità francese per la protezione dei dati personali (CNIL) è quella di integrare l’IA in modo proporzionato nei progetti di trattamento dei dati personali dell’organizzazione con un obiettivo molto specifico.

Come ogni raccolta e utilizzo di dati personali, il trattamento mediante tecniche di intelligenza artificiale deve essere effettuato nel rispetto della protezione dei dati e del GDPR. L’implementazione di un sistema di IA deve quindi essere accompagnata da una definizione precisa delle finalità del trattamento, delle categorie di soggetti interessati, delle categorie di dati personali utilizzati e dalla verifica della proporzionalità delle tecniche scelte per verificare se siano strettamente necessarie al raggiungere questo scopo.

Ma bisognerà anche verificare se il trattamento possa colpire direttamente o indirettamente persone vulnerabili[6] come bambini, pazienti o dipendenti. Verificare se il trattamento potrebbe avere conseguenze legali, finanziarie o fisiche sulla salute, sullo stato sociale o sulla sicurezza delle persone prese di mira direttamente o indirettamente dal sistema di IA.

Nell’organizzazione è importante sapere se si tratta di un nuovo trattamento o se il sistema di intelligenza artificiale sostituisce un altro tipo di sistema per il compito assegnatogli. E se sì, perché si dovrebbe sostituire il sistema esistente?

Un’analisi approfondita potrà verificare se l’utilizzo di un sistema di IA per raggiungere lo scopo individuato appare proporzionato e necessario.

L’ufficio per l’IA e il comitato mirano a garantire che i codici di buone pratiche contemplino almeno gli obblighi di cui agli articoli 53 e 55, comprese le misure, le procedure e le modalità per la valutazione e la gestione dei rischi sistemici a livello dell’Unione, compresa la relativa documentazione, che devono essere proporzionate ai rischi e tenere conto della loro gravità e probabilità e delle sfide specifiche nell’affrontare tali rischi alla luce dei modi possibili in cui tali rischi possono emergere e concretizzarsi lungo la catena del valore dell’IA.

In conclusione, l’utilizzo di sistemi di IA comporta quindi una necessaria valutazione progettuale e dei rischi (il «rischio» è dato dalla combinazione della probabilità del verificarsi di un danno e la gravità del danno stesso;) al fine di determinare in quale categoria rientra il sistema e le misure ad esso applicabili secondo il RIA.

[1] 2024/1689 REGOLAMENTO (UE) 2024/1689 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull’intelligenza artificiale

[2] Lo scopo del presente regolamento è migliorare il funzionamento del mercato interno istituendo un quadro giuridico uniforme in particolare per quanto riguarda lo sviluppo, l’immissione sul mercato, la messa in servizio e l’uso di sistemi di intelligenza artificiale (sistemi di IA) nell’Unione, in conformità dei valori dell’Unione, promuovere la diffusione di un’intelligenza artificiale (IA) antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea («Carta»), compresi la democrazia, lo Stato di diritto e la protezione dell’ambiente, proteggere contro gli effetti nocivi dei sistemi di IA nell’Unione, nonché promuovere l’innovazione. Il presente regolamento garantisce la libera circolazione transfrontaliera di beni e servizi basati sull’IA, impedendo così agli Stati membri di imporre restrizioni allo sviluppo, alla commercializzazione e all’uso di sistemi di IA, salvo espressa autorizzazione del presente regolamento.

[3] 1. A prescindere dal fatto che sia immesso sul mercato o messo in servizio indipendentemente dai prodotti di cui alle lettere a) e b), un sistema di IA è considerato ad alto rischio se sono soddisfatte entrambe le condizioni seguenti: a) il sistema di IA è destinato a essere utilizzato come componente di sicurezza di un prodotto, o il sistema di IA è esso stesso un prodotto, disciplinato dalla normativa di armonizzazione dell’Unione elencata nell’allegato I; b) il prodotto, il cui componente di sicurezza a norma della lettera a) è il sistema di IA, o il sistema di IA stesso in quanto prodotto, è soggetto a una valutazione della conformità da parte di terzi ai fini dell’immissione sul mercato o della messa in servizio di tale prodotto ai sensi della normativa di armonizzazione dell’Unione elencata nell’allegato I.

[4] «modello di IA per finalità generali»: un modello di IA, anche laddove tale modello di IA sia addestrato con grandi quantità di dati utilizzando l’auto-supervisione su larga scala, che sia caratterizzato una generalità significativa e sia in grado di svolgere con competenza un’ampia gamma di compiti distinti, indipendentemente dalle modalità con cui il modello è immesso sul mercato, e che può essere integrato in una varietà di sistemi o applicazioni a valle, ad eccezione dei modelli di IA utilizzati per attività di ricerca, sviluppo o prototipazione prima di essere immessi sul mercato;

[5] Articolo 72 Monitoraggio successivo all’immissione sul mercato effettuato dai fornitori e piano di monitoraggio successivo all’immissione sul mercato per i sistemi di IA ad alto rischio

1. I fornitori istituiscono e documentano un sistema di monitoraggio successivo all’immissione sul mercato che sia proporzionato alla natura delle tecnologie di IA e ai rischi del sistema di IA ad alto rischio.

2. Il sistema di monitoraggio successivo all’immissione sul mercato raccoglie, documenta e analizza attivamente e sistematicamente i dati pertinenti che possono essere forniti dai deployer o che possono essere raccolti tramite altre fonti sulle prestazioni dei sistemi di IA ad alto rischio per tutta la durata del loro ciclo di vita e consente al fornitore di valutare la costante conformità dei sistemi di IA ai requisiti di cui al capo III, sezione 2. Se del caso, il monitoraggio successivo all’immissione sul mercato inc

lude un’analisi dell’interazione con altri sistemi di IA. Tale obbligo non riguarda i dati operativi sensibili dei deployer che sono autorità di contrasto. 3. Il sistema di monitoraggio successivo all’immissione sul mercato si basa su un piano di monitoraggio successivo all’immissione sul mercato. Il piano di monitoraggio successivo all’immissione sul mercato fa parte della documentazione tecnica di cui all’allegato IV. La Commissione adotta un atto di esecuzione che stabilisce disposizioni dettagliate in cui si definisce un modello per il piano di monitoraggio successivo all’immissione sul mercato e un elenco di elementi da includere nel piano entro il 2 febbraio 2026. Tale atto di esecuzione è adottato secondo la procedura d’esame di cui all’articolo 98, paragrafo 2.

 4. Per i sistemi di IA ad alto rischio disciplinati dalla normativa di armonizzazione dell’Unione elencata nell’allegato I, sezione A, qualora tale normativa preveda già un sistema e un piano di monitoraggio successivo all’immissione sul mercato, al fine di garantire la coerenza, evitare duplicazioni e ridurre al minimo gli oneri aggiuntivi, i fornitori possono scegliere di integrare, se del caso, i necessari elementi di cui ai paragrafi 1, 2 e 3 utilizzando il modello di cui al paragrafo 3 nei sistemi e nei piani già esistenti in virtù di tale normativa, a condizione che consegua un livello di protezione equivalente. Il primo comma del presente paragrafo si applica anche ai sistemi di IA ad alto rischio di cui all’allegato III, punto 5, immessi sul mercato o messi in servizio da istituti finanziari soggetti a requisiti in materia di governance, dispositivi o processi interni stabiliti a norma del diritto dell’Unione in materia di servizi finanziari.

[6] (C165) Lo sviluppo di sistemi di IA diversi dai sistemi di IA ad alto rischio in conformità dei requisiti del presente regolamento può portare a una più ampia adozione nell’Unione di un’IA etica e affidabile. I fornitori di sistemi di IA non ad alto rischio dovrebbero essere incoraggiati a creare codici di condotta, che includano meccanismi di governance connessi, volti a promuovere l’applicazione volontaria di alcuni o tutti i requisiti obbligatori applicabili ai sistemi di IA ad alto rischio, adattati in funzione della finalità prevista dei sistemi e del minor rischio connesso e tenendo conto delle soluzioni tecniche disponibili e delle migliori pratiche del settore, come modelli e schede dati. I fornitori e, se del caso, i deployer di tutti i sistemi di IA, ad alto rischio o meno, e modelli di IA dovrebbero inoltre essere incoraggiati ad applicare su base volontaria requisiti supplementari relativi, ad esempio, agli elementi degli orientamenti etici dell’Unione per un’IA affidabile, alla sostenibilità ambientale, alle misure di alfabetizzazione in materia di IA, alla progettazione e allo sviluppo inclusivi e diversificati dei sistemi di IA, anche prestando attenzione alle persone vulnerabili e all’accessibilità per le persone con disabilità, la partecipazione dei portatori di interessi, con il coinvolgimento, se del caso, dei portatori di interessi pertinenti quali le organizzazioni imprenditoriali e della società civile, il mondo accademico, le organizzazioni di ricerca, i sindacati e le organizzazioni per la tutela dei consumatori nella progettazione e nello sviluppo dei sistemi di IA, e alla diversità dei gruppi di sviluppo, compreso l’equilibrio di genere. Per essere efficaci, i codici di condotta volontari dovrebbero basarsi su obiettivi chiari e indicatori chiave di prestazione che consentano di misurare il conseguimento di tali obiettivi. Essi dovrebbero inoltre essere elaborati in modo inclusivo, se del caso, con il coinvolgimento dei portatori di interessi pertinenti, quali le organizzazioni imprenditoriali e della società civile, il mondo accademico, le organizzazioni di ricerca, i sindacati e le organizzazioni per la tutela dei consumatori. La Commissione può elaborare iniziative, anche di natura settoriale, per agevolare la riduzione degli ostacoli tecnici che ostruiscono lo scambio transfrontaliero di dati per lo sviluppo dell’IA, anche per quanto riguarda l’infrastruttura di accesso ai dati e l’interoperabilità semantica e tecnica dei diversi tipi di dati.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

ChatGPT
AI Umani

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

Il programma dell’attività ispettiva del Garante Privacy
Il programma dell’attività ispettiva del Garante Privacy per il primo semestre 2025.
28 Marzo 2025
lavoro pubblico
La disciplina di protezione dei dati personali nell’ambito del contesto lavorativo pubblico. Gli obblighi che il datore di lavoro deve rispettare.
29 Maggio 2025
AI
Una bozza di Linee guida per promuovere l’uso efficiente e appropriato dell’intelligenza artificiale generativa nella Pubblica Amministrazione. I risultati raggiunti in Svezia.
5 Maggio 2025

Start typing and press Enter to search