Nel maggio 2024, il Garante Privacy Tedesco, noto come “Conference of Independent Federal and State Data Protection Supervisory Authorities” (DSK), ha pubblicato delle linee guida sull’uso delle applicazioni di intelligenza artificiale (IA) in conformità con la protezione dei dati personali.
Queste linee guida sono destinate a orientare la selezione, l’implementazione e l’utilizzo delle applicazioni di IA, rivolgendosi principalmente agli utilizzatori, sviluppatori, produttori e fornitori di tali sistemi. Tuttavia, non si concentrano specificamente sullo sviluppo dei modelli di IA.
Le linee guida sono articolate in diverse sezioni principali:
- Concezione dell’uso e selezione delle applicazioni di IA e campi di applicazione leciti: Prima di utilizzare un’applicazione di IA, è fondamentale definire chiaramente i campi di applicazione e gli scopi specifici. Questo è essenziale per garantire la conformità al GDPR e alle normative di settore.
- Base giuridica per il trattamento dei dati tramite sistemi di IA e decisioni finali automatizzate: È necessario identificare una base giuridica corretta per ogni fase del trattamento dei dati personali tramite IA. L’articolo 22 del GDPR è particolarmente rilevante, poiché garantisce che gli individui non siano soggetti a decisioni basate esclusivamente su trattamenti automatizzati che producano effetti giuridici significativi.
- Pro e contro della scelta tra sistema chiuso e aperto: I sistemi chiusi, dove solo un gruppo limitato di utenti ha accesso, sono preferibili dal punto di vista della protezione dei dati rispetto ai sistemi aperti, che possono comportare rischi di trattamento non autorizzato e trasferimenti verso paesi terzi.
- Trasparenza e non discriminazione: Le persone devono essere informate in modo trasparente sull’uso dei loro dati personali. È importante evitare l’inserimento di dati personali come input e garantire che i risultati delle applicazioni di IA non abbiano effetti discriminatori.
- Implementazione di applicazioni di IA e valutazione d’impatto sulla protezione dei dati: È necessaria una valutazione d’impatto per garantire che le applicazioni di IA rispettino i requisiti di protezione dei dati.
- Protezione dei dati attraverso la progettazione tecnologica e impostazioni predefinite favorevoli alla protezione dei dati: Le applicazioni di IA devono essere progettate con impostazioni che favoriscano la protezione dei dati.
- Sicurezza dei dati: È fondamentale garantire la sicurezza dei dati trattati dalle applicazioni di IA.
- Sensibilizzazione dei dipendenti: I dipendenti devono essere sensibilizzati sull’importanza della protezione dei dati nelle applicazioni di IA.
- Particolare attenzione alle categorie particolari di dati personali: È necessario prestare particolare attenzione ai dati personali sensibili, come quelli che rivelano convinzioni religiose, appartenenza sindacale, dati sanitari, genetici o biometrici.
Le linee guida sottolineano l’importanza di determinare chiaramente i campi di applicazione dell’IA e di verificare se il trattamento dei dati personali sia effettivamente necessario. Inoltre, enfatizzano la necessità di una base giuridica corretta per il trattamento dei dati e il rispetto del divieto previsto dall’articolo 22 del GDPR.
Infine, le linee guida raccomandano l’uso di sistemi chiusi per una maggiore protezione dei dati e la trasparenza nell’uso dei dati personali, evitando effetti discriminatori.
