HOME

/

DIRITTO

/

PRIVACY 2024

/

TRATTAMENTO DEI DATI PERSONALI MEDIANTE SISTEMA DI INTELLIGENZA ARTIFICIALE

Trattamento dei dati personali mediante sistema di intelligenza artificiale

Intelligenza artificiale e machine learning. Quali sono gli adempimenti a carico del trattamento dei dati. Norma ISO/IEC 22989:2022

Ascolta la versione audio dell'articolo

La norma ISO/IEC 22989:2022 - “Information technology — Artificial intelligence — Artificial intelligence concepts and terminology” - stabilisce la terminologia per Intelligenza artificiale e descrive i concetti nel campo dell'IA.

I dati scelti devono essere di qualità e attraverso vari meccanismi quali il Machine Learning, producono un risultato che deve essere successivamente analizzato e interpretato.

Nel seguente speciale si affronta il tema dell'Intelligenza artificiale e del trattamento dei dati personali attraverso il suo utilizzo.

Vedremo cosa si intende per pseudonimizzazione e il suo ruolo nel GDPR come misura di sicurezza e nell'ambito di protezione dei dati.

Dopo alcune definizioni, si individuano gli adempimenti a carico del Titolare del trattamento dei dati.

Rimani aggiornato sul nostro dossier dedicato alla Privacy
Leggi anche Indagini finanziarie (eBook 2023)

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

1) Trattamento dei dati personali e IA: definizioni

Per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (l’interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (articolo 4, punto 1), del Regolamento UE 2016/679, (di seguito, “GDPR”).

Per profilazione si intende qualsiasi forma di trattamento automatizzato di dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

Per dato anonimo si intende un insieme di informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il GDPR non si applica al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.

Per pseudonimizzazione si intende il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile (articolo 4, punto5), del GDPR).

La pseudonimizzazione svolge un ruolo importante nel GDPR come misura di sicurezza (articolo 32 del GDPR), così come nell’ambito della protezione dei dati (articolo 25 del GDPR). 

Il vantaggio più evidente legato alla pseudonimizzazione consiste nell’occultare l’identità degli interessati a terzi (diversi da chi effettua la pseudonimizzazione) nell’ambito di una specifica operazione di trattamento dei dati. La pseudonimizzazione, tuttavia, non si limita a occultare la reale identità, ma concorre all’obiettivo di proteggere i dati anche grazie alla non associabilità, ossia riducendo il rischio che i dati relativi alla privacy vengano collegati tra differenti domini di trattamento dei dati.    

Inoltre, la pseudonimizzazione (essendo una tecnica di minimizzazione dei dati) può contribuire al principio della minimizzazione dei dati ai sensi del GDPR, come nel caso in cui il titolare del trattamento non debba avere accesso all’identità reale degli interessati, ma solo ai loro pseudonimi. Infine, un altro importante vantaggio connesso alla pseudonimizzazione, da non sottovalutare, è costituito dall’accuratezza dei dati.

Preso atto che una tecnica di pseudonimizzazione ha lo scopo di sostituire un dato identificativo (es. nomi, codice fiscale, ecc.) con un valore surrogato che spesso è chiamato token, (per quanto di interesse in questa sede, il token è una sequenza di informazioni digitali, registrate in un registro e rappresentative di una persona fisica), il quale deve essere irreversibile senza informazione aggiuntiva e distinguibile dal valore originale; a tale scopo si può ricorrere, ad esempio, ad un codice (in possesso esclusivo di un soggetto autorizzato al trattamento dei dati) attraverso cui potere risalire alle generalità del paziente (cd reidentificazione).

A titolo esemplificativo si riportano due esempi di pseudonimizzazione:

Identificativo

Pseudonimo

 

Maria Rossi

15

Antonio Bianchi

XD

Per procedura di machine learning si intende un processo di apprendimento automatico che permette il riconoscimento di modelli dopo un addestramento basato su campioni.

Rimani aggiornato sul nostro dossier dedicato alla Privacy
Leggi anche Indagini finanziarie (eBook 2023)

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

2) Trattamento dei dati personali e IA: adempimenti a carico del Titolare del trattamento

Precedentemente all’avvio del singolo trattamento, ci si riferisce alla conduzione di una indagine epidemiologica, si individuano gli adempimenti a carico del Titolare del trattamento:

1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, vanno messe in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al GDPR. (art. 24, paragrafo 1, GDPR)

2. Tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso vanno messe in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati. (art. 25, paragrafo 1, GDPR)

3. Vanno adottate misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita (i.e., Privacy by design e Privacy by default), solo i dati personali necessari per la finalità dei trattamenti. (art. 25, paragrafo 1, GDPR)

4. Vanno adottate misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che devono comprendere, almeno:

  1. La pseudonimizzazione e la cifratura dei dati;
  2. La capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  3. La capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  4. Una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. (art. 32, paragrafo 1, GDPR)

5. Poiché il trattamento in oggetto prevede l’uso di nuove tecnologie (i.e., la intelligenza artificiale) e considerati la natura del trattamento (dati personali appartenenti a categorie particolari, come i dati relativi alla salute), l’oggetto, il contesto e le finalità del trattamento, prima di procedere al trattamento va compiuta una valutazione di impatto, rientrando il trattamento in parola nella casistica dei trattamenti, su larga scala, di categorie particolari di dati personali di tipo sanitario. (art. 35, paragrafo 1 e 2, lettera b) del GDPR). 

Una volta che all’esito della Valutazione di impatto sulla protezione dei dati (D.P.I.A.), il Titolare accerti che il rischio connesso al trattamento non sia elevato, autorizzerà la competente funziona aziendale, previamente e specificatamente autorizzata a suddetto trattamento, a porlo in essere.

Il Soggetto Autorizzato al Trattamento dei Dati Personali dovrà – a sua volta - curare ed assicurare i seguenti adempimenti:

6. Accertare che il Fornitore del servizio presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR.

7. Designare il Fornitore in qualità di Responsabile del trattamento; (art. 28 GDPR).

8. Nominare gli Sperimentatori quali Soggetti autorizzati al trattamento; (in applicazione del combinato disposto degli artt. 4, n. 10, 29, 32 par. 4 del GDPR e dell’art. 2-quaterdecies del Codice Privacy). 

9. Rilasciare l’Informativa ai soggetti i cui dati saranno trattati; (i soggetti acquistano la qualifica di “interessati”).

10. Acquisire il consenso al trattamento dei dati.

Nell’ambito di ciascuna operazione di trattamento dei dati personali, il Soggetto Autorizzato dovrà fare in modo che i dati personali, rispettino i seguenti principi, di cui all’art. 5 del GDPR:

11. adozione di misure tecniche e organizzative adeguate, in linea con il rispetto dei principi di liceità, correttezza e trasparenza

12. raccolti per finalità determinate, esplicite e legittime, e, eventualmente, successivamente trattati in modo che non siano incompatibili con tali finalità (principio di limitazione della finalità);  

13. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (principio di minimizzazione dei dati);

14. esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (principio di esattezza);

15. conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (principio di limitazione della conservazione);

16. trattati in maniera da garantire un’adeguata sicurezza dei dati personali. 

In aggiunta alle query propedeutiche allo svolgimento di una Valutazione dei rischi (D.P.I.A.), di seguito si riportano alcuni dei quesiti relativi all’impiego di un sistema di intelligenza artificiale a cui il titolare deve rispondere.

1

Qualora il trattamento in oggetto preveda l’uso di nuove tecnologie, ad es. la intelligenza artificiale, indicare se sono rispettate le regole ISO/IEC 22989-2022?.

Indicare quali:

a ……………………………………

b……………………………………..

c……………………………………..

 

2

Il Progetto tiene conto delle prescrizioni contenute nella ISO/IEC 22989-2022?

(indicare se sono rispettate le caratteristiche di “trustworthiness”.)

 

3

Sono disciplinati i processi per la gestione delle criticità relative all’affidabilità (trustworthiness) dei sistemi di IA, durante tutto il loro ciclo di vita? 

 

4

Quali processi di gestione relativi alla fornitura o sviluppo di sistemi AI sono disciplinati?

 

5

Quali fonti di rischio sono state indentificate? 

6

I ruoli dei soggetti che intervengono, a vario titolo, sono sufficientemente definiti?

 

Rimani aggiornato sul nostro dossier dedicato alla Privacy
Leggi anche Indagini finanziarie (eBook 2023)

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

Per rimanere sempre aggiornato segui il nostro Dossier gratuito sulla Privacy

Fonte immagine: Foto di Gerd Altmann da Pixabay
La tua opinione ci interessa

Accedi per poter inserire un commento

Sei già utente di FISCOeTASSE.com?
ENTRA

Registrarsi, conviene.

Tanti vantaggi subito accessibili.
1

Download gratuito dei tuoi articoli preferiti in formato pdf

2

Possibilità di scaricare tutti i prodotti gratuiti, modulistica compresa

3

Possibilità di sospendere la pubblicità dagli articoli del portale

4

Iscrizione al network dei professionisti di Fisco e Tasse

5

Ricevi le newsletter con le nostre Rassegne fiscali

I nostri PODCAST

Le novità della settimana in formato audio. Un approfondimento indispensabile per commercialisti e professionisti del fisco

Leggi anche

LA RUBRICA DEL LAVORO · 29/10/2024 Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Fascicolo informatico d'impresa: pubblicate le linee guida

Le linee guida per la creazione, gestione e accesso al fascicolo informatico d'impresa presso i SUAP . Cos'è, a cosa serve, modalità di accesso

Controllo mail dipendenti: nuove sanzioni dal Garante

Ancora una sanzione significativa dal Garante per la privacy per utilizzo di un software di controllo e back up delle mail dei dipendenti

Cybersicurezza: Direttiva UE 2022/2557 CER e decreto attuativo

Cos'è la direttiva UE 2022/2557 CER (Critical entities resilience) per la sicurezza fisica e cibernetica dell'Unione europea da attuare entro il 18 ottobre. Il decreto attuativo

L'abbonamento adatto
alla tua professione

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

L'abbonamento adatto alla tua professione

Fisco e Tasse ti offre una vasta scelta di abbonamenti, pensati per figure professionali diverse, subito accessibili e facili da consultare per ottimizzare i tempi di ricerca ed essere sempre aggiornati.

Maggioli Editore

Copyright 2000-2024 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.

Pagamenti via: Pagamenti Follow us on:

Follow us on:

Pagamenti via: Pagamenti

Maggioli Editore

Copyright 2000-2021 FiscoeTasse è un marchio Maggioli SPA - Galleria del Pincio 1, Bologna - P.Iva 02066400405 - Iscritta al R.E.A. di Rimini al n. 219107- Periodico Telematico Tribunale di Rimini numero R.G. 2179/2020 Registro stampa n. 12 - Direttore responsabile: Luigia Lumia.