Trattamento dei dati personali mediante sistema di intelligenza artificiale

La norma ISO/IEC 22989:2022 - “Information technology — Artificial intelligence — Artificial intelligence concepts and terminology” - stabilisce la terminologia per Intelligenza artificiale e descrive i concetti nel campo dell'IA.

I dati scelti devono essere di qualità e attraverso vari meccanismi quali il Machine Learning, producono un risultato che deve essere successivamente analizzato e interpretato.

Nel seguente speciale si affronta il tema dell'Intelligenza artificiale e del trattamento dei dati personali attraverso il suo utilizzo.

Vedremo cosa si intende per pseudonimizzazione e il suo ruolo nel GDPR come misura di sicurezza e nell'ambito di protezione dei dati.

Dopo alcune definizioni, si individuano gli adempimenti a carico del Titolare del trattamento dei dati.

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

1) Trattamento dei dati personali e IA: definizioni

Per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile (l’interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (articolo 4, punto 1), del Regolamento UE 2016/679, (di seguito, “GDPR”).

Per profilazione si intende qualsiasi forma di trattamento automatizzato di dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

Per dato anonimo si intende un insieme di informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato. Il GDPR non si applica al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca.

Per pseudonimizzazione si intende il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile (articolo 4, punto5), del GDPR).

La pseudonimizzazione svolge un ruolo importante nel GDPR come misura di sicurezza (articolo 32 del GDPR), così come nell’ambito della protezione dei dati (articolo 25 del GDPR). 

Il vantaggio più evidente legato alla pseudonimizzazione consiste nell’occultare l’identità degli interessati a terzi (diversi da chi effettua la pseudonimizzazione) nell’ambito di una specifica operazione di trattamento dei dati. La pseudonimizzazione, tuttavia, non si limita a occultare la reale identità, ma concorre all’obiettivo di proteggere i dati anche grazie alla non associabilità, ossia riducendo il rischio che i dati relativi alla privacy vengano collegati tra differenti domini di trattamento dei dati.    

Inoltre, la pseudonimizzazione (essendo una tecnica di minimizzazione dei dati) può contribuire al principio della minimizzazione dei dati ai sensi del GDPR, come nel caso in cui il titolare del trattamento non debba avere accesso all’identità reale degli interessati, ma solo ai loro pseudonimi. Infine, un altro importante vantaggio connesso alla pseudonimizzazione, da non sottovalutare, è costituito dall’accuratezza dei dati.

Preso atto che una tecnica di pseudonimizzazione ha lo scopo di sostituire un dato identificativo (es. nomi, codice fiscale, ecc.) con un valore surrogato che spesso è chiamato token, (per quanto di interesse in questa sede, il token è una sequenza di informazioni digitali, registrate in un registro e rappresentative di una persona fisica), il quale deve essere irreversibile senza informazione aggiuntiva e distinguibile dal valore originale; a tale scopo si può ricorrere, ad esempio, ad un codice (in possesso esclusivo di un soggetto autorizzato al trattamento dei dati) attraverso cui potere risalire alle generalità del paziente (cd reidentificazione).

A titolo esemplificativo si riportano due esempi di pseudonimizzazione:

Per procedura di machine learning si intende un processo di apprendimento automatico che permette il riconoscimento di modelli dopo un addestramento basato su campioni.

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com

2) Trattamento dei dati personali e IA: adempimenti a carico del Titolare del trattamento

Precedentemente all’avvio del singolo trattamento, ci si riferisce alla conduzione di una indagine epidemiologica, si individuano gli adempimenti a carico del Titolare del trattamento:

1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, vanno messe in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al GDPR. (art. 24, paragrafo 1, GDPR)

2. Tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso vanno messe in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati. (art. 25, paragrafo 1, GDPR)

3. Vanno adottate misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita (i.e., Privacy by design e Privacy by default), solo i dati personali necessari per la finalità dei trattamenti. (art. 25, paragrafo 1, GDPR)

4. Vanno adottate misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che devono comprendere, almeno:

1. La pseudonimizzazione e la cifratura dei dati;
2. La capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
3. La capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
4. Una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. (art. 32, paragrafo 1, GDPR)

5. Poiché il trattamento in oggetto prevede l’uso di nuove tecnologie (i.e., la intelligenza artificiale) e considerati la natura del trattamento (dati personali appartenenti a categorie particolari, come i dati relativi alla salute), l’oggetto, il contesto e le finalità del trattamento, prima di procedere al trattamento va compiuta una valutazione di impatto, rientrando il trattamento in parola nella casistica dei trattamenti, su larga scala, di categorie particolari di dati personali di tipo sanitario. (art. 35, paragrafo 1 e 2, lettera b) del GDPR). 

Una volta che all’esito della Valutazione di impatto sulla protezione dei dati (D.P.I.A.), il Titolare accerti che il rischio connesso al trattamento non sia elevato, autorizzerà la competente funziona aziendale, previamente e specificatamente autorizzata a suddetto trattamento, a porlo in essere.

Il Soggetto Autorizzato al Trattamento dei Dati Personali dovrà – a sua volta - curare ed assicurare i seguenti adempimenti:

6. Accertare che il Fornitore del servizio presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR.

7. Designare il Fornitore in qualità di Responsabile del trattamento; (art. 28 GDPR).

8. Nominare gli Sperimentatori quali Soggetti autorizzati al trattamento; (in applicazione del combinato disposto degli artt. 4, n. 10, 29, 32 par. 4 del GDPR e dell’art. 2-quaterdecies del Codice Privacy). 

9. Rilasciare l’Informativa ai soggetti i cui dati saranno trattati; (i soggetti acquistano la qualifica di “interessati”).

10. Acquisire il consenso al trattamento dei dati.

Nell’ambito di ciascuna operazione di trattamento dei dati personali, il Soggetto Autorizzato dovrà fare in modo che i dati personali, rispettino i seguenti principi, di cui all’art. 5 del GDPR:

11. adozione di misure tecniche e organizzative adeguate, in linea con il rispetto dei principi di liceità, correttezza e trasparenza; 

12. raccolti per finalità determinate, esplicite e legittime, e, eventualmente, successivamente trattati in modo che non siano incompatibili con tali finalità (principio di limitazione della finalità);  

13. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (principio di minimizzazione dei dati);

14. esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (principio di esattezza);

15. conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (principio di limitazione della conservazione);

16. trattati in maniera da garantire un’adeguata sicurezza dei dati personali. 

In aggiunta alle query propedeutiche allo svolgimento di una Valutazione dei rischi (D.P.I.A.), di seguito si riportano alcuni dei quesiti relativi all’impiego di un sistema di intelligenza artificiale a cui il titolare deve rispondere.

 

Gratis le Notizie di Fisco e Tasse. Vai al canale WhatsApp di FISCOeTASSE.com