Fin dal 2018, il rapporto tra GDPR e aziende ha messo in luce problematiche di non facile soluzione. Dalla conoscenza degli obblighi relativi alla protezione dei dati personali alla consapevolezza della loro importanza all’interno delle organizzazioni; dalla responsabilità legale del titolare del trattamento (accountability) alla governance della materia all’interno e all’esterno dell’organizzazione; dalla creazione dei documenti per trattamenti e gli autorizzati all’obbligo di tenuta del registro dei trattamenti. Anche il ruolo del DPO (Data protection Officer) non è ancora pienamente compreso in molte realtà aziendali. La ‘cultura’ del trattamento dei dati, personali dunque, è ancora in pieno divenire.
Tuttavia, oggi, il GDPR nelle aziende sconta meno problemi di applicazione e, anzi, il regolamento ha migliorato i comportamenti delle organizzazioni. Wojciech Wiewiórowski, Garante europeo della protezione dei dati, ha avuto modo di confermare una tendenza che potrebbe sembrare solo un’impressione: ”Se si confronta la consapevolezza sulla cybersicurezza, sulla protezione dei dati e sulla privacy che abbiamo oggi e quella di dieci anni fa si tratta di mondi completamente diversi"(fonte Wired Italia)
"Sempre più aziende hanno stanziato budget significativi per conformarsi alle norme sulla protezione dei dati", ha affermato Hazel Grant, responsabile del gruppo su privacy, sicurezza e informazioni dello studio legale Fieldfisher di Londra, nel corso della stessa intervista.
A cinque anni dalla piena efficacia del regolamento Europeo 679 del 2016 e del decreto italiano 101/2018, che ha aggiornato il Codice Privacy adeguandolo al GDPR, dunque, molti degli aspetti problematici sono stati risolti o sono in corso di risoluzione. L’informazione e la formazione stanno rendendo il GDPR nelle aziende una materia meno ostica.
Attuazione del GDPR nelle aziende: la (nuova) sfida dell’AI
Tutto sotto controllo, dunque? Nient’affatto. Di recente si è fatta strada una nuova problematica, a tutt’oggi irrisolta: parliamo dell’intelligenza artificiale (AI) con riferimento agli aspetti, contenutistici e organizzativi, che impattano sulla protezione dei dati personali.
Sul nuovo fronte di responsabilità per tutte le organizzazioni si è espressa Ginevra Cerrina Feroni, vice Presidente del Garante per la protezione dei dati personali, in un lungo articolo pubblicato sul sito dell’Autorità Garante per la protezione dei dati personali, nel quale descrive le ragioni di tanta apprensione e auspica una soluzione regolatoria che tenga conto dei vantaggi offerti dall’utilizzo degli algoritmi, ma allo stesso tempo li legga alla luce dei principi dell’ordinamento giuridico.
I nuovi orizzonti di riflessione riguardano il diritto dell’interessato a non essere soggetto ad una decisione basata unicamente su di un trattamento automatizzato. Pensiamo alla profilazione, per esempio, che può produrre effetti giuridicamente rilevanti sulla sfera privata delle persone. In base ai comportamenti di un utente sul web, il soggetto potrebbe vedersi negato un mutuo o la stipula di una polizza assicurativa o addirittura un posto di lavoro, nel caso di una diagnosi clinica particolarmente critica. Non sono che scenari esemplificativi, però danno l’idea di quanto un mercato basato sugli algoritmi e non regolamentato dal punto di vista del trattamento dei dati personali, possa creare danni alla vita dei cittadini.
Per le ragioni descritte, di recente (giugno 2023), il Parlamento europeo ha approvato l’Artificial Intelligence Act, la prima regolamentazione europea sull’uso dell’intelligenza artificiale.
La bozza di Regolamento mira a rimodulare il perimetro delle possibilità tecniche sulla base di quello che si ritiene giuridicamente ed eticamente accettabile.
Inoltre, l’Artificial Intelligence Act definisce tre livelli di rischio e introduce l’obbligo per i titolari dei trattamenti di svolgere una valutazione di impatto dei propri strumenti di trattamento dati personali, in certi casi consultando preventivamente il Garante della Privacy.
In particolare, per il principio di “Privacy by design”, il GDPR prescrive una serie di aggiornamenti e valutazioni, dal registro delle attività di trattamento all’informativa privacy, dall’analisi dei rischi alla valutazione d’impatto (DPIA).
In breve, Artificial Intelligence Act e GDPR nelle aziende presentano temi in sovrapposizione che rendono gli adempimenti ancora più complessi, persino per gli addetti ai lavori.
Il ruolo degli specialisti nel contrasto dei rischi in materia di privacy relativi all’uso di AI
Il rapporto tra AI e protezione dei dati personali è un tema realmente problematico, da almeno tre punti di vista: tecnico, normativo, etico.
Se ne parla e se ne dovrà parlare sempre di più, nell’ottica di adempiere agli obblighi di trattamento nella maniera più consapevole possibile.
Di AI e GDPR si è discusso anche al “Privacy Day Forum” del 25 maggio scorso, a Pisa: “Potenziali bias nell’impostazione degli strumenti normativi che utilizzano l’IA, allucinazioni, falsa intimità, sono solo alcuni dei problemi legati all’AI - ha spiegato Diego Maranini di Dilaxia, software house con profonda conoscenza dei temi privacy, problemi che “adempimenti che possono essere gestiti con l’uso di una piattaforma ben sviluppata che funga da assistente al titolare del trattamento e che garantisca la piena compliance alle norme in vigore”.
Cerchi un software per gestire il GDPR? Dai un'occhiata a UTOPIA!
AUTORI
