joomla share module

L’aggiornamento della documentazione Privacy a seguito della sperimentazione di sistemi di IA

Il sistema regolativo della Privacy, e in particolare il Regolamento comunitario 679/2016, si fonda sulla presunzione di legalità. Presunzione legale di conformità significa che si dà per scontato che ogni soggetto obbligato si adegui alle norme sulla privacy introducendo tutte quelle azioni che possono garantire la sicurezza e la protezione dei dati personali, salvo dover dimostrare tutto ciò in caso di lesione del diritto alla privacy a danno dell’interessato. Ciò perché permane una concezione del trattamento quale attività pericolosa, con la conseguente attribuzione di una responsabilità oggettiva in capo al Titolare: ciò implica che al danneggiato è sufficiente fornire esclusivamente prova del danno subito e del nesso eziologico (cioè, di causalità tra evento e danno stesso), gravando sul Titolare (secondo il principio dell’inversione dell’onere probatorio) la prova di aver adottato tutte le cautele idonee ad evitare il danno. Ci limiteremo a definire gli interventi di integrazione della documentazione di gestione della Privacy a scuola senza entrare nel merito del tema IA. L’utilizzo dell’Intelligenza Artificiale nelle Istituzioni scolastiche deve garantire il pieno rispetto dei diritti e delle libertà fondamentali di tutti i soggetti coinvolti, in particolare il diritto alla protezione dei dati personali, alla riservatezza, alla non discriminazione e alla dignità della persona. È fondamentale che i dati personali relativi a studenti e personale scolastico siano raccolti, conservati e trattati in modo trasparente, secondo i principi di minimizzazione e solo per finalità specifiche, esplicite e legittime legate alla funzione educativa e organizzativa delle scuole. Anche nell’ambito dell’implementazione dei sistemi di IA risulta infatti opportuno che il Titolare del Trattamento individui le misure da integrare in quanto ritenute «necessarie a mitigare i rischi che i trattamenti […] presentino per i diritti fondamentali e le libertà degli interessati» prestando particolare attenzione alle misure volte a mitigare i rischi di accessi non autorizzati e, comunque, di operazioni non autorizzate. Le analisi di privacy by design e by default, secondo le logiche del GDPR, devono essere effettuate tempestivamente, in ragione della complessità della relativa analisi e dei tempi tecnici che potrebbero risultare necessari per l’adozione/implementazione delle misure di sicurezza. A tal fine, è fondamentale che ogni Istituzione scolastica si avvalga del supporto del proprio DPO, il cui coinvolgimento risulta essenziale sin dalla fase di adozione di un Sistema di IA. Ma preliminarmente occorre richiamare i principi cardine del Regolamento comunitario:

  • Trasparenza: Ai sensi dell'Art. 13 e 14 del GDPR, le organizzazioni, scuole comprese, devono informare gli interessati non solo dell'uso di sistemi di IA, ma anche della logica sottostante alle decisioni automatizzate e delle conseguenze che queste possono avere. In particolare, l'Art. 22 del GDPR vieta le decisioni basate unicamente sul trattamento automatizzato, inclusa la profilazione, che producano effetti giuridici o significativi per l'interessato.
  • Minimizzazione dei dati: Il principio di minimizzazione (Art. 5, par. 1, lett. c del GDPR) è centrale. I sistemi di IA devono essere progettati per raccogliere e trattare solo i dati strettamente necessari per la specifica finalità, evitando la raccolta eccessiva e non pertinente.
  • Diritto di revisione umana: L'Art. 22 del GDPR stabilisce il diritto dell'interessato a non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato. Questo garantisce il diritto a una revisione umana, a contestare la decisione e a ottenere l'intervento di un operatore.
  • Valutazione d'Impatto sulla Protezione dei Dati (DPIA): La DPIA è un requisito fondamentale (Art. 35 del GDPR) per i sistemi di IA che presentano rischi elevati per i diritti e le libertà delle persone. Tale valutazione deve analizzare la natura, l'ambito, il contesto e le finalità del trattamento, identificando i rischi e le misure per mitigarli.
  • Base Giuridica: Ogni trattamento di dati personali da parte di un sistema di IA deve avere una valida base giuridica (Art. 6 del GDPR), come il consenso, l'esecuzione di un contratto o un legittimo interesse. Per le decisioni automatizzate, la base giuridica deve essere particolarmente solida. Infine, per i soggetti pubblici occorre richiamare la base giuridica prevista dagli artt. 2-ter e 2-sexies del d.lgs. 196/2003

Due strumenti fondamentali sono finalizzati ad un uso responsabile dell’IA:

  • FRIA (Fundamental Rights Impact Assessment): prevista per i sistemi ad alto rischio, valuta l’impatto sui diritti fondamentali.
  • DPIA (Data Protection Impact Assessment): obbligatoria secondo il GDPR per i trattamenti ad alto rischio sui dati personali.
I fornitori di IA ad alto rischio devono garantire: qualità dei dati, trasparenza, sicurezza, sorveglianza post-market, e ottenere la marcatura CE. I deployer, come le PA, devono attenersi
alle istruzioni, monitorare le prestazioni e svolgere la FRIA nei casi previsti. Parallelamente, il GDPR (Reg. UE 2016/679) impone la DPIA per trattamenti ad alto rischio, che spesso riguardano i sistemi IA. Le due valutazioni sono complementari: la DPIA è centrata sulla privacy, la FRIA sui diritti fondamentali in senso più ampio. In molti casi, come nei servizi pubblici automatizzati, entrambe sono necessarie. L’approccio integrato evita duplicazioni, favorisce sinergie e garantisce che nessun aspetto (etico o giuridico) venga trascurato. Le Linee Guida AgID raccomandano un’integrazione di DPIA e FRIA in un unico processo strutturato di valutazione d’impatto, con coinvolgimento del DPO ed esperti tecnici. Inoltre, richiamano l’obbligo di informare i cittadini sull’uso dell’IA, garantendo trasparenza e diritto al
ricorso. Il sistema organizzativo interno è lasciato alla discrezionalità del titolare e deve sostanziarsi in provvedimenti formali costruiti in modo tale da costituire prova a discarico del titolare laddove si verificasse la lesione del diritto alla privacy. Si tratta dei documenti che trovano fondamento negli adempimenti derivanti dalle fonti normative. Sono le informative, le autorizzazioni, il registro delle attività di trattamento ed altri che vedremo. Questa documentazione possiamo ripartirla in documenti “di impianto” e ai documenti “di relazione”. I documenti di impianto sono: il registro delle attività di trattamento, gli incarichi per il trattamento dei dati, le istruzioni, le informative, l’atto organizzativo. I documenti di relazione sono: il modello di segnalazione di data breach, i modelli per l’esercizio dei diritti ex artt. 15-22 del Regolamento 2016/679, gli accordi di contitolarità e di individuazione del responsabile nonché il contratto con il DPO.
 
Articolo di Anna Armone, continua sulla rivista