Piano alternativo e sicurezza generale
Home » IA » Esposizione generale » Robustezza tecnica e sicurezza » Piano alternativo e sicurezza generale

“Errare è umano, ma per mandare a monte un sistema ci vuole un computer”

– Paul Ehrlich / Bill Vaughan[1]

Come tutti i sistemi TIC, i sistemi di IA possono fallire e fornire risultati o previsioni errati. Tuttavia, nel caso dei sistemi di IA, può essere particolarmente difficile spiegare perché una determinata (falsa) conclusione sia stata raggiunta in modo tangibile e umano. Un esempio di comportamento indesiderabile sarebbe un sistema di IA che prende decisioni che incidono in modo significativo su un individuo (ad esempio, negando automaticamente una richiesta di credito). L’RGPD richiede ai titolari del trattamento di attuare adeguati piani di riserva per proteggere gli interessati da tali situazioni, compreso il diritto di impugnare una decisione dell’IA e di ottenere un intervento umano che tenga conto del punto di vista degli interessati.[2] Tali garanzie devono essere prese in considerazione durante la progettazione dei sistemi. Anche nei casi in cui l’RGPD non richieda esplicitamente tale piano alternativo, è auspicabile che i titolari del trattamento considerino la possibilità di applicarlo.

I titolari del trattamento dovrebbero, inoltre, essere consapevoli delle questioni di sicurezza. Le nuove tecnologie comportano, spesso, nuovi rischi. È importante sapere che la protezione dei dati personali dipende dalle misure di sicurezza informatica e che, pertanto, i rischi connessi ai dati personali sono quelli connessi alle tecnologie dell’informazione. Di conseguenza, le opportune misure tecniche e organizzative applicate nelle tecnologie dell’informazione garantiranno la protezione dei dati, come previsto dall’RGDP, e tali misure devono essere regolarmente testate e aggiornate per prevenire o ridurre al minimo i rischi per la sicurezza. (cfr. sotto-sezione ‘Principale differenza rispetto ad altri rischi nell’RGPD e ai rischi nella sicurezza informatica’ nella sezione ‘Integrità e riservatezza’ del capitolo ‘Principi’).

Per valutare tali rischi e ottenere garanzie adeguate, l’RGDP prevede che sia effettuata una valutazione d’impatto sulla protezione dei dati prima del trattamento, in caso di rischio elevato per i diritti e le libertà di una persona fisica[3] (cfr. sezione ‘Valutazione d’impatto sulla protezione dei dati’ nel capitolo ‘Azioni e strumenti’). L’uso di nuove tecnologie come l’IA aumenta la probabilità che il trattamento rientri nella categoria ad alto rischio. Alcune agenzie nazionali per la protezione dei dati hanno emanato delle direttive che richiedono una valutazione d’impatto sulla protezione dei dati quando si utilizzano determinati algoritmi di IA.[4] In caso di dubbi, si consiglia ai titolari del trattamento di eseguire una valutazione d’impatto sulla protezione dei dati.[5]

 

 

  1. La paternità della citazione sembra essere contestata, vedi ad es. https://quoteinvestigator.com/2010/12/07/foul-computer/#note-1699-18 (consultato il 2 giugno 2020).
  2. Articolo 33, paragrafo 3, dell’RGPD.
  3. Articolo 35, paragrafo 1, dell’RGPD
  4. Cfr., ad esempio, la situazione giuridica in Austria § 2(2) (4) DSFA-V.
  5. Gruppo di lavoro dell’articolo 29 (2017) WP248, Orientamenti per la valutazione d’impatto sulla protezione dei dati (DPIA) e la determinazione di “eventuali rischi elevati” del trattamento ai sensi del Regolamento 2016/679, pag. 8. Commissione europea, Bruxelles.

 

Skip to content