L’articolo 35 del GPDR disciplina la Valutazione d’Impatto sulla protezione dei dati (chiamata anche con la locuzione inglese Data Protection Impact Assessment – DPIA).
La DPIA è lo strumento dedicato ad analizzare il livello di rischio sui diritti e le libertà degli individui derivanti da un trattamento di dati, in particolare quelli effettuati tramite nuove tecnologie.
Posto che l’IA è senz’altro una nuova tecnologia, lo svolgimento di una DPIA da parte del Titolare del trattamento dei dati che si avvale di tali sistemi sarà obbligatorio in quanto – senza dubbio – il trattamento dei dati attraverso un software di AI potrebbe configurare un rischio elevato per tali diritti e libertà individuali.
Ma qual è il catalogo dei diritti che deve essere analizzato quindi nello svolgimento di una DPIA?
Il primo pensiero, immediato, va all’elenco dei diritti contenuti all’interno del GDPR stesso (previsto al CAPO III, articoli 12-22).
Si ritiene però che la portata della norma sia molto più ampia
È lo stesso European Data Protection Board (EDPB) che nelle sue Linee Guida sulla valutazione di impatto e sulla determinazione dei trattamenti che “sono suscettibili di provocare un alto rischio” afferma:
L’articolo 35 si riferisce a un rischio probabilmente elevato “per i diritti e le libertà degli individui” […] il riferimento a “i diritti e le libertà” degli interessati riguarda principalmente il diritto alla privacy ma può anche comprendere altri diritti fondamentali come la libertà di parola, la libertà di pensiero, la libertà di movimento, il divieto di discriminazione, il diritto alla libertà e alla libertà di coscienza e di religione.
Inoltre l’European Data Protection Supervisor (EDPS) nel suo Parere sul Libro bianco della Commissione europea sull’intelligenza artificiale – Un approccio europeo all’eccellenza e alla fiducia riprende tale interpretazione riaffermando e rafforzando la necessità che la DPIA analizzi l’impatto del trattamento dei dati sui tutti diritti dei soggetti i cui dati vengono trattati; anzi l’EDPS critica il fatto che la Commissione non abbia menzionato esplicitamente le valutazioni d’impatto all’interno del Libro bianco, proprio tenuto conto che uno degli obiettivi a fondamento di tutto l’approccio della Commissione all’IA sia appunto la tutela dei diritti fondamentali dei cittadini europei.
Qual è la conseguenza quindi per gli operatori del settore?
La DPIA dovrà essere svolta tenendo in considerazione non soltanto gli aspetti di rischio del trattamento relativi ai parametri RID (Riservatezza, Integrità e Disponibilità), ma tenuto conto anche (e soprattutto) del possibile impatto sui diritti fondamentali degli individui sanciti dalla Costituzione e dalle fonti europee e sovranazionali.
Un esempio può essere utile.
Pensiamo al diritto a non essere discriminati: nella DPIA dovrà essere valutato se in fase di test e programmazione dell’algoritmo non siano stati rivenuti valori discriminatori embedded nel codice stesso e dovranno essere indicate le misure correttive previste nel caso in cui tale rischio si presentasse in fase di utilizzo del sistema di IA (si veda per un approfondimento: The Data Protection Impact Assessment as a Tool to Enforce Non-Discriminatory AI).
Quanto detto fino ad ora si collega al tema del rapporto tra etica ed Intelligenza Artificiale: questo sarà, come sappiamo, il punto focale di tutta la futura attività regolatoria dell’UE in materia di IA. Lo sviluppo di sistemi di IA dovrà quindi rispettare una serie di principi di natura etica, tra cui, ad esempio, l’assenza di discriminazioni e di distorsioni, ma anche l’accountability.
Uno strumento utile per poter svolgere la DPIA in modo che sia – davvero – conforme a quanto sancito dall’art. 35 GDPR viene fornito dall’High-Level Expert Group on Artificial Intelligence (AI HLEG) ed è il tool di self-assessment sull’affidabilità dell’Intelligenza Artificiale. Si tratta di una checklist che è stata ideata per fornire un aiuto pratico a tutti i soggetti che operano nel mercato dello sviluppo di sistemi di IA sulla base dei principi contenuti nelle Ethics Guidelines for Trustworthy Artificial Intelligence.
Su questo tema, vi suggeriamo di consultare la nostra raccolta ragionata delle fonti europee in materia di IA.