Simon Reader, Senior Policy Officer, discute alcune delle considerazioni chiave per le organizzazioni che intraprendono valutazioni di impatto sulla protezione dei dati per i sistemi di intelligenza artificiale (AI).
Questo post fa parte del nostro Call for Input in corso sullo sviluppo del framework ICO per il controllo dell’IA. Ti invitiamo a condividere le tue opinioni lasciando un commento qui sotto o inviandoci un’e-mail a AIAuditingFramework@ico.org.uk .
Molti dei blog di questa serie hanno fatto riferimento all’importanza di effettuare una valutazione dell’impatto sulla protezione dei dati (DPIA) per i sistemi di intelligenza artificiale che elaboreranno i dati personali. Le DPIA offrono alle organizzazioni l’opportunità di considerare come e perché utilizzare i sistemi di intelligenza artificiale per elaborare i dati personali e quali potrebbero essere i potenziali rischi.
L’ICO ha prodotto una guida dettagliata sulle DPIA che spiegano quando sono necessarie e come completarle. Questo blog illustra alcune delle cose a cui le organizzazioni dovrebbero pensare quando effettuano una DPIA per il trattamento dei dati personali nei sistemi di intelligenza artificiale.
DPIA ai sensi del Regolamento generale sulla protezione dei dati (GDPR)
Il GDPR afferma che sono richiesti DPIA (almeno)
- prima dell’implementazione di soluzioni tecnologiche innovative;
- per il trattamento di dati personali di categoria speciale su larga scala; o
- per il processo decisionale automatizzato, la profilazione o per il rifiuto atteso di un servizio a un individuo.
L’uso dell’IA per il trattamento di dati personali pertanto di solito soddisfa i requisiti legali per il completamento di una DPIA.
Se il risultato di una valutazione indica un rischio residuo elevato per le persone che non può essere ridotto, i responsabili del trattamento dei dati devono consultare l’ICO. Cosa dovrebbe essere valutato in una DPIA
Una DPIA deve descrivere la natura, la portata, il contesto e le finalità di qualsiasi trattamento di dati personali.
Deve chiarire come e perché l’intelligenza artificiale verrà utilizzata per elaborare i dati. Dovrà dettagliare:
- come verranno raccolti, archiviati e utilizzati i dati;
- il volume, la varietà e la sensibilità dei dati di input;
- la natura della relazione del responsabile del trattamento con gli interessati; e
- i risultati previsti per gli individui o la società in generale e per il responsabile del trattamento dei dati.
Nel contesto del ciclo di vita dell’IA , una DPIA servirà al meglio il suo scopo se intrapresa nelle prime fasi di sviluppo del progetto. Dovrebbe includere almeno i seguenti componenti chiave. 1. Una descrizione sistematica del trattamento
Una DPIA dovrebbe includere una descrizione sistematica dell’attività di elaborazione, compresi i flussi di dati e le fasi in cui i processi di IA e le decisioni automatizzate possono produrre effetti sugli individui. Può anche spiegare eventuali variazioni o margini di errore rilevanti.
Laddove le decisioni automatizzate sono soggette all’intervento o alla revisione umana, dovrebbero essere dettagliati anche i processi in atto per garantire che ciò sia significativo e che le decisioni possano essere annullate.
A meno che non vi sia una buona ragione per non farlo, le organizzazioni dovrebbero cercare e documentare le opinioni degli individui, o dei loro rappresentanti, sull’operazione di trattamento prevista durante un DPIA. È quindi importante essere in grado di descrivere il trattamento in un modo accessibile a coloro che sono consultati.
Tuttavia, può essere difficile descrivere l’attività di elaborazione di un sistema AI complesso. Potrebbe pertanto essere opportuno mantenere due versioni di una valutazione. Il primo presenta una descrizione tecnica approfondita per un pubblico specializzato. Il secondo contiene una descrizione di più alto livello del trattamento e spiega la logica di come gli input di dati personali si collegano agli output che interessano le persone.
Una DPIA dovrebbe stabilire i ruoli e gli obblighi del responsabile del trattamento e di eventuali responsabili del trattamento. Laddove i sistemi di IA siano esternalizzati parzialmente o totalmente a fornitori esterni, entrambe le organizzazioni dovrebbero anche valutare se la controllore comune è stata istituita ai sensi dell’articolo 26 del GDPR; e, in tal caso, collaborare al processo DPIA come appropriato.
Laddove viene utilizzato un elaboratore di dati, alcuni degli elementi più tecnici dell’attività di elaborazione possono essere illustrati in una DPIA riproducendo informazioni da tale elaboratore. Ad esempio, un diagramma di flusso dal manuale di un processore. Tuttavia, il responsabile del trattamento dei dati dovrebbe generalmente evitare di copiare ampie sezioni della documentazione di un elaboratore nella propria valutazione.
- Valutazione della necessità e della proporzionalità
L’implementazione di un sistema di intelligenza artificiale per l’elaborazione dei dati personali deve essere guidata dalla comprovata capacità di tale sistema di raggiungere uno scopo specifico e legittimo; non dalla disponibilità della tecnologia. Valutando la necessità in una DPIA, un’organizzazione può dimostrare che questi scopi non potrebbero essere raggiunti in un altro modo ragionevole.
Intraprendendo una DPIA, le organizzazioni possono anche dimostrare che il trattamento di dati personali da parte di un sistema di IA è un’attività proporzionata. Nel valutare la proporzionalità, gli interessi dell’organizzazione devono essere valutati rispetto ai diritti e alle libertà degli individui. In relazione ai sistemi di intelligenza artificiale, le organizzazioni devono pensare a qualsiasi danno per gli interessati che potrebbe derivare da errori o imprecisioni negli algoritmi e nei set di dati utilizzati.
Nell’ambito dell’elemento di proporzionalità di una DPIA, le organizzazioni devono valutare se gli interessati si aspetterebbero ragionevolmente che l’elaborazione sia condotta da un sistema di intelligenza artificiale. Se i sistemi di intelligenza artificiale integrano o sostituiscono il processo decisionale umano, nella DPIA dovrebbe essere documentato come il progetto potrebbe confrontare l’accuratezza umana e algoritmica parallelamente per giustificarne meglio l’uso.
Le organizzazioni dovrebbero anche descrivere eventuali compromessi, ad esempio tra accuratezza e minimizzazione dei dati, e documentare la metodologia e la logica di questi.
- Individuare i rischi per i diritti e le libertà
L’uso di dati personali nello sviluppo e nella diffusione di sistemi di intelligenza artificiale può non solo comportare rischi per la privacy e la protezione dei dati personali.
Ad esempio, i sistemi di apprendimento automatico possono riprodurre discriminazioni dai modelli storici dei dati, che potrebbero non essere conformi alla legislazione sulle pari opportunità. Allo stesso modo, i sistemi di intelligenza artificiale che impediscono la pubblicazione dei contenuti in base all’analisi dei dati personali del creatore potrebbero influire sulla loro libertà di espressione. In tali contesti, i responsabili del trattamento dei dati dovrebbero considerare i quadri giuridici pertinenti al di là della protezione dei dati.
Il processo DPIA aiuterà le organizzazioni a identificare obiettivamente i rischi rilevanti. Un punteggio o livello dovrebbe essere assegnato a ciascun rischio, misurato rispetto alla probabilità e alla gravità dell’impatto sugli interessati.
- Misure per affrontare i rischi
È importante che i primi responsabili della protezione dei dati e altri professionisti della governance delle informazioni siano coinvolti nei progetti di IA. È necessario stabilire canali di comunicazione chiari e aperti tra loro e i team di progetto. Ciò garantirà che i rischi possano essere identificati e affrontati nelle prime fasi del ciclo di vita dell’IA .
La protezione dei dati non dovrebbe essere un ripensamento e l’opinione professionale di un responsabile della protezione dei dati non dovrebbe sorprendere all’undicesima ora.
Una DPIA può essere utilizzata per documentare le garanzie messe in atto per garantire che le persone responsabili dello sviluppo, test, validazione, implementazione e monitoraggio dei sistemi di intelligenza artificiale siano adeguatamente addestrate e apprezzino le implicazioni sulla protezione dei dati del trattamento.
Le misure organizzative volte a garantire la formazione adeguata per mitigare i rischi associati all’errore umano possono anche essere evidenziate in una DPIA. Insieme alle misure tecniche progettate per ridurre i rischi per la sicurezza e l’accuratezza di un sistema di intelligenza artificiale.
Una volta che sono state introdotte misure per mitigare i rischi identificati, la DPIA dovrebbe documentare i livelli residui di rischio posti dal trattamento. Questi devono essere inviati all’ICO per una consultazione preventiva se rimangono elevati.
- Un documento “vivente”
Sebbene qualsiasi DPIA debba essere effettuato prima dell’inizio del trattamento dei dati personali, essi dovrebbero essere considerati un documento “live”. Ciò significa che sono soggetti a regolare revisione o nuova valutazione qualora la natura, la portata, il contesto o lo scopo del trattamento cambino per qualsiasi motivo.
Ad esempio, a seconda della distribuzione, potrebbe essere che i dati demografici della popolazione target possano cambiare o che le persone adeguino il loro comportamento nel tempo in risposta all’elaborazione stessa.
FONTE: AUTORITA’ GARANTE DELL’INGHILTERRA – ICO.ORG.UK