EntiOnLine
Categorie
Tutorial > Glossario-Definizioni
Tutorial > Normativa
Normativa europea e internazionale
Normativa italiana
Tutorial > Autocontrollo di conformita' > chek list
Tutorial > Modulistica-Formulari-Procedure
Modulistica Garante
Procedure-Buone prassi
Formule
Massimario > Quesiti e Faq
Accesso Civico e documentale
Albo pretorio e Trasparenza
Attivita' di trattamento
Attori interni ed esterni
Canali Social e motori di ricerca> Youtube, Facebook, Twitter, Linkedin - Google, Safari, Firefox
Certificazione e accreditamento
Cookie
Coronavirus
Data Breach
Dati Sanitari
Diritti
DPIA
Foto e Video Online
Garante
RPD
GDPR
Green-pass
Informativa
Internet e Motori di ricerca
ISTAT
Minori
Password
Phishing
Piano triennale trattamento e protezione dati
Polizia Postale e delle Comunicazioni
Pubblica amministrazione e trasparenza
Registrazione delle attivita' di trattamento
Sanzioni Amministrative
Scuola
Sicurezza informatica
Spam
Spid
Trattamento dei dati
Videosorveglianza
News
Tutorial > Formazione - Slide
Tutorial > Formazione -Video
Soggetti > Titolare autonomo
Soggetti > Contitolare
Soggetti > Titolare - Dirigenti designati - Dipendenti incaricati
Accountability
Soggetti > Servizio protezione dati - DPO
Soggetti > Responsabile del trattamento
Soggetti > Responsabile servizio protezione dati-rpd
Vigilanza DPO-RPD
Soggetti > Interessati - diritti
Diritti degli interessati
Informativa in formato elettronico e icone sul sito web
Informativa: trasparenza del trattamento
Autorita' di regolazione > Garante europeo
Giornate europee della protezione dei dati
Autorita' di controllo > Garante
Attivita' ispettiva
Linee guida e Linee guida europee
Pareri
Pareri su istanze di accesso civico - art.5, co. 7 D.Lgs. 33/2013
Provvedimenti
Provvedimenti approvazione regole deontologiche e Codici di condotta
Provvedimenti di accertamento, ordinanze ingiunzione, correttivi e sanzionatori
Pubblicazioni e Comunicati
Autorita' di indagine > Guardia di finanza - Polizia postale
Sistema di gestione rischio> Valutazione di impatto - DPIA
Sistema di gestione rischio > Attivita' di trattamento - REGISTRI
Registro attivita' di trattamento
Registro Data breach
Sistema di gestione rischio > Data Breach > Illeciti penali
Sistema gestione rischio > Attivita' di trattamento dati particolari
Sistema gestione rischio - Analisi - DESCRIZIONE SISTEMATICA
Adesione a un meccanismo di certificazione
Ambito di applicazione del trattamento
Archivi/banche dati
Categorie di destinatari
Categorie di interessati
Categorie di trattamenti - forme ordinarie di elaborazione
Categorie di trattamenti - particolari forme di elaborazione- : interconnessione e raffronti di dati-elaborazioni automatizzate
Categorie di trattamenti - particolari forme di elaborazione: comunicazione
Categorie di trattamenti - particolari forme di elaborazione: diffusione
Categorie di trattamenti - particolari forme di elaborazione: trasferimento all'estero
Categorie-tipi di dati
Cessazione trattamento: modalita' di cessazione dei dati
Cessazione trattamento: Periodo di conservazione dei dati
Cessazione trattamento: termine ultimo per la cancellazione delle diverse categorie di dati
Codici di condotta e regole deontologiche
Contesto del trattamento
Finalita' del trattamento
Fonte normativa
Interesse legittimo
Luoghi di custodia dei dati
Natura del trattamento
Opinioni interessati o loro rappresentanti
Parere di esperti
Parere RPO/RTD
Registrazione dei dati personali, dei destinatari e del periodo di conservazione dei dati personali
Sintetica descrizione del trattamento e del flusso informativo
Tipo di archivio/banca dati
Valutazione impatto sulla protezione dei dati - DPIA
Sistema di gestione rischio - Valutazione - Determinazione preliminare
1.Valutazione o assegnazione di punteggio
2.Processo decisionale automatizzato
3.Monitoraggio sistematico
4.Dati sensibili o aventi carattere altamente personale
5.Trattamento di dati su larga scala
6.Creazione di corrispondenze o combinazione di insieme di dati
7.Dati relativi a interessati vulnerabili
8.Uso innovativo o applicazioni di nuove soluzioni tecnologiche o organizzative
9.Trattamento che impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o un contratto
Criteri pertinenti in base alle linee guida
Criteri pertinenti rilevati dall'Ente
Descrizione sistematica
Motivazione assenza rischio elevato
MY PERSONAL BD > Sistema gestione rischio - Valutazione - Necessita' proporzionalita' conformita' gdrp
Linee-guida Gruppo Articolo 29
Metodologia di valutazione dei rischi
Data breach
Misure che contribuiscono ai diritti degli interessati in relazione alle finalita'
Misure che contribuiscono alla proporzionalita' e necessita' del trattamento in relazione alle finalita'
Misure previste per dimostrare la conformita' al RGPD
Valutazione rischio: sintesi
Sistema di gestione rischio > Data Breach > Illeciti amministrativi e danno erariale
Sistema di gestione rischio > Prescrizioni - raccomandazioni Garante
Sistema di gestione rischio > Revisione - Monitoraggio - Riesame
Fasi attuazione misure
Indicatori attuazione misure
Responsabile attuazione misure
Riesame e motivazione riesame
Stato attuazione misure
Sistema di gestione rischio > Minacce
RISCHI Impatti potenziali in caso di eventi fra cui accesso illegittimo, modifiche indesiderate e indisponibilita' dei dati
RISCHI Minacce che potrebbero comportare accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
RISCHI Origine/fonte dei rischi: accessi illegittimi, modifiche indesiderate e indisponibilita' dei dati
Valutazione rischio - ponderazione
Sistema gestione rischio - Trattamento - Misure di sicurezza e sicurezza informatica
AgID e sicurezza informatica
Misure di sicurezza logistiche
Misure di sicurezza organizzative
Misure di sicurezza procedurali
Misure di sicurezza tecniche informatiche, comprese le misure di ripristino in caso di data breach
Sistema di gestione rischio > Attivita' di trattamento dati personali
Attivita' fiscale e tributaria
Attivita' giudiziaria
Big data e Open data
Dati biometrici
Biometria in ambito pubblico
Dati biometrici nel rapporto di lavoro
Dati personali nel rapporto di lavoro pubblico e privato
Dati personali dei dipendenti mediante dispositivi e posta elettronica
Dati personali nella gestione del rapporto di lavoro
Dati relativi ai dipendenti tramite sistemi di geolocalizzazione
Pubblicita' e trasparenza dei dati dei lavoratori
Dati sensibili e giudiziari presso le pubbliche amministrazioni
Documentazione anagrafica e la materia elettorale
Istruzione scolastica
Previdenza e l'assistenza sociale
Recupero crediti
Sanita' e dati genetici
Trattamenti effettuati presso regioni ed enti locali
Videosorveglianza
Videosorveglianza in ambito privato
Videosorveglianza in ambito pubblico
Sistema di gestione rischio > Attivita' di trattamento - principi e base giuridica
Liceita' del trattamento
Liceita'-Consenso
Principi generali
Trasparenza del trattamento
Sistema di gestione rischio > Trasparenza - privacy - accesso civico
Sorveglianza DPO
Sorveglianza DPO > Programmazione
Sorveglianza DPO > Prescrizioni - raccomandazioni
Raccomandazioni e Prescrizioni RPD
Focus > Transizione al digitale
Focus > Intelligenza artificiale
Focus > Elezioni
Trattamento dei dati personali da parte di movimenti politici e associazioni
Trattamento dei dati personali degli eletti e degli amministratori da parte delle P.A.
Focus > Coronavirus e smart working
Focus > Censimento
Focus > Casi riportati dalla stampa
Focus > Rapporto lavoro pubblico
Focus > Giurisprudenza
Focus > Albo pretorio e amministrazione trasparente
cerca
CONSULENZA
FAQ
Pareri del consulente
STRUMENTI
Modulistica
Schemi e tabelle
Procedure
Glossario
Rassegna stampa
NORMATIVA
Normativa
Linee guida ANAC
Linee guida Garante Privacy
Principi di diritto
Documentazione
GIURISPRUDENZA
Giurisprudenza
Decisioni amministrative
Provvedimenti delle autorita'
indietro
25/01/2019 Convenzione 108 - Linee-guida in materia di intelligenza artificiale e protezione dei dati
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Strasburgo, 25 gennaio 2019

COMITATO CONSULTIVO (CD. T-PD) DELLA CONVENZIONE SULLA PROTEZIONE DELLE PERSONE RISPETTO AL TRATTAMENTO AUTOMATIZZATO DI DATI A CARATTERE PERSONALE

(Convenzione 108)

LINEE-GUIDA IN MATERIA DI INTELLIGENZA ARTIFICIALE E PROTEZIONE DEI DATI

Sistemi, software e dispositivi basati sull'intelligenza artificiale(1) ("IA") (di seguito "applicazioni IA") forniscono nuove e preziose soluzioni per affrontare i bisogni e le sfide in molti e differenti ambiti, quali la domotica, le smart cities, l’industria, la sanità e la prevenzione del crimine. Le applicazioni IA possono rappresentare uno strumento utile nei processi decisionali, specie nel supportare politiche inclusive e fondate su evidenze concrete. Come per altre innovazioni tecnologiche, queste applicazioni possono avere ripercussioni negative sugli individui e la società. Per evitare questo rischio, le Parti della Convenzione 108 garantiranno e assicureranno che lo sviluppo e l'utilizzo dell'IA rispettino e garantiscano i diritti alla tutela della vita privata e alla protezione dei dati personali (articolo 8 della Convenzione europea sui diritti dell’uomo), rafforzando così i diritti e le libertà fondamentali.

Le presenti linee guida forniscono una serie di misure di base che i governi, gli sviluppatori, i produttori e i fornitori di servizi di IA dovrebbero adottare per assicurare che le applicazioni IA non compromettano la dignità umana, i diritti e le libertà fondamentali di ogni individuo, in particolare con riferimento al diritto alla protezione dei dati.(2)

Le presenti linee-guida non intendono in alcun modo precludere o limitare le disposizioni della Convenzione europea dei diritti dell’uomo e della Convenzione 108. Le linee-guida tengono conto anche delle nuove tutele previste dalla Convenzione 108 modernizzata (più nota come "Convenzione 108+”) (3) .

I. Principi generali

1.La protezione della dignità umana e la tutela dei diritti umani e delle libertà fondamentali, inparticolare il diritto alla protezione dei dati personali, sono essenziali nello sviluppo e nell’adozione di applicazioni IA che possono avere conseguenze sugli individui e la società. Ciò è particolarmente importante quando le applicazioni IA vengono utilizzate nei processi decisionali.

2.Lo sviluppo dell'IA fondato sul trattamento di dati personali dovrebbe basarsi sui principi dellaConvenzione 108+. Gli elementi chiave di questo approccio sono: liceità, correttezza, specificazione della finalità, proporzionalità del trattamento, protezione dei dati fin dalla progettazione (privacy by design) e protezione per impostazione predefinita (privacy by default), responsabilità e dimostrazione della conformità (accountability), trasparenza, sicurezza dei dati e gestione dei rischi.

3.Un’innovazione responsabile nel settore dell'IA necessita di un approccio incentrato sullaprevenzione e attenuazione dei potenziali rischi del trattamento dei dati personali.

4.In linea con le indicazioni in materia di valutazione del rischio fornite nelle linee-guida sui BigData adottate dal Comitato della Convenzione 108 nel 2017 (4), dovrebbe essere adottata una prospettiva più ampia quanto alle possibili conseguenze derivanti dal trattamento dei dati. Tale prospettiva dovrebbe considerare non solo i diritti umani e le libertà fondamentali, ma anche il funzionamento delle democrazie e i valori sociali ed etici.

5.Le applicazioni IA devono sempre rispettare pienamente i diritti degli interessati, in particolarealla luce dell'articolo 9 della Convenzione 108+.

6.Le applicazioni IA dovrebbero consentire un controllo significativo da parte degli interessati sultrattamento dei dati e sulle conseguenze correlate per gli individui e la società.

II.Linee-guida per sviluppatori, produttori e fornitori di servizi

1.Gli sviluppatori, i produttori e i fornitori di servizi di IA dovrebbero adottare un approccioorientato ai valori nella progettazione dei loro prodotti e servizi, in linea con la Convenzione 108+, in particolare con l'art. 10, par. 2 di quest’ultima, e con gli altri strumenti pertinenti del Consiglio d'Europa.

2.Gli sviluppatori, i produttori e i fornitori di servizi di IA dovrebbero valutare le possibiliconseguenze negative delle applicazioni IA sui diritti umani e le libertà fondamentali e, alla luce di tali conseguenze, adottare un approccio precauzionale basato su appropriate misure di prevenzione e attenuazione dei rischi.

3.In tutte le fasi del trattamento, compresa la raccolta dei dati, gli sviluppatori, i produttori e ifornitori di servizi di IA dovrebbero adottare un approccio volto a tutelare i diritti umani fin dalla progettazione dei tali servizi (“human rights by design”) ed evitare qualsiasi potenziale pregiudizio (bias), anche involontario o occulto, il rischio di discriminazione o altri effetti negativi sui diritti umani e le libertà fondamentali degli interessati.

4.Gli sviluppatori di IA dovrebbero vagliare accuratamente la qualità, la natura, l'origine e laquantità di dati personali utilizzati, riducendo i dati inutili, ridondanti o marginali durante lo sviluppo e le fasi di addestramento e poi monitorando l'accuratezza del modello man mano che viene alimentato con nuovi dati. L'uso di dati sintetici (5) può rappresentare una soluzione atta a minimizzare la quantità di dati personali trattati dalle applicazioni IA. 5.Nello sviluppo e nell'utilizzo di applicazioni IA si dovrebbe tenere in adeguata considerazione ilrischio di impatti negativi sugli individui e la società dovuto all’impiego di dati (6) e modelli algoritmici decontestualizzati (7).

6.Gli sviluppatori, i produttori e i fornitori di servizi di IA sono invitati a istituire e consultarecomitati indipendenti di esperti provenienti da più ambiti, nonché a collaborare con istituzioni accademiche indipendenti, che possono contribuire alla progettazione di applicazioni IA fondate sui diritti umani e ispirate a considerazioni di natura etica e sociale, nonché all’individuazione di potenziali pregiudizi (biases). Tali comitati potrebbero svolgere un ruolo particolarmente importante in quei settori ove assicurare la trasparenza e il coinvolgimento degli interessati può risultare più difficile a causa di interessi e diritti confliggenti, come negli ambiti della giustizia predittiva, della prevenzione e repressione dei reati.

7.Dovrebbero essere incoraggiate forme partecipative di valutazione del rischio, basate sulcoinvolgimento attivo degli individui e dei gruppi potenzialmente interessati dalle applicazioni IA.

8.Tutti i prodotti e servizi dovrebbero essere progettati in modo tale da garantire il diritto dellepersone di non essere sottoposte a una decisione basata unicamente su trattamenti automatizzati che abbia effetti significativi su di esse, senza che le loro opinioni vengano prese in considerazione.

9.Al fine di rafforzare la fiducia degli utenti, gli sviluppatori, i produttori e i fornitori di servizi IAsono invitati a progettare i loro prodotti e servizi in modo da salvaguardare la libertà di scelta degli utenti rispetto all'utilizzo dell'IA, fornendo alternative praticabili alle applicazioni IA.

10.Gli sviluppatori, i produttori e i fornitori di servizi di IA dovrebbero adottare forme di vigilanzasugli algoritmi che promuovano la responsabilizzazione di tutte le parti interessate durante l'intero ciclo di vita di tali applicazioni, al fine di garantire l’osservanza dei principi e delle norme in materia di protezione dei dati e diritti umani.

11.Gli interessati dovrebbero essere informati se interagiscono con un'applicazione IA e hanno ildiritto di ottenere informazioni sulla logica alla base dei trattamenti di dati che li coinvolgono. Le informazioni da fornire dovrebbero comprendere le conseguenze derivanti dall’applicazione di tale logica.

12.Dovrebbe essere garantito il diritto di opporsi al trattamento basato su tecnologie cheinfluenzano le opinioni e lo sviluppo personale degli individui.

II.Linee-guida per legislatori e policy makers

1.Il rispetto del principio di responsabilizzazione (accountability), l'adozione di procedure divalutazione del rischio e l'applicazione di altre misure adeguate, come i codici di condotta e i meccanismi di certificazione, possono rafforzare la fiducia nei confronti di prodotti e servizi di IA.

2.Fatta salva la riservatezza tutelata dalla legge, le procedure di appalto pubblico dovrebberoimporre a sviluppatori, produttori e fornitori di servizi di IA specifici obblighi di trasparenza, una valutazione preliminare dell'impatto del trattamento dei dati sui diritti umani e sulle libertà fondamentali e l’obbligo di vigilanza sugli effetti negativi e le conseguenze potenzialmente derivanti dalle applicazioni IA (di seguito, "vigilanza sugli algoritmi" (8)).

3.Le autorità di controllo dovrebbero essere dotate di risorse sufficienti per sostenere e monitorare iprogrammi di vigilanza sugli algoritmi posti in essere dagli sviluppatori, produttori e fornitori di servizi di IA.

4.L'eccessivo affidamento sulle soluzioni fornite dalle applicazioni IA e i timori di contestare ledecisioni suggerite dalle applicazioni IA rischiano di alterare l'autonomia dell'intervento umano nei processi decisionali. Dovrebbero pertanto essere preservati il ruolo dell'intervento umano nei processi decisionali e la libertà dei decisori umani di non fare affidamento sulle raccomandazioni fornite attraverso l’impiego dell'IA.

5.Gli sviluppatori, i produttori e i fornitori di servizi di IA dovrebbero consultare le autorità dicontrollo quando le applicazioni di IA possono incidere in modo significativo sui diritti umani e sulle libertà fondamentali degli interessati.

6.Si dovrebbe promuovere la cooperazione tra le autorità di protezione dei dati e altri organismiche hanno una competenza in materia di IA, quali le autorità di tutela dei consumatori o della concorrenza, quelle incaricate del contrasto alle discriminazioni, le autorità di regolamentazione settoriali e le autorità di regolamentazione dei media.

7.Dovrebbero essere istituiti meccanismi adeguati al fine di garantire l'indipendenza dei comitati diesperti di cui alla sezione II.6.

8.Si dovrebbero garantire l’informazione e il coinvolgimento attivo di individui, gruppi e altre partiinteressate nel dibattito sul ruolo da attribuire all'IA nel plasmare le dinamiche sociali e nei processi decisionali che li riguardano.

9.I policy maker dovrebbero investire risorse nell’alfabetizzazione digitale per aumentare laconoscenza e la comprensione degli interessati riguardo alle applicazioni IA e ai loro effetti. Dovrebbero promuovere, inoltre, la formazione professionale rivolta agli sviluppatori di IA al fine di aumentare la conoscenza e la comprensione dei potenziali effetti dell'IA sugli individui e la società. Dovrebbero sostenere la ricerca incentrata su un’IA orientata ai diritti umani.

NOTE:

(1) La seguente definizione di IA è attualmente disponibile sul sito web del Consiglio d'Europa https://www.coe.int/en/web/human-rights-rule-of-law/artificial-intelligence/glossary: "Un insieme di scienze, teorie e tecniche il cui scopo è quello di riprodurre, attraverso la macchina, le capacità cognitive di un essere umano. Gli sviluppi attuali mirano, ad esempio, ad affidare a una macchina compiti complessi precedentemente delegati a un essere umano."

(2) Le presenti linee guida si basano sul Rapporto in materia di intelligenza artificiale ("Intelligenza artificiale e protezione dei dati: sfide e possibili rimedi") reperibile al link:

https://rm.coe.int/artificial-intelligence-and-data-protection-challenges-and-possible-re/168091f8a6

(3) Protocollo emendativo CETS n°223 della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale.

(4) https://rm.coe.int/t-pd-2017-1-bigdataguidelines-en/16806f06d04

(5) I dati sintetici sono generati da un modello di dati costruito su dati reali. Dovrebbero essere rappresentativi dei dati reali originali. Vedi la definizione di dati sintetici in OCSE. "Glossario dei termini statistici", 2007. http://ec.europa.eu/eurostat/ramon/coded_files/OECD_glossary_stat_terms.pdf ("Un approccio alla riservatezza secondo il quale invece di diffondere dati reali, vengono diffusi dati sintetici generati da uno o più modelli di popolazione") .

(6) Si tratta del rischio di ignorare le informazioni contestuali che caratterizzano le situazioni specifiche in cui si prevede di utilizzare le soluzioni basate sull'intelligenza artificiale.

(7) Tale rischio si materializza quando i modelli IA, originariamente progettati per un'applicazione specifica, vengono utilizzati in un contesto diverso o per finalità diverse.

(8) Sulla nozione di vigilanza sugli algoritmi, in quanto adozione di pratiche ispirate a responsabilizzazione, consapevolezza e gestione del rischio in rapporto a possibili conseguenze ed effetti negativi lungo l'intero ciclo di vita di queste applicazioni, si veda anche la 40ª Conferenza internazionale delle autorità di protezione dati, Dichiarazione sull'etica e la protezione dei dati nell'intelligenza artificiale, principio guida n. 2. Si veda anche il Rapporto sull'intelligenza artificiale (nota 2), sezione II.4

Fonte: Garante Privacy

Categorie
Focus > Intelligenza artificiale
Parole chiave
Protezione dati personali
Intelligenza artificiale
Garante per la Privacy
Banca dati

Copyright © Entionline by Maggioli Spa - P.IVA 02066400405. Tutti i diritti riservati. Disclaimer - informativa privacy - Cookies policy

credits