4 Domande di Conformità per i CIO che Considerano Progetti di IA
Le imprese devono considerare molti aspetti prima di lanciare progetti di intelligenza artificiale (IA), dalla scelta del caso d’uso alla definizione delle misure di sicurezza da implementare. Ogni buona idea porta con sé una serie di implicazioni legali, che richiedono ai CIO di procedere con cautela.
La conformità alle varie leggi e normative sull’IA in diversi paesi, stati e giurisdizioni non è un compito semplice. Cercare di rendere i progetti a prova di futuro aggiunge ulteriore complessità.
È fondamentale creare processi e governance che controllino i rischi dell’IA, consentendo al contempo l’innovazione. Di seguito sono riportate quattro domande con implicazioni legali che i CIO dovrebbero considerare quando pianificano e avanzano con progetti di IA:
1. Il caso d’uso dell’IA è ad alto rischio?
I casi d’uso dell’IA sono generalmente considerati ad alto rischio se coinvolgono infrastrutture critiche, opportunità di occupazione o biometria. Le aziende potrebbero già avere casi d’uso di questo tipo senza rendersene conto, ad esempio all’interno delle funzioni delle risorse umane.
Le imprese potrebbero violare le leggi se i dirigenti utilizzano l’IA per filtrare le candidature. I risultati prodotti dall’IA possono contenere pregiudizi, il che potrebbe rendere le aziende non conformi alle leggi anti-discriminazione esistenti.
Le aziende dovranno adottare precauzioni aggiuntive se i dirigenti pianificano di procedere con casi d’uso ad alto rischio. I decisori dovrebbero anche familiarizzare con le leggi che richiedono misure di sicurezza nella decisione automatizzata per evitare sanzioni e altre conseguenze.
2. In quale giurisdizione verrà utilizzato questo strumento?
Garantire la conformità con le normative esistenti richiede alle aziende di sapere esattamente dove viene utilizzato uno strumento di IA. Le leggi variano a seconda delle giurisdizioni.
Ci sono già 140 leggi sulla privacy, e le normative continuano ad evolversi. Alcune organizzazioni stanno cercando di navigare negli approcci normativi divergenti puntando a rispettare i più alti standard.
Un approccio isolato non è più sufficiente; è il momento di pensare a come allinearsi a un approccio globale e trovare il livello più alto di conformità.
3. Come vengono utilizzati i dati e da dove provengono?
I dati di qualità migliorano l’IA. Tuttavia, le organizzazioni hanno livelli di comfort variabili riguardo a ciò su cui vogliono addestrare i loro sistemi di IA e a cosa è consentito inserire ai dipendenti.
Ogni progetto dovrebbe passare attraverso un processo di revisione del rischio prima di essere avviato. Durante la valutazione iniziale, i team considerano l’uso di dati reali rispetto a dati sintetici.
I dati sintetici non contengono informazioni identificabili personalmente, avvicinando le organizzazioni alla conformità con normative sulla privacy come il Regolamento Generale sulla Protezione dei Dati dell’Unione Europea. Se fatto correttamente, l’uso di dati sintetici potrebbe anche ridurre i pregiudizi storici trovati nei set di dati reali.
Le aziende possono beneficiare anche di esercizi di mappatura dei dati. Essere organizzati è fondamentale, anche se spesso trascurato.
4. Costruire o acquistare?
La necessità di gestire il rischio dei terzi non può essere sottovalutata. I leader tecnologici dovrebbero comprendere come le organizzazioni terze pianificano di utilizzare le informazioni inserite nei loro sistemi e quali misure di sicurezza sono in atto per limitare i pregiudizi.
Spesso, le organizzazioni vogliono portare la gestione del rischio oltre quanto già previsto nei contratti standard, come la indennità di copyright, offerta in qualche misura dai principali fornitori.
È importante che i CIO considerino di richiedere informazioni aggiuntive ai fornitori e di proteggersi da potenziali problematiche legate all’IA. Possono inoltre contare sui loro colleghi della privacy durante le negoziazioni per identificare rischi evitabili.
