Il Gap nelle Regole dell’UE per l’AI Richiede un Approccio Ben Documentato
Le normative dell’Unione Europea relative all’ intelligenza artificiale pongono sfide complesse per le organizzazioni che utilizzano dati personali sensibili per rilevare e correggere i biasi. Con l’ AI Act dell’UE che regola la tecnologia e il Regolamento generale sulla protezione dei dati (GDPR) che regola i dati personali, i professionisti legali e i leader aziendali devono garantire la duplice conformità, soprattutto con l’aumento dell’elaborazione di dati personali sensibili da parte dell’AI.
Le sfide normative spesso si concentrano sulla tensione fondamentale tra l’ equitá algoritmica — garantire che i sistemi AI trattino tutti in modo equo, libero da discriminazioni — e la protezione dei dati personali sensibili.
Per affrontare questo problema, l’ Articolo 10(5) dell’AI Act consente l’elaborazione di categorie speciali di dati personali quando “strettamente necessario” per rilevare e correggere i biasi nei sistemi AI ad alto rischio. Tuttavia, ciò sembra contraddire il divieto generale del GDPR nell’Articolo 9 di elaborare tali dati senza consenso esplicito o un’altra base legale specifica, come un interesse pubblico sostanziale.
Percorsi di Elaborazione
Se da un lato l’AI Act riconosce la supremazia del GDPR in caso di conflitto, le organizzazioni devono identificare le basi legali appropriate ai sensi dell’Articolo 9 quando elaborano dati sensibili per la rilevazione e correzione dei biasi.
Una recente analisi ha suggerito che i legislatori potrebbero dover intervenire per chiarire l’interazione tra queste normative. Tuttavia, le organizzazioni dovranno affrontare questo equilibrio nel frattempo.
Una soluzione pratica potrebbe comportare un approccio più sfumato all’interpretazione dell’ “interesse pubblico sostanziale” ai sensi dell’ Articolo 9(2)(g) del GDPR. L’ Autorità europea per la protezione dei dati ha elaborato come questo articolo potrebbe consentire l’elaborazione nell’ambito di un “interesse pubblico sostanziale“, con l’AI Act che potrebbe fungere da base legale.
Conformità Doppia
In assenza di indicazioni normative definitive, le organizzazioni dovrebbero considerare un approccio completo che affronti entrambi i quadri normativi. Coloro che implementano sistemi AI ad alto rischio devono continuare a condurre valutazioni del rischio approfondite che considerino sia i requisiti dell’AI Act che quelli del GDPR. Ciò include l’identificazione della classificazione ad alto rischio, la determinazione se sia necessaria l’elaborazione di dati sensibili per la rilevazione dei biasi, la conduzione di valutazioni d’impatto sulla protezione dei dati e la documentazione dei processi decisionali e delle strategie di mitigazione del rischio.
Misure tecniche e organizzative, importanti ai sensi del GDPR, sono vitali quando si elaborano dati personali sensibili attraverso una piattaforma AI. È lecito concludere che le autorità di vigilanza — i singoli regolatori della protezione dei dati situati in ciascun paese dell’UE che interpretano e applicano la legge dell’UE — continueranno a sottolineare l’importanza di forti misure di sicurezza informatica.
Le organizzazioni dovrebbero applicare misure di sicurezza all’avanguardia, garantire robusti controlli di accesso per l’elaborazione di dati sensibili, implementare forti principi di minimizzazione dei dati, eliminare prontamente i dati di categoria speciale dopo la correzione dei biasi e esplorare tecniche di anonimizzazione dove possibile.
Quando si considerano le basi legali appropriate per l’elaborazione di dati personali di categoria speciale all’interno di una piattaforma AI, le organizzazioni potrebbero aver bisogno di un approccio ibrido. Ciò implica ottenere consenso esplicito dove possibile ed esplorare l’eccezione per “interesse pubblico sostanziale” dove il consenso non è praticabile per documentare come la rilevazione dei biasi serva a interessi sociali importanti.
Parallelamente, potrebbe essere saggio documentare anche che la correzione dei biasi è coerente con il principio di trattamento leale del GDPR, seguendo la prospettiva dell’autorità di vigilanza belga.
La mancanza di chiarezza normativa per l’uso di dati personali sensibili per la mitigazione dei biasi nell’AI rappresenta una sfida per le organizzazioni che si sforzano di conformarsi sia all’AI Act dell’UE che al GDPR. Mentre le organizzazioni attendono indicazioni necessarie dai legislatori e dalle autorità di vigilanza, devono adottare un approccio proattivo e ben documentato per la valutazione del rischio, la minimizzazione dei dati e la trasparenza.
