Privacy by design e by default e intelligenza artificiale

Per privacy by design

Per privacy by design → si intende l’incorporazione degli strumenti per consentire l’osservanza delle norme GDPR all’interno del trattamento stesso, incorporando nei processi tutte le garanzie necessarie e opportune. Questo approccio è fondamentale perché consente di anticipare i rischi e adottare un atteggiamento di tutela proattivo: ad esempio, se so che un determinato trattamento presenta uno specifico rischio, nella procedura stessa del trattamento andrò ad individuare e adottare tutte le misure utili per contrastare l’insorgenza di quel rischio. Banalmente, è lo stesso principio dell’airbag in macchina: io so che c’è rischio di schiantarsi, per cui prevedo già in dotazione un airbag che esploda al momento opportuno e mi salvi la vita (o, almeno, ci provi).

Per privacy by default

Per privacy by default → si intende la predisposizione automatica delle misure adottate in ottica di privacy by design: quindi, una volta adottate le misure come poc’anzi spiegato, è necessario che queste si “attivino” automaticamente e per impostazione predefinita, in modo tale che diventino a tutti gli effetti parte integrante dell’operazione di trattamento e che non necessitino di dover essere impostati ogni volta.

Come si applicano questi principi ai sistemi ai?

Una compagnia di assicurazione desidera utilizzare l’intelligenza artificiale per tracciare un profilo dei clienti che acquistano un’assicurazione come base per la loro decisione nel calcolo del rischio assicurativo. Nel determinare come le loro soluzioni di IA dovrebbero essere sviluppate, stanno determinando i mezzi di elaborazione e devono prendere in considerazione la privacy by design quando si decide come per addestrare l’IA. Nel determinare come addestrare l’IA, il titolare dovrebbe avere dati accurati per ottenere risultati precisi. Pertanto, il titolare deve assicurarsi che i dati utilizzati per addestrare l’IA siano accurati. Concesso che hanno una base legale valida per addestrare l’IA utilizzando i dati personali, il titolare sceglie un pool di clienti che è rappresentativo della popolazione per evitare il più possibile i pregiudizi. I dati dei clienti vengono poi raccolti dal rispettivo sistema di gestione dei dati, compresi i dati sulla tipo di assicurazione, ad esempio assicurazione sanitaria, assicurazione abitazione, assicurazione viaggi, ecc. e dati dai registri pubblici a cui hanno accesso legale. Tutti i dati sono pseudonimizzati prima del trasferimento al sistema dedicato alla formazione del modello AI. Per garantire che i dati utilizzati per l’addestramento dell’IA siano il più accurati possibile, il titolare raccoglie solo dati da fonti di dati con informazioni corrette e aggiornate. La compagnia di assicurazione verifica se l’IA è affidabile e fornisce risultati non discriminatori sia durante il suo sviluppo e infine prima del rilascio del prodotto. Quando l’IA è completamente addestrata e operativa, la compagnia di assicurazione utilizza i risultati a supporto delle valutazioni dei rischi assicurativi, ma senza affidarsi esclusivamente all’AI per decidere se concedere l’assicurazione, a meno che la decisione non venga presa in conformità con le eccezioni previste dal GDPR e di cui si parlerà più avanti. La compagnia di assicurazione riesaminerà inoltre regolarmente i risultati dell’AI per mantenerne l’affidabilità e, quando necessario, provvederà a regolare e modificare l’algoritmo.

Dunque, si può dire che per ogni principio applicabile e per ogni norma prevista dal GDPR, possono e anzi devono essere previste misure di sicurezza e prevenzione dei rischi in modo automatico, integrando le stesse nel procedimento e non “applicandole” in un secondo momento.

Se volete approfondire gli argomenti che riguardano le normative nazionali, europee e internazionali in materia di privacy e di gestione dei dati in ambito I.A iscrivetevi al nostro corso Legal Knowledge-Based Systems.