Sistemi AI, i rischi per la protezione dei dati e misure di conformità

Tra i principali rischi che incombono sulla protezione dei dati nei sistemi di intelligenza artificiale, vi sono i seguenti 2: il “Purpose creep” e il “Data drift”.In premesse, diciamo anche che l’applicazione dell’Artificial Intelligence Act, unitamente ai requisiti e controlli della norma ISO/IEC 42001:2023 “Sistema di gestione dell’intelligenza artificiale” e al GDPR forniscono robuste misure per mitigare tali rischi, si tratta “solo” di metterle a fuoco ed applicarle in modo efficiente.Ma iniziamo descrivendo il rischio “Purpose creep”. Questo si riferisce al riutilizzo non autorizzato dei dati. Il Purpose creep (letteralmente, "scorrimento della finalità/dello scopo") è forse il rischio più diffuso e al contempo uno dei meno percepiti. Si verifica quando dati raccolti per una finalità determinata vengono successivamente utilizzati per addestrare o alimentare sistemi AI con obiettivi diversi, senza che esista una base giuridica adeguata per tale riuso.Si pensi a un ente che offre servizi di credito al consumo raccoglie dati di navigazione sul proprio sito per finalità di analisi statistica aggregata (base giuridica: legittimo interesse). Successivamente, il team di sviluppo utilizza questi stessi dati per addestrare un modello AI di scoring creditizio dei potenziali clienti. Il trattamento originario non contemplava questa finalità; si configura una violazione dell’art. 5, c. 1, lett. b) del GDPR (limitazione della finalità).In tali...