Politica sulla privacy per IA e processo decisionale automatizzato

La Politica sulla privacy per IA e processo decisionale automatizzato definisce requisiti privacy obbligatori per attività di intelligenza artificiale, profilazione, attribuzione di punteggi, raccomandazione, supporto decisionale e processo decisionale automatizzato che coinvolgono dati personali. Il suo ambito include sistemi, applicazioni, modelli, servizi, workflow, motori decisionali, modelli di analisi e processi decisionali automatizzati abilitati dall’IA che usano, inferiscono, generano, comunicano o altrimenti trattano dati personali nell’ambito di applicazione del PIMS. Copre inoltre i dati personali usati per formazione, test, convalida, tuning, monitoraggio, inferenza in produzione, riesame degli output, misurazione delle prestazioni, indagine sugli incidenti e dismissione dei modelli. La politica si applica nei contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile, inclusi fornitori correlati all’IA, responsabili del trattamento, sub-responsabili, destinatari della condivisione dei dati e percorsi di trasferimento internazionale. La finalità della politica è garantire che le attività di IA, profilazione e processo decisionale automatizzato che coinvolgono dati personali siano identificate, documentate, valutate sotto il profilo del rischio, trasparenti, contestabili, monitorate e controllate tramite il PIMS senza creare artefatti di governance duplicati specifici per l’IA. La politica afferma esplicitamente che non crea un quadro di governance dell’IA completo, un sistema di gestione dell’IA, un inventario IA, un inventario dei modelli, un registro del rischio dei modelli, un registro di equità, un registro degli algoritmi, un registro degli incidenti IA, un comitato IA, un ruolo di proprietario del modello, un ruolo di proprietario del sistema IA, un workflow di consulenza legale o un modulo di approvazione IA separato. Richiede invece che gli obblighi privacy correlati all’IA siano dimostrati tramite elementi di evidenza canonici esistenti: REG02, REG04, REG06, REG07, REG08, REG09, REG10 e REG12. A livello operativo, la politica richiede ai Proprietari del processo / titolari dell’attività di determinare se sistemi, workflow o processi aziendali nuovi o modificati in modo sostanziale usano IA, profilazione, attribuzione di punteggi, raccomandazione, supporto decisionale o processo decisionale automatizzato che coinvolge dati personali e di registrare la determinazione in REG02. Prima dell’avvio del trattamento di dati personali correlato all’IA, la politica richiede la documentazione della finalità del trattamento, delle categorie di dati personali, delle categorie di interessati, delle fonti di dati, delle categorie di dati inferiti o derivati, delle categorie di output, delle categorie di destinatari, della base giuridica e del collegamento alla conservazione. Per profilazione, attribuzione di punteggi, raccomandazione, supporto decisionale o processo decisionale automatizzato usati in produzione, il contesto decisionale, l’effetto previsto sugli interessati, il coinvolgimento umano e il percorso per i diritti devono essere documentati in REG02 e REG04. La governance del rischio è una componente centrale della politica. Prima di avviare o modificare in modo sostanziale un trattamento di dati personali correlato all’IA, il Responsabile Privacy / Responsabile del PIMS deve completare lo screening del rischio privacy e registrare la decisione relativa alla DPIA in REG04. Quando il trattamento comporta profilazione, decisioni automatizzate, valutazione su larga scala, dati appartenenti a categorie particolari, dati relativi a reati, interessati vulnerabili, valutazione dei dipendenti, minori, monitoraggio comportamentale, dati di localizzazione, dati biometrici, attribuzione di punteggi ad alto impatto o effetti significativi, il Responsabile della protezione dei dati / consulente in materia di protezione dei dati deve riesaminare il rischio privacy e registrare il parere in REG04. Se dopo il trattamento pianificato permane un rischio privacy residuo elevato, l’alta direzione deve approvare, respingere o richiedere ulteriore trattamento prima dell’uso in produzione, con la decisione registrata in REG04 e REG12. La politica stabilisce inoltre controlli per trasparenza, informazioni significative, minimizzazione, gestione dei diritti, monitoraggio, fornitori e applicazione. Il contenuto dell’informativa privacy deve descrivere la finalità correlata all’IA, le categorie di dati, le categorie di output, le categorie di destinatari, il percorso per i diritti e il canale di contatto, con le versioni dell’informativa registrate in REG07. Percorsi di riesame umano, obiezione e contestabilità sono richiesti per decisioni correlate all’IA con effetti legali, di idoneità, di accesso, di impiego, finanziari, educativi, di servizio, di sicurezza o analogamente significativi. Fornitori e responsabili del trattamento devono essere governati tramite REG08, con i trasferimenti internazionali instradati tramite REG09. I criteri di monitoraggio devono coprire modifiche degli input, modifiche degli output, problematiche relative ai diritti, esiti privacy avversi, uso non autorizzato e tendenze dei reclami, con riesame trimestrale per il trattamento attivo di dati personali correlato all’IA ad alto impatto e non conformità o azioni correttive registrate in REG12.