Privacy e IA

0
  1. Machine learning e Big Data

Sebbene non esistano definizioni normative, con il termine “Big Data” ci si riferisce comunemente alla raccolta, l’analisi e l’accumulo di grandi quantità di dati, provenienti da fonti diverse e che non possono essere elaborati da strumenti informatici tradizionali. Tali dati vengono dunque trattati in modo automatizzato, mediante algoritmi.

I Big Data sono spesso descritti grazie al riferimento ad alcune loro peculiari caratteristiche, utilizzando la regola delle “3 V”: volume, velocità e varietà. Con questi termini si fa riferimento, rispettivamente, alla grandezza dei dati, alla rapidità con cui sono raccolti e analizzati e alla diversità dei dati generati. A tali caratteristiche tradizionali, di recente si è iniziato ad aggiungerne delle altre, fra cui la veridicità, concernente la qualità dei dati; la visualizzazione, riferita, invece, al fatto che le informazioni fornite dai dati siano restituite in una forma facilmente interpretabile; la valenza, ossia alla connessione con gli altri dati e, infine, il valore. Quest’ultimo elemento è quello che, senza dubbio, ha assunto maggiore importanza nell’industria moderna, poiché indica il valore economico che i dati acquisiscono sulla base delle informazioni da essi estraibili.[1] Il valore dei Big Data è peraltro notevolmente cresciuto proprio grazie allo sviluppo dei sistemi di artificial intelligence (AI) ed in particolare del machine e deep learning, termine con il quale ci si riferisce a sistemi in grado di attribuire nuovo significato ai dati raccolti e generare nuovi modelli di analisi, che migliorano grazie all’esperienza, senza necessità di intervento umano. L’algoritmo acquista così la capacità di modificare le regole sulle base delle quali vengono assunte le decisioni, imparando a gestire nuovi input.[2] L’integrazione fra machine learning e Big Data è destinata a produrre effetti benefici sull’economia, la scienza e il progresso sociale.

I sistemi AI sono destinati a trattare anche numerosi dati personali, motivo per cui è necessario individuare misure concrete volte a garantire che tale trattamento avvenga nel pieno rispetto delle disposizioni della normativa in materia di privacy e protezione dei dati personali, incluso il Regolamento Generale per la Protezione dei Dati (Regolamento UE n. 2016/679), meglio noto con l’acronimo GDPR.

I dati personali e l’AI sono due vasi comunicanti: i dati personali alimentano l’intelligenza artificiale e l’intelligenza artificiale li elabora per ricavarne dati ulteriori.

La raccolta e il trattamento dei dati nel contesto del machine learning e dei Big Data acquistano una nuova dimensione qualitativa e quantitativa. La tendenza, infatti, è quella di raccogliere quanti più dati possibili per analizzarli e interpretarli così da “creare” nuove e più complete tipologie di dati. Inoltre, occorre sottolineare è che i dati raccolti potranno essere utilizzati per uno scopo inizialmente sconosciuto e diverso da quello comunicato. Questo è ciò che viene comunemente definito “unpredictability of outcomes” è che, come si vedrà in seguito, può comportare problematiche circa l’applicazione dei principi del GDPR.[3]

 

  1. Beve analisi di alcuni dei principali problemi che sorgono in relazione al rapporto fra i sistemi Ai e la disciplina sulla protezione dei dati personali

2.1. L’identificazione del titolare e del responsabile del trattamento

Data la stretta relazione fra i dati personali e l’intelligenza artificiale, è evidente come il crescente sviluppo dei sistemi AI comporti anche l’aumento dei problemi legati al rispetto della normativa sulla privacy e la protezione dei dati personali.

Uno dei principali problemi non di chiara risoluzione è relativo all’identificazione dei soggetti coinvolti nel trattamento, ossia il titolare[4] e il responsabile[5].

In generale, il titolare del trattamento deve garantire il rispetto dei princìpi sanciti dal Regolamento nel trattamento dei dati, dovendo essere in grado di dimostrare di aver posto in essere tutte le misure tecniche ed organizzative necessarie a tal fine, tenuto conto del contesto concreto in cui opera e della natura dei dati trattati. Il titolare, inoltre, può designare il responsabile del trattamento, ai sensi dell’articolo 28 GDPR, che opererà per suo conto e secondo le istruzioni da lui impartite. Il titolare, dunque, risponderà delle azioni compiute dal responsabile, a meno che questi agisca autonomamente, ossia discostandosi dalle direttive del titolare.

Vi è però incertezza nell’individuare a chi debba essere attribuito il ruolo di titolare o di responsabile in relazione al trattamento dei dati effettuati dal sistema AI. A tal proposito, la soluzione avanzata dalla ICO[6] è quella di attribuire personalità giuridica al sistema stesso, qualificandolo quale titolare o responsabile sulla base di una valutazione caso per caso che tenga conto delle circostanze concrete.[7] Altri autori hanno argomentato sostenendo la necessità di ribaltare l’impostazione attuale e attribuire la responsabilità per l’illegittimo trattamento dei dati direttamente al soggetto interessato, in quanto “proprietario” dei dati stessi. Chi sostiene questa tesi si pone in netto contrasto rispetto a chi, invece, ritiene che il problema vada anticipato ad una fase precedente, cioè quella di progettazione e costruzione dei sistemi.

Coerentemente al principio di privacy-by-design, si auspica dunque lo sviluppo di nuove misure che garantiscano il rispetto dei principi dettati dal GDPR in tutte le fasi del trattamento, facilitando il ruolo del titolare e del responsabile. Al fine di assicurare l’efficacia delle misure adottate, si ritiene necessario rafforzare lo strumento della valutazione d’impatto, utile per comprendere – tenuto conto delle circostanze concrete – quali misure vadano di fatto adottate e a chi vada attribuita la responsabilità di eventuali violazioni.[8]

2.2. I sistemi AI e le decisioni automatizzate

Altro aspetto problematico legato allo sviluppo dei sistemi AI è quello relativo al rispetto dell’art. 22 GDPR che sancisce il diritto per l’interessato di non essere soggetto “a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”. In altre parole, quando l’interessato è sottoposto a una decisione completamente automatizzata che valuta aspetti personali che lo riguardano, deve essere sempre garantito l’intervento umano nel processo di decisione, laddove questo possa avere incidere significativamente o su di lui o produrre effetti giuridici. Tuttavia, vi sono dei problemi nella conciliazione fra questa disposizione e l’impiego dei sistemi AI.

Come messo in luce nello studio “The impact of the General Data Protection Regulation (GDPR) on artificial intelligence” promosso dall’EPRS[9], molte delle decisioni assunte dai sistemi AI possono qualificarsi come decisioni basate unicamente sul trattamento automatizzato, rientranti nell’ambito di applicazione del primo comma dell’art. 22 GDPR, ed è difficile immaginare un concreto intervento umano su di esse. Da un lato, infatti, gli agenti umani non hanno accesso a tutte le informazioni utilizzate dall’algoritmo, né tantomeno godono della capacità di analizzare e revisionare tali decisioni in maniera effettiva. Dall’altro, anche qualora una revisione fosse possibile, questa comporterebbe costi eccessivi. Di conseguenza, gli operatori si trovano nella maggior parte dei casi a dare semplicemente attuazione alle decisioni assunte dell’algoritmo, e il loro intervento non ha – né potrebbe avere – alcuna reale influenza su di esse.

Tuttavia, il secondo comma dell’art. 22 GDPR individua delle deroghe alla regola generale. Si stabilisce, infatti, che il primo comma non trova applicazione laddove a) il trattamento automatizzato sia necessario ai fini della conclusione o dell’esecuzione di contratto fra l’interessato e il titolare del trattamento, b) sia autorizzato dall’autorità o dallo Stato Membro nel quale opera il titolare del trattamento, c) si basi sul consenso esplicito dell’interessato. Occorre dunque chiedersi se, e in che misura, tali deroghe trovino applicazione nel caso dei sistemi AI. Tale esame verterà necessariamente solo sulla prima e l’ultima ipotesi, mancando in Italia una disciplina compiuta dell’AI e di questo specifico aspetto.

Quanto alla lett. a), l’attenzione va posta sul requisito di necessarietà previsto dalla norma. L’applicazione dell’art. 22 GDPR, cioè, potrà essere esclusa soltanto laddove l’impiego di sistemi AI risulti assolutamente necessario. Prendendo quale esempio l’utilizzo di tali sistemi nell’ambito di un processo di reclutamento, l’impiego di sistemi AI potrebbe rendersi necessario per garantire più trasparenza. È determinante, dunque, stabilire se l’intervento umano tuteli maggiormente o meno l’interessato.

Quanto alla lett. c), sebbene il consenso sia individuato quale base legale idonea ad escludere l’applicazione del primo comma dell’art. 22 GDPR, nel contesto dei sistemi AI il ricorso al consenso non sempre appare adeguato, per le ragioni che saranno spiegate meglio nel prosieguo.

Il terzo comma attribuisce invece al titolare del trattamento il compito di porre in essere misure adeguate a garantire il rispetto dei diritti, delle libertà e degli interessi legittimi dell’interessato, nonché a garantire che a quest’ultimo siano riconosciuti almeno il diritto di ottenere l’intervento umano nell’intervento decisionale, esprimere la propria opinione e contestare la decisione assunta. A tal proposito, il Working Party Article 29[10] ha individuato alcune misure idonee a garantire una riduzione del rischio per i dati personali, delle buone prassi che il titolare del trattamento dovrebbe tenere in considerazione quando prende decisioni basate unicamente sul trattamento automatizzato, stilando un elenco che non ha natura esaustiva ma solo esemplificativa. Queste buone prassi comprendono, fra le altre, effettuare controlli regolari di garanzia della qualità dei sistemi per assicurare che le persone siano trattate in maniera equa e non siano discriminate sulla base di categorie particolari di dati personali o in altro modo; verifica degli algoritmi per dimostrare che stanno effettivamente funzionando come previsto e non producono risultati discriminatori, errati o ingiustificati; per gli algoritmi di terzi, ottenimento di garanzie contrattuali che sono stati effettuati audit e test e che l’algoritmo è conforme alle norme concordate; la minimizzazione, l’anonimizzazione o la pseudonimizzazione dei dati, nonché l’adozione di meccanismi di certificazione.[11]

L’ultimo comma, infine, esclude che le decisioni assunte mediante procedimenti automatizzati possano basarsi sul trattamento di categorie particolari di dati personali, a meno che non trovi applicazione una delle basi giuridiche dettate dall’art. 9 GDPR (per esempio, il trattamento è basato sul consenso esplicito o necessario per ragioni di pubblico interesse) e siano poste in essere misure adeguate. Inoltre, nel rispetto dell’art. 13 GDPR, che sancisce il diritto d’informazione dell’interessato, il titolare sarà tenuto non solo ad informarlo dell’esistenza di un meccanismo di decisione automatizzata, ma anche a fornirgli tutte le informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

2.3 Il soggetto interessato e i rischi per la protezione dei suoi dati personali

Per soggetto interessato si intende la persona fisica identificata o identificabile i cui dati personali sono sottoposti a trattamento. L’entrata in vigore del GDPR ha determinato un rafforzamento della figura dell’interessato, attribuendogli un ruolo di grande centralità mediante il riconoscimento di maggiori diritti in relazione al trattamento dei propri dati personali.  Tuttavia, la nozione di interessato riferita esclusivamente al singolo individuo sembra mal conciliarsi con lo sviluppo di sistemi AI, specialmente laddove questi implichino l’impiego di algoritmi basati sul machine e deep learning. Tali sistemi, infatti, vengono impiegati nell’assunzione di decisioni idonee ad avere un impatto non sul singolo, bensì sul gruppo, e le garanzie fornite dalla disciplina vigente sembrano non tutelare adeguatamente gli individui dai rischi collegati a questo aspetto.

In primo luogo, l’art. 15 GDPR attribuisce all’interessato il diritto di accesso ai propri dati personali, direttamente collegato al generale principio di trasparenza che il titolare del trattamento è tenuto ad osservare nel trattamento dei dati. Tale diritto va letto in correlazione con il diritto a ricevere informazioni di cui all’art. 13 GDPR che, come previamente anticipato, va particolarmente osservato nel caso di procedimenti decisionali automatizzati.

L’art. 17 GDPR sancisce il diritto dell’interessato ad ottenere la cancellazione dei propri dati personali quando sia decorso un idoneo lasso di tempo e non vi sia più interesse nel mantenere pubblici tali dati, il cd. diritto all’oblio. Non si tratta di un diritto assoluto ma, come evidenziato dalla Corte di Giustizia nel celebre caso Manni[12], va bilanciato rispetto all’interesse pubblico di avere disponibilità di determinati dati. Proprio con riferimento a questo diritto, il centro studi del Parlamento Europeo evidenzia il problema di stabilire se debba essere garantito solo al singolo individuo o anche con riferimento al gruppo, posto che l’eliminazione di dati concernenti un gruppo che siano stati utilizzati nello sviluppo di un modello basato su algoritmo, mette in discussione la stessa validità e l’efficacia di quel modello.

Ulteriori e diversi problemi pone invece il diritto alla portabilità dei dati, sancito dall’art. 19 GDPR, in virtù del quale “l’interessato ha diritto ha diritto di ricevere in formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti.” L’articolo pone due condizioni affinché tale diritto trovi applicazione: a) che il trattamento si basi sul consenso o su un contratto, b) che il trattamento sia effettuato con mezzi automatizzati. A norma del secondo comma, l’interessato ha diritto di ottenere la trasmissione dei dati personali da un titolare del trattamento all’altro, laddove ciò sia possibile. In relazione ai sistemi AI, è anzitutto necessario comprendere cosa s’intenda per “dati personali che lo (ndr l’interessato) riguardano”. In particolare, si dovrebbe chiarire se questi includano soltanto i dati espressamente forniti dall’interessato o anche quelli raccolti dal sistema o, addirittura, i dati ottenuti grazie al trattamento di quelli spontaneamente ceduti.[13]

Certamente rilevante nel contesto AI è inoltre il diritto di opposizione, sancito dall’art. 21 GDPR. A norma di tale disposizione, infatti, all’interessato viene riconosciuto il diritto di chiedere la cessazione del trattamento dei propri dati personali, qualora ciò sia giustificato da ragioni connesse alla sua situazione e il trattamento sia legittimato da pubblico interesse o dallo svolgimento di un’attività di pubblica autorità. In tali ipotesi il titolare avrà l’obbligo di cessare immediatamente il trattamento, a meno che non dimostri l’esistenza di motivi legittimi che prevalgano sui diritti dell’interessato. L’aspetto che più rileva nel contesto AI è comunque quello indicato dal secondo comma, che sancisce invece un diritto di opposizione pieno per le ipotesi in cui i dati siano utilizzati per fini di marketing diretto, ivi compresa la profilazione, se connessa a tale marketing. Questa, infatti, rappresenta una delle ipotesi di maggiore utilizzo dei sistemi AI, e sarà onere del titolare garantire l’esercizio semplice ed efficace del diritto in esame.

 

  1. L’individuazione di una condizione di liceità del trattamento: il consenso

Affinché si abbia un trattamento dei dati lecito, è necessario che esso trovi fondamento in una delle condizioni di liceità del trattamento previste dall’articolo 6 GDPR.

Le “Linee guida 2/2019 sul trattamento dei dati personali ai sensi dell’articolo 6, paragrafo 1, lettera b), del GDPR nel contesto della fornitura di servizi online agli interessati”, pubblicate dal Comitato europeo per la protezione dei dati, sottolineano l’importanza di individuare la corretta base giuridica in relazione al trattamento dei dati che sarà posto in essere.

La prima base giuridica menzionata dall’articolo 6 è quella del consenso. L’art. 4 GDPR al comma 1, punto 11 lo definisce come “qualsiasi indicazione libera, specifica, informata e inequivocabile della volontà dell’interessato con la quale egli, con una dichiarazione o con una chiara azione affermativa, esprime il consenso al trattamento dei dati personali che lo riguardano”.

Il considerando 32 GDPR, inoltre, specifica che il consenso debba essere granulare, esso deve riguardare tutte le attività di trattamento svolte per lo stesso scopo o per le stesse finalità, quando il trattamento ha finalità multiple, deve essere dato per ognuna di esse.

Considerato uno strumento di autodeterminazione, il consenso deve essere dato liberamente, senza intimidazioni o raggiri, qualsiasi forma di condizionamento lo renderà invalido. Esso deve essere esclusivo, prestato alla descrizione ben strutturata e non ambigua dell’attività di trattamento.

Il consenso è sempre revocabile: si ritiene di fondamentale importanza sviluppare meccanismi adeguati alla concreta attuazione del diritto di revoca.

Nel rispetto del principio di trasparenza previsto dall’art. 5 GDPR, l’interessato deve essere messo nelle condizioni di conoscere quali dati saranno trattatati, come e con quali finalità. Il regolamento europeo, infatti, prevede che il titolare debba fornire agli interessati, prima del trattamento, l’informativa. I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, GDPR. Essa deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, per i minori occorre prevedere informative idonee. Il soggetto interessato deve comprendere in modo consapevole quali saranno le conseguenze che deriveranno dalla concessione del suo consenso.

Nel caso di trattamento di dati personali appartenenti a categorie particolari, è richiesto un consenso esplicito. Secondo l’Art.29 Working Party, il termine “esplicito” si riferisce alla modalità con la quale viene fornito il consenso: può essere fornito non solo mediante una dichiarazione scritta, ma anche “compilando un modulo elettronico, inviando un’e-mail, caricando un documento scansionato con la firma dell’individuo o utilizzando una firma elettronica[14]. Una dichiarazione orale potrà comunque soddisfare i requisiti del consenso esplicito, ma in tal caso sarebbe difficile dimostrare che siano tutti rispettati. I titolari di trattamento dovranno infatti sempre dimostrare il consenso ottenuto e conservarlo per un periodo coerente con le finalità del trattamento.

Nella ricerca Mulder[15], effettuata nel 2019, è stato sottolineato come molte app e molti siti web non soddisfino pienamente le condizioni previste dall’Art.29 Working Party, in particolar modo in riferimento al consenso esplicito. Lo studio menzionato non è l’unico a sollevare tale problematica: in molti hanno dimostrato che, a causa di condizioni strutturali non ottimali e a causa di carenze normative in materia di protezioni dei dati, l’utente fornirà spesso un consenso non pienamente informato.[16]

Ulteriore problematica si pone in merito alla relazione che intercorre fra il consenso e l’AI. Come più volte menzionato nel corso di tale articolo, l’AI comporta il trattamento massiccio di dati personali, compresi il targeting e la profilazione. Il requisito della specificità presuppone che il consenso al trattamento per un determinato scopo non implichi il consenso ulteriore all’analisi dei dati e alla profilazione.

L’Information Commissioner’s Office britannico (ICO) ha pubblicato nel marzo del 2017 uno studio[17] riguardante la compatibilità tra GDPR e l’AI, analizzando le condizioni per il trattamento dei dati e conseguentemente il consenso. Considerando l’enorme ammontare di dati, è consigliabile utilizzare il meccanismo delle notifiche “just in time”. In tal modo, l’interessato riceverà un avviso ogniqualvolta saranno utilizzati o condivisi i suoi dati.

Come accennato in precedenza, il consenso non sempre soddisfa i requisiti previsti dall’art. 4 comma 11 GDPR, per tale motivo l’ICO suggerisce lo sviluppo di nuove tecniche innovative che permettano un’azione positiva e cosciente dell’utente i cui dati saranno trattati. Uno studio dell’Humboldt University di Berlino ha sottolineato come l’utilizzo di Privacy-Icons[18], anche nel campo dell’AI, possa aiutare gli utenti a prestare un consenso più informato e cosciente grazie alla visualizzazione grafica degli aspetti relativi all’elaborazione dei dati e dei relativi rischi.

3.1 Quali altre basi giuridiche?

Anche nel contesto dell’AI, il trattamento può trovare fondamento in altre basi giuridiche. Da una lettura congiunta dell’art. 6 GDPR e dell’art. 5 GDPR, si evince che il legittimo interesse potrà costituire una giustificazione per il trattamento dei dati, a patto che siano rispettati i diritti e le libertà fondamentali dell’individuo. Dovrà essere effettuato un bilanciamento di interessi e dovranno essere valutate le circostanze del caso specifico. Se vi è un’altra modalità con la quale soddisfare l’interesse legittimo, il trattamento non sarà giustificato. [19]

I legittimi interessi non possono costituire una base giuridica nel caso di categorie speciali di dati personali.  Può accadere infatti che i sistemi di AI raggruppino i dati in modo tale da individuare le opinioni politiche, lo stato di salute o altri dati sensibili ai sensi dell’art. 9 GDPR.  Più il trattamento è intrusivo, maggiore è la protezione richiesta

Le altre basi giuridiche previste dall’art. 6 (1) dalla lettera b) alla lettera e) possono essere analizzate insieme, poiché tutte implicano la necessità del trattamento per una determinata finalità: (b) l’esecuzione di un contratto di cui l’interessato è parte o l’esecuzione di misure precontrattuali adottate su richiesta dello stesso; (c) l’adempimento di un obbligo legale; (d) la tutela di interessi vitali; (e) lo svolgimento di un compito nell’interesse pubblico o nell’esercizio dell’autorità pubblica. Tali basi giuridiche non potranno essere considerate giustificazione del trattamento dei dati non strettamente connesso alla realizzazione delle finalità sopramenzionate. L’utilizzo di dati per l’esecuzione di un contratto, ad esempio, non giustificherà l’utilizzo di essi per finalità di marketing. Lo studio STOA[20] ci illustra un altro scenario. Può accadere che i dati sanitari di un soggetto siano necessari per l’esecuzione di un contratto di assicurazione, però tale necessità non autorizzerà l’utilizzo degli stessi dati per offrire un nuovo contratto al medesimo soggetto a meno che quest’ultimo non lo abbia specificatamente richiesto.

 

 

[1] Cfr. Autorità Garante della Concorrenza e del Mercato, Autorità per le Garanzie nelle Comunicazioni, Garante per la protezione dei dati personali, “Indagine conoscitiva sui Big Data” (2020).

[2] Mitrou, Lilian, “Data Protection, Artificial Intelligence and Cognitive Services: Is the General Data Protection Regulation (GDPR) ‘Artificial Intelligence-Proof’?” (December 31, 2018), pag. 12. Disponibile SSRN: https://ssrn.com/abstract=3386914 o http://dx.doi.org/10.2139/ssrn.3386914 .

[3] Ibid.

[4] L’Articolo 4, comma 1, punto 7) GDPR definisce il titolare del trattamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

[5] L’Articolo 4, comma 1, punto 8) GDPR definisce il responsabile del trattamento come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

[6] Information Commissioner’s Office, autorità competente per la tutela dei dati personali nel Regno Unito.

[7] Michael Butterworth, “The ICO and artificial intelligence: the role of fairness in the GDPR framework”, in Computer law &security review (2018).

[8] Hert, Paul De, Serge Gutwirth, Rosamunde van Brakel, and Ronald Leenes. Data Protection and Privacy: (in)Visibilities and Infrastructures. Vol. 36 Springer International Publishing, 2017.

[9] European Parliamentary Research Service, il Servizio Ricerca del Parlamento europeo, che svolge analisi e ricerche indipendenti, oggettive e autorevoli sulle tematiche strategiche inerenti all’Unione europea, allo scopo di aiutare i deputati del Parlamento e le commissioni parlamentari nello svolgimento della loro attività parlamentare.

[10] Il Gruppo di lavoro “Articolo 29” (Art. 29 WP) era il gruppo di lavoro europeo indipendente che aveva lo scopo di occuparsi di questioni relative alla protezione della vita privata e dei dati personali.  Il 25 maggio 2018 è stato sostituito dal Comitato europeo per la protezione dei dati (EDPB) ai sensi del GDPR.

[11] Cfr. Gruppo di Lavoro Articolo 29 per la protezione dei dati, “Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679”, adottate il 3 ottobre 2017 e modificate in data 6 febbraio 2018, pagg. 37-38 della versione italiana.

[12] C-398/15 Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce / Salvatore Manni.

[13] European Parliament, “The impact of the General Data Protection Regulation (GDPR) on artificial intelligence”, 2020.

[14]Gruppo di lavoro articolo 29 per la protezione dei dati, parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva 95/46/CE.

[15] T. Mulder, “Health apps, their privacy policies and the GDPR”, European Journal of Law and Technology, Vol 10 No. 1, 2019.

[16] Camenish, J., Fischer, S., Rannenberg, “Privacy and Identity Management for Life”, 2011.

[17] ICO, “Big data, artificial intelligence, machine learning and data protection”, 2017.

[18] Zohar Efroni, Jakob Metzger, Lena Mischau and Marie Schirmbeck, “A Risk-Based Approach to Visualisation of Data Processing”, EDPL 3/2019.

[19] Mitrou, Lilian, Op. cit.

[20] European Parliament, “The impact of the General Data Protection Regulation (GDPR) on artificial intelligence”, 2020.

Share this article!

Share.

About Author

Leave A Reply