IA e protezione dei dati

Navigate the intersection of the EU AI Act and GDPR when deploying AI systems that process personal data.

Cos’è IA e protezione dei dati?

L’EU AI Act e il GDPR sono quadri giuridici indipendenti ma sovrapposti. Quando un sistema di intelligenza artificiale elabora dati personali, le organizzazioni devono conformarsi ad entrambi contemporaneamente. In questo esercizio utilizzerai un sistema di triage AI sanitario che dà priorità agli appuntamenti dei pazienti in base all'analisi dei sintomi. Si naviga tra i diritti dell'Articolo 22 del GDPR contro le decisioni automatizzate, i conflitti di minimizzazione dei dati con le richieste dei fornitori di più dati, i requisiti di doppia trasparenza e la differenza tra una DPIA e una FRIA. Un reclamo del paziente in tempo reale verifica se le misure di conformità funzionano nella pratica.

Cosa imparerai in IA e protezione dei dati

IA e protezione dei dati — Fasi della formazione

  1. Due framework, un sistema di intelligenza artificiale

    La legge UE sull’intelligenza artificiale e il GDPR si sovrappongono in modo significativo quando i sistemi di intelligenza artificiale trattano dati personali. Qualsiasi sistema di intelligenza artificiale che tratta dati personali deve essere conforme a entrambi i framework contemporaneamente. Base giuridica del GDPR : per il trattamento dei dati personali è necessario un fondamento giuridico valido. Articolo 22 del GDPR : gli individui hanno il diritto di non essere soggetti a decisioni puramente automatizzate con effetti significativi. Requisiti DPIA : una valutazione dell'impatto sulla protezione dei dati può essere richiesta ai sensi del GDPR per il trattamento ad alto rischio. Dati minimizzazione : possono essere trattati solo i dati necessari per lo scopo specifico. Si tratta di quadri giuridici indipendenti con propri meccanismi di applicazione, ma creano obblighi sovrapposti per i sistemi di IA che gestiscono i dati personali.

  2. Panoramica del sistema di triage AI

    Wellspring Health Services ha sviluppato un sistema di triage basato sull'intelligenza artificiale per aiutare a gestire gli appuntamenti dei pazienti in modo più efficiente. Alice accede al portale clinico e apre la pagina di panoramica del sistema per esaminarne il funzionamento prima di condurre la valutazione della conformità.

  3. Articolo 22 GDPR: processo decisionale automatizzato

    L’articolo 22 del GDPR conferisce alle persone il diritto di non essere soggette a decisioni puramente automatizzate con effetti significativi. L’articolo 14 della legge sull’IA dell’UE richiede separatamente la supervisione umana per l’IA ad alto rischio. I due sono complementari: il GDPR crea un diritto del paziente, l’EU AI Act crea un obbligo di progettazione. Entrambi devono essere soddisfatti indipendentemente.

  4. Base legale per i dati sanitari

    Il sistema di triage elabora i dati sanitari, che costituiscono una categoria speciale ai sensi dell’articolo 9 del GDPR. I motivi standard del trattamento come l’interesse legittimo non sono sufficienti per i dati sanitari. Le opzioni di base giuridica corrette sono: Consenso esplicito (Art. 9(2)(a) GDPR) - il paziente dà un consenso esplicito e informato al trattamento dei propri dati sanitari da parte del sistema di IA. Necessario per cure o diagnosi mediche (Art. 9(2)(h) GDPR) - il trattamento è necessario per scopi sanitari ed è effettuato da un operatore sanitario o da una persona soggetta al segreto professionale obblighi. Il solo legittimo interesse non è mai sufficiente per il trattamento dei dati sanitari ai sensi del GDPR. Le organizzazioni devono identificare un'esenzione valida ai sensi dell'articolo 9 oltre a una base legale prevista dall'articolo 6.

  5. Controllo a metà esercizio

    Prima di continuare, considera ciò che hai imparato su come interagiscono il GDPR e l’EU AI Act.

  6. Minimizzazione dei dati e prestazioni dell'intelligenza artificiale

    Il fornitore di intelligenza artificiale ha richiesto l’accesso alle cartelle cliniche complete dei pazienti, sostenendo che dati più ampi migliorerebbero la precisione del triage. Tuttavia, il principio di minimizzazione dei dati del GDPR (articolo 5, paragrafo 1, lettera c)) richiede che vengano trattati solo i dati necessari per lo scopo specifico. Per il triage basato sui sintomi, il sistema necessita delle descrizioni attuali dei sintomi e dei dati demografici di base del paziente. L'anamnesi completa, la cartella clinica e la cronologia dei trattamenti passati sono eccessivi per determinare la priorità dell'appuntamento. Elaborare più dati del necessario viola il GDPR, anche se ciò migliorerebbe le prestazioni dell’intelligenza artificiale.

  7. Revisione dell'Informativa sulla privacy del paziente

    Alice apre l'informativa sulla privacy rivolta al paziente dal portale clinico. Un unico avviso può soddisfare sia il GDPR che l’EU AI Act, ma solo se copre ogni informativa richiesta.

  8. DPIA contro FRIA

    Per questo sistema di IA sanitario, potrebbero essere necessarie due valutazioni d'impatto separate: DPIA (valutazione dell'impatto sulla protezione dei dati) : richiesta dal GDPR quando il trattamento potrebbe comportare un rischio elevato per i diritti delle persone. Si concentra specificamente sui rischi relativi alla protezione dei dati : come i dati personali vengono raccolti, archiviati, trattati e protetti. FRIA (valutazione dell'impatto dei diritti fondamentali) : richiesta ai sensi dell'articolo 27 della legge sull'intelligenza artificiale dell'UE per gli utilizzatori di sistemi di intelligenza artificiale ad alto rischio. Copre tutti i diritti fondamentali in modo più ampio: non discriminazione, dignità, accesso all'assistenza sanitaria, libertà e diritto a un ricorso effettivo. Queste valutazioni hanno scopi giuridici diversi e hanno ambiti diversi. Possono essere condotti insieme come esercizio combinato, ma ciascuno deve soddisfare i requisiti del rispettivo regolamento.

  9. Un reclamo del paziente

    La dottoressa Sarah Park contatta Alice su Telegram riguardo a una paziente che non è soddisfatta della priorità assegnata dall'intelligenza artificiale. Alice deve consigliare il Dr. Park su come rispondere entro i limiti dell'articolo 22 del GDPR e degli obblighi di supervisione umana della legge sull'intelligenza artificiale dell'UE.

  10. Punti chiave

    Ecco cosa ricordare quando i sistemi di IA trattano i dati personali: La doppia conformità è obbligatoria: i sistemi di IA che trattano i dati personali devono rispettare sia il GDPR che la legge UE sull'AI. Si tratta di quadri indipendenti con applicazione separata. Il controllo umano serve entrambi i quadri: l'articolo 22 del GDPR e l'articolo 14 della legge sull'intelligenza artificiale dell'UE richiedono entrambi il controllo umano delle decisioni automatizzate, ma per ragioni legali diverse. Sono complementari, non sostitutivi. La minimizzazione dei dati si applica anche quando più dati sarebbero utili: L'elaborazione di più dati del necessario viola il GDPR indipendentemente dal fatto che migliori le prestazioni dell'intelligenza artificiale. Le informative sulla privacy devono soddisfare entrambi i framework: Il GDPR richiede trasparenza sul trattamento dei dati; la legge dell’UE sull’intelligenza artificiale richiede trasparenza sull’utilizzo del sistema di intelligenza artificiale. Entrambi possono essere affrontati in un unico avviso. Possono essere richieste sia la DPIA che la FRIA: Una DPIA si concentra sui rischi per la protezione dei dati; una FRIA copre tutti i diritti fondamentali. Perseguono scopi diversi anche se condotti insieme. I pazienti hanno un duplice diritto: il diritto alla spiegazione e al controllo umano esiste sia ai sensi del GDPR che della legge sull'intelligenza artificiale dell'UE, offrendo agli individui protezioni complementari.