Le autorità per la protezione dei dati controllano l'uso dell'IA: le aziende devono rispondere subito a queste 7 domande

Autorità garanti della protezione dei dati IA
Categorie:
,
Immagine di Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, direttore editoriale di 2B Advice, unisce competenze giuridiche e giornalistiche in Protezione dei datiConformità informatica e regolamentazione dell'IA.

Attualmente diverse aziende stanno ricevendo lettere dalle autorità garanti della protezione dei dati in merito all'uso dell'IA. La base giuridica è una richiesta di informazioni ai sensi dell'articolo 58, paragrafo 1, lettera a). GDPR, con cui le autorità esercitano la loro competenza di controllo. In questo modo, le autorità di vigilanza intendono evidentemente ottenere una panoramica aggiornata sull'uso dell'IA nelle aziende, in particolare nel settore delle risorse umane. Quali domande concrete pongono le autorità di protezione dei dati e come dovrebbero reagire le aziende quando ricevono una richiesta di informazioni.

Contesto: indagine delle autorità di protezione dei dati sull'uso dell'IA

Abbiamo ricevuto una lettera originale dal Commissario statale per la protezione dei dati e la libertà di informazione della Renania-Palatinato. L'obiettivo dell'indagine è “lo status quo della digitalizzazione nelle risorse umane e analizzare la misura in cui le aziende utilizzano strumenti supportati dall'IA.

L'autorità sottolinea espressamente che l'IA è particolarmente importante nella Elaborazione L'uso di grandi quantità di dati crea un nuovo potenziale di efficienza, che aumenta ulteriormente la necessità di test.

Suggerimento per il collegamento: Impiego dell'IA e compiti di vigilanza sulla protezione dei dati (Il garante regionale per la protezione dei dati e la libertà di informazione della Renania-Palatinato)

Le aziende devono rispondere a queste 7 domande sull'utilizzo dell'IA

La richiesta di informazioni comprende sette domande dettagliate. L'oggetto della lettera rende già chiara la direzione di marcia: „Trattamento dei dati nella gestione del personale; utilizzo di Intelligenza artificiale (AI)“.“

Le aziende devono rispondere alle seguenti domande:

  1. Quali software/strumenti informatici utilizzate nella vostra azienda per la gestione del personale? Descrivete le funzioni dello strumento informatico e indicate le categorie di dati personali che vengono trattati con esso.

  2. Si prega di presentare tutti i documenti di trattamento rilevanti ai sensi dell'art. 30. GDPR in relazione al Elaborazione dei dati personali.

  3. Se sono state effettuate valutazioni d'impatto sulla protezione dei dati in relazione alla gestione del personale, si prega di presentarle.

  4. Se non si è già risposto alla domanda 1: Quali strumenti software/informatici utilizzate per eseguire le procedure di richiesta? Descrivete il trattamento dei dati.

  5. Se la vostra azienda utilizza uno strumento informatico che funziona sulla base dell'intelligenza artificiale o si affida all'intelligenza artificiale per alcune delle sue funzionalità, potete utilizzare questo strumento nei seguenti modi Intelligenza artificiale viene utilizzato? Se sì, descrivete lo scopo dello strumento e il suo funzionamento. Indicare anche il modello di intelligenza artificiale su cui si basa lo strumento informatico.

  6. Se la risposta alla domanda 5 è sì: Questi strumenti informatici sono utilizzati dai dipendenti o sono utilizzati per il trattamento dei dati personali? In particolare, si prega di descrivere il trattamento effettuato in questo contesto Elaborazione dei dati personali.

  7. Se la risposta alla domanda 5 è sì: Vengono utilizzati strumenti di intelligenza artificiale nel processo di candidatura?


In tutte le risposte, le aziende devono anche spiegare come vengono gestiti tecnicamente gli strumenti (ad esempio SaaS, IaaS, on-premise).

Quando si deve rispondere alle domande 6 e 7?

Le aziende devono prestare molta attenzione alla formulazione delle domande:
La domanda 5 si riferisce all'uso dell'IA in tutta l'azienda, non solo nel settore delle risorse umane.

Ciò significa che:

  • Se nell'azienda viene utilizzato uno strumento di IA (ad es. MS 365 Copilot, ChatGPT, strumenti di analisi basati sull'IA),
  • anche se non vengono trattati dati personali,
  • la risposta alla domanda 5 deve essere „Sì“.


In questo caso è necessario rispondere anche alle domande 6 e 7. Se l'uso dell'IA non riguarda la gestione del personale, è possibile rispondere negativamente alle domande.

Ciò comporta un aumento del lavoro di documentazione e verifica.

Suggerimento di lettura: Ecco perché le mappe modello sono così importanti per la documentazione AI

Raccomandazioni per le aziende

Le aziende non devono sottovalutare la richiesta di informazioni da parte delle autorità. I seguenti passi sono utili:

1. inventario completo di tutti gli strumenti informatici e di intelligenza artificiale utilizzati

È necessario prendere in considerazione anche le funzioni di intelligenza artificiale nascoste nei software standard (ad esempio, suite HR, sistemi di gestione dei candidati, strumenti per l'ufficio).

2. aggiornare le directory di elaborazione

In collaborazione con i dipartimenti specializzati, si deve garantire che tutti i processi in conformità con l'Art. 30 GDPR sono correttamente documentati.

3. Esame dell'obbligo di DPIA per i processi supportati dall'intelligenza artificiale.

L'intelligenza artificiale che elabora i dati del personale, ad esempio nel settore del reclutamento, può essere necessariamente una Valutazione dell'impatto sulla protezione dei dati (DSFA) sono necessari.

4. documentare i modelli tecnici operativi

Le autorità attribuiscono sempre più importanza alle informazioni sull'hosting, sulle sedi di archiviazione, sui centri dati e sull'architettura dei servizi.

5. chiarire le responsabilità interne

Risorse umane, IT, protezione dei dati e, se applicabile. Conformità devono procedere in modo coordinato per rispettare le scadenze.

6. far controllare la lettera dal punto di vista legale

Informazioni errate o incomplete possono comportare richieste di chiarimenti o verifiche approfondite. Per evitare provvedimenti da parte delle autorità di vigilanza, è opportuno far verificare la richiesta da un esperto in materia di protezione dei dati.

Conclusione

Le attuali richieste di informazioni mostrano chiaramente che le autorità di vigilanza si stanno concentrando sempre più sull'uso dell'IA nella gestione delle risorse umane e nelle aziende nel loro complesso. Le aziende dovrebbero esaminare attentamente tali lettere e assicurarsi che tutte le informazioni siano complete, corrette e legalmente valide.

Avete bisogno di supporto per rispondere a una richiesta ufficiale di informazioni o per valutare il vostro utilizzo dell'IA? I nostri esperti di protezione dei dati esamineranno la vostra lettera, prepareranno i documenti necessari e vi supporteranno in tutti i requisiti normativi. Contattateci per una consulenza iniziale non vincolante.

Suggerimento: con Governance Ailance AI avete una visione d'insieme di tutti i modelli di IA utilizzati nella vostra azienda. Il Documentazione per il Autorità di vigilanza puoi creare in modo semplice e veloce.

Aristotelis Zervos è direttore editoriale di 2B Advice, avvocato e giornalista esperto di protezione dei dati, GDPRconformità informatica e governance dell'IA. Pubblica regolarmente articoli di approfondimento sulla regolamentazione dell'IA, sulla conformità al GDPR e sulla gestione del rischio. Per saperne di più su di lui, visitate il sito Pagina del profilo dell'autore.

Contattateci
Tag:
Condividi questo post :

Categorie più popolari

Newsletter

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.
Abbonarsi

Ultimi messaggi