La competenza in materia di IA come nuova qualifica di base per i responsabili della protezione dei dati

I responsabili della protezione dei dati hanno bisogno di competenze in materia di IA.
Categorie:
, ,
Immagine di Marcus Belke

Marcus Belke

CEO di 2B Advice GmbH, che guida l'innovazione nella privacy conformità e di gestione del rischio e di guidare lo sviluppo di Ailance, la nuova generazione di prodotti per la salute. conformità piattaforma.

Con l'emergere di potenti tecnologie di IA, crescono anche le esigenze dei responsabili della protezione dei dati. I dati sono infatti il carburante dell'IA moderna e i responsabili della protezione dei dati si trovano all'interfaccia tra innovazione, governance dei dati e rischio normativo. Questo crea un campo di tensione: il GDPR richiede una rigorosa Minimizzazione dei dati, mentre i sistemi di intelligenza artificiale spesso si basano su enormi quantità di dati per ottenere risultati migliori. Le organizzazioni devono trovare un equilibrio tra questi requisiti contrastanti. I responsabili della protezione dei dati dovrebbero svolgere un ruolo chiave in questo senso e stabilire dei paletti per un uso lecito, etico e affidabile dell'IA.

Da gestori di dati a consulenti strategici di intelligenza artificiale

Il ruolo dei responsabili della protezione dei dati e della conformità si sta evolvendo in modo strategico. Mentre in passato agivano principalmente come amministratori dei dati, ora ci si aspetta che diventino consulenti in materia di IA su un piano di parità. Il regolamento sull'IA sottolinea questa evoluzione: definisce regole basate sul rischio per i sistemi di IA e obbliga le aziende a creare strutture di governance dell'IA adeguate. L'articolo 4 del regolamento AI richiede espressamente ai fornitori e agli utenti di sistemi di IA di garantire che il loro personale abbia un „livello sufficiente di competenza in materia di IA“, indipendentemente dal livello di rischio del sistema di IA. Questo obbligo di formazione si applica non solo ai dipendenti interni, ma anche a soggetti esterni come appaltatori o fornitori di servizi. I responsabili della protezione dei dati (DPO) si trovano quindi a dover integrare la conformità all'IA nella loro gamma di compiti e ad adeguare continuamente le loro conoscenze.

Anche se molti responsabili della protezione dei dati ritengono di non avere le competenze tecniche necessarie per occuparsi di questioni legate all'intelligenza artificiale: Tuttavia, per il loro ruolo non sono necessarie conoscenze approfondite di programmazione o di informatica. Ciò che è più importante è la volontà di riconoscere l'IA come parte della propria area di responsabilità. Questo perché quasi tutte le moderne applicazioni di IA trattano dati personali e spesso sensibili. Se i responsabili della protezione dei dati non rivendicano attivamente questo spazio di manovra, lo faranno altri stakeholder interni. In questo caso, il GDPR Pur mantenendo il suo mandato principale, diventerebbe una sottodisciplina di una più ampia governance dell'IA guidata da altri. Il suo ruolo e la sua influenza come DPO diminuirebbero. E questo in un momento in cui il loro coinvolgimento è più importante che mai.

In effetti, le autorità di regolamentazione sottolineano che la governance dell'IA non è una questione puramente tecnica. Ad esempio, le linee guida sull'ICO del Regno Unito si rivolgono specificamente a Persone responsabili nei ruoli di compliance, compresi i responsabili della protezione dei dati, anche se alcuni termini tecnici richiedono il contributo di esperti tecnici. L'alta dirigenza e i responsabili della protezione dei dati rimangono responsabili della comprensione delle questioni di protezione dei dati legate all'IA e non possono semplicemente delegare questo compito ai team di data science. Non è quindi necessario che i responsabili della protezione dei dati diventino ingegneri dell'IA, ma è necessario che ne sappiano abbastanza per porre le domande giuste e vagliare con competenza le decisioni prese dai reparti specializzati.

Competenze AI + competenze legali: la chiave per un DPO a prova di futuro

L'uso crescente dell'IA aggrava in modo significativo i rischi esistenti per la protezione dei dati e la sicurezza. Le violazioni possono avere conseguenze più gravi, gli effetti sono più estesi e il monitoraggio diventa più complesso, poiché i sistemi di IA spesso operano in modo opaco. Sebbene il Regolamento generale sulla protezione dei dati fornisca un quadro di protezione, da solo non è sufficiente a gestire pienamente i rischi specifici dell'IA. È proprio per questo che la classica mentalità basata sul rischio dei responsabili della protezione dei dati è oggi indispensabile.

Le applicazioni di IA possono produrre errori o abusi su scala più ampia, ad esempio la discriminazione sistematica attraverso pregiudizi nei dati di addestramento o decisioni automatiche incontrollate. I modelli di IA possono rafforzare i pregiudizi esistenti e penalizzare alcuni gruppi. Ne sono un esempio i sistemi di riconoscimento facciale con calibrazione errata. La natura di scatola nera di molti algoritmi di IA rende inoltre difficile capire il motivo di una decisione. In caso di dubbio, questo ostacola la responsabilità. Inoltre, i modelli possono essere soggetti a deriva dopo l'implementazione se i dati o gli ambienti cambiano. Per le aziende, ciò significa che la „privacy by design” e le valutazioni d'impatto sulla protezione dei dati devono iniziare ancora prima ed essere considerate in modo più completo. I DPO dovrebbero incorporare i principi della protezione dei dati nei progetti di IA fin dall'inizio, per minimizzare in modo proattivo i rischi prima che i sistemi entrino in funzione.

Questa necessità è sottolineata dai requisiti dell'UE. Ad esempio, il Regolamento AI richiede misure rigorose lungo l'intero ciclo di vita dei sistemi AI „ad alto rischio”. Queste includono, ad esempio, valutazioni del rischio, gestione del rischio, registrazione di tutti i processi e nomina di un responsabile per il monitoraggio della conformità. L'introduzione di sistemi di IA senza una formazione sufficiente del personale o controlli adeguati può essere considerata un comportamento negligente, che può portare a multe più elevate in caso di violazioni. Le aziende che vogliono sfruttare le opportunità offerte dall'IA fanno quindi bene ad affidarsi alle competenze del loro responsabile della protezione dei dati. I loro strumenti tradizionali - come la valutazione dei rischi, l'implementazione della privacy by design e l'esecuzione di DPIA - sono più richiesti che mai. È sufficiente adattarli al complesso ambiente dell'IA.

Suggerimento di lettura: Implementare con successo la governance dell'IA

Cosa devono sapere i DPO sull'IA (selezione)

Per svolgere il loro ruolo ampliato, i responsabili della protezione dei dati devono avere una conoscenza di base dei sistemi di IA e dei loro rischi. Le aree importanti di conoscenza includono

  • Funzionalità e categorie dei sistemi di IA: Come vengono sviluppati, addestrati e distribuiti i modelli di IA. Ciò include una panoramica dei modelli classici di apprendimento automatico, dell'IA generativa (ad es. LLM) e dei sistemi di IA ad alto rischio che rientrano nel regolamento sull'IA. I DPO devono conoscere i quattro livelli di rischio del regolamento AI e sapere quali applicazioni rientrano in quale categoria.

  • Termini tecnici chiave: comprendere termini come set di dati, addestramento, inferenza del modello (trarre conclusioni) e input/output dei sistemi di IA. Solo così è possibile valutare correttamente i flussi e l'elaborazione dei dati. Ad esempio, è importante sapere come un set di dati di addestramento possa influenzare le prestazioni e le distorsioni di un modello.

  • Ciclo di vita dei sistemi di intelligenza artificiale: Le fasi vanno dallo sviluppo e dall'addestramento di un modello all'implementazione, all'utilizzo e al monitoraggio continuo. In ogni fase possono emergere rischi diversi, ad esempio le impostazioni di protezione dei dati nella fase di sviluppo, la qualità dei dati durante la formazione, la deriva del modello durante il funzionamento o la risposta agli incidenti durante il monitoraggio.

  • Qualità dei dati ed etica: come i dati di formazione e di test influenzano il comportamento dei modelli di IA. I DPO devono prestare attenzione all'origine, alla rappresentatività e alla qualità dei dati. Anonimizzazione dei dati per ridurre al minimo rischi quali la discriminazione o la reidentificazione. Devono inoltre avere familiarità con concetti quali le allucinazioni (contenuti inventati dai modelli generativi) o le distorsioni/bias dei dati.

  • Rischi tipici legati all'IA: Oltre a distorsioni e allucinazioni, questi includono la deriva del modello (deterioramento strisciante), la mancanza di trasparenza dovuta a modelli complessi a scatola nera, l'(in)equità dei risultati e l'eccessiva dipendenza dalle decisioni automatizzate (automation bias). Questi rischi devono essere riconosciuti e valutati dal punto di vista della protezione dei dati.

  • Obblighi di documentazione e verifica: Il regolamento AI richiede un'ampia Documentazione e Trasparenza. I DPO devono sapere quali registrazioni devono essere conservate per i sistemi di IA (ad esempio, registri degli eventi, registri dei dati tecnici, ecc.) Documentazione) e quali obblighi di fornire informazioni e spiegazioni esistono nei confronti degli interessati. Ad esempio, le persone hanno il diritto di essere informate quando interagiscono con l'IA e di contestare le decisioni prese dall'IA.

Primi passi: Come i DPO possono creare competenze in materia di IA

Nessuno si aspetta di diventare un esperto di IA da un giorno all'altro. Tuttavia, ci sono modi pratici in cui i responsabili della protezione dei dati possono acquisire gradualmente le competenze necessarie:

  • Utilizzare demo interne di IA: Partecipate a dimostrazioni interne di IA o a sessioni di onboarding per nuovi strumenti di IA. In questo modo vi farete un'idea dei casi d'uso e potrete porre domande in una fase iniziale, ad esempio sulle fonti dei dati, sui modelli utilizzati e sulla prevenzione dei pregiudizi.

  • Workshop con team specializzati: Cercate il dialogo con i team di data science, IT o sicurezza della vostra azienda. Workshop congiunti o riunioni di gruppo possono aiutare a condividere le conoscenze. Fate domande tecniche di base (ad esempio: „Come viene addestrato il nostro modello di IA e quali dati vengono utilizzati?“).

  • Ottenere informazioni sui produttori: Utilizzare le sessioni dei fornitori o dei produttori di IA (ad esempio i webinar dei produttori di strumenti di IA, dei fornitori di cloud, ecc.) per saperne di più sull'architettura dei sistemi utilizzati. Capire da dove provengono i dati, come fluiscono, dove vengono archiviati e quali interfacce esistono.

  • Analizzare i propri casi d'uso dell'IA: Esaminate più da vicino i progetti di IA già in corso nella vostra organizzazione. Dove ci sono flussi di dati critici? Che tipo di dati personali vengono utilizzati e sono davvero quelli minimi richiesti? Alcuni tipi di rischio (distorsioni, imprecisioni, mancanza di spiegazioni) si verificano ripetutamente?

  • organi di governo: Se la vostra azienda ha già un comitato direttivo interno sull'IA o un consiglio di governance sull'IA, cercate di parteciparvi o almeno di seguirne i verbali. In questo modo, sarete coinvolti nelle decisioni importanti e potrete introdurre la prospettiva della protezione dei dati in una fase iniziale.

  • Coinvolgetevi presto nei progetti: Insistere per essere coinvolti fin dalla fase di definizione del problema di un progetto di IA. Chiarite insieme ai dipartimenti specializzati quale sia il problema aziendale da risolvere prima di procedere all'acquisizione dei dati e alla selezione dei modelli. Chiedere se lo stesso obiettivo può essere raggiunto con meno dati personali e quali campi di dati sono davvero indispensabili. Questi impulsi di privacy-by-design all'inizio risparmiano molti sforzi in seguito.

DPO come responsabile AI

Sebbene il regolamento sull'IA non preveda un ruolo obbligatorio per un „responsabile dell'IA”, le aziende devono creare responsabilità interne per adempiere agli obblighi del regolamento. Alcune organizzazioni nominano quindi volontariamente un responsabile dell'IA per coordinare la conformità alle norme sull'IA. Tuttavia, un responsabile della protezione dei dati ben informato può spesso assumere questo ruolo o lavorare a stretto contatto con un responsabile dell'IA, con un impatto positivo sulla governance integrata.

In ogni caso, è importante colmare il divario tra legge e tecnologia. I responsabili della protezione dei dati con competenze in materia di protezione dei dati e IA diventeranno indispensabili per la vostra organizzazione, in quanto possono classificare i requisiti legali nel contesto tecnico e quindi identificare i rischi in una fase iniziale.

Volete rendere i vostri dati adatti all'IA e proteggerli?

Con Ailance DSB mettiamo a disposizione responsabili della protezione dei dati certificati che non solo sono conformi al GDPR, ma anche avere le competenze adeguate in materia di IA e vi guiderà attivamente attraverso i requisiti del regolamento AI.

Per saperne di più su Ailance DSB, cliccate qui.

Marcus Belke è amministratore delegato di 2B Advice, nonché avvocato ed esperto di informatica per Protezione dei dati e digitale Conformità. Scrive regolarmente di governance dell'IA, conformità al GDPR e gestione del rischio. Potete trovare maggiori informazioni su di lui sul sito Pagina del profilo dell'autore.

Contattateci
Tag:
, , , , , ,
Condividi questo post :

Categorie più popolari

Newsletter

Iscrivetevi alla nostra newsletter sulla protezione dei dati per ricevere gli ultimi aggiornamenti, consigli e approfondimenti direttamente nella vostra casella di posta elettronica.
Abbonarsi

Ultimi messaggi