loader image
COOKIE CONNECT MILANO: L’Avv. Andrea Baldrati tra i relatori

COOKIE CONNECT MILANO: L’Avv. Andrea Baldrati tra i relatori

Il prossimo 21 Ottobre si terrà in conference call il Cookie Connect Milano, un workshop gratuito organizzao da One Trust, piattaforma leader nel management privacy.

L’evento sarà incentrato sulla guida globale ai cookie da parte delle autorità di regolamentazione e dai garanti nazionali, come ICO, CNIL, CCPA, LGPD e PDPA, nonché sui cambiamenti tecnologici in atto che stanno influenzando il futuro dei cookie e del consenso.

1. I TEMI DELL’EVENTO: UN FOCUS SUI COOKIE WALL

All’interno del panel di esperti sarà presente anche l’Avv. Andrea Baldrati, che approfondirà alcuni aspetti normativi legati ai cookie, anche alla luce delle recenti linee guida sul consenso emesse dall’EDPB (il Comitato Europeo sulla protezione dei dati personali), che ha affrontato il tema del cookie wall, deponendo per la sua non conformità.

Una pratica, quella del cookie wall, che si pone in netto contrasto con il principio di libertà del consenso, mettendo l’utente nella condizione di dover scegliere tra rilasciare il consenso e quindi accedere al sito, oppure non rilasciarlo con la consuegenza di non potervi accedere.

Questo scenario rappresenta una chiara violazione del GDPR (cfr. art. 7 pgf 4) in quanto il consenso ai cookie condiziona l’accesso al sito web: l’utente sa che senza consenso non potrà usufruire delle funzionalità o dei contenuti di quel sito per cui è chiaro che la scelta di rilasciarlo non può ritenersi libera.

Verrà inoltre affrontato il tema del legittimo interesse, come base di back-up dei cookie in caso di diniego del consenso da parte dell’utente.


Una pratica diffusa di recente per ovviare alla “morte” del consenso per i cookie di terze parti, ma che si appalesa del tutto contraria ai principi di accountability.
Il Titolare, infatti, proprio sulla base di tale principio, è chiamato a scegliere la base giuridica più appropriata rispetto al tipo di trattamento effettuato (anche con riguardo ai cookie); ma una volta che è stata fatta una scelta non si può optare per una base giuridica di riserva.

Diversamente, l’utente non sarebbe più messo nelle condizioni di capire qual è la base giuridica effettivamente attiva in corrispondenza di un dato trattamento.

Inoltre, il legittimo interesse rappresenta un base giuridica complessa, che necessita di un apposito bilanciamento di interessi prima di essere applicata, per cui non può certo essere implementata come base giuridica di back-up.

2. IL PROGRAMMA DELL’EVENTO

Questi ed altri temi verranno approfonditi nel corso del Cookie Connect di Milano che avrà inizio alle ore 10.
Di seguito vi riportiamo il programma dell’evento

10.00 | Benvenuti e Introduzione
10.10 | Guida all’applicazione & gestione dei cookie
10.30 | Best Practices per la conformità cookie
10.50 | Panel di esperti
11.20 | Q&A

Saranno inoltre presenti tra il Panel di relatori anche Valentina Raineri, Country Offering Manager & Solutions Engineer di OneTrust, Fabrizio Mazzoli, Italy General Counsel presso Amplifon e Giampiero Lago, Web Area Manager presso Fondazione Telethon.

È possibile iscriversi gratuitamenteall’evento tramite il seguente indirizzo: https://bit.ly/3nSBSQf

La locandina dell’evento del 21.10.20 | Cookie Connect Milano | L’elenco del Panel di Esperti.
TARGETING SUI SOCIAL: i rischi privacy del titolare di una Fan Page

TARGETING SUI SOCIAL: i rischi privacy del titolare di una Fan Page

Le pagine social aziendali (c.d. fanpage) sono uno strumento di marketing indispensabile – anche e sopratutto – per i servizi di targeting offerti dai fornitori (come Facebook), che consentono ai titolari di quelle pagine di trasmettere messaggi commerciali e/o promozionali ad utenti mirati, così da generare le famose conversioni, dal click all’acquisto del prodotto o servizio.

1. LE RESPONSABILITÀ DELL’AMMINISTRATORE DELLA FAN PAGE E DEL SOCIAL NETWORK

Le campagne di targeting possono offrire ritorni economici macroscopici, ma allo stesso tempo pongono serie criticità sotto il profilo del trattamento dei dati personali degli utenti; criticità di cui l’amministratore della pagina social deve tenere conto, ma di cui spesso si è poco consapevoli.

E di fatti, proprio perchè la campagna di targeting viene creata all’interno di un social network, si è portati erronamente a ritenere che il fornitore del servizio – il Facebook o Linkedin di turno – sia l’unico responsabile ai sensi della normativa privacy.
Niente di più sbagliato!

La Corte di Giustizia Europea, a partire dal caso “Wirtschaftsakademie” (C-210/16), ha infatti chiarito che l’amministratore di una “fan page” incide sulla tipologia di trattamento dei dati personali degli utenti, ad esempio definendo i criteri in base ai quali devono essere elaborate le statistiche o designando le categorie di persone a cui inviare messaggi o annunci, selezionando una audience mirata.

Per questo motivo, l’amministratore va inteso come un “soggetto attivo” che, come tale, ha delle proprie responsabilità in materia di privacy nel momento in cui progetta campagne di targeting.

Richiamandoci al gergo specialistico della normativa privacy europea (c.d. GDPR), esiste quindi un rapporto di co-titolarità fra il social media provider (es. Facebook) e l’amministratore della pagina. Bisogna però fare chiarezza sul punto: co-titolarità non significa necessariamente uguale responsabilità in ogni fase del trattamento dei dati.

Il concetto è piuttosto intuitivo se lo associamo ad un caso concreto: l’amministratore di una pagina Facebook può certo scegliere fra un ventaglio di criteri di targeting degli utenti (età, genere, residenza ecc…), ma il numero e la tipologia di tali criteri sono stati già decisi a monte dal Social Network.

Pertanto la responsabilità congiunta si estenderà a quelle fasi di trattamento in cui entrambi gli attori coinvolti hanno inciso sulle modalità del trattamento; nel caso di prima, si estenderà al trattamento dei dati personali conseguenti alla selezione dei criteri di targeting e alla successiva visualizzazione dell’annuncio pomozionale al pubblico scelto; coprirà anche la fase di report statistico, qualora il provider fornisca all’amministratore i risultati della campagna di targeting.

Ma di certo non si estenderà alle operazioni di trattamento che si verificano ad esempio prima della selezione dei criteri di targeting pertinenti, su cui l’amministratore non avrà avuto alcun potere decisionale.

2. I RISCHI PRIVACY DI UNA CAMPAGNA DI TARGETING

  • Un primo rischio riguarda il minor controllo che gli utenti esercitano sui propri dati personali, che spesso vengono utilizzati per finalità ulteriori e non previste rispetto a quelle per le quali gli stessi utenti li hanno ceduti o divulgati all’interno della piattaforma social.
  • Un secondo tipo di rischio riguarda la possibilità di discriminazione. Le campagne di targeting possono infatti generare effetti discriminatori in relazione alla razza o all’origine etnica, allo stato di salute o all’orientamento sessuale di un individuo o ad altre caratteristiche ritenute sensibili. Ad esempio, l’uso di tali criteri nel contesto dell’annuncio di una offerta di lavoro può ridurre la visibilità di questa opportunità di lavoro a persone che rientrano in determinati gruppi di individui, spesso sulla base di deduzioni maturate dagli algoritmi del social network (es. orientamento politico in base alle pagine social di partiti o politici che segui). Questa tipologia di rischio ovviamente aumenta con l’uso di sistemi di intelligenza artificiale (ne abbiamo parlato QUI)
  • Un altro rischio è la possibile manipolazione degli utenti; un rischio accentuato nelle campagne di targeting, che hanno lo scopo di influenzare le scelte degli utenti. La vastità dei dati raccolti dai social permette di creare profili degli utenti basati anche su “emozioni” o preoccupazioni su cui fare leva per aumentare l’efficacia di un messaggio (il caso Facebook-Cambride Analytica è emblematico).

3. COME CREARE CAMPAGNE TARGETING CHE SIANO CONFORMI ALLE NORME PRIVACY?

Il primo passo è compiere una valutazione dei rischi privacy connessi alla campagna di targeting che vogliamo intraprendere.

Ogni caso è a sè stante, e quindi necessario il supporto di un consulente legale specializzato o del DPO (Data Protection Officer) se nominato, al fine di ponderare tutti i rischi conseguenti e il vostro livello di responsabilità, escludendo le responsabilità proprie del Social Network.

Questa valutazione è fondamentale, perchè laddove emerga che il trattamento dei dati connesso al targeting degli utenti presenta un rischio elevato, sarà necessario procedere ad una valutazione di impatto (c.d. Data Protection Impact Assessment), per mettere in campo una serie di misure atte a mitigare quel rischio (qui per approfondire).
Si pensi al caso di messaggi o annunci che sono inviati ad una audience vulnerabile (es. minori) o all’ipotesi di un advertising piuttosto intrusivo (es. messaggi in chat private).

Il tema è certamente complesso e richiede competenze specialistiche, le quali però saranno fondamentali per sfruttare a pieno e in sicurezza i servizi di targeting che oggi sono messi a disposizione di tutte le aziende che hanno deciso di avere una forte presenza sui Social.

PHISHING: attenzione alle mail sospette

PHISHING: attenzione alle mail sospette

Quando si apre la casella di posta capita spesso di trovare alcune mail apparentemente “normali” ma con alcuni dettagli che non vanno (ad esempio: errori marchiani di ortografia, problemi di formattazione testo, link lunghissimi e incomprensibili anticipati da un “clicca qui”, indirizzo mail del mittente non riconducibile all’estensore della mail, ecc.). Nonostante molte riproducano fedelmente la grafia e il contenuto delle mail e Pec inviate da Agenzia delle Entrate oppure dalla propria banca, o ancora da Poste o Enel, è possibile che ci si trovi di fronte ad una frode informatica: il c.d. Phishing.

Tale tecnica è utilizzata da soggetti chiamati Phisher per ottenere informazioni e dati personali del destinatario della mail (ad esempio, nome, cognome e documento d’identità; le credenziali della carta di credito o del conto corrente; Username e Password per accedere all’Home Banking o ad archivi contenenti informazioni lavorative segrete o riservate; ecc) al fine di riutilizzarli nei più svariati modi: concludendo contratti, effettuare pagamenti, trasferire denaro, oppure rubare informazioni fondamentali sul piano lavorativo, il tutto “spacciandosi” per il reale titolare dei dati e senza destare alcun sospetto.

Quando ci si accorge di essere stati vittima di Phishing (es.: movimenti strani nel conto corrente oppure vi vedete recapitare fatture per prestazioni mai richieste), il primo passo è quello di denunciare tempestivamente l’accaduto alle Autorità.
E’ inoltre possibile, in particolari casi di “attacco” al proprio conto corrente e di mancato rispetto di adeguati standards di sicurezza da parte dell’istituto di credito, chiedere il ristoro integrale delle somme alla propria banca (sarà possibile altresì, solamente nei casi concessi, rivolgersi all’ABF – Arbitrato Bancario Finanziario).
Nel caso invece di notifica di contravvenzioni stradali senza tuttavia essere mai stati nel luogo dell’indicata violazione (potrebbe essere stata rubata la vostra targa oppure noleggiata una vettura on line utilizzando la vostra carta d’identità) si dovrà immediatamente procedere con l’impugnazione del verbale, denunciando contestualmente il furto e utilizzo illecito dei dati.

MASTER SU INTELLIGENZA ARTIFICIALE: Andrea Baldrati tra i docenti

MASTER SU INTELLIGENZA ARTIFICIALE: Andrea Baldrati tra i docenti

L’intelligenza artificiale è l’ultima frontiera della data protection e il futuro campo da gioco dei nostri diritti fondamentali.

Privacy Network, l’associazione no-profit che ha l’obiettivo di divulgare il tema della protezione dei dati personali e dell’esercizio dei relativi diritti da parte dei cittadini, ha da poco pubblicato un Master online di 4 week-end (20 h.) dal titolo “PRIVACY 4.0: INTELLIGENZA ARTIFICIALE & AUDITING” nel corso del quale parteciperà l’Avv. Andrea Baldrati in qualità di docente.

Il Corso si terrà nei weekend 9-10, 16-17, 23-24, 30-31 Ottobre 2020, il Venerdì dalle ore 14.30 alle ore 17.30, mentre il sabato dalle ore 11.00 fino alle ore 13.00.

1. PRESENTAZIONE DEL CORSO

Il corso affronta in modo trasversale il tema della data protection nel campo dell’intelligenza artificiale, per accrescere le competenze professionali dei partecipanti e fornire gli strumenti necessari ad affrontare i rischi derivanti dall’uso di sistemi di intelligenza artificiale.

Partendo da una descrizione di intelligenza artificiale e delle principali tipologie presenti sul mercato, durante il corso verrà esaminata la strategia europea e italiana per l’intelligenza artificiale.

Sarà poi introdotto e approfondito il tema dei processi decisionali automatizzati alla luce del GDPR, con esame dei rischi per le persone fisiche e i limiti attuali del GDPR.

Ai partecipanti sarà infine presentato un framework per l’audit dei sistemi di intelligenza artificiale, per assicurarne la compliance alla normativa per la protezione dei dati.

2. A CHI È RIVOLTO IL CORSO?

Il corso non richiede particolari competenze pregresse per potervi accedere, in quanto il primo weekend sarà dedicato ad una introduzione all’intelligenza artificiale, partendo però da ciò che non è, al fine di sfatare i numerosi falsi miti che aleggiano intorno a questo tema.
Dunque, il corso si rivolge a:

  • Professionisti della data protection (consulenti, DPO, giuristi specializzati, ecc.);
  • Privacy manager impegnati nella gestione dei processi privacy in azienda;
  • Sviluppatori impegnati nel design di algoritmi di intelligenza artificiale;
  • Chiunque voglia approfondire il tema della data protection nel campo dell’intelligenza artificiale.

3. PREZZO E MODULO DI ISCRIZIONE

Il Prezzo dell’intero corso è di € 273,00 + IVA riservato ai soci di Privacy Network, mentre di € 390,00 + IVA per chi non risulta iscritto all’associazione.
È possibile inoltre acquistare un singolo modulo del corso ad € 70,00 (per i soci) e € 100,00 (per i non soci).

A questo riguardo, vi ricordiamo che l’iscrizione all’associazione per il 2020 è fissata in € 10.00. Per chi fosse interessato, trova tutte le informazioni a questo link.

L’iscrizione del corso, invece, può essere effettuata tramite il modulo che trovate in calce alla brochure allegata di seguito, in cui sono indicate tutte le procedure necessarie per perfezionare la propria iscrizione.


NO AL PRIVACY SHIELD: ora cosa devono fare le imprese italiane?

NO AL PRIVACY SHIELD: ora cosa devono fare le imprese italiane?

Come noto, la Corte di Giustizia UE – con sentenza C-311/18 (Sentenza Schrems II) – ha dichiarato invalida la decisione sull’adeguatezza dello scudo per la privacy (c.d. Privacy Shield), quale meccanismo di autocertificazione delle aziende statunitensi che intendono ricevere dati dall’Unione Europea.

In sostanza, il Privacy Shield imponeva, a tutte le imprese USA che vi aderivano, una serie di obblighi inerenti la protezione dei dati personali. Lo scopo dichiarato dalla Commissione UE, promotrice dello scudo privacy, era quello di garantire un trasferimento di dati UE-USA sicuro e in linea con gli standard di protezione europei, qualora l’impresa americana destinataria dei dati ne avesse accolto i principi fondanti.

Il Privacy Shield poteva essere considerato una sorta di “bollino” certificatore che assicurava un livello adeguato di protezione dei dati di cittadini europei e allo stesso tempo permetteva alle imprese UE che trasferivano dati negli USA di essere conformi alla normativa privacy (GDPR), scegliendo quali destinatari di tali trasferimenti aziende statunitensi aderenti al Privacy Shield.

Proprio per questa ragione le più grandi corporation – a partire da Google e Microsoft – vi avevano aderito, rendendo così legittimo qualsiasi trasferimento di dati extra UE a loro favore.

La recente sentenza del 16 Luglio 20202 ha però letteralmente sconvolto questo sistema di garanzia, rendendo di fatto illegittimo qualsiasi trasferimento dei dati verso gli USA che si basava sul meccanismo del Privacy Shield.

La motivazione di questa decisione è complessa, ma proviamo a ridurla ad un principio di massima: la Corte di Giustizia ritiene che l’attuale sistema di controllo sui dati concesso alle autorità pubbliche statunitensi – in particolare per motivi di sicurezza nazionale – è così ingerente da contrastare con i principi di riservatezza e protezione dei dati personali europei (sanciti anche dalla Carta di Nizza).

La domanda legittima, che si stanno ponendo le aziende italiane ed europee, che si affidavano a sistemi cloud o servizi digitali di società statunitensi aderenti al Privacy Shield, è ovviamente: COSA DEVO FARE ORA PER TORNARE AD ESSERE CONFORME ALLA NORMATIVA PRIVACY EUROPEA?

Ci sembra utile rispondere a questa domanda prendendo a modello due macro-scenari, quello relativo ad una impresa già attiva e con una architettura digitale collaudata che si affidava in tutto o in parte alle garanzie del Privacy Shield, e quello invece afferente ad una impresa o start-up “in costruzione”, che sta progettando la sua realtà digitale.

1. IMPRESA ITALIANA IN COSTRUZIONE

Facendo tesoro del concetto di Privacy By Design, se siete ancora in fase di progettazione della struttura informatica su cui poggerà l’azienda, il consiglio è di affidarvi a SISTEMI CLOUD CON DATA CENTER IN UE, e di scegliere – per quanto possibile – servizi digitali europei.

Questo perchè la Sentenza Schrems II è una vera e propria dichiarazione di intenti: la volontà è quella di avviare un progetto di sovranità digitale europeo che favorisca le imprese europee del settore e in ogni caso, dopo questa sentenza, gli USA non sono più considerabili un Paese Terzo affidabile. Per cui è bene fin da ora orientarsi in una direzione che privilegi servizi e sistemi digitali europei, per eliminare qualsiasi problema alla radice.

2. IMPRESA ITALIANA CHE SI AFFIDAVA AL PRIVACY SHIELD

Siamo onesti, il primo pensiero – soprattutto per le imprese che lavorano nel digital – è per i servizi di GOOGLE.

Su questo punto, ci sentiamo di essere prima di tutto realisti. Google non potrà restare al palo, e di fatti l’azienda statunitense si sta già muovendo per rimediare agli effetti della Sentenza Schrems II, adottando le cc.dd. Clausole Standard, che rappresentano un altro strumento di garanzia alternativo.

In linea generale, andrà fatta una valutazione del rischio caso per caso, per capire quali e quanti dati dell’azienda sono trasferiti negli USA, oltre ad una considerazione dei meccanismi di sicurezza implementate dalle aziende statunitensi a cui ci affidiamo.

Restando sull’esempio di Google, una azienda italiana che profila gli utenti e raccoglie numerosi dati personali dei clienti, poggiando interamente sul cloud di Google con data center in USA, dovrà certamente porre in essere una migrazione dei dati verso sistemi cloud europei.
Diversamente, una società italiana che utilizza Google Analytics, con anonimizzazione dell’IP (quale funzione presente all’interno del servizio), e che si affida a sistemi cloud con data center europei, può dormire sonni tranquilli.

Nel mezzo c’è una vastità di scenari che andranno analizzati, mediante un attenta valutazione del rischio, nel segno del principio di accountability richiesto dalla normativa europea.

In questo senso, lo Studio Legale Baldrati & Strinati è attivo per fornire pareri legali alle imprese in ordine alle soluzioni logistiche da implementare – laddove necessarie – per tornare ad una situazione di piena conformità al GDPR, dopo gli effetti sconvolgenti della Sentenza Schrems II.


INTELLIGENZA ARTIFICIALE: i 7 principi di una Auditing Legale

INTELLIGENZA ARTIFICIALE: i 7 principi di una Auditing Legale

La progettazione e lo sviluppo di sistemi di intelligenza artificiale (IA) deve seguire canoni legali ed etici, dalla fase di training dei dati – per “allenare” l’algoritmo o il modello implementato – fino alla fase di output, che si sostanzia in una decisione automatizzata il cui esito può avere un forte impatto sui diritti e le libertà di chi è interessato a quella decisione.
Si pensi alla decisione automatizzata relativa alla concessione o meno di un mutuo da parte di una banca, sulla base di un algoritmo IA di credit-scoring che valuta l’affidabilità di un cliente.

Diventa pertanto decisivo dotarsi di risorse e professionalità anche legali che sappiano accompagnare l’impresa o l’ente impegnato nella realizzazione di sistemi IA, nella valutazione di tutti i rischi connessi, oltre alla implementazione di un reale processo di privacy by design (di cui abbiamo già parlato QUI in una recente news).

A tal rigurado, il Gruppo di esperti ad alto livello sull’intelligenza artificiale (AI HLEG), istituito dalla Commissione europea, ha di recente pubblicato linee guide utili al fine di raggiungere tale scopo, suddividendo la fase di auditing in sette diversi principi.

Lo Studio Legale Baldrati & Strinati, nel seguire i propri clienti, si avvale delle più recenti letterature in ambito IA, per modellare la propria consulenza legali agli standard europei, promossi dalla Commissione UE e dagli altri organi comunitari.

In questo senso, vediamo quali sono i 7 principi elencati all’interno delle linee guide, e quali potrebbe essere l’oggetto della relativa consulenza.

1. HUMAN AGENCY & OVERSIGHT (azione umana e controllo)

OGGETTO DELLA CONSULENZA: si studiano tutti gli effetti connessi al rapporto tra l’uomo-utente e il sistema di intelligenza artificiale.

OBIETTIVO #1: implementare una serie di misure by design, per rendere assolutamente trasparente questo rapporto. In particolare, l’utente deve sempre essere messo nelle condizioni di sapere quando un certo “output” o decisione è il risultato di una decisione algoritmica. Inoltre, il sistema IA non deve mai generare confusione, tale per cui l’utente non è in grado di capire se sta interagendo con una “macchina” o con un uomo.

OBIETTIVO #2: Un altro rischio da mitigare è quello connesso ad una dipendenza dell’utente nei confronti dei sistemi IA. Occorre individuare procedure che non inducano l’utente ad affidarsi ciecamente dei sistemi IA (un esempio, in futuro, sarà la guida autonoma).

OBIETTIVO #3: infine si dovrà assicurare che il sistema AI non influenzi la decisione dell’utente, affinchè questa decisione resti autonoma e libera.

OBIETTIVO #4: individuare quale tipo di controllo e di intervento è concesso all’utente nel corso della relazione con il sistema IA, scegliendo fra 4 diverse tipologie indicate dal Gruppo di Esperti

2. TECHNICAL ROBUSTNESS AND SAFETY (solidità tecnica e sicurezza)

OGGETTO DELLA CONSULENZA: valutare se il sistema AI raggiunge un grado di affidabilità accettabile, fornendo servizi che soni che sono giustificabili ex post e che sono resilienti, cioè in grado di gestire cambiamenti inaspettati o contraddittori derivanti dall’interazione umana o ambientale circostante.

OBIETTIVO #1: analizzare i rischi inerenti all’uso del sistema IA, implementando misure e procedure che rispondano ad alti standard di sicurezza informatica – per evitare alterazioni o manipolazioni di dati e garantire in merito alla esattezza e precisione dei dati e delle decisioni.

3. PRIVACY AND DATA GOVERNANCE

OGGETTO DELLA CONSULENZA: analizzare la conformità legale ai principi di protezione dei dati personali (normativa GDPR) e studiare soluzioni di adeguamento del sistema IA

OBIETTIVO #1: effettuare una valutazione dei rischi privacy (Data Protection Impact Assessment), e stabilire le misure necessarie per mitigare i rischi individuati

OBIETTIVO #2: implementare un sistema di Data Governance, che preveda l’esatta conoscenza dei dati acquisiti e trattati (anche tramite un apposito registro), oltre ad una serie di meccanismi che aumentino il livello di sicurezza del trattamento (es. cifratura, pseudonimizzazione)

OBIETTIVO #3: minimizzare i dati trattati allo stretto necessario. Meno dati significa meno responsabilità per chi li tratta.

4. TRANSPARENCY (trasparenza)

OGGETTO DELLA CONSULENZA: analizzare se i dati e i processi che portano alle decisioni del sistema di intelligenza artificiale sono adeguatamente documentati per consentire la tracciabilità delle stesse decisioni. Solo così sarà possibile monitorare sia la qualità dei dati e dei modelli immessi all’interno dell’algoritmo (input), sia la qualità del risultato (output).

OBIETTIVO #1: implementare procedure di log per registrare le decisioni e i processi che hanno portato ad una decisione.

OBIETTIVO #2: documentare ogni fase di decisione, per rendere quella decisione “giustificabile” all’utente se vuole comprenderne la ragione e/o logica.

OBIETTIVO #3: predisporre strumenti per comunicare all’utente quali sono i criteri e le finalità delle decisioni effettuate dall’algoritmo e quali gli eventuali rischi e i possibili margini di errore.

5. DIVERSITY, NON DISCRIMINATION AND FAIRNESS (pluralità, non discriminazione e correttezza)

OGGETTO DELLA CONSULENZA: monitorare i set di dati utilizzati nella fase di progettazione e sviluppo per garantire una composizione plurale e rappresentativa dei dati, evitando o limitando possibili pregiudizi.

OBIETTIVO #1: eliminare o limitare possibili BIAS (effetti discriminatori o parziali) connessi alle decisioni automatizzate dei sistemi IA

OBIETTIVO #2: identificare gli utenti maggiormente esposti a BIAS e informarli adeguatamente

6. SOCIETAL AND ENVIRONMENTAL WELL-BEING (benessere sociale e ambientale)

OGGETTO DELLA CONSULENZA: analizzare gli impatti potenziali del sistema IA sul contesto ambientale e sociale (ad esempio forza lavoro)

OBIETTIVO #1: garantire una efficacia comunicazione agli utenti interessati qualora il sistema IA abbia un impatto sul sistema lavoro

7. ACCOUNTABILITY (responsabilizzazione)

OGGETTO DELLA CONSULENZA: garantire che ogni misura tecnica, organizzative e di sicurezza implementata sia efficacemente documentata, al fine di dimostrare la conformità a normative e buone prassi di settore.

OBIETTIVO: predisporre documentazione e procedure comprensibili agli utenti, ma anche a favore di organi di controllo per dimostrare in maniera efficace la propria conformità alle normative rilevanti