Principiante

GDPR & AI — Comprendere la protezione dei dati

⏱ ~30 Durata · 7 Modulo
Perché è importante?

L'AI elabora enormi quantità di dati — spesso su persone che non ne sono a conoscenza. Il GDPR ti conferisce diritti come interessato. Come operatore hai obblighi. Conoscere entrambi è una condizione fondamentale per un uso responsabile dell'AI.

Cosa imparerai

Comprendi i 6 principi del GDPR, conosci i tuoi diritti come interessato e sai quali obblighi di protezione dei dati sorgono con l'uso dell'AI.

Lesen

GDPR e AI — le basi

~15 Min

DSGVO e AI — le basi

Cosa è personale?

Dati personali = tutte le informazioni che si riferiscono a una persona identificabile.

Non solo nome ed e-mail. Anche: indirizzo IP, dati di localizzazione, comportamento d'acquisto, modelli di clic, identificatori di dispositivi — e tutte le combinazioni che possono portare all'identificazione.

I sistemi AI elaborano quasi sempre dati personali. La DSGVO si applica.

I 6 principi fondamentali — in sintesi

Principio Cosa richiede Rilevanza per AI
Liceità Base giuridica per ogni trattamento Consenso, contratto o interesse legittimo esplicitamente stabiliti
Limitazione delle finalità Solo per lo scopo dichiarato Addestramento AI ≠ diritto d'uso per altri scopi
Minimizzazione dei dati Minimo di dati Feature-Engineering: solo variabili rilevanti
Esattezza Mantenere i dati aggiornati Dati di addestramento obsoleti → discriminazione obsoleta
Limitazione della conservazione Non più a lungo del necessario Politica di conservazione per i dati di addestramento
Integrità e riservatezza Protezione da abusi Controlli di accesso, crittografia

I tuoi diritti come persona interessata

Diritto Art. Cosa puoi richiedere
Accesso 15 Quali dati? Perché? Per quanto tempo?
Rettifica 16 Correggere dati errati
Cancellazione 17 "Diritto all'oblio"
Limitazione 18 Fermare temporaneamente il trattamento
Opposizione 21 Opporsi al trattamento
Nessuna automazione completa 22 Revisione umana per decisioni significative

Art. 22 è particolarmente rilevante per AI: Decisioni automatizzate con impatto significativo sulle persone (rifiuto di credito, rifiuto di lavoro, prezzo dell'assicurazione) devono essere contestabili.

Categorie di dati particolari — protezione aumentata

Questi dati non possono essere trattati in linea di principio se non con consenso esplicito:

  • Dati sanitari
  • Origine etnica
  • Opinioni politiche
  • Convinzioni religiose
  • Appartenenza sindacale
  • Dati biometrici
  • Orientamento sessuale

Per gli sviluppatori AI: Se i dati di addestramento consentono anche solo implicitamente deduzioni su queste categorie — rischio aumentato.

Continua: Obblighi per operatori →

Quiz

Controllo rapido

1. Quale principio del GDPR richiede che vengano raccolti solo i dati necessari?

2. Cosa significa GDPR Art. 22?

Merke

GDPR a colpo d'occhio

  • 6 Grundsätze: Rechtmäßigkeit, Zweckbindung, Sparsamkeit, Richtigkeit, Begrenzung, Sicherheit
  • Art. 15: Du kannst fragen welche Daten gespeichert sind
  • Art. 16: Du kannst falsche Daten korrigieren lassen
  • Art. 17: Du kannst Löschung beantragen
  • Art. 22: Automatische Entscheidungen können angefochten werden
Lesen

GDPR nell'uso dell'AI — Obblighi per gli operatori

~15 Min

Obblighi GDPR nell'uso dell'AI

Prima dell'inizio: Tre obblighi

1. Stabilire la base giuridica

Nessun trattamento dei dati senza una base. Le più importanti per l'AI:

Base Quando è adatta Attenzione
Consenso (Art. 6 par. 1 a) Chiaramente volontario, specifico Deve essere revocabile in qualsiasi momento
Contratto (Art. 6 par. 1 b) AI necessaria per l'adempimento contrattuale Solo se veramente necessario
Interesse legittimo (Art. 6 par. 1 f) Ottimizzazione interna Documentare il bilanciamento degli interessi

Attenzione: "Vogliamo migliorare l'AI" non è un interesse legittimo che si applica automaticamente. È necessaria una valutazione documentata degli interessi.

2. Verificare la DPIA — quando è obbligatoria?

Una Valutazione d'impatto sulla protezione dei dati (DPIA) è obbligatoria ai sensi dell'Art. 35 GDPR in caso di:

  • Profilazione sistematica delle persone
  • Trattamento di categorie particolari di dati (→ Modulo 1)
  • Decisioni automatizzate con effetti significativi
  • Monitoraggio dei dipendenti supportato da AI

Quanto dettagliata? La DPIA documenta: Cosa viene trattato? Perché? Quali rischi emergono? Quali misure di protezione sono in atto?

3. Informare gli interessati

Prima del trattamento, gli interessati devono sapere:

  1. Chi tratta i dati (Nome, contatto)
  2. Perché (Scopo e base giuridica)
  3. Per quanto tempo
  4. A chi vengono trasmessi
  5. Se avvengono decisioni automatizzate (Art. 13 par. 2 f)

In esercizio: Due obblighi critici

Segnalare le violazioni dei dati (Art. 33)

In caso di perdita, furto o accesso non autorizzato ai dati:

  • 72 ore per la segnalazione all'autorità di controllo della protezione dei dati
  • In caso di alto rischio per gli interessati: anche informazione diretta degli interessati (Art. 34)

Nessuna eccezione per i sistemi AI. Una violazione dei dati da un sistema AI comporta gli stessi obblighi.

Rispettare le politiche di conservazione

I dati di addestramento AI sono soggetti agli stessi obblighi di cancellazione di tutti gli altri dati personali. "Abbiamo bisogno dei dati per il riaddestramento" non è un motivo di conservazione illimitato.

Caso pratico: Il chatbot che apprende

Un chatbot per il servizio clienti registra tutte le conversazioni "per migliorare". Nelle conversazioni vengono occasionalmente menzionati dati sanitari.

Violazioni GDPR:

  1. Mancanza di consenso per i dati sanitari (Art. 9 — categoria particolare)
  2. Violazione del vincolo di scopo: conversazione per assistenza clienti ≠ consenso per l'addestramento AI
  3. Gli interessati non sono stati informati sull'uso dell'AI

Cosa fare:

  • Rimuovere immediatamente i dati sanitari dai dati di addestramento
  • Informare l'autorità di protezione dei dati (in caso di rischio significativo)
  • Adattare il processo: ottenere il consenso prima dell'uso per l'addestramento

Riepilogo: La checklist GDPR per l'AI

Prima dell'uso:
  ☐ Base giuridica documentata
  ☐ DPIA verificata (e se necessario, effettuata)
  ☐ Interessati informati
  ☐ Categorie di dati verificate (categorie particolari?)

In esercizio:
  ☐ Politica di conservazione definita e attuata
  ☐ Controlli di accesso attivi
  ☐ Processo per le violazioni dei dati presente (termine di 72 ore!)
  ☐ Processo per i diritti degli interessati definito

Indietro: Fondamenti GDPR | Inizia la valutazione →

Praxisfall

Caso pratico: Il chatbot e i dati sensibili

Situation

Un chatbot di assistenza clienti raccoglie le trascrizioni delle conversazioni per "migliorare". Un utente si lamenta che il chatbot conosce i suoi dati sanitari da una conversazione precedente — sebbene non abbia mai esplicitamente acconsentito alla loro memorizzazione.

Quali violazioni del GDPR sono presenti e cosa deve fare l'azienda?
Lösung anzeigen

Almeno due violazioni del GDPR:

  1. Mancanza di base giuridica (Art. 6): Per i dati sanitari (Art. 9 — categoria speciale) è necessaria un'esplicita autorizzazione. "Raccolta di dati di addestramento" non è una base sufficiente.
  2. Violazione del principio di limitazione delle finalità (Art. 5): I dati di una conversazione non possono essere utilizzati per l'addestramento senza ulteriori autorizzazioni.

Cosa deve fare l'azienda:

  • Immediatamente: Rimuovere i dati sanitari dai dati di addestramento
  • Informare gli interessati (Art. 34 se alto rischio)
  • Segnalare all'autorità per la protezione dei dati se la violazione è significativa (Art. 33, termine di 72 ore)
  • Adattare il processo: Ottenere il consenso prima dell'uso per l'addestramento
Häufige Fehler:
✗ Non fare nulla — l'utente ha accettato i Termini e Condizioni
Le clausole delle CGV che limitano i diritti GDPR sono nulle. Il consenso esplicito per i dati sensibili è obbligatorio.
Reflexion

I tuoi dati

In quali servizi digitali hai la sensazione che sappiano più di quanto dovrebbero su di te?

Beispiele:
  • Werbung die zu gut zu meinen Gesprächen passt
  • Empfehlungen die zeigen dass mein Verhalten beobachtet wird
  • Systeme die mich 'kennen' ohne dass ich mich erinnere Daten gegeben zu haben
Wird nur in deinem Browser gespeichert.
Merke

Cosa porti con te

  • Als Betreiber: Rechtsgrundlage vor Datenverarbeitung klären
  • Zweckbindung: Daten nur für den angegebenen Zweck nutzen
  • DPIA: Bei Hochrisiko-Verarbeitung Datenschutz-Folgenabschätzung Pflicht
  • ⏰ Panne: 72 Stunden Zeit um Datenschutzbehörde zu informieren

Pronto per la valutazione?

Corso completato! Avviare la valutazione.

Avvia valutazione →