Proviamo a riassumere gli aspetti per cui la Valutazione di Impatto USA e UE sono diverse: 1. l’ADPPA individua uno specifico processo e contenuti documentali precisi solo per i Large Data Holders, prevedendo non solo che questi conducano e documentino la Va- lutazione di Impatto sugli algoritmi (cfr. section 207), ma anche (cfr. section 308) che conducano e documentino una Valutazione dell’impatto sulla comparazione tra i van- taggi delle pratiche di raccolta, trattamento e trasferimento dei dati rispetto alle poten- ziali conseguenze negative di tali pratiche sulla privacy degli interessati; 2. per tutti gli altri Titolari e Responsabili del trattamento che non rientrano nella cate- goria dei LDH, l’ADPPA prevede solo l’obbligo di svolgere una Algorithm Design Evalua- tion , valutando il relativo progetto, la struttura, gli input dell’algoritmo, compresi i dati di addestramento utilizzati per svilupparlo, al fine di ridurre il rischio dei potenziali danni identificati. Ma in questo caso, anche in assenza di requisiti dimensionali, l’ob- bligo non è generale e si applica a qualsiasi Titolare o Responsabile del trattamento solo nella misura in cui hanno intenzione di “sviluppare consapevolmente” per la messa sul mercato algoritmi allo scopo di, esclusivamente o in parte, raccogliere, trattare o tra- sferire dati o informazioni disponibili al pubblico; 3. l’art. 35 del GDPR prescrive invece l’obbligo di condurre una Valutazione di Impatto in caso di rischio elevato (anche, ma non solo, a seguito della introduzione di tecnologie nel trattamento) per la sfera dei diritti e delle libertà fondamentali delle persone fisiche, senza requisiti dimensionali per i Titolari del trattamento che sono tenuti a svolgerla e senza limitarne l’ambito a particolari tecnologie (come gli algoritmi o i sistemi di IA). Siamo dunque in presenza di un istituto data protection che nel GDPR è di natura generale e non è condizionato (se non al verificarsi di un rischio qualificato, cioè “elevato”) a ca- ratteristiche soggettive del Titolare o a particolari finalità e attività del trattamento, come accade nell’ADPPA (che estende almeno la mera valutazione anche ai responsabili del trat- tamento, mentre nel GDPR l’obbligo è applicabile al solo Titolare). Punti di contatto vi sono poi tra le previsioni della valutazione di Impatto dell’ADPPA aven- ti ad oggetto gli algoritmi e le previsioni della proposta d Regolamento Generale della UE sull’Intelligenza Artificiale, che si appresta – nel mese di Dicembre 2022 – a essere defi- nitivamente approvato dal Consiglio UE. Ad esempio, i concetti della section 207(c)(B) e i relativi contenuti da inserire nella valutazione di Impatto, riecheggiano gli articoli 10 e 17 della proposta UE di AI Act, con le regole sulla governance dei dati e la predisposizione di un sistema di gestione algoritmica.
57
Made with FlippingBook Online newsletter maker