supersqualo
Privacy & Sicurezza

DPIA per un progetto IA: template e contenuti minimi (art. 35 GDPR)

Il CTO ti dice «tanto fai una DPIA copia-incolla e via». No. Per un progetto IA la DPIA art. 35 GDPR ha 9 sezioni minime e una valutazione FRIA integrata. Te la smonto pezzo per pezzo, con il template che uso davvero.

Di Super Squalo·6 min lettura
Nota. Una nota: l'IA è un campo dove tre mesi sono un'era geologica. Tengo aggiornate le guide quando posso, ma alcuni dettagli potrebbero essere già fuori tempo. Se ti serve la versione di oggi, sai dove trovarmi.

Martedì pomeriggio, riunione coi tecnici. Il responsabile IT ti dice: "abbiamo deciso di mettere un sistema IA che valuta automaticamente le candidature, parte tra tre settimane". Tu chiedi se è stata fatta la valutazione di impatto sulla protezione dei dati. Risposta: "tanto facciamo un copia-incolla dalla DPIA dell'anno scorso". No. Per un progetto IA serio quella roba non funziona.

Ti dico cosa serve davvero in una DPIA per un progetto di intelligenza artificiale, senza il tono accademico che fa addormentare.

Il pasticcio in cui finisci se ne fai una superficiale

La DPIA — valutazione d'impatto sulla protezione dei dati — è il documento dove dimostri di avere capito cosa stai per fare con i dati delle persone. Per certi progetti la legge la chiede in modo esplicito: trattamenti su larga scala, profilazione automatica, decisioni automatizzate, dati sensibili. Un sistema IA quasi sempre ricade in almeno una di queste categorie.

Se la fai a casaccio e succede un incidente, la DPIA è il primo documento che il Garante guarda. Se è un copia-incolla, ti aggiunge un punto in più nella sanzione: "trattamento condotto senza valutazione preventiva adeguata".

I numeri non sono da prendere a ridere. OpenAI 15 milioni a dicembre 2024 sulla gestione dei dati di ChatGPT. Synlab 2,5 milioni nel 2024 sui dati sanitari. Replika bloccata in Italia nel 2023 per come trattava i dati personali. Le cifre arrivano quando manca la base, e la DPIA è la base.

Cosa NON puoi fare

Non puoi usare la DPIA di un altro progetto come se fosse tua, cambiando solo nome del titolare. Ogni progetto IA ha rischi specifici legati al modello, ai dati, al caso d'uso. Copia-incolla = nullo.

Non puoi ridurre la DPIA al solo paragrafo sulla privacy. Per un progetto IA ti serve anche la parte sui diritti fondamentali delle persone (non discriminazione, equità, libertà di scelta). Si chiama valutazione FRIA e va integrata.

Non puoi firmarla senza aver coinvolto chi i dati li tratta davvero: il responsabile IT, il fornitore del modello, chi si occupa di sicurezza. Se il documento lo firma solo il responsabile della protezione dei dati, è un foglio di carta senza sostanza.

Non puoi dimenticare l'aggiornamento. La DPIA non è un atto unico: si rivede quando cambia il modello, quando cambia il fornitore, quando emergono incidenti.

Cosa invece deve contenere davvero

Mettiamola in concreto. Una DPIA seria per un progetto IA gira su nove blocchi.

Uno: descrizione del trattamento. Cosa fa il sistema, su quali dati, per quale finalità. Niente legalese: lettore = il dirigente che deve approvarla.

Due: necessità e proporzionalità. Spieghi perché serve l'IA e perché non si può fare la stessa cosa con meno dati o senza IA.

Tre: base giuridica. Consenso, contratto, interesse legittimo, obbligo di legge. Non è scelta libera: dipende dal caso. Per i dati sensibili serve una base rinforzata.

Quattro: rischi sui diritti delle persone. Discriminazione, errori sistematici, perdita di controllo, decisioni automatiche senza spiegazione. Per ogni rischio: probabilità e gravità.

Cinque: misure tecniche. Cifratura, anonimizzazione, controlli di accesso, audit log, cancellazione automatica, separazione degli ambienti.

Sei: misure organizzative. Formazione, ruoli, procedure interne in caso di incidente, contratti col fornitore.

Sette: trasparenza verso le persone. Come informi il candidato, il cliente, il dipendente. Riga concreta dell'informativa, non parole astratte.

Otto: diritti delle persone. Come gestisci accesso, rettifica, cancellazione, opposizione, riesame umano nelle decisioni automatiche.

Nove: monitoraggio e revisione. Quando rifai la DPIA, chi la firma, quali eventi attivano una revisione anticipata.

I paletti che non si toccano

Coinvolgimento del responsabile della protezione dei dati da subito, non a documento finito. Se il vostro è il commercialista che fa anche il DPO part-time per dieci aziende, valuta se non sia il caso di portare uno specialista almeno per il progetto IA.

Test di funzionamento del sistema prima della messa in produzione, su dati di prova. Se l'IA discrimina i candidati per genere, te ne accorgi prima, non dopo che sei sui giornali.

Documenti del fornitore agli atti: contratto di trattamento dati, certificazioni di sicurezza, dove gira il modello, come viene addestrato. Se il fornitore ti manda un PDF di due pagine pieno di formule generiche, è un campanello.

Procedura di incident response: cosa fai se domani il sistema sputa fuori un dato a chi non doveva. 72 ore per la notifica al Garante, e le 72 ore partono in fretta.

Una nota personale

La DPIA seria sembra una rottura ma è uno scudo serio. Il giorno che arriva l'ispezione o l'incidente, è il documento che fa la differenza tra una multa salata e una salvabile. Sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) ci sono DPO e responsabili IT che hanno fatto DPIA su progetti IA reali. Si risponde gratis, e si scambiano modelli. Se ti tocca farne una, fai un giro lì prima di cominciare.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza