artificial intelligence section

Artificial Intelligence and Sensitive Data

Posted On 6 Marzo 2025 By kallistamoonadmin In Intelligenza Artificiale e tutela della Privacy, PRIVACY LAW, Tutela del consumatore /  
Facebooktwitterredditpinterestlinkedinmail

Artificial Intelligence and Sensitive Data: A Dialogue Between Innovation, Law, and Vulnerability

The advent of artificial intelligence (AI) applications has redefined the boundaries of technology, economics, and, not least, law. These systems, powered by unprecedented amounts of data, promise efficiency, personalization, and innovative solutions to complex problems, from healthcare to smart city management. However, at the core of their functionality lies a crucial paradox: to provide increasingly sophisticated services, AI needs to access, process, and store information that is often classified as “sensitive” – biometric data, political or religious preferences, health conditions, sexual orientation, and more.

This interplay between technological progress and privacy protection raises legal and ethical questions of global significance. On the one hand, national and supranational legislations attempt to curb the risks of misuse, leveraging tools such as the GDPR in Europe or the CCPA in the United States. On the other hand, the relentless dynamism of AI challenges the static nature of regulations, creating tensions between innovation, fundamental rights, and collective security.

The issue, however, is not merely regulatory. The collection and use of sensitive data by AI call into question the very notion of individual autonomy: to what extent are users aware of the implications of surrendering their data? How can transparency be ensured in increasingly opaque (“black box”) algorithms? And, above all, how can we balance commercial interests, social utility, and the protection of vulnerable minorities, who are often subjected to systemic discrimination perpetuated precisely by AI systems?

AI Systems and Personal Data: Regulatory Principles and Frameworks in the EU and the U.S.

The use of personal data by artificial intelligence (AI) systems raises critical questions about privacy, accountability, and ethical governance. Below, we analyze the core principles and legal frameworks governing this issue in the European Union (EU) and the United States (U.S.), drawing on official sources.

I. Foundational Principles for AI and Personal Data

AI systems processing personal data must adhere to principles established in international and regional frameworks. Key principles include:

  1. Lawfulness, Fairness, and Transparency
    • Data processing must have a legal basis (e.g., consent, contractual necessity) and be transparent to users (GDPR, Art. 5(1)(a)).
    • AI decisions affecting individuals must be explainable (EU AI Act, Art. 13).
  2. Purpose Limitation
    • Data collected for specific purposes (e.g., fraud detection) cannot be repurposed without consent (GDPR, Art. 5(1)(b)).
  3. Data Minimization
    • Only data strictly necessary for the AI’s function should be collected (GDPR, Art. 5(1)(c); U.S. FTC Guidelines, 2023).
  4. Accuracy
    • Systems must ensure data accuracy and allow corrections (GDPR, Art. 5(1)(d); NIST AI Risk Management Framework).
  5. Storage Limitation
    • Data retention periods must be justified (GDPR, Art. 5(1)(e)).
  6. Integrity and Confidentiality
    • Robust security measures are required to prevent breaches (GDPR, Art. 5(1)(f); U.S. Health Insurance Portability and Accountability Act (HIPAA)).
  7. Accountability
    • Organizations must demonstrate compliance with the above principles (GDPR, Art. 5(2); U.S. Executive Order on Safe AI).

II. European Union: The GDPR and the AI Act

The EU’s approach combines strict data protection rules with emerging AI-specific regulations.

  1. General Data Protection Regulation (GDPR)
    • Scope: Applies to all entities processing EU residents’ data, regardless of location (Art. 3).
    • Key Provisions:
      • Consent: Must be explicit, informed, and revocable (Art. 7).
      • Automated Decision-Making: Individuals have the right to opt out of decisions made solely by AI (Art. 22).
      • Data Protection Impact Assessments (DPIAs): Required for high-risk AI systems (Art. 35).
    • SourceGDPR Full Text.
  2. EU AI Act (2024)
    • Risk-Based Classification: Prohibits AI systems posing “unacceptable risk” (e.g., social scoring) and imposes strict requirements on “high-risk” AI (e.g., hiring algorithms) (Art. 5).
    • Transparency Obligations: Users must be informed when interacting with AI (Art. 52).
    • SourceEU AI Act Provisional Agreement.
  3. Enforcement
    • Supervised by national Data Protection Authorities (DPAs) and the European Data Protection Supervisor (EDPS).
    • Penalties: Up to 4% of global turnover for GDPR violations (Art. 83).

III. United States: Sectoral Laws and Emerging Frameworks

The U.S. lacks a comprehensive federal data protection law but regulates AI through sectoral laws and voluntary guidelines.

  1. Existing Laws
    • Federal Trade Commission Act (FTC Act): Prohibits “unfair or deceptive practices,” including misuse of personal data by AI (Section 5).
    • California Consumer Privacy Act (CCPA): Grants Californians rights to access, delete, and opt out of the sale of their data (amended by CPRA, 2023).
    • Health Data: HIPAA regulates AI in healthcare, requiring anonymization and patient consent.
  2. Proposed Federal Legislation
    • Algorithmic Accountability Act (2023): Requires impact assessments for AI systems in housing, employment, and healthcare.
    • AI Bill of Rights (2022): Non-binding framework emphasizing:
      • Safe and effective systems.
      • Protection against algorithmic discrimination.
      • Transparency and explainability.
      • SourceWhite House AI Bill of Rights.
  3. Agency Guidelines
    • NIST AI Risk Management Framework (2023): Voluntary standards for managing AI risks, including data privacy.
    • FTC Enforcement: Recent actions against companies like Amazon and OpenAI for data misuse.

IV. Comparative Analysis: EU vs. U.S.

Aspect European Union United States
Regulatory Approach Comprehensive (GDPR + AI Act) Sectoral + state-level laws
Consent Requirements Explicit and granular (GDPR) Varies by state (e.g., CCPA)
AI Transparency Mandatory (AI Act) Voluntary (NIST Framework)
Enforcement Centralized (DPAs) + heavy fines FTC litigation + state-level penalties
Focus Fundamental rights and prevention Innovation + mitigating harm ex-post

V. Challenges and Criticisms

  • EU: Overly restrictive rules may stifle innovation (e.g., AI Act’s “high-risk” classification).
  • U.S.: Fragmented laws create compliance complexity (e.g., CCPA vs. Virginia’s CDPA).
  • Global Tensions: Cross-border data transfers (e.g., EU-U.S. Data Privacy Framework) remain contentious.

Suggested Citations for Legal Texts:

  • EU GDPR: Regulation (EU) 2016/679.
  • EU AI Act: COM/2021/206 final.
  • U.S. AI Bill of Rights: White House Office of Science and Technology Policy (2022).
Dott.ssa Luana Fierro
Read More
Posted On 5 Febbraio 2024 By kallistamoonadmin In Intelligenza Artificiale e tutela della Privacy, Law of the European Union, PRIVACY LAW /  
Facebooktwitterredditpinterestlinkedinmail

Le prime definizioni di privacy

Con questo articolo inizieremo ad analizzare l’evoluzione delle definizioni di privacy, esaminando le prime concezioni del concetto e tracciando la loro trasformazione fino alle definizioni più attuali. In particolare, si esplora il percorso intrapreso dal concetto di tutela della privacy nel contesto tecnologico e digitale. Attraverso una revisione esaustiva delle fonti, vedremo come la comprensione di privacy si sia evoluta nel corso del tempo, evidenziando i contributi chiave che hanno plasmato la definizione moderna del termine.

Definizioni iniziali di Privacy

La concezione moderna del termine privacy ha inizio nel XVIII secolo con il concetto di “diritto all’isolamento” proposto da Samuel Warren e Louis Brandeis nel loro celebre articolo del 1890, “The Right to Privacy.” In questa prospettiva, la privacy veniva intesa come il diritto di essere lasciati soli, senza interferenze indesiderate da parte di terzi.

L’influente articolo di Louis Brandeis e Samuel Warren, “The Right to Privacy“, fu pubblicato sulla Harvard Law Review nel 1890. Questo articolo è considerato una pietra miliare nello sviluppo della legge sulla privacy negli Stati Uniti e ha avuto un impatto duraturo sul diritto legale e dulla comprensione del diritto alla privacy.

Brandeis e Warren hanno scritto l’articolo per analizzare i rapidi progressi della tecnologia e la crescente intrusione nella vita privata delle persone. Sostenevano che la legge avrebbe dovuto riconoscere e proteggere il diritto dell’individuo a essere lasciato solo e a godere della solitudine senza interferenze ingiustificate.

Nel “The Right to Privacy” furono approfonditi i seguenti concetti:

  • Il concetto di privacy come diritto:

Brandeis e Warren hanno articolato l’idea che il diritto alla privacy è un diritto fondamentale inerente al concetto di libertà. Sostenevano che gli individui dovrebbero avere la libertà di controllare le proprie informazioni personali ed essere protetti da intrusioni ingiustificate.

  • Protezione contro pettegolezzi e sensazionalismo:

Gli autori hanno espresso preoccupazione per l’emergente giornalismo scandalistico e il sensazionalismo, che stavano invadendo la vita privata degli individui per l’intrattenimento pubblico. Hanno sottolineato la necessità di tutele legali contro la pubblicazione di dettagli privati, spesso osceni, sulla vita delle persone senza il loro consenso.

  • Tecnologia e invasione della privacy:

L’articolo discuteva di come i progressi tecnologici, in particolare nel campo della fotografia e del giornalismo, stessero contribuendo all’erosione della privacy. Gli autori prospettavano il potenziale danno derivante dall’abuso e sostenevano l’adozione di misure legali per frenare l’uso improprio della tecnologia nella violazione della privacy degli individui.

  • Diritto di essere lasciati soli:

Una frase su cui focalizzarsi dell’articolo è “il diritto di essere lasciati soli” –  “the right to be let alone“. Tale affermazione racchiude l’essenza della loro tesi: gli individui hanno il diritto di essere liberi da intrusioni indesiderate nei loro affari privati e nel loro spazio personale.

Nel breve periodo l’articolo non ha creato un’immediata rivoluzione giuridica, ma è stato fondamentale perché ha gettato le basi per lo sviluppo della legge sulla privacy negli Stati Uniti.

Nel corso del tempo, i principi delineati da Brandeis e Warren hanno influenzato le decisioni dei tribunali e le dottrine legali relative al diritto alla privacy. Ancora oggi le affermazioni presenti in “The Right to Privacy” sono considerate rilevanti nelle discussioni contemporanee sulla privacy digitale, sulla sorveglianza e sulle sfide poste dall’avanzamento delle tecnologie.

Dott.ssa Luana Fierro

Note

per visionare l’articolo “The Right to Privacy” aprire il seguente link: https://www.jstor.org/stable/1321160?seq=1

Più diffusamente sulla privacy nell’UE cliccare sul seguente link: https://digital-strategy.ec.europa.eu/it

Più diffusamente sul diritto dell’Unione Europea analizzato in questo sito v. https://www.webcomparativelaw.eu/law-of-the-european-union-2/

 

Read More
Posted On 13 Gennaio 2024 By kallistamoonadmin In Intelligenza Artificiale e tutela della Privacy, PRIVACY LAW /  
Facebooktwitterredditpinterestlinkedinmail

 

Il rapporto tra l’Intelligenza Artificiale (IA) e la tutela del diritto alla privacy è una questione cruciale nell’era che stiamo vivendo. Le normative come il Regolamento Generale sulla Protezione dei Dati (GDPR) https://www.garanteprivacy.it/il-testo-del-regolamento dell’Unione Europea, o leggi nazionali come il California Consumer Privacy Act (CCPA) negli Stati Uniti https://oag.ca.gov/privacy/ccpa, sono fondamentali per regolare il trattamento dei dati personali.

L’IA utilizza enormi quantità di dati – anche a carattere strettamente personale – per apprendere e migliorare le sue capacità, ma questo solleva preoccupazioni sulla privacy. Il GDPR, ad esempio, stabilisce regole specifiche sul trattamento dei dati personali, richiedendo consenso esplicito, trasparenza nell’uso dei dati e il diritto all’oblio. Queste disposizioni si scontrano a volte con l’utilizzo dell’IA, poiché il suo funzionamento si basa su dati dettagliati e talvolta sensibili, il cui uso non è autorizzato in modo indiscriminato.

La difficoltà maggiore è bilanciare l’innovazione dell’IA con la protezione della privacy. E’ sempre più difficile pensare che la privacy non debba essere sacrificata in parte, perché tutelarla appieno non consente di favorire lo sviluppo dell’IA. Molti vorrebbero norme più rigide per preservare i diritti individuali.

Il ruolo dell’UE e delle istituzioni è cruciale nel definire linee guida chiare per garantire che l’IA rispetti i diritti alla privacy, che devono potersi adattare alle nuove sfide poste dall’evoluzione dell’IA, che se non sono ancora quotidiane poco ci manca! Bisognerà proteggere gli individui senza limitare troppo l’innovazione tecnologica.

Di contrappeso bisogna valutare che l’IA stessa può essere utilizzata per migliorare la tutela della privacy, ad esempio mediante algoritmi predisposti all’anonimizzazione dei dati, o all’individuazione di potenziali violazioni della privacy.

In conclusione, il rapporto tra l’IA e la tutela della privacy non è definibile a priori, e le normative devono adattarsi di continuo alle novità per bilanciare l’innovazione tecnologica con la protezione dei diritti fondamentali degli individui. Non si può pensare neppure ad una regolamentazione ad unico binario del settore, ma è necessario un continuo dialogo tra istituzioni ed addetti del settore, per affrontare al meglio le sfide presentate dall’IA senza compromettere la privacy degli individui.

Dott.ssa Luana Fierro

 

Più diffusamente: https://www.webcomparativelaw.eu/category/intelligenza-artificiale-e-tutela-della-privacy/

Read More
Posted On 16 Agosto 2018 By kallistamoonadmin In Law of the European Union, PRIVACY LAW, Tutela del consumatore /  
Facebooktwitterredditpinterestlinkedinmail

 

Ruoli e responsabilità nel Reg. UE 2016/679 GDPR

REGULATION (EU) N. 536/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
Scarica la slide

 

In queste slide andiamo ad analizzare tutte le figure previste dal Reg. UE 2016/679, gli obblighi ed i punti poco chiari.

REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 ruota intorno ai seguenti ruoli: responsabile della protezione dei dati personali (DPO), titolare del trattamento, responsabile del trattamento. Andiamo a vedere in che modo devono relazionarsi tra loro.

Per consultare il testo normativo ufficiale entrare nel seguente link: https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_en

 

Read More