Privacy Daily

PRIVACYDAILY

aggiornato il

N. 161/2023

LE TRE NEWS DI OGGI:

  • L’APPELLO DI 100 PROFESSORI ALLE ISTITUZIONI UE: “NON INDEBOLIRE L’AI SUI DIRITTI FONDAMENTALI”
  • IL GOVERNATORE CARNEY HA FIRMATO IL DELAWARE PERSONAL DATA PRIVACY ACT CHE DA AI CITTADINI IL DIRITTO DI ACCEDERE AI PROPRI DATI PERSONALI
  • I NOSTRI DATI SULLA SALUTE PER CIRCOLARE LIBERAMENTE. I PIANI DELLE BIG TECH PER L’NHS

Più di 100 professori universitari da tutta Europa e non solo, chiedono alle istituzioni europee di inserire nel futuro regolamento sull’Intelligenza artificiale (AI Act) l’obbligo di valutare l’impatto sui diritti fondamentali (FRIA). La proposta del Parlamento europeo va già in questa direzione ma rischia di uscire indebolita dal trilogo, il momento di incontro tra le tre istituzioni per approvare il testo finale. L’obbligo di un FRIA, nella proposta del Parlamento, sarebbe limitato solo alle AI considerate ad alto rischio, sia del settore pubblico che privato. Rispondendo a un appello lanciato da Gianclaudio Malgieri (Leiden University), Alessandro Mantelero (Politecnico di Torino) e Vincenzo Tiani (Brussels Privacy Hub), i 100 firmatari, considerati punti di riferimento sui temi dell’AI, della protezione dei dati e dei diritti fondamentali, molti dei quali già chiamati come esperti da istituzioni nazionali, europee ed internazionali, chiedono di mantenere la versione del parlamento e in particolare di assicurare:) parametri chiari sulla valutazione dell’impatto dell’IA sui diritti fondamentali;2) trasparenza sui risultati della valutazione d’impatto attraverso sintesi pubbliche e significative;3) partecipazione degli utenti finali interessati, soprattutto se in posizione di vulnerabilità;4) coinvolgimento delle autorità pubbliche nel processo di valutazione d’impatto e/o nei meccanismi di audit.Ai rappresentanti del Consiglio dell’Unione europea, della Commissione europea e del Parlamento europeo, partecipanti al trilogo per la legge sull’intelligenza artificiale,Noi, il sottoscritto gruppo di professori universitari, membri della comunità accademica, in collaborazione con società civile e altre istituzioni, vorremmo esprimere la nostra più profonda preoccupazione riguardo alle revisioni proposte per la legge Ue sull’intelligenza artificiale. In particolare, vi esortiamo ad adottare e rafforzare la disposizione contenuta nella versione del Parlamento europeo della legge sull’intelligenza artificiale in merito a una valutazione obbligatoria dell’impatto sui diritti fondamentali (FRIA, fundamental rights impact assessment) per le istituzioni pubbliche e private che utilizzano tecnologie di intelligenza artificiale (AI).Una valutazione d’impatto sui diritti fondamentali solida e corretta dovrebbe basarsi sui seguenti quattro pilastri:1) parametri chiari sulla valutazione dell’impatto dell’IA sui diritti fondamentali;2) trasparenza sui risultati della valutazione d’impatto attraverso sintesi pubbliche e significative;3) partecipazione degli utenti finali interessati, soprattutto se in posizione di vulnerabilità;4) coinvolgimento delle autorità pubbliche nel processo di valutazione d’impatto e/o nei meccanismi di audit.Inoltre, riteniamo che il FRIA debba essere coordinato con gli altri meccanismi di valutazione d’impatto già presenti nel progetto di legge sull’AI e in altri atti legislativi dell’UE. Le autorità di vigilanza nazionali indipendenti potrebbero attuare i principi del FRIA attraverso un quadro normativo chiaro e coerente, che permetta di comprenderne facilmente le procedure di adeguamento e prevederne gli effetti in caso di violazione. Ciò contribuirebbe a ridurre i costi e i tempi di adeguamento per le aziende che impiegano l’IA.

Il disegno di legge 154 è stato promosso dalla deputata Krista Griffith (D-Fairfax) e la firma del governatore rappresenta il culmine di una campagna durata due anni per ridare ai consumatori il potere di decidere come vengono utilizzati i loro dati personali nell’era dell’informazione.Il Delaware è ora l’ultimo Stato a disporre di una legge completa sulla privacy dei dati, unendosi a California, Virginia, Colorado, Connecticut, Utah, Iowa, Indiana, Tennessee, Montana, Texas e Florida. La legge entrerà in vigore il 1° gennaio 2025. Il Dipartimento di Giustizia del Delaware (DOJ) avvierà un’azione di sensibilizzazione una tantum entro il 1° luglio 2024.”È entusiasmante arrivare a questo punto ed è certamente importante avere questo strumento a disposizione dei cittadini del Delaware”, ha dichiarato Griffith al Delaware Business Times. “Nel corso dell’anno, quando ero in tour, ho chiesto a molte persone di parlare di questo argomento – e non importava con chi parlavo, coppie, anziani, adolescenti. Secondo la legge sulla privacy dei dati personali del Delaware, i consumatori hanno il diritto di sapere quali informazioni vengono raccolte e di vederle, nonché di correggerle o chiederne la cancellazione. I consumatori avranno anche il diritto di ricevere una copia dei dati in un formato portatile e facile da usare, a meno che non rivelino segreti aziendali. Le persone possono rinunciare al trattamento dei dati personali da parte delle aziende a fini di pubblicità mirata e di vendita dei dati. Le aziende avranno 45 giorni di tempo per rispondere alle richieste di tutela dei diritti dei consumatori, con la possibilità di una proroga in determinate circostanze.Il provvedimento vieta inoltre di analizzare o vendere i dati senza il consenso del consumatore, compresi quelli di età inferiore ai 18 anni.”Siamo stati i primi a includere una clausola per gli adolescenti, anche se il Connecticut ha presentato un disegno di legge di ripulitura per aggiungerla e credo che anche altri Stati la stiano considerando”, ha detto Griffith. “Se non ci si può aspettare che gli adolescenti stipulino qualsiasi altro contratto, perché dovrebbe essere diverso per le condizioni d’uso?”.

Il governo sta per assegnare un contratto da 480 milioni di sterline per costruire un nuovo e grande database di dati sui pazienti. Ma se le persone non si fidano, si rifiutano di farlo. Questa è la storia di Cory Crider. “Lo scorso dicembre ho abortito. La maggior parte delle gravidanze indesiderate fa scattare il campanello d’allarme, ma io stavo quasi contando i secondi che mi separavano dal momento in cui dovevo prendere un volo da Londra, dove vivo, al Texas, dove sono cresciuta e dove la possibilità di praticare l’aborto è stata recentemente resa un reato. Dopo la maggior parte degli aborti si sanguina per un po’, e io stavo ancora sanguinando quando sono salita sull’aereo per tornare a casa per Natale.Andare in Texas così presto dopo l’intervento mi ha fatto pensare a dove sarebbero finiti i dati del mio aborto, i miei dati sanitari. Quando alla fine di novembre ho telefonato a una clinica abortiva per prenotare un appuntamento, una delle prime domande del personale è stata: “Possiamo condividere la documentazione del suo trattamento con il suo medico di famiglia?”.Ho esitato. In linea di principio, non c’è nulla di sbagliato in questa domanda, e molte cose sono giuste. Non è solo che una cartella clinica completa aiuta il mio medico di base a curarmi. I miei genitori texani, entrambi studiosi, mi hanno insegnato che condividere le informazioni con organizzazioni come il Servizio Sanitario Nazionale può aiutare a pianificare i servizi e a ricercare modi per migliorare le cure. In passato ho partecipato a studi clinici.Ma ho anche aiutato a gestire delle campagne legali che agiscono contro il governo e le aziende tecnologiche quando violano i diritti delle persone. In una serie di casi riguardanti i dati del Servizio sanitario nazionale dall’inizio della pandemia, abbiamo difeso il diritto delle persone a decidere chi può vedere le loro informazioni mediche. Questo lavoro mi ha fatto scoprire dettagli preoccupanti su come possono essere utilizzati i nostri dati medici, tra cui la pratica del Ministero dell’Interno di tracciare i migranti utilizzando le loro cartelle cliniche.”I dati del Servizio sanitario nazionale sono particolari. Per decenni il governo ha imposto ai medici di base di conservare le cartelle cliniche dei pazienti in modo standardizzato: oltre agli appunti a mano, ogni interazione con il medico di base viene salvata su un database informatico con un codice semplice e coerente. L’NHS potrebbe detenere il più ricco insieme di dati sanitari leggibili a livello di popolazione nel mondo. Molti vedono in questi dati una fonte di immenso potenziale – e di profitto. Ernst & Young ha valutato i dati dei pazienti del NHS a 9,6 miliardi di sterline all’anno. Sono particolarmente preziosi per i colossi tecnologici, che vorrebbero mettere le mani sui dati del SSN per costruire sistemi di apprendimento automatico dell’intelligenza artificiale.

English version

  • THE APPEAL OF 100 PROFESSORS TO THE EU INSTITUTIONS: “DON’T BUILD THE AI ACT ON FUNDAMENTAL RIGHTS”
  • GOVERNOR CARNEY SIGNED THE DELAWARE PERSONAL DATA PRIVACY ACT GIVING CITIZENS THE RIGHT TO ACCESS THEIR PERSONAL DATA
  • OUR HEALTH DATA TO CIRCULATE FREELY. BIG TECH’S PLANS FOR THE NHS

More than 100 university professors from all over Europe and beyond are calling on the European institutions to include a requirement to assess the impact on fundamental rights (FRIA) in the future regulation on artificial intelligence (AI Act). The European Parliament’s proposal already goes in this direction but risks coming out weakened at the trialogue, the meeting point between the three institutions to approve the final text. The requirement for a FRIA, in the Parliament’s proposal, would be limited only to IAs considered high risk, both public and private sector. Responding to an appeal launched by Gianclaudio Malgieri (Leiden University), Alessandro Mantelero (Politecnico di Torino) and Vincenzo Tiani (Brussels Privacy Hub), the 100 signatories, considered to be points of reference on the issues of AI, data protection and fundamental rights, many of them already called upon as experts by national, European and international institutions, call for maintaining the parliament’s version and in particular for ensuring:) clear parameters on the assessment of the impact of AI on fundamental rights 2) transparency on the results of the impact assessment through public and meaningful summaries; 3) participation of affected end-users, especially those in vulnerable positions;4) involvement of public authorities in the impact assessment process and/or audit mechanisms.To the representatives of the Council of the European Union, the European Commission and the European Parliament, participating in the trialogue for the Artificial Intelligence Act,We, the undersigned group of academics, members of the academic community, in collaboration with civil society and other institutions, would like to express our deepest concern regarding the proposed revisions of the EU Artificial Intelligence Act. In particular, we urge you to adopt and strengthen the provision in the European Parliament version of the Artificial Intelligence Act regarding a mandatory fundamental rights impact assessment (FRIA) for public and private institutions using artificial intelligence (AI) technologies.A sound and fair fundamental rights impact assessment should be based on the following four pillars:1) clear parameters on the assessment of the impact of AI on fundamental rights; 2) transparency on the results of the impact assessment through public and meaningful summaries; 3) Participation of affected end-users, especially those in vulnerable positions;4) involvement of public authorities in the impact assessment process and/or audit mechanisms.Furthermore, we believe that the FRIA should be coordinated with the other impact assessment mechanisms already present in the draft IA Bill and other EU legislation. Independent national supervisory authorities could implement the principles of the FRIA through a clear and consistent regulatory framework, which would make it easy to understand the compliance procedures and foresee the effects in the event of a breach. This would help reduce compliance costs and time for companies employing AI.

House Bill 154 was sponsored by Rep. Krista Griffith (D-Fairfax), and the governor’s signature represents the culmination of her two-year campaign to give consumers power back on how their personal data was being used in the information age.Delaware is now the latest state with a comprehensive data privacy law, joining California, Virginia, Colorado, Connecticut, Utah, Iowa, Indiana, Tennessee, Montana, Texas and Florida. The law goes into effect on Jan. 1, 2025. The Delaware Department of Justice (DOJ) will launch a one-time outreach effort no later than July 1, 2024.“It’s exciting to get to this point, and it’s certainly important to have this tool available to Delawareans,” Griffith told the Delaware Business Times. “When I was out and about over the year, I had asked lots of people about this issue – and it didn’t matter who I was speaking to, couples, seniors, teenagers. They all thought they should be permitted to know how their data is processed, used and sold.”Under the Delaware Personal Data Privacy Act, consumers are granted the right to know what information is being collected and see it — and correct or request to delete it. Consumers will also have the right to receive a copy of the data in a portable and easy-to-use format, unless it reveals company secrets. People can opt out of companies processing personal data for purposes of targeted advertising and sale of data. Companies would have 45 days to respond to consumers rights requests, with the potential of an extension in certain circumstances.It also prohibits analyzing or selling data without a consumer’s consent, including those who are under 18 years old.“We were actually the first to include a clause for teenagers, although Connecticut did a clean-up bill to add it and I believe other states are considering it as well,” Griffith said. “If teenagers cannot be expected to enter into any other contract, why should it be different for terms of use?”.

The government is about to award a £480m contract to build a vast new database of patient data. But if people don’t trust it, they’ll opt out – I know, because I felt I had to. Last December, I had an abortion. Most unwanted pregnancies set a panic-timer ticking, but I was almost counting down the seconds until I had to catch a flight from London, where I live, to Texas, where I grew up, and where the provision of abortion care was recently made a felony. You bleed for a while after most abortions, and I was still bleeding when I boarded the plane home for Christmas.Going to Texas so soon after the procedure made me consider where the record of my abortion – my health data – would end up. When I phoned an abortion clinic in late November to book an appointment, one of the first questions staff asked was: “May we share a record of your treatment with your GP?”I hesitated. There’s nothing wrong, in principle, with this question, and a lot that’s right. It’s not just that a complete health record helps my GP treat me. My Texan parents, both scientists, taught me that sharing information with organisations like the NHS can help it plan services and research ways to improve care. I’ve joined clinical studies in the past.But I also help run a legal campaign group, Foxglove, that takes action against the government and tech companies when they infringe people’s rights. In a series of cases about NHS data since the start of the pandemic, we have defended people’s right to a say about who sees their medical information. This work has exposed me to worrying details about how our medical data can be used, including the Home Office practice of tracking migrants using their health records.NHS data is special. For decades the government has required GPs to store patients’ records in a standardised way: as well as longhand notes, every interaction with a GP is saved on a computer database in a simple, consistent code. The NHS may hold the richest set of population-wide, machine-readable health data in the world. Many see in that data a source of immense potential – and profit. Ernst & Young has valued NHS patient data at £9.6bn a year. It is particularly valuable to tech giants, who would like to get their hands on NHS datasets to build AI machine-learning systems.

Related posts:

  1. PRIVACYDAILY
  2. PRIVACYDAILY
  3. PRIVACYDAILY
  4. PRIVACYDAILY