Guida alla creazione di un Registro dei Trattamenti tramite IA
📘 Il Registro dei Trattamenti: brevi cenni.
L'art. 30 del Regolamento (UE) n. 679/2016 ("GDPR") prevede, tra gli adempimenti principali del Titolare e del Responsabile del Trattamento, la tenuta del Registro dei Trattamenti, uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all'interno dell'organizzazione, che risulta indispensabile e preliminare per ogni attività di valutazione o analisi del rischio.
La norma richiede espressamente che il Registro contenga un elenco di informazioni tassative (comma 1) e abbia forma scritta, anche in formato elettronico (comma 3).
Il presente articolo si pone l'obiettivo di illustrare una possibile modalità di redazione ex novo di un Registro dei Trattamenti, tramite l'utilizzo di strumenti di Intelligenza Artificiale, ottimizzando le lavorazioni richieste ai Compliance Officer.
In particolare, saranno affrontati i seguenti temi:
🤖 I modelli di Intelligenza Artificiale.
Preliminarmente, è buona prassi domandarsi nel caso di specie quale modello di Intelligenza Artificiale sia in grado di restituire il risultato migliore. Le principali opzioni attualmente disponibili sul mercato sono:
Se assumiamo che l'organizzazione per la quale dovrà essere redatto il Registro dei Trattamenti adotti Microsoft 365, una valida opzione potrebbe essere rappresentata da Copilot, un modello di Intelligenza Artificiale che, in ogni caso, è basato su GPT-4.
Una volta scelto il modello di Intelligenza Artificiale più in linea con le proprie esigenze, è possibile passare alla fase di Prompt Engineering.
💻 La fase di Prompt Engineering.
Il Prompt Engineering consiste nello sviluppare ed ottimizzare i prompt (cioè le domande che vengono poste al modello da parte dell'umano) al fine di ottenere risposte più precise.
Per instradare il modello di Intelligenza Artificiale verso la creazione di un Registro dei Trattamenti conforme al GDPR, occorrerebbe innanzitutto inquadrare la norma di riferimento (Figura 1).
Il primo output restituito dal modello di Intelligenza Artificiale potrebbe generalmente risultare carente di alcune informazioni. Nel caso di specie, infatti, tra le informazioni essenziali fornite, Copilot ha erroneamente ritenuto di escludere quelle di cui alla lett. e) dell'art. 30 (probabilmente a causa di una inesatta interpretazione della dicitura "ove applicabile").
Si riporta di seguito la lett. e) dell'art. 30:
e) "ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate.
Pertanto, può essere opportuno richiedere un affinamento dell'output restituito (Figura 2).
Consigliati da LinkedIn
Una volta assicuratisi che Copilot abbia inquadrato correttamente la norma di riferimento, è possibile richiedere un'azione più specifica, come la creazione di un file Excel (Figura 3):
Consultando il file, appare evidente come le informazioni essenziali previste dall'art. 30 del GDPR siano state recepite, ma non risultino formattate come tabella. Dunque, occorre procedere manualmente con la funzione "Crea Tabella" (Figura 4).
Una volta cliccato su "OK", avremo il nostro format di Registro dei Trattamenti, pronto all'uso (Figura 5).
In considerazione della "tipicità" di alcuni campi (e.g. categorie di interessati, categorie di dati personali trattati, etc.) si potrebbe valutare l'aggiunta di menu a tendina per renderne più agevole la compilazione. Tuttavia, dopo vari tentativi, non è stato possibile raggiungere tale risultato tramite prompt.
📝 La compilazione del Registro
Una volta scaricato il format di Registro dei Trattamenti, possiamo procedere con la compilazione dello stesso con i trattamenti in essere nell'organizzazione. A tal fine, sarà sufficiente dare un comando specifico a Copilot (Figura 6).
L'output restituito da Copilot prevede non solo la compilazione del campo "Finalità del trattamento", ma anche la compilazione esemplificativa dei restanti campi del Registro (Figura 7), i quali potranno ovviamente essere modificati/integrati nel modo più opportuno.
💡 Conclusioni.
Le interazioni di cui sopra dimostrano che redigere un Registro dei Trattamenti attraverso un modello di Intelligenza Artificiale è possibile, a condizione che si mantenga un livello "minimo" di presidio umano, in grado di disinnescare eventuali errori di valutazione della macchina (cfr. Figura 2).
Inoltre, il documento generato, pur contenendo le informazioni previste dalla norma, potrebbe avere una formattazione non agevole (cfr. Figura 4), necessitando, anche in questo caso, di un intervento umano.
Ad ogni modo, al netto di tali evidenze, l'utilizzo di un modello di Intelligenza Artificiale per la creazione di un Registro dei Trattamenti porta con sé l'indubbio vantaggio di ottimizzare le tempistiche di lavorazione al documento, tanto in fase di prima redazione quanto in fase di aggiornamento dello stesso, garantendo la conformità normativa in modo innovativo e accessibile.
In questa fase "embrionale" di sperimentazione nel campo dell'Intelligenza Artificiale una buona prassi potrebbe essere quella di non fornire informazioni eccessivamente circostanziate e specificamente riferite alla propria organizzazione, attestandosi su un livello di interazione con la macchina generico e scevro di dati personali e/o informazioni aziendali sensibili.
👉 E tu, hai già sperimentato l'IA nell'ambito della Compliance?