Il nuovo draft del Codice di Condotta per i modelli di intelligenza artificiale a finalità generali: il rischio sistemico

/in /di

Con l’evoluzione dell’Intelligenza Artificiale (IA), le preoccupazioni sui potenziali rischi sistemici associati ai modelli di IA a finalità generali (General Purpose AI Models, GP-AIM) sono diventate sempre più rilevanti. Il recente draft del Codice di Condotta dedicato a questi modelli, pubblicato nell’ambito dell’AI Act, offre un quadro dettagliato di come affrontare tali sfide, introducendo nuove obbligazioni e tecniche di mitigazione del rischio. 

Nel nostro precedente articolo, abbiamo analizzato le caratteristiche e gli obblighi relativi ai modelli di AI per finalità generali delineati nella bozza del Codice di Condotta. Abbiamo esaminato i principi fondamentali e le regole specifiche volte a garantire trasparenza, conformità normativa e tutela del copyright.

In questo articolo ci concentreremo sui modelli di AI generativa che presentano rischi sistemici, un ambito che richiede ulteriori misure tecniche, organizzative e di governance. Questi modelli, che per loro natura hanno un impatto potenzialmente più significativo e diffuso, necessitano di un approccio regolatorio approfondito per gestire i pericoli che potrebbero derivare dalla loro adozione e utilizzo.

Modelli di IA a finalità generali e il rischio sistemico nell’AI Act

I modelli di IA a finalità generali sono definiti dall’AI Act come sistemi di IA progettati per essere adattabili a molteplici compiti e contesti applicativi, spesso non definiti al momento dello sviluppo. Questi modelli si distinguono per la loro versatilità, ma proprio questa caratteristica li rende particolarmente vulnerabili a un uso improprio o non previsto. L’AI Act li classifica ulteriormente in due categorie: modelli con rischio sistemico e modelli generici. Il rischio sistemico, come specificato dall’articolo 3(65) dell’AI Act, si riferisce a potenziali effetti di vasta portata sulla società, sull’economia o sull’ambiente, derivanti da vulnerabilità o malfunzionamenti del sistema.

Un modello è generalmente considerato a rischio sistemico quando raggiunge capacità computazionali che superano la soglia di 10(25) FLOPS (floating-point operations per second). Tale livello di potenza computazionale implica che il modello è in grado di eseguire operazioni estremamente complesse, aumentando significativamente il potenziale impatto sistemico.

La tassonomia del rischio sistemico

Il Codice di Condotta introduce una tassonomia articolata dei rischi sistemici, suddivisa in tipi, natura e fonti. I tipi di rischio includono minacce come l’uso offensivo delle capacità cibernetiche, la proliferazione di armi chimiche o biologiche, la perdita di controllo sui modelli autonomi e la manipolazione di massa attraverso disinformazione. Secondo l’articolo 3(2) dell’AI Act, tali rischi devono essere valutati considerando sia la gravità sia la probabilità di ciascun evento. In particolare, la classificazione deve basarsi su metriche standardizzate per garantire coerenza e comparabilità tra diversi scenari applicativi.

La natura dei rischi è descritta attraverso dimensioni quali origine, intenti (intenzionali o non), velocità di manifestazione e visibilità. Ad esempio, un rischio potrebbe emergere gradualmente ma in modo difficilmente rilevabile, complicando le strategie di mitigazione. Come specificato all’interno della proposta di codice, l’analisi dovrebbe includere anche l’impatto potenziale sugli utenti finali e sulle infrastrutture critiche. Infine, le fonti dei rischi includono capacità pericolose dei modelli, propensioni indesiderate come bias o confabulazione, e fattori socio-tecnici, come la modalità di distribuzione o la vulnerabilità sociale.

Obbligazioni per i fornitori di modelli con rischio sistemico

I fornitori di GP-AIM con rischio sistemico sono soggetti a obblighi più stringenti rispetto ai modelli generici. Come stabilito dall’articolo 55(1) dell’AI Act, essi devono:

  1. Valutare il modello secondo protocolli standardizzati, inclusi test avversariali per identificare vulnerabilità e mitigare i rischi. L’articolo 55(2) sottolinea i fornitori possono basarsi su codici di buone pratiche ai sensi dell’articolo 56 per dimostrare la conformità agli obblighi.  La conformità alle norme armonizzate europee garantisce ai fornitori la presunzione di conformità nella misura in cui tali norme contemplano tali obblighi.
  2. Mitigare i rischi a livello dell’Unione Europea, documentandone le fonti e adottando misure correttive. Queste misure devono essere aggiornate periodicamente in base all’evoluzione tecnologica e normativa.
  3. Garantire la sicurezza cibernetica sia del modello sia delle infrastrutture fisiche correlate. 
  4. Monitorare e segnalare incidenti rilevanti, mantenendo una comunicazione costante con l’AI Office e le autorità competenti includendo una descrizione dettagliata degli incidenti e le azioni correttive intraprese.

Ne discende che, l’attuazione di questi obblighi richiede un investimento considerevole in risorse, competenze e infrastrutture. Questo rende imprescindibile una sinergia tra i diversi protagonisti della catena del valore dell’IA, affinché possano condividere conoscenze e strumenti per affrontare insieme le sfide legate alla conformità normativa e all’innovazione responsabile.

Strategie di mitigazione e governance

Il Codice di Condotta propone un quadro di riferimento per la sicurezza e la governance. In questo scenario i fornitori dovranno implementare un framework di sicurezza e mitigazione dei rischi, noto come Safety and Security Framework (SSF). Questo framework deve includere misure tecniche e organizzative volte a prevenire, rilevare e rispondere efficacemente ai rischi identificati, garantendo che i modelli di AI operino in modo sicuro e affidabile lungo l’intero ciclo di vita del prodotto. Nello specifico, le principali misure includono:

  • Identificazione e analisi continua dei rischi: attraverso metodologie robuste, i fornitori devono mappare le capacità pericolose, le propensioni e altre fonti di rischio, categorizzandole in livelli di gravità. 
  • Raccolta di evidenze: L’uso di valutazioni rigorose e metodologie avanzate, come test di red-teaming e simulazioni, è fondamentale per comprendere le potenzialità e i limiti dei modelli. Inoltre, i fornitori sono tenuti a impegnarsi in un processo continuo di raccolta di evidenze sui rischi sistemici specifici dei loro modelli di IA a finalità generali con rischio sistemico. Tale processo, delineato dal Codice, prevede l’utilizzo di metodi avanzati, tra cui la previsione e le migliori valutazioni disponibili, per indagare capacità, propensioni e altri effetti di questi modelli. 
  • Misure di mitigazione: i provider saranno tenuti a mappare i potenziali elementi di rischio sistemico e conseguenti misure di mitigazione proporzionalmente necessarie, basandosi sulle linee guida dell’AI Office, se disponibili. La mappatura dovrà essere progettata per mantenere i rischi sistemici al di sotto di un livello intollerabile e minimizzare ulteriormente il rischio al di là di tale soglia. Inoltre, i fornitori si impegnano a dettagliare come ciascun livello di gravità o indicatore di rischio si traduca in specifiche misure di sicurezza e mitigazione, in linea con le migliori pratiche disponibili. Questo processo mira non solo a contenere i rischi entro livelli accettabili, ma anche a promuovere una continua riduzione del rischio attraverso un’analisi iterativa e approfondita. 

Il draft del Codice di Condotta rappresenta un passo cruciale verso una regolamentazione responsabile dei modelli di IA a finalità generali. Pur essendo ancora in fase preliminare, offre un quadro strutturato per identificare, valutare e mitigare i rischi sistemici, contribuendo a creare un equilibrio tra sicurezza e innovazione. Tuttavia, il percorso verso una piena attuazione è complesso e solleva interrogativi fondamentali, come l’armonizzazione delle metodologie di valutazione, la creazione di standard condivisi e la definizione precisa dei livelli di gravità.

Questa sfida rappresenta non solo un obbligo normativo per i fornitori, ma anche un’opportunità strategica per dimostrare leadership etica e tecnica in un settore in continua evoluzione. La capacità di affrontare queste tematiche con trasparenza e lungimiranza potrà diventare un elemento distintivo per le organizzazioni, favorendo la costruzione di un ecosistema di fiducia tra regolatori, utenti e sviluppatori.

Modelli di AI e Compliance Normativa: La Proposta del Codice di Condotta Europeo

/in /di

Introduzione

Nel contesto normativo europeo in continua evoluzione, l’intelligenza artificiale (AI) rappresenta una delle tecnologie più innovative e trasformative del nostro tempo. Con l’entrata in vigore dell’AI Act il 1° agosto 2024, l’Unione Europea ha compiuto un passo significativo verso la regolamentazione di questa tecnologia, mirando a garantire che lo sviluppo e l’adozione dell’AI avvengano nel rispetto dei diritti fondamentali e della sicurezza degli utenti. In questo panorama, la bozza del Codice di Condotta per i fornitori di modelli di AI per finalità generali, la cui versione definitiva è prevista entro il 1° maggio 2025, mira a fungere da ponte verso standard di compliance armonizzati e rappresenta una guida pratica per chi opera in questo complesso settore.

Come ricordato dagli stessi relatori l’obiettivo principale del Codice è quello di stabilire linee guida chiare e condivise che siano “future proof” ovvero in grado di adattarsi alle evoluzioni e alle esigenze tecnologiche del prossimo decennio e che permettano ai fornitori di modelli di AI di operare in un ambiente sicuro e responsabile, promuovendo al contempo l’innovazione e la competitività nel settore. 

Questo articolo esplorerà i punti salienti e le componenti più rilevanti della bozza del Codice di condotta, suddividendo l’analisi in due parti principali: i modelli di AI per finalità generali e l’AI generativa con rischi sistemici. Nello specifico di questi ultimi 

Modelli di AI per Finalità Generali

Definizione e Obblighi

Secondo l’AI Act, un modello di AI per finalità generali è definito come un sistema di intelligenza artificiale progettato per eseguire una vasta gamma di compiti senza essere specificamente ottimizzato per una singola applicazione. Questi modelli sono caratterizzati da una flessibilità che consente loro di adattarsi a diverse situazioni e contesti, rendendoli strumenti potenti ma anche potenzialmente rischiosi se non gestiti correttamente. Questa peculiare caratteristica comporta responsabilità uniche per i fornitori, poiché tali modelli possono essere integrati in sistemi a valle con finalità diverse.

Il Codice di Condotta impone ai fornitori di tali modelli una serie di obblighi volti a garantire che lo sviluppo e l’implementazione dei modelli di AI avvengano in conformità con le normative europee e con i principi etici fondamentali. Questi obblighi includono la necessità di una documentazione tecnica completa, che deve includere dettagli rilevanti come la struttura architettonica, il numero di parametri e le specifiche sul consumo energetico e che deve essere fornita all’AI Office e ai provider downstream, garantendo così la tracciabilità e la trasparenza nell’utilizzo dei modelli di AI.

Principi Fondamentali del Codice

Il Codice di Condotta si allinea strettamente con i principi stabiliti dall’Unione Europea e dall’AI Act, sottolineando l’importanza di una regolamentazione proporzionata ai rischi associati all’uso dei modelli di AI. Uno dei principi fondamentali, cari al legislatore Europeo, è la proporzionalità delle misure adottate rispetto non solo ai rischi identificati, ma anche alle capacità del provider assicurando che le strategie di mitigazione non soffochino l’innovazione ma piuttosto ne garantiscano un uso responsabile. Sotto quest’ultimo aspetto la bozza del codice si propone di dettare misure meno stringenti per PMI, Startup e progetti Open Source (fatto salvo per quelli che presentano un rischio sistemico) i quali hanno, per loro natura, risorse e capacità limitate da dedicare agli stringenti obblighi di compliance che l’AI Act prevede.

Inoltre, il Codice promuove il sostegno all’ecosistema dell’AI, incoraggiando la collaborazione tra fornitori, ricercatori e autorità regolatorie. Questo approccio collaborativo è essenziale per creare un ambiente in cui la sicurezza e l’affidabilità dei modelli di AI siano continuamente monitorate e migliorate, favorendo al contempo lo sviluppo di soluzioni innovative che rispondano alle esigenze della società.

Regole ed Obblighi per i Fornitori di Modelli di AI per Finalità Generali

Una delle componenti chiave del Codice riguarda le regole specifiche a cui dovrebbero attenersi i fornitori di modelli di AI per finalità generali. Tra queste, come anticipato nel paragrafo che precede, la documentazione tecnica riveste un ruolo centrale: i fornitori che vorranno adottare il codice di condotta saranno chiamati a descrivere i processi di training, test e validazione del modello, includendo informazioni dettagliate sui dati utilizzati, come “i metodi di acquisizione, frazioni di dati provenienti da diverse fonti e caratteristiche principali”.

 Un altro aspetto fondamentale riguarda la tutela del copyright. Il Codice impone l’obbligo di rispettare il diritto d’autore, anche nell’uso e raccolta dei dati durante la fase di training del modello. Questo significa che i fornitori devono garantire che i dati utilizzati per addestrare i modelli di AI non violino i diritti di proprietà intellettuale di terzi, adottando misure preventive e correttive per evitare potenziali infrazioni. Il Codice nell’enfatizzare la necessità di rispettare le eccezioni al text and data mining previste dalla Direttiva (EU) 2019/790 richiede a chi addestra tali modelli, ad esempio, il rispetto dei file robots.txt, che possono limitare l’accesso automatizzato a contenuti accessibili dal web.

La trasparenza nelle modalità di distribuzione e utilizzo del modello è un ulteriore requisito essenziale. Secondo questo primo draft, infatti, i fornitori saranno tenuti a comunicare chiaramente agli utenti finali le modalità di funzionamento del modello di AI, inclusi i limiti e le potenziali applicazioni, assicurando che l’uso della tecnologia avvenga in modo informato e consapevole.

Conclusione

Il Codice di Condotta per i fornitori di modelli di AI per finalità generali, benché ancora in fase di bozza, rappresenta un primo passo verso una regolamentazione condivisa e operativa. Con la sua versione definitiva prevista entro maggio 2025, il Codice offrirà un riferimento fondamentale per prepararsi all’applicabilità diretta delle obbligazioni dell’AI Act pendenti in capo ai provider di modelli a partire dal 2 agosto 2025.

In questa sede abbiamo analizzato le disposizioni relative ai modelli di AI per finalità generali. Restano però da esplorare i dettagli normativi e tecnici legati ai modelli con rischio sistemico, un tema che richiede attenzione specifica e che sarà oggetto di un prossimo approfondimento.

Un ulteriore aspetto degno di interesse è l’introduzione di un equilibrio tra obblighi proporzionati ai rischi e misure flessibili per realtà come startup e PMI. Questa impostazione non solo riconosce le differenze di capacità tra i vari attori, ma permette di evitare che un approccio unico penalizzi l’innovazione. Diventa quindi fondamentale che i provider, indipendentemente dalle loro dimensioni, considerino il Codice come uno strumento non solo di compliance ma di efficienza operativa, in grado di migliorare la gestione e la tracciabilità dei modelli lungo l’intero ciclo di vita

Da ultimo va sottolineato che, essendo una bozza, il Codice lascia spazio a ulteriori miglioramenti e aggiustamenti. Questo periodo di consultazione rappresenta un’opportunità per i provider di contribuire attivamente alla definizione delle regole che influenzeranno il settore.

Scraping e Intelligenza Artificiale Generativa: l’informativa del Garante Privacy

/in /di

La raccolta automatizzata di dati online, comunemente nota come web scraping, è diventata una pratica diffusa in molti settori per l’analisi dei dati e lo sviluppo di applicazioni basate sull’intelligenza artificiale generativa (IAG). Tuttavia, questa pratica solleva importanti questioni legali, soprattutto in relazione alla protezione dei dati personali. Lo scorso 20 maggio  il Garante per la protezione dei dati personali italiano ha emesso delle linee guida specifiche che forniscono indicazioni sulle misure da adottare per mitigare i rischi legati al web scraping. Questo articolo esamina in dettaglio le nuove linee guida, esplorando le implicazioni legali e le migliori pratiche per conformarsi alla normativa.

Cos’è il Web Scraping?

Il web scraping è il processo di estrazione automatica di dati da siti web utilizzando software specifici, noti come scraper. Questi programmi possono navigare automaticamente tra le pagine web, raccogliere dati strutturati e non strutturati, e salvarli per ulteriori analisi. Il web scraping può essere eseguito attraverso vari metodi, tra cui:

  • Parsing HTML: Analisi del codice HTML delle pagine web per estrarre informazioni specifiche.
  • APIs: Utilizzo di interfacce di programmazione per accedere ai dati offerti dai siti web.
  • Bot: Programmi automatizzati che simulano la navigazione umana per raccogliere dati.

Rischi Associati al Web Scraping

Sebbene possa avere applicazioni legittime, come la raccolta di informazioni per analisi di mercato, è spesso associato a usi meno leciti, come il furto di dati personali per scopi commerciali o addirittura fraudolenti. L’uso indiscriminato del web scraping può infatti comportare vari rischi legali e di sicurezza come:

  • violazione della Privacy: La raccolta di dati personali senza consenso può violare le normative sulla privacy, come il GDPR.
  • abuso dei Termini di Servizio: Molti siti web vietano il web scraping nei loro termini di servizio, e la violazione di queste condizioni potrebbe comportare azioni legali.
  • Sicurezza dei Dati: La raccolta massiva di dati può esporre le informazioni a rischi di sicurezza, come l’accesso non autorizzato o l’uso malevolo dei dati.

La nota informativa del Garante Privacy

Il Garante per la protezione dei dati personali ha recentemente pubblicato un documento che fornisce indicazioni per gestire i rischi legati al web scraping. L’informativa si concentra su diversi aspetti che gravitano intorno alla protezione dei dati personali e la conformità alle normative esistenti. Di seguito sono riportate le principali raccomandazioni:

  • Creazione di Aree Riservate: una delle misure suggerite è la creazione di aree riservate sui siti web, accessibili solo previa registrazione. Questa pratica riduce la disponibilità di dati personali al pubblico generico e può costituire una barriera contro l’accesso indiscriminato da parte dei bot. In questo modo sarà inoltre possibile monitorare chi accede ai dati e in quale misura, migliorando la tracciabilità e la responsabilità in capo all’utente. D’altro canto, è fondamentale che la raccolta dei dati per la registrazione sia proporzionata e rispetti il principio di minimizzazione dei dati.
  • Clausole nei Termini di Servizio: l’inserimento di clausole specifiche nei Termini di Servizio che vietano esplicitamente l’uso di tecniche di web scraping è un altro strumento efficace. Queste clausole possono fungere da deterrente e fornire una base legale per agire contro chi viola tali condizioni.
  • Monitoraggio del Traffico di Rete: implementare sistemi di monitoraggio per individuare flussi di dati anomali può aiutare a prevenire attività sospette. L’adozione di misure come il rate limiting consente di limitare il numero di richieste provenienti da specifici indirizzi IP, contribuendo a ridurre il rischio di web scraping eccessivo o malevolo.
  • Interventi Tecnici sui Bot: il documento suggerisce anche l’uso di tecniche per limitare l’accesso ai bot, come l’implementazione di CAPTCHA o la modifica periodica del markup HTML delle pagine web. Questi interventi, sebbene non risolutivi, possono rendere più difficile l’attività di scraping.

Conclusioni

L’informativa del Garante per la protezione dei dati personali rappresenta un passo avanti significativo nella regolamentazione dell’uso del web scraping e della protezione dei dati personali. Per i gestori di siti web e piattaforme online, è cruciale adottare le misure raccomandate per garantire la conformità normativa e proteggere i dati personali degli utenti.

La conformità alle normative sulla protezione dei dati non è solo un obbligo legale, ma anche un elemento fondamentale per costruire e mantenere la fiducia degli utenti. Le aziende devono essere proattive nell’adozione delle migliori pratiche per la protezione dei dati e nel monitoraggio delle evoluzioni normative.

Contattaci

Se avete domande o necessitate di assistenza legale in merito a web scraping e protezione dei dati, il nostro studio è a vostra disposizione. Contattateci per una consulenza personalizzata e per scoprire come possiamo aiutarvi a navigare nel complesso panorama delle normative sulla privacy.

Quando è necessario il rappresentante dell’UE ai sensi del GDPR?

/in /di

Forse non tutti sanno che l’articolo 27 del GDPR prevede la nomina di un rappresentante europeo per le aziende situate al di fuori dell’UE che svolgono attività di trattamento dei dati di cittadini europei.

In breve, il ruolo del rappresentante è quello di fungere da punto di contatto tra il titolare del trattamento, situato al di fuori del territorio dell’UE, e le autorità nazionali di protezione dei dati e gli interessati.

Essendo un obbligo imposto solo alle aziende extraeuropee, non sorprende che, all’interno dell’Unione Europea, a questa imposizione normativa non sia mai stata data particolare importanza.

Tuttavia, le aziende che non rispettano questo requisito possono spesso incorrere in multe salate.

In questo articolo cerchiamo di rispondere ad alcune delle domande più frequenti sul rappresentante dell’UE.

Qual è il ruolo di un rappresentante dell’UE ai sensi del GDPR?

Come si è accennato, il ruolo di un rappresentante ai sensi del Regolamento generale sulla protezione dei dati (GDPR) è quello di fungere da punto di contatto tra l’organizzazione avente sede extra-UE, le autorità di protezione dei dati dell’UE e con le persone i cui dati personali sono trattati (cd. Interessati). Benché il rappresentante non sia responsabile della conformità dell’organizzazione al GDPR e può essere comunque tenuto a collaborare con le autorità di protezione dei dati e ad assisterle nello svolgimento dei loro compiti. Ciò include rispondere alle richieste di informazioni da parte di persone i cui dati personali sono trattati dall’organizzazione e fornire informazioni alle autorità di protezione dei dati quando richiesto. Il rappresentante dell’UE ha anche la responsabilità di garantire che l’organizzazione conservi i registri delle sue attività di trattamento e di metterli a disposizione delle autorità di protezione dei dati su richiesta.

La mia azienda dovrebbe nominare un rappresentante UE?

L’obbligo per un’azienda di nominare un rappresentante nell’UE ai sensi del Regolamento generale sulla protezione dei dati (GDPR) dipende da diversi fattori. Il GDPR richiede alle organizzazioni con sede al di fuori dell’UE che:

  • offrono beni o servizi a persone nell’UE, o
  • che monitorano il comportamento di persone nell’UE,

di nominare un rappresentante nell’UE se non hanno una presenza fisica o uno stabilimento all’interno del territorio dell’Unione.

Secondo le linee guida dell’EDPB (linea guida 3/2018), ci sono diversi fattori che devono essere presi in considerazione per determinare se un’azienda sta offrendo i propri beni o servizi a persone in un particolare territorio all’interno dell’UE. Alcuni di questi fattori sono:

  • utilizzare le lingue di una regione specifica o offrire pagamenti nella valuta di quella regione;
  • l’utilizzo di annunci pubblicitari di Google, Facebook o TikTok per rivolgersi a un mercato specifico, o qualsiasi altra attività di marketing diretta ai clienti di quel mercato;
  • l’utilizzo di domini di primo livello in tale mercato;
  • l’offerta di consegna di merci a persone nella regione europea.

Inoltre, è importante notare che il GDPR si applica a organizzazioni di tutte le dimensioni, quindi anche se la vostra azienda è piccola, potreste essere tenuti a nominare un rappresentante.

È sempre meglio consultare un consulente legale per determinare se la vostra azienda è tenuta a nominare un rappresentante UE.

Cosa succede se non viene nominato un rappresentante nell’UE ai sensi del GDPR?

Un’organizzazione con sede al di fuori dell’UE che è tenuta a nominare un rappresentante ai sensi del Regolamento generale sulla protezione dei dati (GDPR) e non lo fa, può essere soggetta a sanzioni. Il GDPR prevede una serie di sanzioni amministrative, tra cui multe fino a 20 milioni di euro o al 4% del fatturato annuo globale dell’organizzazione, a seconda di quale sia il valore più alto, per le violazioni di alcune disposizioni del GDPR. La mancata nomina di un rappresentante ,quando questa è obbligatoria, può essere sicuramente annoverata tra le violazioni sanzionate dal Regolamento. Inoltre, le autorità di protezione dei dati dell’UE possono intraprendere altre azioni esecutive nei confronti dell’organizzazione, come richiedere la nomina di un rappresentante o sospendere o vietare il trattamento dei dati personali. Per questo motivo è di cruciale importanza che tutte organizzazioni extra-UE valutino se sono soggette a questo obbligo e di regolino di conseguenza, nominando un rappresentante.

Come nominare un rappresentante nell’UE?

Per nominare un rappresentante ai sensi del Regolamento generale sulla protezione dei dati (GDPR), la vostra azienda può procedere procedendo con i seguenti steps:

  • Identificare una persona o un’organizzazione con sede nell’Unione Europea (UE) che sia disposta e in grado di agire come rappresentante dell’UE della vostra azienda.
  • Far firmare al rappresentante UE un mandato scritto che delinei l’ambito delle sue responsabilità e la durata dell’incarico.
  • Conservate una copia del mandato, insieme a qualsiasi altro documento pertinente, come la prova dell’identità e della sede del rappresentante UE.
  • Mettete a disposizione le informazioni di contatto del rappresentante UE della vostra azienda sul vostro sito web e nella vostra politica sulla privacy, e fornitele a qualsiasi persona o autorità di protezione dei dati che ne faccia richiesta.

È importante sottolineare che il rappresentante UE deve avere sede nell’UE e deve essere facilmente accessibile alle persone e alle autorità di protezione dei dati. Il rappresentante deve inoltre essere in grado di comunicare nella lingua o nelle lingue utilizzate dalle persone e dalle autorità con cui interagirà. È inoltre importante assicurarsi che il rappresentante dell’UE sia in grado di adempiere alle proprie responsabilità ai sensi del GDPR e abbia familiarità con le attività di trattamento dell’organizzazione. È sempre consigliabile consultare un consulente legale per assicurarsi che la nomina di un rappresentante UE da parte della vostra azienda sia conforme al GDPR.

Contattaci per una consulenza

RICHIEDI INFORMAZIONI

Le nostre newsletter

ISCRIVITI

IMPRINT

Studio Legale Associato Gaeta Shargool | Email: info@aiternalex.com

Largo dei Chiavari, 82 – 00186 Roma (RM) | P.IVA: 16705131007

© 2024 Aiternalex | Powered by ORA Comunica | Privacy Policy | Cookie Policy