In questo quadro costituito da linee guida delle autorità europee e pronunciamenti ed alert anche rispetto alla discussione in atto sulla proposta di Regolamento intitolata “Intelligence Act”, presentata nella versione finale dalla Commissione UE il 21 aprile 2021, assume ora specifico interesse la pronuncia adottata dalla Autorità ungherese l’8 febbraio 2022 nei confronti della Budapest Bank.
Sulla base di una specifica indagine svolta, l’Autorità ungherese ha accertato che alcuni data controller svolgono un’attività sistematica di registrazione e di catalogazione delle chiamate telefoniche fatte dai clienti i cui contenuti-audio sono registrati.
Sulla base di tali registrazioni ogni notte un software sviluppa automaticamente una analisi dei dati raccolti, usando una tecnologia basata sulla Intelligenza Artificiale allo scopo di individuare le parole chiave per esplorare lo stato emotivo del cliente mentre stava facendo la telefonata. L’obiettivo è quello di catalogare i clienti per poterli far richiamare da appositi funzionari preparati a individuare, attraverso apposite tecniche, le ragioni dello stato emotivo manifestato dai clienti e rilevato dalla IA, ed evitare il rischio di una loro possibile disaffezione.
L’Autorità ungherese, verificando l’impact assesment fatto dal titolare, ha verificato che né la valutazione d’impatto, né altre misure basate sulla tutela del legittimo interesse dell’interessato sono state adottate a seguito di queste analisi, né esse sono state in alcun modo previste, mentre l’informativa data agli utenti era solo cartacea e del tutto insufficiente per consentire all’utente di comprendere i trattamenti dei dati posti in essere.
L’Autorità ungherese ha riaffermato il principio che, proprio perché le tecnologie di Intelligenza Artificiale difficilmente si sviluppano con modalità trasparenti e immediatamente intuibili dagli interessati, sono necessarie misure di salvaguardia degli interessati, partire dalla informativa, rafforzate, anche in considerazione del fatto che è difficile essere certi della esattezza dei risultati ottenuti con queste tecnologie.
Proprio per questo la Autorità ungherese ha ritenuto che il comportamento del titolare avesse determinato la violazione durevole nel tempo di molte norme del GDPR.
In particolare, al centro della preoccupazione della Autorità ungherese è la scarsa, per non dire inadeguata, informativa data agli interessati del fatto che i loro dati sono sottoposti a trattamenti basati su tecnologie di IA. Non minore è la preoccupazione relativa al fatto che i trattamenti dei dati accertati implicano anche finalità diverse e mutevoli rispetto a quelle per le quali essi sono raccolti e che sono, queste sì, in conformità alle regole di protezione dei dati personali.
Il provvedimento della Autorità ungherese, che ha alla fine comminato una sanzione pari a circa 650.000 euro, ci conferma in concreto che l’evoluzione delle nuove tecnologie digitali e in particolare l’utilizzazione di forme di tecnologia digitale di IA per il trattamento di dati personali sono destinate a rendere sempre più complessa e difficile l’attività dei Data Protection Officer.