ICO: report sugli strumenti AI per il recruitment

Il Garante Privacy inglese ICO ha pubblicato un report relativo agli audit consensuali condotti dall’agosto 2023 a maggio 2024 rispetto ad organizzazioni che sviluppano o forniscono sistemi di intelligenza artificiale utilizzati nel settore del recruitment e nello specifico per screening, sourcing e selezione.

Ambito di applicazione In particolare, gli strumenti di sourcing includono funzionalità per I suggerire i potenziali candidati che corrispondono o si adattano meglio all’offerta di lavoro di un recruiter, estratti da un database di profili di potenziali candidati II trovare i candidati che possono aumentare la diversità del pool di potenziali candidati del recruiter, distinti in base al sesso, all’etnia, all’età o ad altre caratteristiche di diversità previste o dedotte. Gli strumenti di screening comprendono funzionalità per I valutare le competenze e le abilità dei candidati in base alle candidature ricevute e ai CV II prevedere l'“interesse” di un candidato rispetto ad una posizione sulla base delle sue interazioni con i recruiters III  prevedere la probabilità che un candidato abbia successo nel processo di selezione del recruiter.  Gli strumenti di selezione prevedono funzionalità per I valutare le competenze e l’idoneità di un candidato a un ruolo in base alle sue prestazioni in giochi comportamentali o valutazioni psicometriche basati sull'AI II valutare le competenze e le abilità di un candidato in base alle risposte fornite alle domande dei colloqui e alle trascrizioni in testo dei colloqui in presenza o in video III valutare il linguaggio, il tono e il contenuto di quanto espresso in video dal candidato per prevedere il suo tipo di personalità. Ciò detto, i casi d’uso relativi ai sistemi di intelligenza artificiale AI valutati negli audit ed oggetto del presente report riguardano i sistemi di machine learning e di elaborazione in linguaggio naturale. Eccezioni Sono stati esclusi dal perimetro di valutazione degli audit in quanto oggetto di futuri report ad hoc I sistemi di AI che trattano dati biometrici, come nel caso di rilevamento delle emozioni nelle interviste video II sistemi di AI generativa, come ad esempio quelli per sviluppare i chatbot e per la redazione di annunci di lavoro o descrizioni di ruoli. Metodologia e valutazione utilizzata L’ambito degli audit è strettamente limitato alle seguenti aree chiave I Privacy management - per esaminare la struttura di gestione a supporto della privacy nei sistemi AI, sono state prese in considerazione politiche e procedure sulla privacy meccanismi di conformità e KPI formazione specializzata in materia di privacy e AI per il personale l’identificazione di basi giuridiche adeguate e di condizioni di liceità ulteriori per il trattamento dei dati personali. II Minimizzazione dei dati e limitazione delle finalità - per garantire che i dati personali non siano riutilizzati per lo sviluppo o la fornitura di sistemi AI e i medesimi dati personali trattati siano minimi, adeguati e non conservati oltre a quanto sia necessario rispetto alla finalità del trattamento. III Rapporti con terze parti - per garantire che i fornitori di sistemi AI e i recruiters fruitori dei sistemi AI comprendano e rispettino i loro obblighi e responsabilità a seconda che operino quali titolare e/o responsabili del trattamento e li abbiano formalizzati nei contratti. IV Sicurezza e integrità dei dati personali - per verificare che le misure di sicurezza tecniche e controlli di accesso siano stati implementati e garantiscano la protezione dei dati personali durante la raccolta, in transito e durante la conservazione a riposo. V Trasparenza - per assicurare che le persone siano informate sulle modalità con cui i dati personali sono trattati dagli strumenti AI per il recruiting. vi DPIA e gestione del rischio - per garantire che le valutazioni di impatto sulla protezione dei dati personali DPIA siano state effettuate e comprendano una una valutazione completa dei rischi per la privacy delle persone nonché misure mitigative per ridurre tali rischi. VII Privacy trade-off nell’utilizzo di sistemi AI - per confermare che potenziali ed esistenti frizioni nei sistemi AI tra il diritto alla protezione dei dati personali dei soggetti interessati e altri valori o interessi concorrenti siano stati valutati e approfonditi attentamente. VIII Utilizzo di dati personali per addestrare e testare l’AI - per verificare che i dati personali siano stati utilizzati in modo corretto e trasparente per sviluppare i sistemi AI. IX Esattezza, correttezza e mitigazione dei bias nell’AI - per valutare in che modo criticità, potenziali e/o effettive, relative all correttezza, esattezza nonché a bias, siano stati mitigati nello sviluppo dell’AI e siano efficacemente gestiti durante tutto il ciclo di vita dell’AI. X Supervisione umana nell’AI - per assicurare che le attività di trattamento nonché gli outpust dell’AI siano soggetti a controlli umani significativi e a revisioni formalizzate e che eventuali criticità vengano affrontate in modo tempestivo. Risultati audit Gli auditor dell'ICO hanno formulato 296 raccomandazioni e 42 note consultive in tutti gli incarichi. Tali raccomandazioni sono state suddivise nelle seguenti aree quadro di gestione della privacy, minimizzazione dei dati e limitazione delle finalità, rapporti con terze parti, sicurezza e integrità, trasparenza, DPIA e gestione del rischio, privacy trade-off nell’utilizzo di sistemi AI, formazione e verifica di sistemi AI, esattezza, correttezza e mitigazione di bias, supervisione umana. La maggior parte delle raccomandazioni riguarda rispettivamente il quadro di gestione della privacy 58 , DPIA e la gestione del rischio 53 e l’esattezza, correttezza e mitigazione di bias 33 .  Raccomandazioni Gli audit effettuati hanno rilevato alcune aree di miglioramento nella conformità alla protezione dei dati e nella gestione dei rischi per la privacy nell’AI. Le raccomandazioni sono state adattate al caso d’uso dell’IA, ai dati personali trattati e al contesto dell'azienda. Tuttavia, sono state individuate sette raccomandazioni chiave che sono fondamentali per tutte le organizzazioni quando sviluppano e/o forniscono AI providers , nonché utilizzano sistemi di AI per il recruiting Recruiters . 1 Correttezza Gli AI providers e i recruiters devono garantire un trattamento dei dati personali corretto da parte dei sistemi AI. Ciò include il monitoraggio di potenziali o effettive criticità relative alla correttezza, esattezza o errori dell’AI e dei suoi risultati outputs , e di intraprendere azioni adeguate a risolverli. Inoltre, gli AI providers e i recruiters devono I assicurarsi che tutti i dati di categoria particolare trattati per monitorare eventuali outputs pregiudizievoli e discriminatori siano sufficientemente adeguati ed esatti per soddisfare efficacemente questa finalità II garantire che il suddetto trattamento sia conforme alla normativa privacy. I dati desunti o dati stimati inferred or estimated data non saranno sufficientemente adeguati ed esatti e non saranno quindi conformi alla normativa privacy. 2 Trasparenza e comprensibilità i recruiters devono assicurarsi di informare i propri candidati su come i dati personali saranno trattati tramite sistemi AI. A tal fine, devono fornire informazioni dettagliate sulla protezione dei dati personali e/o assicurarsi che siano fornite dagli AI providers. L’informativa dovrà spiegare chiaramente I categorie di dati personali trattati e le relative modalità II la logica sottostante all’elaborazione di previsioni o nella produzione di outputs III come vengono utilizzati dati personali per addestrare, testare o sviluppare in altro modo i sistemi AI. Gli AI providers devono promuovere la trasparenza e la compensibilità dei loro sistemi AI, fornendo proattivamente informazioni tecniche rilevanti ai sistemi AI o dettagli sulla logica dei medesimi dell'IA ai recruiters. Gli AI providers e i recruiters devono assicurarsi che i contratti definiscano chiaramente quale parte sia responsabile in merito alla fornitura dell’informativa sulla tutela dei dati personali ai candidati. 3 Minimizzazione dei dati e limitazione delle finalità gli AI providers dovrebbero valutare in modo esaustivo i dati personali strettamente necessari a sviluppare, addestrare, testare e far funzionare ogni elemento del sistema AI la finalità del trattamento e la compatibilità con la finalità originaria del trattamento il termine di conservazione necessario dei dati personali. I recruiters devono I assicurarsi di raccogliere solo i dati personali necessari alla finalità del sistema AI utilizzato e II confermare che il trattamento dei dati personali sia strettamente limitato a quella specifica finalità e che i dati personali non siano conservati, condivisi o rielaborati per una finalità alternativa e incompatibile con quella originaria. 4 DPIA gli AI providers e i recruiters devono I effettuare una DPIA già prime fasi dello sviluppo del sistema e in ogni caso prima del trattamento dei dati personali, quando lo stesso comporta un rischio elevato per i soggetti interessati II aggiornare la DPIA man mano che il sistema AI si sviluppa e quando il trattamento dei dati personali cambia. La DPIA deve includere I una valutazione completa dei rischi per la privacy dei soggetti interessati a seguito del trattamento dei dati personali ii misure adeguate per ridurre tali rischi III un’analisi del bilanciamento tra il diritto alla protezione dei dati personali dei soggetti interessati e altri interessi concorrenti. Anche quando agiscono esclusivamente come responsabili del trattamento, gli AI providers dovrebbero effettuare una DPIA per valutare e ridurre i rischi per la privacy e dimostrare l’esistenza di misure di sicurezza, tecniche e organizzative. 5 Ruoli privacy titolare e responsabile. Gli AI providers e i recruiters devono I definire se l’AI provider è il titolare del trattamento, il contitolare del trattamento o un responsabile del trattamento per ogni specifico trattamento di dati personali e II descriverlo chiaramente nei contratti e nelle informative privacy. L’AI provider è titolare del trattamento se esercita il controllo generale sulle modalità e le finalità del trattamento. Ad esempio, se utilizza i dati personali che tratta per conto del recruiter per sviluppare un modello di AI centralizzato che distribuisce a tutti i recruiter. 6 Istruzioni di trattamento esplicite i recruiters devono stabilire istruzioni scritte esplicite e complete per il trattamento dei dati personali da parte degli quando tratti AI providers che trattano dati personali per suo conto in qualità di responsabile del trattamento. Ciò comporta la decisione in merito a I dati specifici richiesti II le modalità e le finalità del trattamento III l’output richiesto e IV le misure adeguate per la protezione dei dati personali. I recruiters devono controllare periodicamente che gli AI providers rispettino queste istruzioni e non comunichino e/o trattino dati personali per finalità ulteriori e alternative. Gli AI providers I devono seguire le istruzioni esplicite dei reclutatori solo quando trattano i dati personali in qualità di responsabili del trattamento per conto del recruiter II non devono conservare i dati personali, comunicarle senza idonea base giuridica, né trattarle per finalità proprie, al di là delle istruzioni impartite. 7 Base giuridica e condizione di liceità ulteriore gli AI providers e i recruiters devono I identificare la base giuridica utilizzata per ogni fase del trattamento dei dati personali in qualità di titolari del trattamento, prima di trattare qualsiasi dato personale II identificare una condizione di liceità ulteriore, nel caso in cui siano trattati dati di categoria particolare III documentare e descrivere nelle informative privacy e prevedere nei contratti la base giuridica ed eventuali condizioni di liceità aggiuntive IV se la base giuridica è il legittimo interesse, effettuare una valutazione degli interessi legittimi LIA e V se la base giuridica è il consenso, assicurarsi che il consenso sia specifico e granulare, chiaro, sia adeguatamente registrato e aggiornato a intervalli periodici, e che sia agevolmente revocabile.