1 1

SoftwareAutomatedSolutions

COMPASS_GDPR and AI act compliance tool

COMPASS_GDPR and AI act compliance tool

€350,00 EUR
€350,00 EUR
Sale Sold out
Taxes included.

Cosa fa COMPASS

Il sistema monitora in tempo reale i flussi di dati biometrici senza mai accedere ai dati sensibili stessi, utilizzando tecniche di analisi dei metadati e privacy-preserving technologies. Funziona come un "ispettore digitale" che osserva come i dati vengono gestiti, trasferiti e conservati, verificando il rispetto delle normative italiane ed europee.

Funzionalità principali:

  • Analizza i pattern di trasferimento dati per identificare flussi biometrici non autorizzati
  • Verifica i tempi di conservazione e cancellazione dei dati
  • Monitora la validità e gestione del consenso
  • Controlla l'applicazione delle misure di sicurezza (crittografia, accessi)
  • Genera alert automatici per violazioni critiche
  • Produce report dettagliati per supportare azioni di enforcement

Ambiti di applicazione prioritari:

  • Piattaforme VR che raccolgono eye-tracking, movimenti corporei, espressioni facciali
  • Sistemi di e-learning con verifica biometrica dell'identità
  • Piattaforme di formazione professionale con autenticazione biometrica

Come funziona

COMPASS utilizza un approccio a livelli:

  1. Agenti di raccolta installati presso i sistemi monitorati che catturano metadati
  2. Pipeline di analisi che elabora le informazioni in modo privacy-preserving
  3. Motore di compliance che verifica il rispetto delle regole
  4. Dashboard interattiva che presenta i risultati in tempo reale

Il sistema non richiede accesso diretto ai database o ai dati biometrici, operando invece attraverso:

  • Analisi del traffico di rete (senza ispezione dei contenuti)
  • Monitoraggio delle API (tracciando solo le chiamate, non i dati)
  • Verifica dei log di sistema (estraendo pattern, non informazioni personali)
  • Controllo delle configurazioni di sicurezza

Conformità all'AI Act

Classificazione del Sistema

COMPASS rientra nella categoria di sistema AI a rischio limitato secondo l'AI Act (Regolamento UE 2024/1689) per le seguenti caratteristiche:

  • Non è un sistema ad alto rischio: Non rientra nell'Allegato III dell'AI Act in quanto non effettua identificazione biometrica, non prende decisioni che impattano direttamente sui diritti fondamentali, e non opera in ambiti critici per la sicurezza
  • Funzione di supporto: Agisce come strumento di supporto decisionale per il Garante, non sostituisce il giudizio umano
  • Trasparenza intrinseca: Tutte le analisi sono spiegabili e verificabili

Obblighi di Trasparenza (Art. 50 AI Act)

1. Notifica dell'uso di AI

  • Il sistema notifica chiaramente alle organizzazioni monitorate che è in uso un sistema AI
  • Ogni dashboard mostra l'indicatore "Analisi assistita da AI"
  • Le comunicazioni includono la dicitura standard richiesta

2. Diritto all'informazione

  • Documentazione pubblica su come funziona il sistema
  • Spiegazione delle metriche e degli algoritmi utilizzati
  • Trasparenza sui dati analizzati (solo metadati, mai dati personali)

Requisiti Tecnici di Conformità

1. Governance e Supervisione Umana (Art. 14) 
Implementazione COMPASS: - Ogni alert critico richiede validazione umana - Gli operatori possono sempre sovrascrivere le valutazioni del sistema - Interfaccia "human-in-the-loop" per decisioni sensibili - Log completo di tutte le interazioni umane con il sistema

2. Accuratezza, Robustezza e Cybersecurity (Art. 15) 
Misure implementate: - Testing continuo con dataset di validazione - Monitoraggio della performance con metriche di accuratezza >95% - Architettura resiliente con failover automatico - Crittografia end-to-end per tutti i dati di monitoraggio - Penetration testing trimestrale - Sistema di patch management automatizzato

3. Registrazione e Conservazione dei Log (Art. 12)

Sistema di logging:
- Registrazione automatica di tutte le operazioni
- Conservazione log per 3 anni (estendibile per procedimenti)
- Tracciabilità completa delle decisioni algoritmiche
- Export in formati standard per audit esterni

4. Documentazione Tecnica (Art. 11) La documentazione include:

  • Descrizione dettagliata degli algoritmi di analisi
  • Metriche di performance e limiti noti
  • Procedure di training e validazione
  • Analisi dei rischi e misure di mitigazione
  • Manuale d'uso per operatori

Gestione del Rischio AI

Valutazione d'impatto algoritmica:

  • Analisi dei potenziali bias nelle valutazioni di compliance
  • Test di equità per diversi tipi di organizzazioni
  • Monitoraggio continuo delle performance per deriva algoritmica
  • Meccanismi di correzione e ricalibrazione

Misure di mitigazione:

  • Diversificazione delle fonti di dati per ridurre bias
  • Validazione incrociata con audit manuali
  • Soglie conservative per ridurre falsi positivi
  • Revisione umana obbligatoria per sanzioni

Diritti degli Interessati

Anche se COMPASS non processa dati personali degli utenti finali, garantisce:

  • Diritto di contestazione: Le organizzazioni possono contestare le valutazioni
  • Diritto di spiegazione: Ogni score è accompagnato da motivazioni dettagliate
  • Diritto di correzione: Possibilità di segnalare e correggere errori
  • Trasparenza procedurale: Accesso alla logica di valutazione

Certificazioni e Conformità

Il sistema sarà progettato per ottenere:

  • Certificazione ISO/IEC 27001 per la sicurezza delle informazioni
  • Conformità ISO/IEC 23053 per l'uso etico dell'AI
  • Validazione dal Garante come strumento conforme
  • Eventuale certificazione volontaria AI Act quando disponibile

Conclusione

COMPASS rappresenta un approccio innovativo al monitoraggio della compliance che bilancia efficacia operativa e rispetto della privacy. La piena conformità all'AI Act garantisce che il sistema operi secondo i più alti standard etici e legali europei, fornendo al Garante uno strumento potente ma responsabile per la protezione dei dati biometrici dei cittadini italiani.

View full details