L'Autorità Nazionale per la Protezione dei Dati e la Libertà di Informazione dell'Ungheria (NAIH) ha emesso le linee guida più prescrittive sui requisiti di protezione dei dati per i sistemi di IA di qualsiasi Autorità per la Protezione dei Dati dell'Europa Centrale. Nel 2024, il NAIH ha emesso 38 decisioni di enforcement e pubblicato linee guida dettagliate sull'IA che richiedono valutazioni d'impatto sulla protezione dei dati esplicite per qualsiasi sistema di IA che tratti dati personali — un requisito più ampio rispetto alla base del GDPR.
L'approccio di enforcement "AI-First" del NAIH
Dove la maggior parte delle Autorità per la Protezione dei Dati dell'UE ha emesso linee guida generali su IA e GDPR, le linee guida del NAIH del 2024 sono specifiche a livello operativo:
DPIA obbligatoria per tutti i sistemi di IA che trattano dati personali: Il NAIH richiede una DPIA completata prima di implementare qualsiasi sistema di IA che tratti dati personali — indipendentemente dal fatto che il trattamento sia considerato "ad alto rischio" secondo il requisito generale di DPIA del GDPR. Questo è più impegnativo rispetto all'approccio basato sul rischio dell'Articolo 35 del GDPR.
Requisiti di ambito della DPIA: La DPIA modello del NAIH per i sistemi di IA deve includere:
- Descrizione tecnica degli input e output dei dati del modello di IA
- Prova che i dati di addestramento siano stati realmente anonimizzati o trattati sotto una base legale specifica
- Valutazione del rischio di discriminazione algoritmica
- Meccanismo di revisione umana per decisioni automatizzate
- Programma di conservazione e cancellazione per i dati trattati dall'IA
Rivalutazione annuale: Il NAIH richiede che le DPIA siano aggiornate annualmente quando i sistemi di IA vengono riaddestrati o modificati in modo significativo.
L'Ungheria ha trattato oltre 890.000 richieste di soggetti dei dati GDPR nel 2024 — un volume significativo per un paese di 10 milioni, che indica un esercizio attivo dei diritti e crea requisiti di conformità operativa.
Il divario di accuratezza del NER ungherese
La valutazione tecnica del NAIH del 2024 ha trovato che l'accuratezza del modello NER in lingua ungherese è del 67% — significativamente al di sotto della media dell'UE del 82%. Questo divario ha implicazioni pratiche per l'enforcement: le organizzazioni che trattano dati personali ungheresi con strumenti NLP in inglese o tedesco stanno commettendo errori sistematici di rilevamento.
L'ungherese è morfologicamente complesso (lingua agglutinativa con ampia suffissazione), il che crea sfide specifiche per i modelli NLP addestrati su lingue analitiche come l'inglese. Nomi, indirizzi e identificatori incorporati nella prosa ungherese richiedono modelli addestrati su testi in lingua ungherese per raggiungere un'adeguata accuratezza di rilevamento.
Identificatori nazionali ungheresi
TAJ-szám (Társadalombiztosítási Azonosító Jel): numero di identificazione della sicurezza sociale a 9 cifre. Utilizzato in tutti i registri sanitari, di benefici sociali e pensionistici. La validazione utilizza un algoritmo di checksum ponderato definito dagli standard dell'autorità ungherese per la sicurezza sociale.
Adóazonosító jel: numero di identificazione fiscale a 10 cifre per gli individui. Formato: 8 cifre principali + 2 cifre di controllo. Compare nei contratti di lavoro, nelle dichiarazioni fiscali, nei registri stipendiali e nei documenti dei servizi finanziari.
Numero di carta d'identità personale: numero della carta d'identità nazionale ungherese. Formato e struttura delle cifre di controllo specifici per le convenzioni di emissione ungheresi.
Numero di passaporto: numero del passaporto ungherese. Formato specifico per l'emissione ungherese, con cifra di controllo.
La valutazione tecnica del NAIH ha trovato che gli strumenti NLP generici trascurano il TAJ-szám nel 61% dei documenti a causa della variazione di formato e della mancanza di algoritmi di checksum validati.
Contesto di conformità alla digitalizzazione del governo ungherese
Il programma di digitalizzazione del governo ungherese — che consolida i servizi pubblici sulla piattaforma Ügyfélkapu (Client Gateway) — crea significativi requisiti di conformità. La piattaforma tratta dati personali per oltre 4 milioni di cittadini ungheresi registrati in ambito fiscale, servizi sociali, sanità e licenze.
Le organizzazioni del settore privato che si integrano con Ügyfélkapu (per la gestione dei benefici per i dipendenti, i servizi di dichiarazione fiscale o la verifica dell'identità) trattano identificatori nazionali ungheresi in contesti regolamentati. Il NAIH ha scoperto che gli integratori del settore privato spesso implementano strumenti PII internazionali senza supporto specifico per identificatori ungheresi — creando lacune sistematiche nella conformità.
Implicazioni della legge sull'IA
L'Ungheria è tra i primi stati membri dell'UE a affrontare formalmente l'implementazione della legge sull'IA dell'UE nelle sue linee guida per l'Autorità per la Protezione dei Dati. La posizione del NAIH:
Sistemi di IA ad alto rischio (come definiti nell'Allegato III della legge sull'IA dell'UE — inclusi IA nel lavoro, scoring creditizio e servizi essenziali) richiedono sia una valutazione di conformità alla legge sull'IA che una DPIA migliorata del NAIH.
Modelli di IA di uso generale utilizzati per trattare dati personali di cittadini ungheresi richiedono una DPIA del NAIH anche quando non classificati individualmente come ad alto rischio secondo la legge sull'IA.
Per le organizzazioni che implementano sistemi di IA in Ungheria, il requisito pratico di conformità è: DPIA del NAIH prima dell'implementazione, supporto NER in lingua ungherese per il rilevamento dei dati personali nei documenti e rilevamento di TAJ-szám/adóazonosító jel con validazione del checksum.
Fonti: