Le SCC tra GDPR e AI: peculiarità, differenze e similitudini

Le Standard Contractual Clauses

Le Standard Contratual Clauses sono modelli contrattuali tipo predisposti dalla Commissione Europea in tema di protezione dei dati personali.

Le SCC sono state introdotte dalla Direttiva 95/46/CE, e sono state mantenute dal Regolamento EU 2016/679 che le ha indicate agli artt. 28 e 46.

Sulla base di queste previsioni, la Commissione ha previsto due diverse tipologie di SCC: quelle relative ai rapporti tra i titolari e i responsabili del trattamento (ex art. 28) e quelle per i trasferimenti di dati verso paesi terzi che non presentino un sistema di protezione dei dati equivalente a quello europeo (ex art. 46), tipologie entrambe adottate dalla Commissione europea, nella versione aggiornata, il 4 giugno 2021.

Le SCC sono state introdotte anche con riferimento all’impiego dell’AI e alla proposta di regolamento sull’intelligenza artificiale, ma in un contesto normativo completamente diverso.

Le SCC relative all’AI, infatti, non sono state predisposte dalla Commissione Europea, ma sono state emanate nell’ambito della “Procurement of AI community”, una delle community presenti nel sito della Commissione Europea. Queste clausole, sotto forma di proposta di SCC non hanno, quindi, valore vincolante, anche se la loro adozione è fortemente consigliata e si richiede, da parte della community, un feed back sulla validità della loro adozione.

Sebbene, come detto, non siano documenti ufficiali, la tecnica che è stata utilizzata per la loro redazione è quella di riprendere requisiti e obblighi per l’impiego dell’AI indicati nella proposta di regolamento ancora in fase di approvazione, in modo da garantire la conformità alle disposizioni regolamentari.

I soggetti coinvolti e l’applicazione soggettiva

La prima macroscopica differenza tra le SCC del GDPR e quelle predisposte per l’AI riguarda l’ambito di applicazione soggettiva.

Mentre le prime, nella nuova versione del 2021, ampliano il perimetro dei soggetti destinatari, inserendo trasferimenti di dati personali tra soggetti che non erano stati considerati dalle SCC introdotte dalla Direttiva 95/46/CE e prendono in considerazione tutti i possibili trasferimenti tra titolari e responsabili, comprendendo, quindi, tutte le ipotesi verificabili (sono infatti applicabili ai trasferimenti tra titolare e titolare, titolare e responsabile, responsabile e responsabile, responsabile e titolare), le SCC relative all’AI riguardano, al contrario, esclusivamente l’acquisto, da parte di organizzazioni pubbliche, di sistemi di intelligenza artificiale sviluppati da un fornitore esterno.

Il perimetro di applicazione delle due tipologie di SCC è, pertanto, completamente antitetico.

Mentre le SCC in tema di trattamento di dati personali cercano di essere il più ampie possibili, non solo ricomprendendo tutti i possibili trattamenti, ma anche prevedendo clausole identiche per tutte le tipologie di dati (manca la differenziazione, per esempio, sulla distinzione dato comune-dato particolare), le SCC sull’AI, al contrario, riguardano una tipologia specifica di soggetto (un’organizzazione pubblica) in un determinato contesto (l’acquisto di sistemi di AI da un fornitore esterno) e vengono modulate ricalcando la distinzione, prevista dalla proposta regolamentare, tra sistemi di intelligenza artificiale ad altro rischio e sistemi non ad alto rischio.

Con riferimento all’applicazione soggettiva delle SCC si deve sottolineare un ulteriore aspetto.

Le SCC del GDPR, e solo queste, ma la ragione è piuttosto intuibile, prevedono anche la possibilità, introdotta dalla revisione delle SCC del 2021, di un’adesione ex post da parte di soggetti terzi, ossia di soggetti diversi dalle originarie parti contrattuali, quasi si trattasse di un contratto per adesione, con conseguente acquisizione di tutti i doveri e di tutti gli obblighi nascenti dall’applicazione delle SCC e dalle ulteriori clausole inserite nell’accordo contrattuale.

Gli obblighi di accountability

Interessante, poi, il parallelismo tra gli obblighi di accountability previsti dalle SCC del GDPR e il sistema di gestione dei rischi introdotto dalle SCC in tema di intelligenza artificiale.

Se nel primo caso le parti coinvolte nel trasferimento devono essere in grado di dimostrare il rispetto dei propri obblighi in relazione all’impiego delle SCC e delle misure tecniche e organizzative idonee a garantire la sicurezza e la protezione dei dati, dall’altro le SCC in tema di intelligenza artificiale prevedono uno specifico obbligo, relativo alla governance dei dati (presente in entrambe le versioni, sia quella per sistemi ad alto rischio, sia per quelli non ad alto rischio) che impone al fornitore di effettuare “un esame atto a valutare le possibili distorsioni che rischiano di compromettere la salute e la sicurezza delle persone fisiche o comportare discriminazioni vietate dalla legislazione dell'Unione europea” (art. 3.1 lett. f), nonché di adottare “le misure adeguate per individuare, prevenire e attenuare le possibili distorsioni” (art. 3.1 lett.g).

La previsione della lett f) fa espresso riferimento a principi del GDPR, ma anche nella successiva lett. g) si possono individuare punti di contatto con la protezione dei dati personali, laddove le misure adeguate per la prevenzione e l‘attenuazione di possibili distorsioni (dei dati) siano volte alla protezione dei diritti e sulle libertà delle persone fisiche.

La documentazione

In tema di documentazione le SCC, del GDPR e relative all’AI, hanno impostazioni diverse poiché la documentazione prevista si inserisce in contesti diversi, anche se, per alcuni aspetti, assimilabili.

In materia di protezione dei dati personali, le SCC prevedono l’obbligo per il data importer di redigere e conservare, in ottica accountability, tutta la documentazione idonea a provare la propria compliance relativa ai trattamenti svolti per conto dell’esportatore ed eventualmente, qualora gliene venga fatta richiesta, a metterla a disposizione delle autorità competenti. L’esportatore, dal canto suo, è tenuto, invece, a dimostrare di aver valutato e verificato l’affidabilità e l’idoneità del data importer a soddisfare gli obblighi definiti nelle SCC.

In sostanza il primo deve dimostrare la propria compliance, il secondo deve dimostrare di aver effettuato una valutazione, di esito positivo, sull’adeguatezza del data importer.

Le SCC previste per l’intelligenza artificiale, invece, prevedono un obbligo di consegna di documentazione tecnica e istruzioni d’uso da parte del fornitore affinchè l’organizzazione pubblica e i terzi possano verificare il rispetto delle SCC da parte del fornitore stesso.

Si tratta in entrambi i casi di un controllo, effettuato tramite la creazione e la produzione della documentazione, del rispetto delle previsioni inserite nelle clausole contrattuali tipo, entrambe con finalità specifica di trasparenza, anche se contestualizzate in ambiti diversi.

La valutazione del rischio e la responsabilità

Le SCC sull’AI prevedono e introducono, inoltre, un procedimento per la valutazione del rischio che si sviluppa nelle tipiche fasi dell’individuazione e della stima dei rischi, della loro valutazione e della dichiarazione delle misure che sono state adottate per mitigarli. È interessante l’aspetto che riguarda la dichiarazione, contrattuale, che il fornitore deve fare circa la accettabilità del rischio residuo.

Se, quindi, da un lato, contrattualmente, il fornitore, deve dichiarare l’esito della valutazione del rischio e deve, altresì, dichiarare che il rischio residuo è accettabile, dall’altro questa appare come l’unica disposizione ricollegabile alla responsabilità, poiché mancano, nelle SCC in esame, norme relative alla responsabilità così come non sono state inserite norme relative alla proprietà intellettuale o al pagamento.

Che si tratti di clausole “parziali” emerge chiaramente dall’ambito di applicazione, ossia l’acquisto, da parte di organizzazioni pubbliche, di sistemi di intelligenza artificiale sviluppati da un fornitore esterno, ma anche in tale ambito sono stati sviscerati solo alcuni aspetti, a discapito di altri che, potrebbero far emergere criticità di vario genere, anche con riferimento alla protezione dei dati personali.

Questo comporterà, nella pratica, che le clausole andranno per così dire “personalizzate” in relazione al contesto nel quale si inseriscono e sono destinate ad operare, effettuando, quindi, un’operazione di attualizzazione e contestualizzazione che, forse, poteva essere evitata al fine di limitare possibili ulteriori problematiche in un ambito già di per sé critico.

La governance dei dati

Una riflessione particolare deve essere effettuata con riferimento alla governance dei dati introdotta dalle SCC sull’intelligenza artificiale.

Le clausole disciplinano l’impiego e l’utilizzo dei set di dati, prevedendo disposizioni diverse a seconda che gli stessi appartengano all’organizzazione pubblica, al fornitore o a terzi, con espresso divieto di utilizzo, per finalità diverse da quelle contrattuali, solo nel primo caso, ossia di dati appartenenti all’organizzazione pubblica.

La previsione è strettamente collegata al principio di trasparenza che permea tutte le disposizioni delle SCC, sebbene, come anticipato, le stesse non siano complete ed esaustive. Rimane, tuttavia un elemento che riguarda i possibili effetti negativi connessi alla violazione di tali disposizioni. Se da un lato è vero che qualora ci fosse una violazione contrattuale, il contratto nel quale si inseriscono queste SCC è verosimile che preveda anche un regime sanzionatorio per tale violazione, è altrettanto vero che rimane comunque escluso un altro aspetto attinente agli effetti, negativi sui terzi derivanti direttamente da tale violazione.

A parere di chi scrive tale elemento, non di secondaria importanza, dovrebbe essere attenzionato da parte della Commissione Europea proprio al fine di rafforzare quel perimetro di responsabilità che le SCC hanno tralasciato di considerare.

Conclusioni

In attesa della conclusione dell’iter per l’emanazione del Regolamento sull’AI le SCC sono senza ombra di dubbio un importante tassello che si inserisce nella “regolamentazione” delle varie fasi relative all’impiego dell’intelligenza artificiale.

A parere di chi scrive le SCC potrebbero essere implementate ed ampliate e l’auspicio è quello che la Commissione Europea, chiamata in un prossimo futuro a intervenire sul punto, si orienti per un’azione più ampia e dettagliata.