Disegno di legge sull’AI: il Garante per la protezione dei dati personali approva il testo con parere favorevole ma condizionato
28 Agosto 2024
Con parere del 2 agosto 2024 richiesto dalla Presidenza del Consiglio dei ministri, il Garante per la protezione dei dati personali, si è espresso sullo schema di disegno di legge recante disposizioni e deleghe in materia di intelligenza artificiale. Il provvedimento, suddiviso in sei Capi, contiene norme e principi di natura programmatica, settoriale e promozionale che regolano la ricerca, la sperimentazione, lo sviluppo, l'adozione e l'applicazione di sistemi e modelli di intelligenza artificiale. In aggiunta, il disegno di legge include una delega legislativa al Governo per l'adeguamento della normativa interna al Regolamento sull'intelligenza artificiale del Parlamento europeo e del Consiglio, n. 2024/1689 (AI Act). Per il Garante, la delega legislativa per l'adeguamento dell'ordinamento interno all'AI Act richiede integrazioni specifiche per designare le autorità competenti e definire i profili richiesti dai singoli Stati membri. In particolare, l'art. 5 dell'AI Act affida agli Stati membri la decisione sull'uso dei sistemi di identificazione biometrica remota "in tempo reale" in spazi pubblici per fini di polizia, richiedendo norme e procedure precise per l'autorizzazione e la notifica all'Autorità di protezione dei dati. È necessario, dunque, che il legislatore interno individui l'organo competente per tali autorizzazioni. Si propone che il Garante venga designato come autorità competente all'autorizzazione di tali sistemi biometrici, considerando le competenze acquisite nel campo della protezione dei dati personali. Inoltre, il Garante dovrebbe essere designato autorità competente per i sistemi di intelligenza artificiale ad alto rischio in determinati ambiti, come quelli elencati nell'AI Act, riducendo gli oneri amministrativi e garantendo il rispetto dei diritti fondamentali. È importante includere il Garante nelle procedure di coordinamento con altre autorità designate e assicurare il coinvolgimento dello stesso nelle sperimentazioni normative previste dall'AI Act, considerando l'incidenza sulla protezione dei dati. Alla luce delle valutazioni espresse, ai sensi dell'art. 36, § 4 del citato Regolamento, il Garante ha espresso parere favorevole sul proposto schema di disegno di legge; tuttavia, ritiene che il legislatore dovrà valutare la possibile sovrapposizione con alcune disposizioni dell'AI Act. Inoltre, poiché molte disposizioni hanno un impatto significativo sulla tutela dei dati personali, il Garante raccomanda un più efficace coordinamento con il quadro normativo di riferimento. Di conseguenza, suggerisce di introdurre un articolo specifico nel Capo I del disegno di legge che vincoli i trattamenti di dati personali relativi ai sistemi di intelligenza artificiale alle norme pertinenti in materia. Così, la norma garantirebbe il rispetto delle regole in tema di protezione dei dati personali senza necessità di specifici riferimenti, salvo il caso in cui un rinvio mobile sia fondamentale. Per quanto riguarda l'articolo 3, § 1, il Garante consiglia di collocare il riferimento alla protezione dei dati personali tra i diritti fondamentali (art. 8 della Carta dei Diritti Fondamentali dell'Unione Europea) che devono essere rispettati, anziché tra i "principi" da osservare. Per quanto concerne la legittimazione dei minori, è necessario apportare delle correzioni all'art. 4, comma 4 del disegno di legge sull'intelligenza artificiale. Si dovrà fare riferimento non alla soglia di età attualmente in vigore, bensì alle disposizioni dell'art. 2-quinquies del Codice, garantendo così la totale coerenza del disegno di legge con la normativa sulla protezione dei dati, evitando incongruenze nel caso in cui vi siano modifiche in quest'ultima disciplina. In aggiunta, il Garante propone di ampliare questa disposizione includendo riferimenti a misure adeguate al fine di assicurare l'esistenza di sistemi di verifica dell'età affidabili. A parere del Garante, l'art. 7 del disegno di legge sull'intelligenza artificiale andrebbe integrato con il richiamo ai requisiti più rigorosi indicati dall'art. 10 dell'AI Act per il trattamento dei dati personali, specie se questi appartengono alle categorie speciali di cui all'art. 9 del Regolamento, quando si tratta di sistemi considerati ad alto rischio. Il Garante ritiene inoltre che l'art. 8 del disegno di legge sull'intelligenza artificiale debba essere integrato e modificato in modo completo per costituire una base legittima per il trattamento dei dati personali a fini di ricerca nell'implementazione dei sistemi AI. Per l'uso secondario dei dati, l'autorità ritiene necessario prevedere le garanzie indicate nell'art. 89 del Regolamento per il trattamento a fini di ricerca, suggerendo inoltre di sostituire questi dati con i "dati pseudonimizzati". Inoltre, dovrebbe essere eliminata la possibilità di soddisfare l'obbligo di informativa attraverso una pubblicazione generale sul sito web del responsabile del trattamento, in quanto non adeguata a queste forme di utilizzo secondario dei dati. Infine, la notifica anticipata al Garante del trattamento, con un meccanismo di silenzio-assenso, richiede una precisazione per chiarire che anche se il trattamento inizia dopo il termine di trenta giorni senza misure inibitorie, i poteri di controllo e di eventuale sanzione del Garante rimangono integri. L'art. 10 deve essere integrato, a parere del Garante, introducendo le necessarie garanzie per il ricorso all'AI nel settore lavoristico, in cui particolarmente rilevanti sono le esigenze di tutela e non discriminazione. Secondo l'Autorità va anche integrato l'art. 9 includendo il parere del Garante sui decreti attuativi menzionati nel primo periodo del comma 1 dell'art.12-bis d.l. n. 179/2012. Inoltre, la definizione degli elementi essenziali del trattamento dovrebbe essere affidata al parere del Garante attraverso una norma di natura regolamentare o, in alternativa, tramite un decreto ministeriale. L'Autorità ritiene infine che l'art.18 dovrebbe essere revisionato specificando il ruolo del Garante come autorità indipendente per la protezione dei dati personali, in conformità con gli artt. 8 e 16 TFUE, poiché il diritto alla protezione dei dati personali è un diritto fondamentale le cui istanze di tutela spesso coincidono con l'applicazione dei sistemi di AI. |