Implicazioni privacy dell’AI ACT

Introduzione

Il Regolamento UE 2024/1689 (AI ACT) è stato concepito con l'obiettivo di promuovere l'adozione di un'intelligenza artificiale (AI) affidabile ed etica, cioè incentrata sull’uomo e di garantire un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta di Nizza.

Contemporaneamente, questa normativa mira anche a stimolare l'innovazione tecnologica e a creare nuove opportunità di lavoro, cercando di bilanciare il progresso tecnologico e il benessere sociale.

È importante comprendere che questo particolare corpus normativo si integra armoniosamente con l'intero Ordinamento Unionale.

Questo significa che tutte le norme preesistenti all’AI ACT, riguardanti la tutela dei consumatori, i diritti dei lavoratori e la sicurezza dei prodotti e, in particolare, la protezione dei dati personali, continuano a essere pienamente applicabili e a fornire strumenti di tutela per le persone che potrebbero subire danni dall’uso dei sistemi di AI.

L’interrelazione tra AI ACT, GDPR, LED e Direttiva ePrivacy

L'approccio europeo alla regolamentazione dell'intelligenza artificiale (AI) ha dato origine a un sistema giuridico integrato, nel quale l'AI ACT, il GDPR, la Direttiva sulla protezione dei dati personali per finalità di polizia e di Giustizia (LED) e la Direttiva ePrivacy si influenzano reciprocamente, creando un quadro normativo robusto e coerente.

Sussiste una interrelazione di tali normative, le quali devono essere considerate congiuntamente per garantire una conformità completa e coerente.

Così, quando si afferma che un sistema di AI deve essere conforme all'AI ACT, si intende che lo stesso sistema deve soddisfare non solo i requisiti specifici di questa particolare normativa ma anche quelli stabiliti dal GDPR e dalla LED che, come vedremo, nelle norme armonizzate, sono un necessario presupposto di conformità.

Ad esempio, i fornitori di sistemi di AI ad alto rischio che implichino il trattamento di dati personali sono tenuti a includere, nella dichiarazione di conformità UE prevista dall'articolo 47 dell'AI ACT, una dichiarazione che attesti la conformità del loro sistema di AI al GDPR e alla LED (cfr. punto 5 dell'Allegato V dell'AI ACT).

Inoltre, anche i deployer di sistemi di AI ad alto rischio, il cui utilizzo comporti il trattamento di dati personali, devono registrare l'uso nella Banca dati dell'UE per i sistemi di AI ad alto rischio, fornendo tutte le informazioni richieste dall'Allegato VIII, Sezione C dell'AI ACT. Tra queste informazioni, come prescritto al punto 5 del citato allegato, deve essere inclusa una sintesi della valutazione d'impatto sulla protezione dei dati (DPIA) effettuata ai sensi dell'articolo 35 GDPR o dell'articolo 27 della LED.

Pertanto, cogliere questa interrelazione normativa è fondamentale per comprendere come l'approccio europeo alla regolamentazione dell'AI abbia portato alla costruzione di un sistema di regole incrociate e complementari che assicura una protezione robusta e completa, garantendo che nessun aspetto della sicurezza, della privacy o dei diritti fondamentali venga trascurato.

Analizziamo allora nel dettaglio come si presenta questo sistema di regole.

Un modello integrato di norme armonizzate e di misure di protezione dei dati personali

L’AI ACT stabilisce un quadro giuridico che:

• istituisce norme armonizzate in materia di AI per promuovere lo sviluppo, l'uso e l'adozione dell'AI nel mercato interno;

• garantisce, nel contempo, un elevato livello di protezione degli interessi pubblici, come la salute, la sicurezza e la tutela dei diritti fondamentali, inclusa la protezione dei dati personali.

Le norme armonizzate

L'art.3 nr.27) dell'AI ACT chiarisce che per “norma armonizzata ” deve intendersi la norma armonizzata di cui all'articolo 2, punto 1), lettera c), del Regolamento (UE) n. 1025/2012.

Si fa quindi riferimento ad una “norma adottata da uno degli organismi europei di normalizzazione indicati nell'allegato I della direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, che prevede una procedura d'informazione nel settore delle norme e delle regolamentazioni tecniche e delle regole relative ai servizi della società dell'informazione, sulla base di una richiesta presentata dalla Commissione conformemente all'articolo 6 di tale direttiva”.

Da questa definizione è agevole indurre come le norme armonizzate siano sostanzialmente degli standard cioè delle specificazioni tecniche adottate dal CEN (Comitato europeo di normalizzazione), dal CENELEC (Comitato europeo di normalizzazione elettrotecnica) o dall'ETSI (Istituto europeo norme e telecomunicazioni).

Tali Organismi europei di normalizzazione vengono invitati dalla Commissione UE, ad elaborare, entro un termine determinato, una norma tecnica nell'ambito dei settori armonizzati che sono soggetti a norme comuni in tutta l'UE (ad esempio apparecchiature elettroniche ed elettriche, macchinari, ascensori e dispositivi medici).

Come regola generale, più di un atto giuridico della normativa di armonizzazione dell'Unione può essere applicabile a uno stesso prodotto; per cui quest'ultimo può essere messo a disposizione o messo in servizio solo se risulta conforme a tutta la normativa di armonizzazione dell'Unione che risulta in concreto applicabile.

Ora, in questo particolare quadro di situazione, bisogna considerare che i pericoli dei sistemi di AI disciplinati dai requisiti stabiliti nell'AI ACT, riguardano aspetti diversi rispetto alla vigente normativa di armonizzazione dell'Unione e quindi tali requisiti integrano e completano il corpus esistente della normativa di armonizzazione dell'Unione Europea.

Per spiegare questo complesso meccanismo, il Considerando 64 dell'AI ACT riporta l'esempio delle macchine o dei dispositivi medici in cui è integrato un sistema di AI che potrebbero presentare rischi non affrontati dai requisiti essenziali di sicurezza e di tutela della salute stabiliti nella pertinente normativa armonizzata dell'Unione, proprio perchè tale normativa settoriale non affronta i rischi specifici dei sistemi di AI.

Ciò richiede quindi un'applicazione simultanea e complementare dei vari atti legislativi.

La normazione armonizzata svolge quindi un ruolo fondamentale nel fornire soluzioni tecniche ai fornitori per garantire la conformità all'AI ACT.

Le norme armonizzate stabilite nell'AI ACT si applicano in tutti i settori e, in linea con il nuovo quadro legislativo, non pregiudicano il diritto in materia di protezione dei dati (art. 2, comma 7 dell'AI ACT).

Di conseguenza, restano impregiudicati e pienamente applicabili tutti gli obblighi a carico di titolari e responsabili del trattamento nonché i diritti e i mezzi di ricorso previsti in favore degli interessati (i Data Subjets).

Gli obblighi a carico dei fornitori e dei deployers che rivestano il ruolo di titolari e responsabili del trattamento

I Players chiamati ad applicare le regole poste dall’AI ACT sono, generalmente, i fornitori e i deployers dei sistemi di AI. Questi assumono anche il ruolo di titolari del trattamento o responsabili del trattamento, nella misura in cui la progettazione, lo sviluppo o l'uso di sistemi di AI comportino il trattamento di dati personali.

In particolare, come titolari del trattamento, i fornitori ed i deployer devono rispettare i 2 macro-principi fondanti della privacy by design e dell’accountability.

Essi hanno quindi l’obbligo di :

• allineare e conformare, fin dalla progettazione (by design), tutti i processi, sviluppati tramite sistemi di AI che prevedono il trattamento di dati personali, ai principi di protezione dei dati personali stabiliti dall'art. 5 GDPR;
• dimostrare che i processi sviluppati tramite i sistemi di AI sono effettivamente conformi e allineati ai principi di protezione dei dati personali previsti dall'art. 5 GDPR.

In effetti, nell'attuale scenario tecnologico e normativo, l'applicazione di tali principi alle attività di sviluppo, uso e adozione di sistemi di AI presenta complessi problemi di conformità.

Affrontare questi problemi richiede una comprensione approfondita delle specificità dell'intelligenza artificiale.

Sfide attuali nell'uso dei sistemi di AI

I sistemi di intelligenza artificiale (AI) presentano caratteristiche uniche di autonomia, complessità e dipendenza dai dati che rendono particolarmente difficile progettare trattamenti di dati personali conformi ai principi di protezione dei dati.

Alcune delle principali sfide includono:

•  l’autonomia dei sistemi di AI: la capacità dei sistemi di AI di operare in modo autonomo solleva questioni su come monitorare e controllare tali sistemi per garantire che rispettino i principi di protezione dei dati personali;

•  la complessità algoritmica: gli algoritmi utilizzati dai sistemi di IA sono spesso complessi e opachi, rendendo difficile per i titolari del trattamento spiegare in modo trasparente come vengono prese le decisioni automatizzate.

•  dipendenza dai dati: I sistemi di AI sono fortemente dipendenti dai dati di input per il loro funzionamento. La qualità e l'affidabilità di questi dati sono essenziali per evitare output discriminatori o ingiusti. Dati di alta qualità sono fondamentali per garantire che i sistemi di AI producano risultati accurati e affidabili. Il principio "Garbage In, Garbage Out" (GIGO) evidenzia che dati di scarsa qualità portino a risultati scadenti, con potenziali conseguenze discriminatorie o ingiuste. Pertanto, è essenziale che i dati per addestramento, convalida e prova siano accurati, completi e privi di errori, attraverso processi di pulizia, bilanciamento e validazione dei dati.

Limitazioni del GDPR rispetto all'AI

Il GDPR, pur essendo una normativa avanzata per la protezione dei dati personali, presenta alcune limitazioni quando si tratta di regolare i sistemi di AI. Tra queste limitazioni si possono evidenziare:

•  la mancanza di disposizioni specifiche per l'AI: il GDPR non prevede, infatti, normative specifiche per affrontare le peculiarità dei sistemi di AI, come la necessità di trasparenza algoritmica o la gestione dei bias;

•  la difficoltà di applicazione delle norme esistenti: le norme di carattere generale del GDPR possono risultare difficili da applicare ai sistemi di AI a causa della loro complessità e autonomia.

Adempimenti necessari per garantire la conformità Privacy

Per affrontare dette sfide, i fornitori e i deployer dovrebbero necessariamente eseguire, almeno i sottonotati adempimenti per garantire la conformità con il GDPR e con la LED:

a)   eseguire una valutazione di impatto sulla protezione dei dati (DPIA);

b)   applicare uno schema procedurale disegnato dal Consiglio di Stato e ripreso dal Garante della Privacy.

a)   La valutazione di impatto sulla protezione dei dati (DPIA)

Prima di avviare un trattamento di dati personali che preveda l’uso di sistemi di AI, è essenziale eseguire una DPIA. Questo processo aiuta a identificare e mitigare i rischi per i diritti e le libertà degli interessati.

La valutazione di impatto sulla protezione dei dati personali (DPIA) è uno strumento essenziale previsto dal GDPR per valutare e mitigare i rischi associati al trattamento dei dati personali a rischio elevato, in particolare quando si utilizzano nuove tecnologie come i sistemi di AI.

L'articolo 35, paragrafo 1 del GDPR, stabilisce, infatti, è obbligatorio eseguire una DPIA quando un tipo di trattamento, che prevede in particolare l'uso di nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Uno degli aspetti chiave della DPIA sui sistemi di AI è l’individuazione di una valida base giuridica che garantisca il rispetto del principio di liceità fissato dall’art.5. par.1, lett. a) del GDPR.

Se il fornitore o deployer è un ente pubblico, la corretta base giuridica è tipicamente individuabile nella necessità di:

• adempiere a un obbligo legale a cui è soggetto il fornitore o deployer (art.6, par.1 lett. c) del GDPR);
• eseguire un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il fornitore o deployer (art.6, par.1 lett. e) del GDPR).

In aggiunta, se il trattamento oggetto della DPIA riguarda categorie particolari di dati ai sensi dell'articolo 9 del GDPR, è necessario identificare una condizione di deroga al divieto di trattamento, tra quelle elencate nel paragrafo 2 dello stesso articolo. In tal caso, resta impregiudicato l'obbligo di applicare, contestualmente, anche la normativa nazionale (articoli 2-ter, 2-sexies e 2-septies del Codice Privacy).

Per i soggetti privati, invece la base giuridica valida può essere astrattamente individuata tra il consenso esplicito, il contratto o il legittimo interesse. Tuttavia, a causa dell'opacità e della minore tracciabilità dei sistemi di AI, il contratto e il consenso potrebbero risultare, già in fase di progettazione, non idonei a rendere lecito il trattamento.

In questi casi, si può comunque considerare il ricorso al legittimo interesse come base giuridica. Questa opzione è specificamente indicata come possibilità nel provvedimento del nostro Garante GPDP n. 114 dell'11 aprile 2023 [doc. web n. 9874702].

Peraltro, è utile ricordare che anche la Corte di Giustizia dell'Unione Europea (CGUE), al punto 73 della sentenza sulla causa C-131/12 (Google Spain vs Mario Costeja González), aveva indicato il legittimo interesse come presupposto di legittimazione per i trattamenti eseguiti da un gestore di un motore di ricerca che si possono ritenere analoghi ai trattamenti eseguiti tramite sistemi di AI. Entrambi, infatti, coinvolgono il trattamento di dati per generare risposte o risultati basati su determinati algoritmi e modelli.

Va comunque precisato che il ricorso al legittimo interesse richiede una ponderazione equilibrata dei diritti e degli interessi in gioco, da realizzare attraverso una valutazione del legittimo interesse (LIA). Questo processo è volto a garantire che il legittimo interesse del titolare del trattamento non prevalga sugli interessi o sui diritti e sulle libertà fondamentali delle persone interessate

Un altro aspetto molto importante da considerare nello sviluppo della DPIA è l’allineamento delle operazioni di trattamento al principio di esattezza stabilito dall’art. 5, par.1, lett.d) del GDPR.

Al riguardo, l'articolo 10 dell’AI ACT stabilisce che i sistemi di AI ad alto rischio devono utilizzare set di dati di alta qualità per addestramento, convalida e prova, con adeguate pratiche di governance. I dati devono essere pertinenti, rappresentativi e completi, considerando le specificità del contesto di utilizzo. In casi eccezionali, è consentito trattare dati personali particolari per correggere distorsioni, garantendo però misure rigorose di sicurezza e di privacy.

Inoltre, un elemento centrale nello sviluppo della DPIA è la gestione dei rischi per i diritti e le libertà fondamentali. La DPIA deve quindi evolvere in una FRIA (Fundamental Rights Impact Assessment) quando si tratta di comprendere e valutare l'impatto dei sistemi di AI sui diritti e sulle libertà delle persone fisiche (vds. art. 27 dell’AI ACT).

Peraltro, atteso che i sistemi di AI possono essere opachi e poco affidabili, è fondamentale adottare misure specifiche per garantire i diritti degli interessati durante lo sviluppo della DPIA. Il Garante della Privacy nel citato provvedimento GPDP 11-4-2023, n. 114 [doc. web n. 9874702] ha suggerito alcune di queste misure.

Così, sul proprio sito internet, il titolare del trattamento dovrebbe offrire un'interfaccia facilmente accessibile che permetta agli interessati di esercitare diversi diritti. In primo luogo, gli interessati devono poter opporsi all'uso dei loro dati per l'addestramento degli algoritmi quando la base giuridica è il legittimo interesse. In secondo luogo, devono poter richiedere la correzione dei dati personali trattati in maniera inesatta o, se tecnicamente impossibile, la cancellazione di tali dati. Infine, devono poter opporsi ai trattamenti dei loro dati personali, acquisiti da terzi, utilizzati per l'addestramento degli algoritmi e l'erogazione del servizio.

b)   lo schema procedurale disegnato dal Consiglio di Stato e ripreso dal Garante della Privacy

La VI Sezione del Consiglio di Stato con alcune sentenze (nn. 2270/2019, 8472/2019, 8473/2019, 8474/2019, 881/2020, e 1206/2021), facendo leva sul Considerando 71 e sugli articoli 13,14 e 22 del GDPR ha disegnato uno schema procedurale che offre utili indicazioni operative per gestire i rischi connessi all’utilizzo dell’AI e per rendere “conformi” i relativi trattamenti. Tale schema è stato poi ripreso dal Garante della Privacy nel suo “Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale”, pubblicato sul sito istitutionale nel mese di settembre 2023.

Da questo modello operativo è possibile enucleare i sottonotati tre principi cardine che devono governare l’utilizzo di algoritmi e di strumenti di AI nell’esecuzione di compiti di rilevante interesse pubblico:

1. il principio di conoscibilità, in base al quale ognuno ha diritto a conoscere l’esistenza di processi decisionali automatizzati che lo riguardino ed in questo caso ha anche il diritto a ricevere informazioni significative sulla logica utilizzata. Tale “diritto a conoscere” deve estendersi anche ai meccanismi in grado di decifrare la logica dei software utilizzati. In tale ottica, il principio di conoscibilità si completa con il principio di comprensibilità; cioè, per riprendere l’espressione del GDPR, di ricevere “informazioni significative sulla logica utilizzata”. Ciò comunque non implica necessariamente una spiegazione complessa degli algoritmi utilizzati o la divulgazione dell’algoritmo completo;
2. il principio di non esclusività della decisione algoritmica, secondo cui, quando una decisione automatizzata "produce effetti giuridici o incide significativamente su una persona", quest'ultima ha il diritto che tale decisione non sia basata esclusivamente su un processo automatizzato. È necessario che nel processo decisionale sia sempre previsto un intervento umano in grado di controllare, convalidare o correggere la decisione automatica;
3. il principio di non discriminazione algoritmica, che postula le necessità che il titolare del trattamento utilizzi sistemi di AI affidabili, riducendo opacità ed errori tecnologici o umani, e verificandone periodicamente l’efficacia. Devono essere adottate misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali e prevenire effetti discriminatori basati su razza, origine etnica, opinioni politiche, religione, convinzioni personali, appartenenza sindacale, stato genetico, stato di salute o orientamento sessuale.

In conclusione

L'AI ACT segna l'inizio di un percorso evolutivo nella regolamentazione delle tecnologie di AI. Mentre il GDPR ha stabilito una base solida per la protezione dei dati personali, l'AI ACT affronta specificamente le sfide poste dai sistemi di AI, promuovendo un approccio basato sul rischio e integrando principi etici fondamentali.

Si è cercato di dimostrare come probabilmente l'implementazione dell'AI ACT presenterà diverse sfide, tra cui la gestione della complessità algoritmica, la prevenzione dei bias e la garanzia della trasparenza. Tuttavia, queste sfide rappresentano anche opportunità per innovare e migliorare le pratiche di trattamento dei dati personali e per costruire, così, un ambiente tecnologico più sicuro e affidabile.

In conclusione, l'AI ACT rappresenta una tappa fondamentale verso una regolamentazione più rigorosa e consapevole delle tecnologie di AI, tesa a promuovere un equilibrio tra innovazione, sicurezza e rispetto dei diritti fondamentali. L'impegno delle organizzazioni pubbliche e private e la collaborazione tra tutti gli attori coinvolti saranno determinanti per realizzare una società digitale più equa e trasparente.