AI Act e GDPR: equilibrio tra innovazione e protezione dei dati nella lotta alla discriminazione algoritmica

Con l’entrata in vigore del Regolamento (UE) 1689/2024 (“AI Act”) nell’agosto 2024, si impone una riflessione sulla sua interazione con il Regolamento (UE) 679/2016 (“GDPR”), specialmente in rapporto al tema della discriminazione algoritmica.

Il Servizio di Ricerca del Parlamento Europeo (European Parliamentary Research Service – “EPRS”) ha evidenziato una rilevante criticità giuridica: l’AI Act consente, entro precisi limiti, il trattamento di categorie particolari di dati personali per individuare ed eliminare distorsioni (c.d. bias) nei sistemi di AI ad alto rischio, mentre il GDPR appare più restrittivo, subordinando tale trattamento a condizioni più stringenti. Da questa divergenza normativa deriva un’incertezza interpretativa che potrebbe rendere necessaria una riforma legislativa o, quantomeno, linee guida chiarificatrici.

I principali scenari di discriminazione algoritmica

L’uso dell’intelligenza artificiale (“AI”) può determinare discriminazioni e ledere i diritti fondamentali degli individui. Alcuni scenari emblematici includono:

• sistemi di AI generativa: chatbot o modelli di generazione testuale che, pur non essendo classificati come ad alto rischio, potrebbero produrre contenuti discriminatori o incitare all’odio;
• veicoli autonomi: auto a guida autonoma in grado di riconoscere con maggior precisione i pedoni con la pelle chiara rispetto a quelli con pelle scura, con conseguenti implicazioni etiche e giuridiche;
• algoritmi di selezione del personale: sistemi di recruiting che favoriscono determinate categorie di candidati in base a bias impliciti legati al genere o alla salute;
• sistemi di credit scoring: modelli di valutazione del merito creditizio che, pur senza una discriminazione esplicita, penalizzano soggetti appartenenti a specifiche aree geografiche o gruppi etnici.

Le principali criticità normative

Uno degli obiettivi principali dell’AI Act è mitigare ibias nello sviluppo, nell’implementazione e nell’uso dei sistemi di AI ad alto rischio. A tal fine, l’art. 10, par. 5, dell’AI Act[1] consente il trattamento di categorie particolari di dati personali, purché siano adottate misure adeguate per garantire la tutela della protezione dei dati, al fine di individuare e prevenire eventuali discriminazioni nell’uso di tali tecnologie.

Affinché le disposizioni dell’AI Act sulla rilevazione dei bias siano compatibili con il GDPR, occorre che:

• il trattamento di dati “sensibili” avvenga nel rispetto dei principi del GDPR, come la minimizzazione dei dati, la limitazione della finalità e della conservazione, l’integrità e la riservatezza, la privacy by design e by default;
• siano adottate misure di sicurezza tecniche e organizzative robuste, al fine di prevenire violazioni dei dati personali;
• il trattamento sia “strettamente necessario” per proteggere altri diritti fondamentali, come il diritto alla non discriminazione;
• sussista una base giuridica idonea ai sensi dell’art. 9 GDPR, eventualmente riconducibile ai motivi di interesse pubblico rilevante (art. 9, par. 2, lett. g) del GDPR)[2], dove l’AI Act rappresenterebbe il fondamento normativo dell’Unione e la lotta alla discriminazione costituirebbe l’interesse pubblico rilevante.  

Ulteriormente, la discriminazione potrebbe derivare anche dal trattamento di dati non rientranti nelle “categorie particolari” dell’art. 9 del GDPR, come ad esempio dalla disabilità, dall’età o dal genere. In questi casi, la base giuridica applicabile andrebbe individuata nell’art. 6 del GDPR, che offre criteri più ampi rispetto all’art. 9, come, ad esempio, l’interesse legittimo, rendendo più agevole giustificare il trattamento dei dati per ridurre i bias.

Prospettive future e raccomandazioni

Vi è un’incertezza diffusa su come interpretare la disposizione dell’AI Act relativa al trattamento di categorie particolari di dati per evitare la discriminazione. Il GDPR, imponendo limiti stringenti al trattamento di tali dati, potrebbe rivelarsi un ostacolo nell’attuale contesto economico, dove l’AI viene impiegata in molti settori e implica il trattamento massivo di dati personali e non personali.

Per affrontare queste problematiche, l’EPRS suggerisce due possibili interventi:

• una riforma del GDPR, che chiarisca la sua interazione con l’AI Act;
• linee guida specifiche per fornire maggiore certezza giuridica ai soggetti coinvolti nel trattamento di dati per finalità di bias detection e loro relativa correzione.

[1] In particolare, l’articolo 10 dell’AI Act – che si occupa dello sviluppo e della governance dei sistemi di AI ad alto rischio – sottolinea l’importanza di basare tali sistemi su set di dati di addestramento, validazione e prova che soddisfino specifici criteri di qualità, così da garantire l’affidabilità e l’eticità del sistema. Le pratiche di governance e gestione dei dati riguardano: (i) scelte processuali pertinenti; (ii) processi di raccolta dei dati, la loro origine e la finalità originaria di raccolta dei dati personali; (iii) operazioni di trattamento pertinenti ai fini della preparazione dei dati (annotazione, etichettatura, pulizia, aggiornamento, arricchimento e aggregazione); (iv) formulazione di ipotesi; (v) valutazione della disponibilità, quantità e adeguatezza dei dataset necessari; (vi) esame di potenziali bias che potrebbero incidere sulla salute, sicurezza e diritti fondamentali o generare discriminazioni; (vii) misure adeguate per individuare, prevenire e attenuare simili distorsioni; (viii) individuazione di lacune o carenze nei dati tali da pregiudicare il rispetto dell’AI Act e le modalità per colmarle.

[2] L’articolo 9, par. 2, lett. g) del GDPR consente il trattamento di categorie particolari di dati personali quando ciò sia necessario per motivi di interesse pubblico rilevante sulla base del diritto europeo o nazionale, sia proporzionato alla finalità perseguita, rispetti l’essenza del diritto alla protezione dei dati e preveda misure adeguate e specifiche per tutelare i diritti fondamentali e gli interessi degli interessati.