Nell’ambito dell’iter di approvazione dello schema di disegno di legge recante disposizioni e deleghe in materia di intelligenza artificiale (“DDL IA”), adottato dal Consiglio dei Ministri il 23 aprile 2024, l’Autorità garante per la protezione dei dati personali (il “Garante Privacy”), ha espresso il proprio parere con provvedimento n. 477 del 2 agosto 2024, (il “Parere”) ai sensi dell’art. 36, par. 4 del Regolamento (UE) 679/2016 (“GDPR”).
Il DDL IA definisce norme e principi di natura programmatica, settoriale e promozionale, destinati a regolare la ricerca, la sperimentazione, lo sviluppo, l’adozione e l’applicazione di sistemi e modelli di IA (per un maggior approfondimento circa il contenuto del DDL IA si rimanda ad un nostro precedente contributo, disponibile qui, in inglese). Le norme intervengono in cinque ambiti: la strategia nazionale, le autorità nazionali, le azioni di promozione, la tutela del diritto d’autore, le sanzioni penali. Si prevede, inoltre, una delega al governo per adeguare l’ordinamento nazionale al Regolamento (UE) 1689/2024 (“AI Act”).
Il Garante Privacy ha espresso un parere favorevole sul DDL IA, condizionandolo tuttavia all’introduzione di specifiche modifiche e integrazioni e all’osservazione relativa all’opportunità di riconoscere una partecipazione più attiva del Garante stesso all’interno del nuovo quadro normativo.
Ma in cosa consistono le raccomandazioni del Garante Privacy?
Di seguito, si riassumono le principali critiche mostrate dal Garante Privacy nei diversi settori trattati dal DDL IA.
- Protezione dei dati personali
- Coordinamento normativo.La natura programmatica di molte disposizioni del DDL IA potrebbe porre il rischio di sovrapposizione con alcune norme dell’AI Act. Pertanto, con riguardo alla protezione dei dati personali, il Garante Privacy raccomanda di introdurre nel Capo I (“principi e finalità”) del DDL IA un articolo specifico e ad applicazione trasversale che imponga un vincolo generale di conformità al GDPR e al Codice Privacy (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018).
- Privacy come diritto fondamentale. Il Garante Privacy suggerisce di modificare l’art. 3, comma 1 del DDL IA, sostituendo il riferimento al “principio di protezione dei dati personali” con quello, più corretto, ai diritti fondamentali (art. 8 della Carta di Nizza).
- Legittimazione del minore. IlGarante Privacy rileva che dovrà essere riformulato l’art. 4, comma 4, del DDL IA facendo riferimento non alla soglia di età attualmente prevista per l’accesso dei minori alle tecnologie di IA (attualmente fissata a quattordici anni), ma piuttosto all’art. 2-quinquies del Codice Privacy. Tale rinvio mobile permetterebbe al DDL IA di essere costantemente allineato alla normativa vigente. Il Garante Privacy, inoltre, suggerisce di integrare la disposizione in esame prevedendo misure idonee a garantire sistemi efficaci di verifica dell’età, in modo da prevenire la facile elusione della soglia anagrafica prevista per il consenso.
- Settore sanitario
- Maggiori garanzie. Il Garante Privacy ritiene insufficiente il generico richiamo alla protezione dei dati previsto dall’art. 7 del DDL IA e invita a un richiamo diretto all’art. 10 dell’AI Act. Quest’ultimo prevede, infatti, garanzie essenziali, non assorbite dall’art. 7 del DDL IA, quali, ad esempio, la preferenza circa l’uso di dati sintetici o anonimi, particolari limitazioni per l’uso di dati sanitari (divieto di trasmissione, trasferimento o comunicazione), nonché la limitazione della conservazione.
Il richiamo all’art. 10 dell’AI Act dovrà essere aggiunto anche all’art. 9 del DDL IA (Disposizioni in materia di fascicolo sanitario elettronico, sistemi di sorveglianza nel settore sanitario e governo della sanità digitale).
- Coordinamento normativo. Il Garante Privacy ritiene che l’art. 8 del DDL IA, dedicato alla legittimazione del trattamento di dati personali per fini di ricerca nell’ambito dell’IA[1], necessita di modifiche per essere conforme da un lato, ai requisiti di determinatezza di cui agli artt. 6, par. 3, lett. b) e 9, par. 2, lett. g) del GDPR e 2-sexies del Codice Privacy, relativi alla necessità di prevedere una base giuridica chiara e specifica per il trattamento dei dati personali; dall’altro, con riferimento all’uso secondario dei dati, alle garanzie di cui all’art. 89 del GDPR, quali, ad esempio, la predisposizione di misure tecniche e organizzative al fine di garantire il rispetto del principio di minimizzazione dei dati. Il Garante Privacy ha altresì evidenziato la necessità di eliminare il riferimento alla possibilità di assolvere l’obbligo di informativa in forma generale, mediante pubblicazione sul sito web del titolare, considerandola non compatibile con l’uso secondario dei dati. Infine, la previsione della previa comunicazione al Garante Privacy del trattamento con un meccanismo di silenzio-assenso dovrebbe essere chiarita specificando che la decorrenza dei trenta giorni non fa venir meno i poteri di controllo (ed eventualmente sanzionatori) del Garante Privacy.
- Settore giuslavoristico
- Esigenze di tutela e non discriminazione. Il Garante Privacy suggerisce di integrare l’art. 10 del DDL IA richiamando gli artt. 22, par. 3 e 88 del GDPR e gli artt. 113 e 114 del Codice Privacy, in modo da assicurare il rispetto delle garanzie necessarie per il ricorso all’IA nel settore giuslavoristico, ove sono particolarmente rilevanti le esigenze di tutela e non discriminazione, non solo nella fase successiva all’instaurazione del rapporto di lavoro, ma anche in fase pre-assuntiva, a fini di selezione del personale.
- Ruolo del Garante Privacy nel contesto del DDL IA
- Partecipazione più attiva del Garante Privacy sia nella definizione della strategia nazionale per l’IA (art. 17 del DDL IA) in modo da evitare che le misure e le politiche delineate contrastino con la disciplina di protezione dei dati personali, sia nei lavori del Comitato di coordinamento (art. 18 del DDL IA[2]), con obbligo per le altre autorità di consultare il Garante Privacy in caso di questioni relative alla protezione dei dati personali.
- Delega legislativa per l’adeguamento dell’ordinamento interno all’AI Act
- Adeguamento del DDL IA all’AI Act. Il Garante Privacy ritiene che il comma 2 dell’art. 22 del DDL IA debba essere integrato con la previsione di criteri direttivi specifici riguardanti la disciplina dell’autorizzazione dei sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico per finalità di polizia (art. 5, par. 3 e 5, dell’AI Act[3]), suggerendo la designazione del Garante Privacy quale autorità competente all’effettuazione di tale vaglio autorizzativo, in virtù delle sue competenze consolidate nella regolamentazione dei processi decisionali algoritmici basati su dati personali.
Inoltre, il Garante Privacy ha sottolineato l’importanza di designare il Garante stesso quale autorità competente per i sistemi di IA ad alto rischio operanti nel settore della biometria, soprattutto se utilizzati a fini di attività di contrasto, gestione delle frontiere, giustizia e democrazia, oppure utilizzati dalle autorità di contrasto (art. 74, par. 8 dell’AI Act che richiama l’allegato III, punti 1 e 6 dell’AI Act).
- Adeguato coinvolgimento del Garante Privacy. Il Garante Privacy ha richiesto che sia previsto un suo coinvolgimento adeguato nella realizzazione degli spazi di sperimentazione normativa di cui all’art. 57 dell’AI Act e che lo stesso sia incluso tra le autorità competenti alla tutela dei diritti fondamentali, secondo quanto previsto dall’art. 77 dell’AI Act.
***
Il Parere del Garante Privacy sul DDL IA evidenzia l’importanza di un coordinamento sistematico tra le disposizioni in materia di IA e la normativa sulla protezione dei dati personali. Tra le principali raccomandazioni emergono l’integrazione di un articolo trasversale sulla protezione dei dati personali, la riformulazione delle norme relative all’IA in ambito sanitario e lavorativo, e un maggiore coinvolgimento del Garante nelle procedure decisionali e strategiche.
L’attuazione di queste modifiche è cruciale per evitare sovrapposizioni normative, assicurare la protezione dei diritti fondamentali e garantire che l’adozione dell’IA in Italia avvenga in modo etico e responsabile, nel rispetto dei diritti degli interessati.
[1] L’attuale formulazione dell’articolo prevede che il soggetto pubblico e privato senza scopo di lucro possano trattare dati personali se il trattamento è necessario per motivi di interesse pubblico (art. 9, lett. g) del GDPR) oppure se sono autorizzati all’utilizzo secondario di dati privi di identificati diretti (i.e. pseudonimizzati), previo parere favorevole del comitato etico e comunicazione al Garante Privacy della titolarità, del rispetto dei principi di privacy by design e by default, delle misure di sicurezza implementate, della valutazione d’impatto effettuata, nonché dell’elenco dei responsabili ex art. 28 del GDPR. Il Garante Privacy avrà poi un termine di 30 giorni per adottare eventuali misure inibitorie del trattamento.
[2] L’art. 18 del DDL IA individua l’Agenzia per l’Italia digitale e l’Agenzia per la cybersicurezza nazionale quali autorità nazionali competenti per l’IA. La norma, inoltre, al comma 2, istituisce il Comitato di coordinamento al fine di assicurare il coordinamento e la collaborazione tra le diverse autorità competenti.
[3] Tale disposizione demanda a ciascuno Stato membro la decisione sulla possibilità di autorizzare, pur nel rispetto dei limiti ivi previsti (ad esempio, per la ricerca mirata di specifiche vittime di sottrazione, tratta di esseri umani o sfruttamento sessuale di esseri umani, nonché la ricerca di persone scomparse), in tutto o in parte l’uso di sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico per finalità di polizia. A tal fine, ai sensi dell’art. 5, par. 3 dell’AI Act, il legislatore nazionale deve altresì individuare, nell’autorità giudiziaria o in un’autorità amministrativa indipendente, l’organo competente a rilasciare l’autorizzazione all’utilizzo di tale tipologia di sistemi.
