Il disegno di legge in materia di intelligenza artificiale: ambito privacy
Il 23 aprile 2024 il Consiglio dei Ministri ha approvato, con la previsione della richiesta alle Camere di sollecita calendarizzazione nel rispetto dei regolamenti dei due rami del Parlamento, il Disegno di Legge in materia di intelligenza artificiale, il quale, nella versione attuale, contiene disposizioni attinenti alla protezione dei dati personali e alla cybersecurity.
Il Disegno di Legge disciplina differenti ambiti che possono essere riguardati dall’utilizzo dell’intelligenza artificiale: dalla sanità al mondo del lavoro. Per ciò che qui specificamente attiene al presente contributo, saranno approfonditi i profili relativi alla protezione dei dati personali e alla cybersecurity.
L’analisi non può che partire dai Principi generali: il Disegno di Legge si prefigge, in prima istanza, di garantire il rispetto dei diritti fondamentali e delle libertà dell’ordinamento italiano ed europeo. La precondizione essenziale, funzionale a raggiungere tale scopo, è individuata nella cybersicurezza lungo tutto il ciclo di vita dei sistemi e dei modelli di intelligenza artificiale. Ciò che più rileva, in ottica di compliance integrata, è il metodo tramite il quale l’obiettivo deve essere raggiunto: un approccio proporzionale e basato sul rischio, nonché l’adozione di specifici controlli di sicurezza, anche al fine di assicurarne la resilienza contro tentativi di alternarne l’utilizzo, il comportamento previsto, le prestazioni o le impostazioni di sicurezza.
L’art. 4, Principi in materia di informazione e di riservatezza dei dati personali, al comma 2 offre tale collegamento diretto, quasi a voler sottolineare che i sistemi di intelligenza artificiale si alimentano facendo ricorso ad informazioni, tra le quali possono essere ricompresi anche i dati personali. L’utilizzo dei sistemi di intelligenza artificiale garantisce il trattamento lecito, corretto e trasparente dei dati personali e la compatibilità con le finalità per le quali sono stati raccolti, in conformità col diritto dell’Unione europea in materia di trattamento di dati personali e di tutela della riservatezza.
Quanto fin qui riportato rende evidente l’obiettivo di delineare le due direttrici entro cui muoversi nell’utilizzo di sistemi di intelligenza artificiale: la valutazione dei rischi ed il rispetto della normativa in materia di protezione dei dati, comprensiva dei principi fondanti della stessa, come il principio di limitazione delle finalità e di trasparenza.
È chiaro l’ulteriore rimando ai principi in materia di trattamento dei dati personali (art. 4, comma 3): le informazioni e le comunicazioni relative al trattamento dei dati connesse all’utilizzo di sistemi di intelligenza artificiale avvengono con linguaggio chiaro e semplice, in modo da garantire all’utente la piena conoscibilità e la facoltà di opporsi ai trattamenti non corretti dei propri dati personali.
Assume, pertanto, ruolo centrale la trasparenza volta a garantire che l’utilizzo del sistema di intelligenza artificiale sia reso noto all’utente e, soprattutto, comprensibile. La consapevolezza consentirà all’interessato di poter esercitare liberamente il diritto di opposizione al trattamento non corretto.
Da ultimo, preme evidenziare quanto prescritto nell’art. 6, Disposizioni in materia di sicurezza nazionale, secondo cui lo sviluppo di sistemi e modelli di intelligenza artificiale avviene nel rispetto delle condizioni e delle finalità di cui all’art. 3, c. 2.
Merita attenzione il secondo comma dell’art. 3 qui da ultimo richiamato: I sistemi e i modelli di intelligenza artificiale devono essere sviluppati ed applicati nel rispetto della autonomia e del potere decisionale dell’uomo, della prevenzione del danno, della conoscibilità, della spiegabilità e dei principi generali di cui al comma 1.
Al lettore interessato alla compliance privacy non possono certamente essere sfuggiti alcuni dei termini utilizzati in questo passaggio: prevenzione del danno, conoscibilità e, soprattutto, spiegabilità. Quest’ultimo requisito sembra portarsi dietro tutte le implicazioni legate al principio di accountability.
Prosegue l’art. 6: Per i trattamenti di dati personali mediante l’utilizzo di sistemi di intelligenza artificiale si applica quanto previsto dall’art. 58, commi 1 e 3, del D. Lgs. n. 196/2003.
Per chi si occupa quotidianamente di privacy e tematiche inerenti alla protezione dei dati personali, l’approccio basato sul rischio e l’individuazione delle conseguenti misure di sicurezza non destano particolare novità. Conosci i tuoi trattamenti, analizzane i rischi, individua le misure di sicurezza per presidiarli; inoltre, mantieni traccia delle tue scelte e struttura un sistema di procedure e controlli per verificare che le misure di sicurezza non abbiano necessità di essere adeguate e/o migliorate: sono le ordinarie (e obbligatorie) attività preliminari all’utilizzo di un sistema di intelligenza artificiale.
Per completezza, si evidenzia che il Disegno di Legge individua quali Autorità nazionali di intelligenza artificiale due agenzie governative, Agenzia per l’Italia Digitale e l’Agenzia per la cybersicurezza nazionale, vale a dire due agenzie governative. Nonostante i richiami alla protezione dei dati, alla tutela della trasparenza, alla necessità di effettuare dei trattamenti corretti, nessun ruolo istituzionale e formale, nel quadro normativo in materia di intelligenza artificiale, è riconosciuto al Garante per la Protezione dei dati personali.