Il parere del Garante circa lo schema di DDL in materia di intelligenza artificiale
A cura di Avv. Claudia Bacchiocchi
Partendo dal presupposto per cui le norme definite sono volte ad indirizzare l’applicazione dell’intelligenza artificiale in una direzione antropocentrica, compatibile con i diritti fondamentali e con il principio di non discriminazione, il Garante invita il legislatore a valutare la possibile sovrapposizione delle norme oggi presente nello schema di disegno di legge con alcune disposizioni del Regolamento europeo in materia (c.d. AI Act).
In luogo del riferimento alle singole disposizioni rilevanti in termini di protezione dei dati personali, il Garante suggerisce di inserire un vincolo generale di conformità dei trattamenti dei dati personali alla disciplina rilevante in materia (GDPR, Codice privacy e D. Lgs. n. 51/2018). In aggiunta, all’art. 3, c. 1, a parere del Garante il riferimento alla protezione dei dati personali andrebbe più correttamente inserito nell’ambito dei diritti fondamentali (art. 8 CDFUE) di cui si impone il rispetto e non, invece, tra i “principi” di cui si esige l’osservanza.
Per ciò che concerne il settore sanitario, l’art. 7 del disegno di legge IA, nel delineare condizioni, limiti e garanzie per l’utilizzo dei sistemi di IA, dovrebbe essere integrato quantomeno con il richiamo ai requisiti ben più stringenti che l’art. 10 dell’AI Act esige per il trattamento di dati personali, segnatamente appartenenti alle categorie particolari di cui all’art. 9 del Regolamento, per sistemi considerati ad alto rischio. In particolare, occorrerebbe prevedere che sia preferito l’uso di dati sintetici o anonimi e che siano indicate particolari limitazioni per l’utilizzo dei dati sanitari nonché la limitazione della conservazione.
Il Garante ricorda inoltre che la previsione di cui all’art. 7 andrà coordinata con quanto previsto dal Regolamento sullo Spazio europeo dei dati sanitari, approvato il 24 aprile scorso.
Per ciò che attiene al trattamento dati personali a fini di ricerca nella realizzazione dei sistemi di AI, secondo il Garante, l’art. 8 del disegno di legge sull’intelligenza artificiale (Ricerca e sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale in ambito sanitario) dovrebbe essere compiutamente integrato, per poter rappresentare un valido presupposto di legittimazione del trattamento di dati personali a tali fini. Ad esempio, il comma 1 andrebbe conformato ai requisiti di determinatezza previsti dagli artt. 6, par. 3, lett. b) e 9, par. 2, lett. g) del Regolamento, nonché 2-sexies del Codice.
Inoltre, l’uso secondario dei dati esige la previsione delle garanzie sancite dall’art. 89 del GDPR medesimo (Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici): tali garanzie non sono assorbite – secondo il Garante – dal solo riferimento, al comma 2, al ricorso a dati privi di elementi identificativi diretti.
Inoltre, al comma 2 sarebbe necessario sopprimere il riferimento alla possibilità di assolvere l’obbligo di informativa in forma generale, con pubblicazione sul sito web del titolare, non compatibile con tale ipotesi di uso secondario dei dati.
Particolare attenzione meritano le osservazioni inerenti alle disposizioni relative al settore lavoristico.
L’art. 10 (Disposizioni sull’utilizzo dell’intelligenza artificiale in materia di lavoro) del disegno di legge dovrebbe richiamare le garanzie previste, dagli artt. 22, par. 3 e 88 del Regolamento, 113 e 114 del Codice, per il trattamento di dati personali funzionale ai sistemi di IA utilizzati in tale contesto.
Secondo il Garante, inoltre, tale norma appare parziale, riferendosi alla sola fase successiva all’instaurazione del rapporto di lavoro, mentre i sistemi di IA sono spesso utilizzati in fase pre-assuntiva, a fini di selezione del personale, cui pertanto le garanzie introdotte vanno estese.
Il Garante, inoltre, ha ritenuto opportuno suggerire al Governo di essere annoverato tra le autorità competenti alla tutela dei diritti fondamentali in relazione all’uso dei sistemi di intelligenza artificiale ad altro rischio. Secondo l’AI Act, infatti, il Garante è l’autorità deputata alla tutela di un diritto fondamentale, quale quello alla protezione dei dati ex art. 8 Carta dei Diritti Fondamentali dell’Unione Europea.
Merita altresì attenzione il passaggio nel quale suggerisce di prevedere che AgID e ACN trasmettano al Garante gli atti dei procedimenti in relazione ai quali emergano profili suscettibili di rilevare in termini di protezione dati, richiedendo altresì il parere dell’Autorità rispetto a fattispecie, al loro esame, che coinvolgano aspetti di protezione dei dati; il Garante, dal proprio canto, trasmetterà inoltre elementi informativi in ordine a profili di competenza di AgID o ACN suscettibili di emergere nella trattazione di propri procedimenti.
Partendo dal presupposto per cui le norme definite sono volte ad indirizzare l’applicazione dell’intelligenza artificiale in una direzione antropocentrica, compatibile con i diritti fondamentali e con il principio di non discriminazione, il Garante invita il legislatore a valutare la possibile sovrapposizione delle norme oggi presente nello schema di disegno di legge con alcune disposizioni del Regolamento europeo in materia (c.d. AI Act).
In luogo del riferimento alle singole disposizioni rilevanti in termini di protezione dei dati personali, il Garante suggerisce di inserire un vincolo generale di conformità dei trattamenti dei dati personali alla disciplina rilevante in materia (GDPR, Codice privacy e D. Lgs. n. 51/2018). In aggiunta, all’art. 3, c. 1, a parere del Garante il riferimento alla protezione dei dati personali andrebbe più correttamente inserito nell’ambito dei diritti fondamentali (art. 8 CDFUE) di cui si impone il rispetto e non, invece, tra i “principi” di cui si esige l’osservanza.
Per ciò che concerne il settore sanitario, l’art. 7 del disegno di legge IA, nel delineare condizioni, limiti e garanzie per l’utilizzo dei sistemi di IA, dovrebbe essere integrato quantomeno con il richiamo ai requisiti ben più stringenti che l’art. 10 dell’AI Act esige per il trattamento di dati personali, segnatamente appartenenti alle categorie particolari di cui all’art. 9 del Regolamento, per sistemi considerati ad alto rischio. In particolare, occorrerebbe prevedere che sia preferito l’uso di dati sintetici o anonimi e che siano indicate particolari limitazioni per l’utilizzo dei dati sanitari nonché la limitazione della conservazione.
Il Garante ricorda inoltre che la previsione di cui all’art. 7 andrà coordinata con quanto previsto dal Regolamento sullo Spazio europeo dei dati sanitari, approvato il 24 aprile scorso.
Per ciò che attiene al trattamento dati personali a fini di ricerca nella realizzazione dei sistemi di AI, secondo il Garante, l’art. 8 del disegno di legge sull’intelligenza artificiale (Ricerca e sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale in ambito sanitario) dovrebbe essere compiutamente integrato, per poter rappresentare un valido presupposto di legittimazione del trattamento di dati personali a tali fini. Ad esempio, il comma 1 andrebbe conformato ai requisiti di determinatezza previsti dagli artt. 6, par. 3, lett. b) e 9, par. 2, lett. g) del Regolamento, nonché 2-sexies del Codice.
Inoltre, l’uso secondario dei dati esige la previsione delle garanzie sancite dall’art. 89 del GDPR medesimo (Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici): tali garanzie non sono assorbite – secondo il Garante – dal solo riferimento, al comma 2, al ricorso a dati privi di elementi identificativi diretti.
Inoltre, al comma 2 sarebbe necessario sopprimere il riferimento alla possibilità di assolvere l’obbligo di informativa in forma generale, con pubblicazione sul sito web del titolare, non compatibile con tale ipotesi di uso secondario dei dati.
Particolare attenzione meritano le osservazioni inerenti alle disposizioni relative al settore lavoristico.
L’art. 10 (Disposizioni sull’utilizzo dell’intelligenza artificiale in materia di lavoro) del disegno di legge dovrebbe richiamare le garanzie previste, dagli artt. 22, par. 3 e 88 del Regolamento, 113 e 114 del Codice, per il trattamento di dati personali funzionale ai sistemi di IA utilizzati in tale contesto.
Secondo il Garante, inoltre, tale norma appare parziale, riferendosi alla sola fase successiva all’instaurazione del rapporto di lavoro, mentre i sistemi di IA sono spesso utilizzati in fase pre-assuntiva, a fini di selezione del personale, cui pertanto le garanzie introdotte vanno estese.
Il Garante, inoltre, ha ritenuto opportuno suggerire al Governo di essere annoverato tra le autorità competenti alla tutela dei diritti fondamentali in relazione all’uso dei sistemi di intelligenza artificiale ad altro rischio. Secondo l’AI Act, infatti, il Garante è l’autorità deputata alla tutela di un diritto fondamentale, quale quello alla protezione dei dati ex art. 8 Carta dei Diritti Fondamentali dell’Unione Europea.
Merita altresì attenzione il passaggio nel quale suggerisce di prevedere che AgID e ACN trasmettano al Garante gli atti dei procedimenti in relazione ai quali emergano profili suscettibili di rilevare in termini di protezione dati, richiedendo altresì il parere dell’Autorità rispetto a fattispecie, al loro esame, che coinvolgano aspetti di protezione dei dati; il Garante, dal proprio canto, trasmetterà inoltre elementi informativi in ordine a profili di competenza di AgID o ACN suscettibili di emergere nella trattazione di propri procedimenti.