Skip to content

Intelligenza artificiale nel GDPR

I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione Giuridica (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

Intelligenza artificiale nel GDPR

Strategia UE sui dati

La proposta di regolamento sull’intelligenza artificiale si colloca all’interno della più ampia strategia UE sui dati che ha già prodotto numerosi atti normativi volti alla creazione di un mercato unico europeo dei dati:  

  • il Data Governance Act e il Data Act, che hanno l’obiettivo di facilitare la libera circolazione dei dati;  
  • il Digital Service Act e il Digital Market Act, che creano le condizioni per mercati e servizi online affidabili.  

A completamento, la NIS2, proposta di direttiva che modernizza il quadro delle regole in tema di cybersecurity ed EIDAS, il regolamento sull’identità digitale di cui si valuta l’aggiornamento. 

Questo plesso regolatorio affianca quello per la tutela dei diritti e delle libertà fondamentali degli individui in relazione all’uso dei dati personali e nelle comunicazioni elettroniche, avente carattere prioritario, in quanto diretta applicazione della Carta dei diritti e dell’articolo 16 del Trattato sul Funzionamento dell’UE.

GDPR e I.A.

Come ha sottolineato il presidente del Garante nella sua audizione, l’unica normativa che attualmente regola l’intelligenza artificiale è il GDPR e, anche dopo l’entrata in vigore del futuro Artificial Intelligence Act (“AIA”), la normativa “privacy” è destinata a rimanere quella cui occorrerà fare riferimento nei casi in cui gli algoritmi saranno alimentati con dati personali o quando produrranno informazioni riferibili a individui.

Primazia del GDPR

Una coesistenza complementare tra i due plessi, con primazia riconosciuta al GDPR in quanto strumento che veicola diritti e libertà fondamentali dell’individuo come ricorda il Considerando (4): «Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d’informazione, la libertà d’impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica.».

Per questa ragione l’AIA non può rappresentare la base giuridica (cioè, la giustificazione legale) di trattamenti di dati personali effettuati tramite strumenti di intelligenza artificiale: questi ultimi andranno sempre vagliati «in conformità ai requisiti applicabili risultanti dalla Carta e dagli atti applicabili di diritto derivato dell’Unione (come il GDPR) e di diritto nazionale»; con la sola eccezione per i trattamenti di dati personali raccolti per altre finalità, ai fini di sviluppo di determinati sistemi di intelligenza artificiale di interesse pubblico «nell’ambito dello spazio di sperimentazione normativa per l’IA». Gli “spazi di sperimentazione normativa per l’IA – il cui obiettivo è la promozione dell’innovazione in materia di IA – sono quelli «istituiti da una o più autorità competenti degli Stati membri o dal Garante europeo della protezione dei dati (i quali) forniscono un ambiente controllato che facilita lo sviluppo, le prove e la convalida di sistemi di IA innovativi per un periodo di tempo limitato prima della loro immissione sul mercato o della loro messa in servizio» [Considerando (41) e (72) e artt. 53-54, AIA].

Approccio antropocentrico

Il Considerando (4) del GDPR chiarisce che «[i]l trattamento dei dati personali dovrebbe essere al servizio dell’uomo». Analogamente, la disciplina che regola i sistemi di intelligenza artificiale si fonda su una filosofia antropocentrica [si veda, il documento della Commissione “Creare fiducia nell’intelligenza artificiale antropocentrica, COM(2019) 168 final].

Etica

Secondo il documento “Orientamenti etici per un’IA affidabile” del Gruppo di esperti ad alto livello sull’intelligenza artificiale del 2019, l’IA affidabile si basa su tre componenti: 

  1. Legalità, cioè ottemperando a tutte le leggi e regolamenti applicabili 
  1. Eticità, assicurando l’adesione a principi e valori etici 
  1. Robustezza, dal punto di vista tecnico e sociale per evitare il rischio di effetti distorsivi e abusi. 

Le tre componenti sono tra loro complementari. Sotto il profilo etico il documento promuove l’adesione ai seguenti principi: 

  • rispetto dell’autonomia umana, cioè l’uomo non delega le proprie responsabilità alla macchina 
  • riconoscere i rischi e adottare provvedimenti adeguati per attenuarli, prevenendo i danni 
  • spiegabilità dei meccanismi logici sottostanti 
  • attenzione ai gruppi più vulnerabili. 

Il GDPR, dal suo canto, eleva la trasparenza e la correttezza a principi generali di liceità del trattamento di dati personali.

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione Giuridica.

Sei già abbonato?