Intelligenza artificiale: il concetto di rischio e le sinergie con la protezione dei dati personali

di
Print Friendly, PDF & Email

di Ilenia Alagna

La legge sull’IA (regolamento UE 2024/1689) rappresenta la prima forma di regolamentazione onnicomprensiva dei sistemi e delle applicazioni innovative dell’Intelligenza artificiale. Sebbene da un lato l’IA può contribuire al conseguimento di un’ampia gamma di benefici a livello economico, ambientale e sociale nell’intero spettro delle attività industriali e sociali, dall’altro lato può comportare dei rischi rilevanti per i diritti dei cittadini dell’Unione. Tali rischi derivano, in particolare, dalle circostanze relative all’applicazione dell’IA, dallo specifico livello di sviluppo tecnologico e dal suo utilizzo. L’obiettivo dell’AI Act, pertanto, è quello di istituire un quadro giuridico uniforme europeo non solo per quanto riguarda lo sviluppo, l’immissione sul mercato e la messa in servizio dei sistemi di Intelligenza Artificiale, ma anche per quanto riguarda l’uso corretto di tali sistemi.

La valutazione del rischio intrinseco ai sistemi di IA rappresenta un passaggio fondamentale nella legge sull’IA: le regole previste, infatti, si adattano in base all’intensità e alla portata del livello di rischio. La nuova disciplina stabilisce obblighi a seconda del livello di rischio che l’IA può generare, ovvero un rischio inaccettabile, un rischio alto o un rischio basso o minimo.

Fra i sistemi di IA classificati come “ad alto rischio” rientrano, ad esempio:

  • sistemi di identificazione biometrica remota;
  • sistemi utilizzati come componenti di sicurezza nella gestione e nel funzionamento delle infrastrutture digitali critiche, del traffico stradale e della fornitura di acqua, gas, riscaldamento ed elettricità;
  • sistemi finalizzati a determinare l’accesso, l’ammissione o l’assegnazione agli istituti di istruzione e formazione professionale;
  • sistemi relativi alla valutazione dell’occupazione, ad ottimizzare la gestione dei lavoratori e l’accesso al lavoro autonomo.

I criteri per la qualificazione di un sistema di IA come “ad alto rischio” sono riportati all’articolo 6 dell’AI Act, mentre un elenco più ampio è inserito fra gli allegati al regolamento. I sistemi così classificati possono essere legittimamente utilizzati solo a determinate condizioni ed in presenza di specifici requisiti obbligatori. La legge sull’IA introduce specifiche regole per i deployer, in qualità di utilizzatori dei sistemi di IA. Vi sono, tuttavia, dei sistemi il cui utilizzo è vietato a prescindere. Pensiamo, ad esempio a sistemi che ricorrono a tecniche subliminali che agiscono senza che una persona ne sia consapevole o a tecniche volutamente manipolative o ingannevoli; sistemi utilizzati per valutare o prevedere la probabilità che una persona commetta un reato; sistemi di riconoscimento delle emozioni utilizzati sul luogo di lavoro e negli istituti scolastici, eccetto per motivi medici o di sicurezza (ad esempio il monitoraggio dei livelli di stanchezza di un pilota).

In tema di tutela dei diritti fondamentali è rilevante analizzare l’art.26 dell’AI Act secondo cui i deployer (utilizzatori) dei sistemi di AI ad alto rischio hanno l’obbligo di effettuare una valutazione di impatto sulla protezione dei dati a norma dell’art.35 GDPR. Sugli stessi soggetti grava l’obbligo di redigere una “valutazione di impatto sui diritti fondamentali per i sistemi di AI ad alto rischio”. Peraltro, se uno qualsiasi degli obblighi relativi alla valutazione di impatto dei sistemi di AI è già rispettato a seguito della valutazione di impatto privacy (art.35 GDPR), la valutazione di impatto dell’AI (FRIA) sui diritti fondamentali integra la valutazione d’impatto sulla protezione dei dati. La FRIA e la DPIA sono, quindi, due strumenti che si pongono il medesimo obiettivo: valutare i rischi e decidere le possibili mitigazioni di questi.

Tali strumenti presentano alcune differenze. L’esecuzione di una DPIA è richiesta solo quando vengono trattati dati personali e tale trattamento presenta un alto rischio (art. 35 par. 1). La FRIA, invece, deve essere posta in essere dal deployer in tutti i casi in cui utilizza un sistema di AI (indipendentemente dalla natura del dato, personale o non personale – art. 27 AI ACT).

Inoltre, la DPIA ha come obiettivo quello di considerare solo i rischi per la privacy e i dati personali (art. 7 e art. 8 del Codice), mentre la FRIA ha un ambito di indagine più ampio perché deve verificare tutte le tipologie di rischi che possono impattare sulla persona fisica nell’utilizzo del sistema di AI.

Quindi il deployer che utilizza sistemi di AI deve sempre effettuare la FRIA (e magari può utilizzare la DPIA collegata al software per l’analisi dei rischi e degli impatti in relazione alla protezione dei dati). L’utilizzatore di un software dovrà fare la DPIA solo se il trattamento è ad alto rischio, mentre non dovrà svolgere la FRIA se il software/apparecchio che sta utilizzando non rientra nella nozione di AI.

Nel testo dell’AI Act, i riferimenti al GDPR (General Data Protection Regulation) sono molteplici (se ne contano 29), in particolare in relazione ad adempimenti connessi agli obblighi di trasparenza e agli assessment previsti. Ad esempio, ai sensi dell’articolo 27, paragrafo 4, del Regolamento sull’AI, la valutazione d’impatto sui diritti fondamentali può integrare la valutazione d’impatto sulla protezione dei dati (ove già presente).

L’AI Act richiama e conferma la validità ed efficacia delle norme in materia di  protezione dei dati: così è per il Regolamento UE 2016/679 (GDPR) e per le direttive UE 2016/680 (protezione dati nel settore penale) e n. 2002/58/CE (settore delle comunicazioni): tali norme, secondo il considerando n.10 all’AI Act, costituiscono la base per un trattamento sostenibile e responsabile dei dati. Al riguardo l’AI Act dichiara di non voler pregiudicare l’applicazione della disciplina sul trattamento dei dati personali, inclusi i compiti e i poteri del Garante della privacy.

Alla formulazione di principio segue l’art.2 par.7 dell’AI Act in base al quale il diritto dell’Unione in materia di protezione dei dati personali, della vita privata e della riservatezza delle comunicazioni si applica ai dati personali trattati in relazione ai diritti e agli obblighi stabiliti dal Regolamento sull’intelligenza artificiale. L’articolo espressamente dichiara che sono fatti salvi i regolamenti (UE) 2016/679 e (UE) 2018/1725 (trattamento dati da parte delle istituzioni UE) e le direttive 2002/58/CE e (UE) 2016/680, con due eccezioni. La prima deroga (art.10) riguarda i trattamenti effettuati con lo scopo di eliminare distorsioni (risultati sbagliati o idonei a trarre in inganno); la seconda eccezione riguarda le sperimentazioni per interesse pubblico (art.59).

 

Please follow and like us:
fb-share-icon
Tweet
Pin Share
Condividi!

Lascia un commento

Utilizziamo cookie (tecnici, statistici e di profilazione) per consentire e migliorare l’esperienza di navigazione. Proseguendo con la navigazione acconsenti al loro uso in conformità alla nostra cookie policy.  Sei libero di disabilitare i cookie statistici e di profilazione (non quelli tecnici). Abilitandone l’uso, ci aiuti a offrirti una migliore esperienza di navigazione. Cookie policy

Alcuni contenuti non sono disponibili per via delle due preferenze sui cookie!

Questo accade perché la funzionalità/contenuto “%SERVICE_NAME%” impiega cookie che hai scelto di disabilitare. Per porter visualizzare questo contenuto è necessario che tu modifichi le tue preferenze sui cookie: clicca qui per modificare le tue preferenze sui cookie.