La proposta di legge sull’IA: quali impatti su organizzazioni e DPO? Il parere della CEDPO

Articolo header

L’Intelligenza Artificiale (IA) influisce direttamente su molti aspetti della nostra vita quotidiana: dalla previsione delle preferenze, all’analisi del volto delle persone, sino ad arrivare ad applicazioni innovative per la diagnosi e la cura dei tumori. A risultati vantaggiosi dal punto di vista sociale e ambientale, si affiancano rischi, associati a determinati utilizzi di tale tecnologia. Proprio per questo, dal 2019, l’UE si sta impegnando nello sviluppo di un ecosistema di fiducia, proponendo un quadro giuridico per un’IA affidabile. Restano, tuttavia, delle preoccupazioni, ben illustrate dalla CEDPO (Confederation of European Data Protection Organisations), che impattano sull’attività dei DPO.


La legge sull’IA ed il quadro giuridico europeo

La proposta di un regolamento UE sull'intelligenza artificiale (c.d. “legge sull'intelligenza artificiale”), mira a promuovere l’adozione dell’IA e delle sue applicazioni positive, in grado di portare indubbi vantaggi dal punto di vista sociale e ambientale, per la competitività delle imprese e l’economia in generale. Dall’uso dell’IA, infatti, derivano importanti benefici socio-economici, mediante il miglioramento delle previsioni, l'ottimizzazione delle operazioni e dell'assegnazione delle risorse e la personalizzazione dell'erogazione di servizi.

Al tempo stesso, tuttavia, sorge la necessità di presidiare e mitigare nuovi rischi o potenziali conseguenze negative per le persone fisiche o la società. Per questo, la proposta di regolamento sull’IA è fondamentale, per assicurare i diritti dei cittadini e utenti ed il buon funzionamento del mercato interno all’Unione. A tal fine, la proposta si pone gli obiettivi di:

  • assicurare che i sistemi di IA immessi sul mercato dell'Unione e utilizzati siano sicuri e rispettino la normativa vigente in materia di diritti fondamentali e i valori dell'Unione;
  • assicurare la certezza del diritto per facilitare gli investimenti e l'innovazione nell'intelligenza artificiale;
  • migliorare la governance e l'applicazione effettiva della normativa esistente in materia di diritti fondamentali e requisiti di sicurezza applicabili ai sistemi di IA;
  • facilitare lo sviluppo di un mercato unico per applicazioni di IA lecite, sicure e affidabili nonché prevenire la frammentazione del mercato.



La gestione dei rischi dell’IA

Il regolamento sull’IA, alla stregua del GDPR, segue un approccio basato sul rischio (“risk-based approach”), differenziando tra gli usi dell'IA che creano:

  1. un rischio inaccettabile;
  2. un rischio alto;
  3. un rischio basso o minimo.

 

Alle categorie di IA a rischio inaccettabile è abbinato un elenco di pratiche vietate, ovvero quelle che presentano un elevato potenziale in termini di manipolazione delle persone attraverso tecniche subliminali, senza che tali persone ne siano consapevoli, oppure di sfruttamento delle vulnerabilità di specifici gruppi di soggetti, quali i minori o le persone con disabilità, al fine di distorcerne materialmente il comportamento in maniera tale da provocare loro o a un'altra persona un danno psicologico o fisico.

I sistemi di IA “ad alto rischio”, ovvero quelli che pongono rischi significativi per la salute e la sicurezza o per i diritti fondamentali delle persone, dovranno rispettare una serie di requisiti obbligatori, nonché seguire specifiche procedure di valutazione della conformità ex ante, prima di poter essere immessi sul mercato dell'Unione.

Infine, per altri determinati sistemi di IA, che: interagiscono con gli esseri umani; sono utilizzati per rilevare emozioni o stabilire un'associazione con categorie (sociali) sulla base di dati biometrici; oppure generano o manipolano contenuti ("deep fake"), il regolamento prevede che venga garantita la massima trasparenza, attraverso informative in grado di consentire alle persone di compiere scelte realmente informate, o di fare un passo indietro rispetto ad una determinata situazione.



Legge sull’IA vs GDPR

Le premesse alla proposta di regolamento sulla IA definiscono l’interazione con le altre norme applicabili. La proposta non pregiudica l’applicazione del GDPR e lo va ad integrare con una serie di regole applicabili alla progettazione, allo sviluppo e all'utilizzo di determinati sistemi di IA ad alto rischio, nonché di restrizioni concernenti determinati usi dei sistemi di identificazione biometrica remota.

L’articolo 10 della norma, in particolare, definisce le adeguate pratiche di governance e gestione dei dati, ai fini dell’addestramento di sistemi di IA ad alto rischio. Tali pratiche riguardano:

  1. le scelte progettuali pertinenti;
  2. la raccolta dei dati;
  3. le operazioni di trattamento pertinenti ai fini della preparazione dei dati, quali annotazione, etichettatura, pulizia, arricchimento e aggregazione;
  4. la formulazione di ipotesi pertinenti, in particolare per quanto riguarda le informazioni che si presume che i dati misurino e rappresentino;
  5. una valutazione preliminare della disponibilità, della quantità e dell'adeguatezza dei set di dati necessari;
  6. un esame atto a valutare le possibili distorsioni;
  7. l'individuazione di eventuali lacune o carenze nei dati e il modo in cui tali lacune e carenze possono essere colmate.

L’elenco richiama concettualmente alcuni dei principi generali del GDPR. Fra questi, è evidente il riferimento ai criteri di privacy by design e di privacy by default, ma anche di minimizzazione dei dati raccolti, di esattezza e di limitazione della finalità.



Il parere della CEDPO

La CEDPO (Confederation of European Data Protection Organisations), oltre a fornire consulenza alla Commissione UE sull’applicazione del GDPR e a partecipare ai workshop dell’EDPB, da anni promuove il ruolo del DPO e contribuisce ad una migliore armonizzazione delle leggi e delle pratiche in materia di protezione dei dati nell'UE/SEE, attraverso numerosi contributi e pubblicazioni.

Fra queste si segnala, in particolare, il parere del 19 dicembre 2022 relativo all’interazione fra GDPR e legge sull’IA, e alle principali conseguenze che si prospettano impattare sul ruolo del Data Protection Officer.

 

In primo luogo, la CEDPO evidenzia alcuni “doppi obblighi” simultanei ai sensi del GDPR e della legge sull’IA ed alcune zone grigie:

  1. La valutazione dei rischi che il sistema di IA può comportare, per i diritti fondamentali delle persone fisiche, può sovrapporsi con l’analisi dei rischi, che il Titolare del trattamento deve effettuare ai sensi degli articoli 24, 25, 32 e 35 del GDPR;
  2. Ancora, le disposizioni in materia di data governance derivanti dal sopracitato articolo 10 della legge sull’IA, integrano responsabilità già presenti ai sensi del GDPR;
  3. L’articolo 12 della legge sull’IA impone l’obbligo di conservazione degli eventi di accesso (log) ai sistemi di IA ad alto rischio, obbligo che potrebbe essere definito meglio, per garantire il rispetto del principio di limitazione della conservazione di cui all’articolo 5 del GDPR;
  4. Anche la disposizione che richiede la nomina di un rappresentante nell’Unione, di cui all’articolo 25 della legge sull’IA, potrebbe essere più chiara nel definire se questo soggetto può coincidere con il rappresentante di cui all’articolo 27 del GDPR.

Altri obblighi ai sensi dell’IA devono necessariamente coordinarsi con le disposizioni di cui al Regolamento europeo in materia di protezione dei dati personali (istruzioni ai soggetti autorizzati al trattamento; pertinenza dei dati; valutazione di impatto; informazione e trasparenza; etc.). Nel parere vengono fornite indicazioni su come ottimizzare il dialogo fra i due blocchi normativi.

 

In secondo luogo, la CEDPO manifesta alcune preoccupazioni sulle numerose iniziative legislative che l'UE sta emanando nell'ambito della sua Strategia europea sui dati e, nello specifico, su come queste nuove norme si interfacceranno con il ruolo e le responsabilità del responsabile della protezione dei dati, una figura che ha già un compito impegnativo in base a quanto disposto dal GDPR. Secondo la CEDPO, infatti, è fondamentale che il ruolo del DPO sia sostenuto e non appesantito dalla promulgazione di molteplici e complesse leggi nello spazio digitale.



Come la Legge sull’IA impatta sul ruolo del DPO

La CEDPO ritiene che il ruolo del DPO all'interno di un’organizzazione debba rimanere incentrato sulla consulenza in merito alla conformità al GDPR ed alle altre disposizioni pertinenti dell'Unione o degli Stati membri in materia di protezione dei dati.

Come abbiamo visto, però, molti dei requisiti della legge sull’IA si intersecano con il GDPR, e non è previsto un soggetto competente circa la supervisione della conformità alla nuova proposta di legge (mancano disposizioni equivalenti agli articoli da 37 a 39 del GDPR). La CEDPO incoraggia quindi le istituzioni a considerare l’inserimento, nel corpus normativo, di un articolo che istituisca un “responsabile dell’IA”. Tale revisione, infatti, sarebbe importante per evitare un rischio prevedibile per il ruolo del DPO, che potrebbe essere chiamato ad assumersi responsabilità di attività legate all’IA all’interno dell’organizzazione (con il rischio, peraltro, che si generino conflitti di interesse o che si violino le disposizioni del GDPR sull’indipendenza del ruolo).

 

L’approvazione della legge sull’IA potrebbe quindi determinare un cambiamento importante delle attività del DPO, che si troverebbe a dover verificare profili più tecnici. In attesa che si giunga ad una versione definitiva del testo, la formazione in materia è fortemente raccomandata.

 

Se desideri iscriverti alla newsletter dell’Associazione clicca QUI.

Se desideri associarti, per confrontarti con altri colleghi su questo hot topic, clicca QUI.  

Altre news