Nell’ambito dell’iter di approvazione dello schema di disegno di legge recante disposizioni e deleghe in materia di intelligenza artificiale (“DDL IA”), adottato dal Consiglio dei Ministri il 23 aprile 2024, l’Autorità garante per la protezione dei dati personali (il “Garante Privacy”), ha espresso il proprio parere con provvedimento n. 477 del 2 agosto 2024, (il “Parere”) ai sensi dell’art. 36, par. 4 del Regolamento (UE) 679/2016 (“GDPR”). Il DDL IA definisce norme e principi di natura programmatica, settoriale e promozionale, destinati a regolare la ricerca, la sperimentazione, lo sviluppo, l’adozione e l’applicazione di sistemi e modelli di IA (per un maggior approfondimento circa il contenuto del DDL IA si rimanda ad un nostro precedente contributo, disponibile qui, in inglese). Le norme intervengono in cinque ambiti: la strategia nazionale, le autorità nazionali, le azioni di promozione, la tutela del diritto d’autore, le sanzioni penali. Si prevede, inoltre, una delega al governo per adeguare l’ordinamento nazionale al Regolamento (UE) 1689/2024 (“AI Act”). Il Garante Privacy ha espresso un parere favorevole sul DDL IA, condizionandolo tuttavia all’introduzione di specifiche modifiche e integrazioni e all’osservazione relativa all’opportunità di riconoscere una partecipazione più attiva del Garante stesso all’interno del nuovo quadro normativo. Ma in cosa consistono le raccomandazioni del Garante Privacy? Di seguito, si riassumono le principali critiche mostrate dal Garante Privacy nei diversi settori trattati dal DDL IA. *** Il Parere del Garante Privacy sul DDL IA evidenzia l’importanza di un coordinamento sistematico tra le disposizioni in materia di IA e la normativa sulla protezione dei dati personali. Tra le principali raccomandazioni emergono l’integrazione di un articolo trasversale sulla protezione dei dati personali, la riformulazione delle norme relative all’IA in ambito sanitario e lavorativo, e un maggiore coinvolgimento del Garante nelle procedure decisionali e strategiche. L’attuazione di queste modifiche è cruciale per evitare sovrapposizioni normative, assicurare la protezione dei diritti fondamentali e garantire che l’adozione dell’IA in Italia avvenga in modo etico e responsabile, nel rispetto dei diritti degli interessati. [1] L’attuale formulazione dell’articolo prevede che il soggetto pubblico e privato senza scopo di lucro possano trattare dati personali se il trattamento è necessario per motivi di interesse pubblico (art. 9, lett. g) del GDPR) oppure se sono autorizzati all’utilizzo secondario di dati privi di identificati diretti (i.e. pseudonimizzati), previo parere favorevole del comitato etico e comunicazione al Garante Privacy della titolarità, del rispetto dei principi di privacy by design e by default, delle misure di sicurezza implementate, della valutazione d’impatto effettuata, nonché dell’elenco dei responsabili ex art. 28 del GDPR. Il Garante Privacy avrà poi un termine di 30 giorni per adottare eventuali misure inibitorie del trattamento. [2] L’art. 18 del DDL IA individua l’Agenzia per l’Italia digitale e l’Agenzia per la cybersicurezza nazionale quali autorità nazionali competenti per l’IA. La norma, inoltre, al comma 2, istituisce il Comitato di coordinamento al fine di assicurare il coordinamento e la collaborazione tra le diverse autorità competenti. [3] Tale disposizione demanda a ciascuno Stato membro la decisione sulla possibilità di autorizzare, pur nel rispetto dei limiti ivi previsti (ad esempio, per la ricerca mirata di specifiche vittime di sottrazione, tratta di esseri umani o sfruttamento sessuale di esseri umani, nonché la ricerca di persone scomparse), in tutto o in parte l’uso di sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico per finalità di polizia. A tal fine, ai sensi dell’art. 5, par. 3 dell’AI Act, il legislatore nazionale deve altresì individuare, nell’autorità giudiziaria o in un’autorità amministrativa indipendente, l’organo competente a rilasciare l’autorizzazione all’utilizzo di tale tipologia di sistemi. [1] L’attuale formulazione dell’articolo prevede che il soggetto pubblico e privato senza scopo di lucro possano trattare dati personali se il trattamento è necessario per motivi di interesse pubblico (art. 9, lett. g) del GDPR) oppure se sono autorizzati all’utilizzo secondario di dati privi di identificati diretti (i.e. pseudonimizzati), previo parere favorevole del comitato etico e comunicazione al Garante Privacy della titolarità, del rispetto dei principi di privacy by design e by default, delle misure di sicurezza implementate, della valutazione d’impatto effettuata, nonché dell’elenco dei responsabili ex art. 28 del GDPR. Il Garante Privacy avrà poi un termine di 30 giorni per adottare eventuali misure inibitorie del trattamento. *** Il Parere del Garante Privacy sul DDL IA evidenzia l’importanza di un coordinamento sistematico tra le disposizioni in materia di IA e la normativa sulla protezione dei dati personali. Tra le principali raccomandazioni emergono l’integrazione di un articolo trasversale sulla protezione dei dati personali, la riformulazione delle norme relative all’IA in ambito sanitario e lavorativo, e un maggiore coinvolgimento del Garante nelle procedure decisionali e strategiche. L’attuazione di queste modifiche è cruciale per evitare sovrapposizioni normative, assicurare la protezione dei diritti fondamentali e garantire che l’adozione dell’IA in Italia avvenga in modo etico e responsabile, nel rispetto dei diritti degli interessati. [1] L’attuale formulazione dell’articolo prevede che il soggetto pubblico e privato senza scopo di lucro possano trattare dati personali se il trattamento è necessario per motivi di interesse pubblico (art. 9, lett. g) del GDPR) oppure se sono autorizzati all’utilizzo secondario di dati privi di identificati diretti (i.e. pseudonimizzati), previo parere favorevole del comitato etico e comunicazione al Garante Privacy della titolarità, del rispetto dei principi di privacy by design e by default, delle misure di sicurezza implementate, della valutazione d’impatto effettuata, nonché dell’elenco dei responsabili ex art. 28 del GDPR. Il Garante Privacy avrà poi un termine di 30 giorni per adottare eventuali misure inibitorie del trattamento. [2] L’art. 18 del DDL IA individua l’Agenzia per l’Italia digitale e l’Agenzia per la cybersicurezza nazionale quali autorità nazionali competenti per l’IA. La norma, inoltre, al comma 2, istituisce il Comitato di coordinamento al fine di assicurare il coordinamento e la collaborazione tra le diverse autorità competenti. [3] Tale disposizione demanda a ciascuno Stato membro la decisione sulla possibilità di autorizzare, pur nel rispetto dei limiti ivi previsti (ad esempio, per la ricerca mirata di specifiche vittime di sottrazione, tratta di esseri umani o sfruttamento sessuale di esseri umani, nonché la ricerca di persone scomparse), in tutto o in parte l’uso di sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico per finalità di polizia. A tal fine, ai sensi dell’art. 5, par. 3 dell’AI Act, il legislatore nazionale deve altresì individuare, nell’autorità giudiziaria o in un’autorità amministrativa indipendente, l’organo competente a rilasciare l’autorizzazione all’utilizzo di tale tipologia di sistemi.
Il richiamo all’art. 10 dell’AI Act dovrà essere aggiunto anche all’art. 9 del DDL IA (Disposizioni in materia di fascicolo sanitario elettronico, sistemi di sorveglianza nel settore sanitario e governo della sanità digitale).
Inoltre, il Garante Privacy ha sottolineato l’importanza di designare il Garante stesso quale autorità competente per i sistemi di IA ad alto rischio operanti nel settore della biometria, soprattutto se utilizzati a fini di attività di contrasto, gestione delle frontiere, giustizia e democrazia, oppure utilizzati dalle autorità di contrasto (art. 74, par. 8 dell’AI Act che richiama l’allegato III, punti 1 e 6 dell’AI Act).