Intelligenza Artificiale, il monito del Garante Privacy

Il 13 marzo 2024 è stato approvato dal Parlamento europeo il testo finale dell’AI Act, il regolamento sull’intelligenza artificiale (IA) che elegge l’Unione Europea quale pioniera in questo ambito. L’obiettivo è di proteggere i diritti fondamentali, la democrazia, lo stato di diritto e la sostenibilità ambientale dai sistemi di IA ad alto rischio, promuovendo al contempo l’innovazione e assicurando all’Europa un ruolo guida nel settore. Naturalmente, il regolamento stabilisce obblighi per i produttori di IA sulla base dei possibili rischi e del livello d’impatto, sui diritti e sulla dignità delle persone.

In attesa della pubblicazione in Gazzetta Ufficiale, tutti gli stati membri si preparano ad attuare le nuove disposizioni. Tra queste, l’AI Act prevede - all’articolo 70 - la designazione delle autorità nazionali competenti, da parte di ciascun Paese membro, per l’applicazione del regolamento con funzioni di vigilanza del mercato e ricezione delle notifiche previste. L’esercizio dei poteri, da parte di queste autorità, deve svolgersi “in modo indipendente, imparziale e senza pregiudizi, in modo da salvaguardare i principi di obiettività delle loro attività e dei loro compiti e garantire l’applicazione e l’attuazione” del regolamento.

L’intervento del Garante

Per quanto riguarda l’Italia, la designazione delle autorità nazionali competenti dovrebbe essere contenuta nel prossimo disegno di legge sull’IA e pare che la responsabilità possa essere affidata a due enti governativi, ovvero Agid (Agenzia per l’Italia Digitale) e Acn (Agenzia per la Cybersicurezza). A tal proposito, il 25 marzo scorso il Garante per la protezione dei dati personali ha inviato una segnalazione al Presidente del Consiglio e ai Presidenti di Senato e Camera. In sostanza, il Garante privacy sostiene la necessità di individuare un’autorità di vigilanza che sia terza e indipendente, rimarcando come l’Autorità garante possegga i requisiti di competenza e indipendenza necessari per attuare il Regolamento europeo sull’intelligenza artificiale, coerentemente con l’obiettivo di un livello elevato di tutela dei diritti fondamentali.

La recente approvazione dell’AI Act da parte del Parlamento europeo, chiarisce il presidente dell’Autorità Pasquale Stanzione, “impone agli Stati membri alcune scelte essenziali sulle norme di adeguamento degli ordinamenti interni”.

Nello specifico, si sottolinea come i requisiti di indipendenza, imparzialità e assenza di pregiudizi rappresentino la diretta implicazione della dimensione “costituzionale” della disciplina europea dell’IA, volta a coniugare l’innovazione con la tutela dei diritti e delle libertà fondamentali dai rischi potenzialmente derivanti da un uso scorretto dell’intelligenza artificiale.

Poiché il Regolamento stesso obbliga espressamente alla designazione delle Autorità di protezione dati quali autorità competenti rispetto all’applicazione di alcune sue disposizioni, la nota evidenzia come le Autorità di protezione dati siano le uniche autorità effettivamente destinatarie di una riserva di competenza sancita dal Regolamento e, in quanto indipendenti, legittimate a svolgere le funzioni di controllo in settori delicati come quello delle attività di contrasto. In virtù di ciò, spiega il presidente Stanzione, “sarebbe opportuno attribuire al Garante le funzioni di cui all’art. 70 del Regolamento, ferme restando ovviamente le competenze del Governo in ordine alla generale promozione e regolazione secondaria della materia”. 

Nella segnalazione inviata al Governo, viene fatto notare come l’incidenza dell’intelligenza artificiale sui diritti suggerisca di attribuirne la competenza ad Autorità quali quelle per la privacy, anche in ragione della stretta interrelazione tra IA e protezione dati e della competenza già acquisita in materia di processo decisionale automatizzato. “L’AI Act - ricorda il Garante - si fonda sull’articolo 16 del Trattato sul funzionamento dell’Unione europea, che è la base giuridica della normativa di protezione dei dati, e lo stesso Regolamento sull’intelligenza artificiale prevede il controllo delle Autorità di protezione dei dati personali su processi algoritmici che utilizzino dati personali”.

Non da ultimo, il presidente Stanzione suggerisce come la scelta dell’Autorità Garante garantirebbe una notevole semplificazione per gli utenti, che dovrebbero rivolgersi a un’unica autorità per i sistemi di IA che operino su dati personali senza il rischio di conflitti di competenza o di duplicazione di oneri amministrativi, nonché una maggiore coerenza della disciplina.