A colloquio con Alessandra Pietroletti – Partner, IT & Data Protection di EY SLT – sul tema Intelligenza artificiale, privacy, e profili di compliance (a proposito di una lezione in European School of Economics)

di Mariangela Claudia Calciano

  1. AI Act e GDPR, due fonti normative che con diversi aspetti trattano il tema della tutela dei dati, si sovrappongono o si completano a vicenda?

Come chiarito già al Considerando n. 10 dell’AI Act, il Regolamento esplicitamente rimanda al GDPR fra quelle fonti normative che costituiscono la base per un trattamento sostenibile e responsabile dei dati. Non viene in alcun modo pregiudicata la normativa già esistente in materia di protezione dei dati personali, che anzi è più volte direttamente richiamata evidenziando che in ottica by design si deve tener conto del GDPR sin dallo sviluppo dei sistemi AI. Evidenti sono anche le sinergie nelle due normative,  quali ad esempio l’assolvimento di obblighi di trasparenza o lo svolgimento di valutazioni di impatto. Il quadro normativo risultante è quello di un ordinamento composto da più fonti che collaborano fra loro, promuovendo un approccio multidisciplinare alla protezione dei dati personali nel contesto dell’intelligenza artificiale.

 

  1. Trasparenza in ambito AI Act, in che cosa consiste?

La trasparenza in ambito AI Act è da analizzare sotto un duplice profilo. In primo luogo, la trasparenza – per quanto riguarda i sistemi ad alto rischio – è quell’insieme di informazioni che devono essere fornite dai provider ai deployer. I provider dovranno preoccuparsi di fornire ai depolyer adeguate istruzioni e informazioni relative al sistema AI messo a disposizione di questi ultimi, di modo da consentirgli di comprendere le caratteristiche del sistema AI e quindi, a loro volta, essere messi in condizione di operare in compliance all’AI Act. Secondariamente, la trasparenza si manifesta anche in quei doveri di informazione della persona fisica impattata dal sistema AI, in modo non dissimile da quanto già avviene in ambito GDPR; in questo senso le persone fisiche dovranno essere edotte tramite apposita documentazione (e.g. informative) o altri mezzi di comunicazione (e.g. disclaimer) delle caratteristiche del sistema AI ovvero di alcune specifiche casistiche (e.g. manipolazione di immagini, testi).

 

  1. Rispetto agli ultimi provvedimenti del Garante Privacy sul trattamento di dati personali tramite sistemi AI, quali sono i profili più discussi?

Il trattamento dei dati (personali e non) è un aspetto di grande rilievo quando si sviluppa o si utilizza un sistema AI: questa tecnologia, infatti, può essere vista come un’evoluzione del data analytics che sfrutta i cd. big data e del machine learning ad essi applicato (incluso il reinforcement learning “automatico”). E’ attraverso l’elaborazione di grandissime quantità di dati che detti sistemi possono apprendere, utilizzando tecnologie di cd. deep learning, ed aumentare le proprie capacità e la propria utilizzabilità. Ciò posto, è assolutamente normale che il Garante privacy sia fra le Autorità più coinvolte e attive con riguardo all’intelligenza artificiale. In questo senso, il Garante italiano ha già avuto numerose occasioni per esprimersi in merito ai sistemi di AI. Questi provvedimenti sono stati occasione per richiamare l’attenzione dei titolari del trattamento al rispetto dei principi di privacy by design, all’importanza di una corretta individuazione della base giuridica e anche relativamente all’adempimento degli obblighi informativi (v. ad esempio il primo provvedimento contro OpenAI e ChatGPT). Per altro, anche gli effetti dell’art. 22 del GDPR, in merito alla possibilità per le persone fisiche di essere soggette a decisioni basate su trattamenti totalmente automatizzati, sono – a causa della tecnologia dell’intelligenza artificiale – ora molto più rilevanti rispetto al recente passato. A livello europeo, EDPB ha fornito utili indicazioni sui temi dell’anonimizzazione dei dati personali usati per il training delle AI e sulla legittimità di ricorrere al legittimo interesse come base giuridica per detti trattamenti. Considerata l’importanza della guida offerta dai garanti, il consiglio è di seguire sempre con attenzione ciascuna delle pronunce che arriveranno nei prossimi mesi.

 

  1. Quali sono i principali aspetti che le Pubbliche Amministrazioni devono considerare quando adottano soluzioni di IA?

Le pubbliche amministrazioni sono impattate dall’AI Act così come qualsiasi altro soggetto, purché la loro attività in concreto possa essere ricondotta nei ruoli che sono tipizzati dalla norma (e.g. provider, deployer). In un contesto europeo che vede la pubblicazione di linee guida da parte dell’Ufficio europeo per l’IA, in Italia a breve sarà pubblicata la versione definitiva delle Linee Guida AgID in ambito AI, che si concentrano in particolare sull’attenta governance che dovrà essere esercitata con riferimento ai sistemi AI. Le PA dovranno adottare una propria “Strategia per l’IA” che dovrà tenere conto di tematiche quali: (i) trasparenza e informazione, (ii) conformità normativa, (iii) gestione, protezione e qualità dei dati, (iv) formazione e competenze, (v) cibersicurezza. Saranno questi i principali presidi per una governance etica e responsabile nella PA. Un ruolo particolarmente importante sembra sarà affidato alla figura del Responsabile per la Transizione Digitale (comunemente abbreviato “RTD”, figura prevista dall’art. 17 del CAD), che si dovrà far carico della responsabilità e della conseguente governance in ambito AI, acquisendo ancora più importanza all’interno delle PA rispetto al passato. Ruolo che per altro dovrà essere esercitato in stretta cooperazione con il Data Protection Officer delle PA, a riprova del fatto che fra le due materie esistono forti sinergie e che non può esservi sviluppo e uso di AI che sia compliant ed etico senza passare da una governance dei dati che possa garantire il rispetto del GDPR. AgID fornirà, anche attraverso le Linee Guida in corso di approvazione, numerosi modelli, standard e strumenti utili per consentire alle PA di adeguarsi con efficacia (e.g. documenti per la valutazione del livello di adeguatezza della PA, standard per l’effettuazione della FRIA, bozza di codice etico per l’uso dell’AI, etc.).

 

  1. Lungo quali direttrici le aziende dovrebbero orientarsi in questa fase?

E’ opportuno che le aziende, sin da subito, inizino ad indirizzarsi verso la costruzione di un adeguato modello di governance in materia di AI, affiancato da tecniche di monitoraggio dei diversi sistemi e del loro livello di rischio, considerando anche la necessità di diffondere una cultura in ambito AI nel rispetto del principio di alfabetizzazione, a seconda del contesto aziendale, di mercato e dei ruoli di ciascuno. Bisognerà considerare che per affrontare consapevolmente lo sviluppo e l’utilizzo dell’AI sarà necessario un approccio multidisciplinare e un presidio di compliance attento su più fronti e cioè non limitato all’AI Act ma che sia in grado di adoperare una visione d’insieme sulle normative di volta in volta applicabili. Posto quanto sopra, le aziende dovranno lavorare per sviluppare e implementare un modello di governance che sia in grado di rappresentare un presidio adeguato e proporzionato agli obiettivi, al mercato e alla dimensione delle aziende stesse. Tale modello dovrà essere in grado di identificare le figure chiave all’interno dell’azienda, attribuendo ruoli e responsabilità. Ancora, dovrà essere in grado di inserirsi nel sistema esistente di policy e procedure interne, affrontando anche temi tecnicamente complessi quale ad esempio quello della governance dei dati. Alcuni obblighi derivanti dall’AI Act richiederanno, per altro, anche interventi sulla documentazione aziendale rivolta a soggetti terzi: potrebbe essere necessario intervenire nei contratti con i fornitori e gli altri partner, così come prevedere appositi documenti dal contenuto informativo.