Intelligenza Artificiale (AI) e Privacy

AI ACT – il Regolamento UE sull’Intelligenza Artificiale e il GDPR
 
Nel 2024, il Consiglio Europeo ha approvato l’AI Act, il primo regolamento europeo che stabilisce regole armonizzate sull’Intelligenza Artificiale, complementare all’applicazione del GDPR.

All’interno dell’AI Act (Regolamento sull’Intelligenza Artificiale) vi sono numerosissimi riferimenti ai diritti e alle libertà fondamentali della Carta dell’Unione Europea, la cui protezione risulta una condizione essenziale per consentire la diffusione di un’AI antropocentrica e affidabile.

Il GDPR, che dà concreta attuazione a questi diritti, mantiene il proprio ruolo di normativa di riferimento in tale ambito.

Nonostante dall’Intelligenza Artificiale possano derivare importanti benefici, l’utilizzo di questa tecnologia può comportare gravi rischi e pregiudicare i diritti fondamentali, tra cui quello alla riservatezza e alla protezione dei dati personali.

L’utilizzo dell’AI solleva, per esempio, importanti preoccupazioni per la privacy dei lavoratori. I sistemi di AI potrebbero infatti essere utilizzati per la sorveglianza sul luogo di lavoro attraverso il monitoraggio degli strumenti aziendali e il riconoscimento delle emozioni dei lavoratori, creando un ambiente di lavoro poco trasparente e potenzialmente pericoloso.

Come l’AI Act protegge i diritti fondamentali

L’AI Act stabilisce che il diritto alla protezione dei dati personali debba essere garantito durante l’intero ciclo di vita dei sistemi di AI e, per far sì che ciò avvenga, richiama sia alcuni principi sanciti dal GDPR che alcune norme specifiche del medesimo regolamento.

In particolare, vengono richiamati i principi di minimizzazione e privacy by design e by default, applicabili dalla fase di pianificazione e progettazione dei sistemi di AI fino a quella di dismissione. Vengono inoltre indicate alcune misure che i fornitori di sistemi di AI possono utilizzare per garantire la compliance a tali principi, tra cui l’anonimizzazione, la cifratura e l’uso di tecnologie che consentano di inserire algoritmi* nei dati e di addestrare i sistemi di AI senza trasmissione o copia dei dati stessi.

Autorità di controllo

L’AI Act non pregiudica né comprime i compiti e i poteri delle Autorità di controllo indipendenti competenti a monitorare il rispetto del GDPR. Il nuovo Regolamento, anzi, attribuisce nuove competenze alle Autorità Privacy, e quindi ulteriori ispezioni, stabilendo che debba essere loro notificato l’uso di sistemi di identificazione biometrica in tempo reale.

Inoltre, occorre fornire alle Autorità Privacy la documentazione relativa ai sistemi di AI di identificazione biometrica remota a posteriori, ove da queste richiesto.

Considerazioni conclusive

L’AI Act ha dato un nuovo slancio al GDPR, riconoscendo una centralità alla riservatezza e alla protezione dei dati nell’ambito dello sviluppo e dell’uso dell’intelligenza artificiale.

Il nuovo Regolamento, infatti, ha introdotto rigorosi obblighi per la tutela di questi fondamentali diritti, in certi casi lasciando agli operatori il compito di individuare le azioni da implementare a tal fine e, in altre situazioni, identificando gli adempimenti in modo specifico (come richiesto dal principio dell’accountability del GDPR, ovvero la responsabilizzazione del titolare del trattamento).

*algoritmi: programmi informatici che agiscono automaticamente per restituire le informazioni richieste