Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter
Registrati
Back

Il rapporto tra GDPR e i sistemi di IA

10/06/2024
Silvia Stefanelli

 AI e Dati

Che rapporto intercorre tra GDPR e AI ACT? 
Le due discipline corrono su binari paralleli, che in alcuni casi si toccano ma in altri presentano differenze di rilievo.
Vediamo allora i punti principali di questo rapporto.

Tipologia di disciplina

Senza dubbio la natura dei due provvedimenti è diversa.

Il GDPR è un regolamento orizzontale, tecnologicamente neutro, che regola tutti i trattamenti dei dati personali con l’obiettivo di proteggere le persone fisiche nell’ambito di tali trattamenti (art. 1 GDPR) .

L’AI ACT è (per buona parte) una legislazione verticale di prodotto (che segue il New Legislative Framework comunitario) che disciplina nello specifico “le regole armonizzate per l'immissione sul mercato, la messa in servizio e l'uso dei  sistemi di IA nell'Unione;” (art. 1) : quindi si applica solo ai sistemi che rientrano nella nozione di AI (art. 6)

Ambito di applicazione

Il GDPR  si applica non solo ai soggetti che trattano i dati sul territorio comunitario, ma altresì ai soggetti che hanno sede extra EU e che trattano dati di cittadini UE (art 3)

Analogamente  l’AI ACT si applica a tutti i fornitori di sistemi di AI - sia UE ed extra Ue - che immettono sul mercato Ue i suddetti sistemi (art. 2 lett. a). Si applica altresì ai soggetti che non immettono sul mercato il sistema di AI ACT, ma il cui output dell’AI ACT viene utilizzato nell’Unione (art. 2. lett. c).

I ruoli soggettivi nei due regolamenti

I ruoli soggettivi possono mutare a seconda delle situazioni.

Il provider di un sistema di AI è senza dubbio titolare dei dati  per tutta la fase di sviluppo e realizzazione del sistema. Dopo l’immissione sul mercato il sistema di AI, il provider resterà titolare dei dati che servono per migliorare il sistema o correggere i bias (art. 10 comma 5), mentre il deployer (art. 3 n. 4) diventerà titolare dei dati che raccoglie tramite il sistema AI (es. l’ospedale)

I principi da applicare

L’art 5 del GDPR stabilisce i principi che devono essere applicati nel trattamento dei dati: la liceità, la correttezza, la trasparenza, la limitazione delle finalità, la minimizzazione dei dati, l'esattezza, la limitazione della conservazione, l'integrità e la riservatezza.

L’AI ACT  contiene un elenco di principi che devono essere rispettati nel Considerando 27:  azione umana e supervisione, solidità tecnica e sicurezza, privacy e governance dei dati, trasparenza, diversità, non discriminazione, equità, benessere sociale e ambientale.

Alcuni di questi principi (ma non tutti) si concretizzano già attraverso obblighi specifici della legge dell'UE sull'IA:

  • l'articolo 10 della legge sull'IA dell'UE prescrive pratiche di governance dei dati per i sistemi di IA ad alto rischio,
  • l'articolo 13 della legge sull'IA dell'UE riguarda la trasparenza,
  • gli articoli 14 e 26 della legge dell'UE sull'IA introducono requisiti di sorveglianza e monitoraggio umano,
  • l'articolo 27 della legge dell'UE sull'IA introduce l'obbligo di condurre valutazioni d'impatto sui diritti fondamentali per alcuni sistemi di IA ad alto rischio.

Il processo automatizzato e la supervisione umana

Questo è il tema in GDPR e AI ACT sembrano intersecarsi in maniera più importante

L’art. 22 del GDPR stabilisce che  “1.  L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”

Tale previsione non si applica nei casi elencati all’art. 2 par. 2.

Chiaramente l’obiettivo è quello di permettere che l’uomo mantenga il controllo sugli effetti che un trattamento di dati può avere all’interno della Sua sfera giuridica.

Anche l’AI ACT ha come obiettivo quello di tenere l’uomo al centro (il cosiddetto effetto "human-in-the-loop")

Tale obiettivo si estrinseca nell’art. 14 il quale prevede che i sistemi di IA ad alto rischio siano progettati e sviluppati in modo tale da poter essere efficacemente supervisionati da persone fisiche durante il periodo in cui il sistema di IA è in uso (anche con adeguati strumenti di interfaccia uomo-macchina).

In altre parole, i fornitori devono adottare un approccio di "supervisione umana fin dalla progettazione" allo sviluppo di sistemi di intelligenza artificiale.

Inoltre l'art. 26, paragrafo 1, della legge dell'UE sull'IA, stabilisce che il deployer deve adottare misure tecniche e organizzative adeguate a garantire che l'uso di un sistema di IA sia conforme alle istruzioni per l'uso che accompagnano il sistema, anche per quanto riguarda la supervisione umana.

Chiaro che sotto questo profilo i due sistemi di intersecano in maniera importante.

Infatti il livello di supervisione e di intervento umano (maggiore o minore) esercitato da un utente di un sistema di IA può far sì che il sistema rientri o meno sotto l’alveo di applicazione dell’art. 22. In altre parole, un intervento significativo da parte di un essere umano in una fase chiave del processo decisionale del sistema di IA può essere sufficiente a garantire che la decisione non sia più completamente automatizzata ai fini dell'articolo 22 del GDPR.

La FRIA e la DPIA

Quali sono le differenze tra la “Valutazione d'impatto sui diritti fondamentali per i sistemi di IA ad alto rischio” (c.d. FRIA - art. 27 AI ACT) e la Valutazione d’impatto sulla protezione dei dati” (c.d. DPIA ex art. 35 GDPR)?
Si tratta di due strumenti che si pongono il medesimo obiettivo:  valutare i rischi e decidere le possibili mitigazioni di tali rischi.

Presentano però alcune differenze.

L'esecuzione di una DPIA è richiesta solo quando vengono trattati dati personali e tale trattamento presenta un alto rischio (art. 35 par. 1)

La FRIA invece deve essere posta in essere dal deployer in tutti i casi in cui utilizza un sistema di AI  (indipendentemente dalla natura del dato, personale o non personale -  art. 27 AI ACT).

Inoltre la DPIA ha come obiettivo quello considerare solo i rischi per la privacy e i dati personali (art. 7 e art. 8 del Codice), mentre la FRIA ha un ambito di indagine più ampio perché deve verificare tutte le tipologie di rischi che possono impattare sulla persona fisica nell’utilizzo del sistema di AI.

Quindi

Il deployer che utilizza sistemi di AI deve sempre effettuare  la FRIA (e magari può utilizzare la DPIA collegata al software per l’analisi dei rischi e degli impatti in relazione alla protezione dei dati).

L’utilizzatore di un software dovrà fare la DPIA solo se il trattamento è ad alto rischio (attenzione però perché l’interpretazione della nozione di “alto rischio” del nostro Garante è molto ampia), mentre non dovrà fare la FRIA se il software/apparecchio  che sta utilizzando non rientra nella nozione di AI.

Rubrica "AI LEGAL, un prisma da comporre"

Leggi gli altri articoli presenti nella nostra rubrica dedicata.

VAI ALLA RUBRICA
AI - Intelligenza Artificiale Privacy
Share

Vuoi approfondire l'argomento?

Contattaci