Il Garante Privacy, con provvedimento n. 477 del 2 agosto 2024, ha espresso il proprio parere, su richiesta della Presidenza del Consiglio dei Ministri, sullo schema di disegno di legge recante disposizioni e deleghe in materia di intelligenza artificiale (c.d. disegno di legge IA).
In particolare, il Garante ha espresso un parere favorevole sullo schema di disegno di legge, pur condizionato ad alcune necessarie modifiche ed integrazioni al testo del d.d.l. medesimo, nonché all’osservazione dell’opportunità di designare il Garante stesso tra le autorità competenti alla tutela dei diritti fondamentali ai sensi e per gli effetti di cui all’articolo 77, pp.1 e 2 dell’AI Act.
Osservazioni preliminari sul disegno di legge IA
L’intento sotteso al provvedimento è per l’Autorità condivisibile, ma, secondo il Garante, il legislatore dovrà valutare necessariamente la possibile sovrapposizione con alcune disposizioni dell’AI Act.
Inoltre, poiché molte norme hanno un impatto significativo sulla materia della protezione dei dati personali, esigono, secondo il Garante, un migliore coordinamento sistematico con la disciplina di riferimento: per tale ragione, suggerisce di introdurre al Capo I del disegno di legge un articolo specifico e ad applicazione trasversale, recante un vincolo generale di conformità dei trattamenti di dati personali funzionali a sistemi di IA alla disciplina rilevante in materia.
In tal modo, la norma assorbirebbe i singoli riferimenti alle disposizioni rilevanti in termini di protezione dei dati personali, ad eccezione di eventuali istituti richiamati espressamente per realizzare un rinvio mobile, come più avanti si suggerirà.
Rispetto all’art. 3, c. 1, il riferimento alla protezione dei dati personali andrebbe più correttamente inserito nell’ambito dei diritti fondamentali (art. 8 CDFUE) di cui si impone il rispetto e non, invece, tra i “principi” di cui si esige l’osservanza.
Legittimazione dei minori
L’art. 4, c. 4 del disegno di legge sull’intelligenza artificiale dovrà essere perfezionato, facendo riferimento non già alla soglia di età attualmente prevista, quanto alla disposizione di cui all’art. 2-quinquies del Codice, garantendo il pieno allineamento del disegno di legge alla disciplina di protezione dei dati, evitando difformità in caso di variazioni di quest’ultima.
Inoltre, il Garante suggerisce di integrare la disposizione con il riferimento a misure idonee a garantire sistemi adeguati di verifica dell’età, per evitare l’altrimenti agevole elusione della prevista soglia anagrafica per la prestazione del consenso.
Settore sanitario
L’art. 7 del disegno di legge IA, nel delineare condizioni, limiti e garanzie per l’utilizzo dei sistemi di IA, dovrebbe essere integrato, a parere del Garante, quantomeno con il richiamo ai requisiti ben più stringenti che l’art. 10 dell’AI Act esige per il trattamento di dati personali, segnatamente appartenenti alle categorie particolari di cui all’art. 9 del Regolamento, per sistemi, quali quelli in esame, considerati ad alto rischio (AI Act, all. III).
Trattasi infatti di garanzie essenziali (ad esempio, la preferenza circa l’uso dei dati sintetici o anonimi, particolari limitazioni per l’utilizzo di dati sanitari, come il divieto di trasmissione, trasferimento o comunicazione, nonché la limitazione della conservazione) non assorbite dalle previsioni di cui all’art. 7.
Il Garante ricorda inoltre che la previsione di cui all’art. 7 andrà coordinata con quanto previsto dal Regolamento sullo Spazio europeo dei dati sanitari, approvato il 24 aprile scorso.
Trattamento dati personali a fini di ricerca nella realizzazione dei sistemi di AI
Secondo il Garante, l’art. 8 del disegno di legge sull’intelligenza artificiale dovrebbe essere compiutamente integrato e modificato, per poter rappresentare un valido presupposto di legittimazione del trattamento di dati personali a tali fini.
Ad esempio, il comma 1 andrebbe conformato ai requisiti di determinatezza previsti dagli artt. 6, par. 3, lett. b) e 9, par. 2, lett. g) del Regolamento, nonché 2-sexies del Codice.
Inoltre, l’uso secondario dei dati esige la previsione delle garanzie sancite dall’art. 89 del Regolamento medesimo per il trattamento funzionale a scopi di ricerca: tali garanzie non sono assorbite – secondo il Garante – dal solo riferimento, al comma 2, al ricorso a dati privi di elementi identificativi diretti.
Peraltro, il Garante suggerisce di sostituire tali dati con riferimento al concetto di “dati pseudonimizzati”, in analogia con il comma 1-bis dell’art. 2-sexies del Codice.
Inoltre, al comma 2 è necessario sopprimere il riferimento alla possibilità di assolvere l’obbligo di informativa in forma generale, con pubblicazione sul sito web del titolare, non compatibile con tale ipotesi di uso secondario dei dati.
Infine, al comma 3, la previsione della previa comunicazione al Garante del trattamento, con meccanismo di silenzio-assenso, esige una precisazione volta a chiarire che, anche una volta iniziato il trattamento per decorso del termine di trenta giorni in assenza di misure inibitorie, restano tuttavia fermi i poteri, segnatamente di controllo (ed eventualmente sanzionatori) del Garante: è opportuno chiarire che il decorso del termine non consuma i poteri tipici dell’Autorità, in particolare volti all’accertamento di eventuali illeciti.
Settore giuslavoristico
L’art. 10 deve essere integrato, a parere del Garante, introducendo le necessarie garanzie per il ricorso all’IA nel settore lavoristico, in cui particolarmente rilevanti sono le esigenze di tutela e non discriminazione.
Pertanto, è necessario richiamare le garanzie previste, dagli artt. 22, par. 3 e 88 del Regolamento, 113 e 114 del Codice, per il trattamento di dati personali funzionale ai sistemi di IA utilizzati in tale contesto.
Ancora, il richiamo all’art. 1-bis del D. Lgs. 152/1997 dovrà essere concepito come non esaustivo, dal momento che si riferisce ai soli trattamenti interamente automatizzati.
Secondo il Garante, inoltre, tale norma appare parziale, riferendosi alla sola fase successiva all’instaurazione del rapporto di lavoro, mentre i sistemi di IA sono spesso utilizzati in fase preassuntiva, a fini di selezione del personale, cui pertanto le garanzie introdotte vanno estese.
Il ruolo del Garante Privacy nel disegno di legge IA
L’art 9 andrebbe integrato, secondo l’Autorità, prevedendo il parere del Garante sui decreti attuativi di cui al comma 1, primo periodo, dell’art. 12-bis del D.L. 179/2012.
Inoltre, la definizione integrativa degli elementi costitutivi del trattamento dovrebbe essere demandata a parere del Garante a una norma di natura regolamentare o, in subordine, a un decreto ministeriale anche non regolamentare.
L’art. 18, secondo l’Autorità, dovrebbe poi essere perfezionato chiarendo il ruolo del Garante quale autorità indipendente, ai sensi degli artt. 8 CDFUE e 16 TFUE, per la protezione dei dati personali: diritto, appunto fondamentale, le cui istanze di tutela si sovrappongono pressoché costantemente con l’applicazione dei sistemi di IA.
Suggerisce quindi:
- di perfezionare il comma 3 dell’articolo citato, estendendo più esplicitamente la clausola di salvaguardia delle funzioni del Garante anche alle norme del disegno di legge che abbiano implicazioni in termini di protezione dei dati
- di prevedere la partecipazione del Garante al Comitato di coordinamento di cui all’art. 18, c.2, secondo periodo, per realizzare pienamente quella leale cooperazione tra autorità competenti prevista dall’AI Act
- di integrare l’articolo prevedendo che AgID e ACN trasmettano al Garante gli atti dei procedimenti in relazione ai quali emergano profili suscettibili di rilevare in termini di protezione dati, richiedendo altresì il parere dell’Autorità rispetto a fattispecie, al loro esame, che coinvolgano aspetti di protezione dei dati; il Garante trasmetterà inoltre elementi informativi in ordine a profili di competenza di AgID o ACN suscettibili di emergere nella trattazione di propri procedimenti.
