Il Garante Privacy ha il dente avvelenato sul ddl Intelligenza Artificiale varato dal Governo per regolare lo sviluppo della nuova tecnologia. L’Autorità non ha preso bene la mancata designazione da parte del Governo come autorità di controllo dell’AI, attribuita invece in maniera bipartita ad Agid e ACN.
Non pochi i rilievi dell’Autorità nel parere rilasciato sul pacchetto di norme del ddl, che secondo il Garante dovrà essere integrato in più parti con precisazioni varie a tutela dei dati dei cittadini.
Tutela dati personali va specificata in premessa
In primo luogo, secondo il garante va specificato subito in premessa un nuovo articolo che a priori vincoli la norma alla conformità dei trattamenti di dati personali. L’obiettivo di base è salvaguardare “la competenza del Garante anche rispetto alle norme, del disegno di legge stesso, suscettibili di avere implicazioni in termini di protezione dei dati”. Una questione di principio, questa, per chiarire da subito che la stella polare da seguire è quella della tutela dei dati personali e che il Garante ne deve gioco forza essere il nume tutelare.
Age verification va comprovata
Un altro aspetto sensibile è quello della age verification, della soglia di età fissata a 14 anni sotto la quale l’uso di sistemi di AI da parte dei minori deve essere illegittima. Servono sistemi comprovati per evitare una facile elusione del controllo dell’età da parte dei minori.
Dati sanitari, adeguarsi al regolamento Ue. Perplessità sull’Agenas
Per quanto riguarda i dati sanitari, va esplicitata la preferenza all’anonimizzazione e il divieto di trasferimento o comunicazione di dati sanitari nonché limiti precisi di conservazione, in linea con quanto previsto dal dal Regolamento sullo Spazio europeo dei dati sanitari, approvato il 24 aprile scorso.
Sempre in tema sanitario, il Garante sottolinea che “suscita perplessità l’attribuzione della titolarità dei trattamenti effettuati attraverso la piattaforma a un ente strumentale quale AGENAS anziché al Dicastero cui il trattamento è complessivamente imputabile e che dispone dei correlati poteri provvedimentali e, lato sensu, decisori”.
AI e mondo del lavoro, regole parziali
L’articolo 10 volto a regolare l’uso dell’AI in ambito lavorativo, “appare in certa misura parziale, riferendosi alla sola fase successiva all’instaurazione del rapporto di lavoro, laddove i sistemi di i.a. sono spesso utilizzati in fase preassuntiva, a fini di selezione del personale, cui pertanto le garanzie introdotte vanno estese. Si dovrebbe, pertanto, introdurre un comma ulteriore, dal tenore seguente: “Le disposizioni del presente articolo si applicano, ove compatibili, anche ai trattamenti effettuati in fase preassuntiva””.
Chiarire e potenziare il ruolo del Garante. Gli obblighi di ACN e Agid
Il ruolo centrale del garante va poi chiarito ed esplicitato “ai sensi degli artt. 8 CDFUE e 16 TFUE, per la protezione dei dati personali: diritto, appunto fondamentale, le cui istanze di tutela si sovrappongono pressoché costantemente con l’applicazione dei sistemi di i.a.”, si legge nel parere.
“Anche al fine di evitare antinomie o dubbi in sede applicativa, è opportuno perfezionare il comma 3 dell’articolo 18, estendendo più esplicitamente la clausola di salvaguardia delle funzioni del Garante anche alle norme del disegno di legge che abbiano implicazioni in termini di protezione dei dati.
Garante partecipi al comitato di coordinamento sull’AI
Per tale ragione, è anche opportuno prevedere la partecipazione del Garante al Comitato di coordinamento di cui all’articolo 18, c.2, secondo periodo, per realizzare pienamente quella leale cooperazione tra autorità competenti prevista dall’AI Act. Declinando in maniera più articolata le implicazioni di tale cooperazione, è inoltre opportuno integrare l’articolo prevedendo, infine, che AgID e ACN trasmettano al Garante gli atti dei procedimenti in relazione ai quali emergano profili suscettibili di rilevare in termini di protezione dati, richiedendo altresì il parere dell’Autorità rispetto a fattispecie, al loro esame, che coinvolgano aspetti di protezione dei dati. Il Garante trasmetterà, per parte sua, elementi informativi in ordine a profili di competenza di AgID o ACN suscettibili di emergere nella trattazione di propri procedimenti”.
Un ulteriore obbligo di designazione del Garante, quale autorità competente per i “sistemi di i.a. ad alto rischio”.
Leggi anche: Ddl AI, ok del Garante, ma con correttivi: “Siamo noi Autorità competente su AI ad alto rischio”
Garante Privacy, Stanzione: ‘AI ormai nella nostra vita. Ma non sappiamo ancora bene cosa vuol dire’