Nel testo dell’AI Act, sono molteplici i riferimenti al GDPR, in particolare in relazione ad adempimenti connessi agli obblighi di trasparenza e agli assessment previsti.
La legge sull'AI introduce nuove misure, obblighi e previsioni mirate, essendo caratterizzata da un approccio alla compliance by risk, simile a quello previsto dal GDPR. Nel testo dell'AI Act, i riferimenti al GDPR sono molteplici e riuscire a sfruttare le sinergie fra i due complessi normativi rappresenta la chiave per conformarsi. AI ACT e GDPR a confronto La legge sull'AI introduce nuove misure ed obblighi volti ad un approccio legato alla compliance by risk, con delle caratteristiche similari al GDPR. Nel testo dell'AI Act, i riferimenti al Regolamento europeo sulla privacy sono molteplici, in particolare in relazione ad adempimenti connessi agli obblighi di trasparenza e agli assessment previsti. Il GDPR è un regolamento che regola i trattamenti dei dati personali con l'obiettivo di proteggere le persone fisiche nell'ambito di tali trattamenti. L'AI ACT è una legislazione verticale di prodotto che disciplina “le regole armonizzate per l'immissione sul mercato, la messa in servizio e l'uso dei sistemi di AI nell'Unione” articolo 1 quindi si applica solo ai sistemi che rientrano nella nozione di AI articolo 6 . Il GDPR, invece, si applica non solo ai soggetti che trattano i dati sul territorio comunitario, ma altresì ai soggetti che hanno sede extra EU e che trattano dati di cittadini UE art 3 . Analogamente l'AI ACT si applica a tutti i fornitori di sistemi di AI – sia europei che extraeuropei - che immettono sul mercato Ue i suddetti sistemi articolo 2 lett. a . Si applica altresì ai soggetti che non immettono sul mercato il sistema di AI ACT, ma il cui output dell'AI ACT viene utilizzato nell'Unione articolo 2. lett. c . I ruoli soggettivi possono mutare a seconda del contesto. Il provider di un sistema di AI è senza dubbio titolare dei dati per tutta la fase di sviluppo e realizzazione del sistema. Dopo l'immissione sul mercato il sistema di AI, il provider resterà titolare dei dati che servono per migliorare il sistema o correggere i bias articolo 10 comma 5 , mentre il deployer articolo 3 numero 4 diventerà titolare dei dati che raccoglie tramite il sistema AI es. l'ospedale . L'art 5 del GDPR stabilisce i principi che devono essere applicati nel trattamento dei dati la liceità, la correttezza, la trasparenza, la limitazione delle finalità, la minimizzazione dei dati, l'esattezza, la limitazione della conservazione, l'integrità e la riservatezza. L'AI ACT contiene un elenco di principi da rispettare previsti nel Considerando numero 27 azione umana e supervisione, solidità tecnica e sicurezza, privacy e governance dei dati, trasparenza, diversità, non discriminazione, equità, benessere sociale e ambientale. Alcuni di tali principi si concretizzano già attraverso obblighi specifici della legge dell'UE sull'IA l'articolo 10 prescrive pratiche di governance dei dati per i sistemi di IA ad alto rischio l'articolo 13 riguarda la trasparenza gli articoli 14 e 26 introducono requisiti di sorveglianza e monitoraggio umano l'articolo 27 introduce l'obbligo di condurre valutazioni d'impatto sui diritti fondamentali per alcuni sistemi di IA ad alto rischio. Per quanto riguarda il processo automatizzato e la supervisione umana, il tema è ripreso sia nel GDPR che nell'AI ACT. L'articolo 22 del GDPR stabilisce, infatti, che “l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”. Tale previsione non si applica nei casi elencati all'articolo 2 par. 2. Obiettivo è quello di permettere che l'uomo mantenga il controllo sugli effetti che un trattamento di dati può avere all'interno della propria sfera giuridica. Anche l'AI ACT ha come obiettivo quello di tenere l'uomo al centro il cosiddetto effetto human-in-the-loop . Tale obiettivo si estrinseca nell'articolo 14 il quale prevede che i sistemi di IA ad alto rischio siano progettati e sviluppati in modo tale da poter essere efficacemente supervisionati da persone fisiche durante il periodo in cui il sistema di IA è in uso anche con adeguati strumenti di interfaccia uomo-macchina . In altre parole, i fornitori devono adottare un approccio di supervisione umana fin dalla progettazione allo sviluppo di sistemi di intelligenza artificiale. Inoltre l'articolo 26, paragrafo 1, della legge dell'UE sull'IA, stabilisce che il deployer deve adottare misure tecniche e organizzative adeguate a garantire che l'uso di un sistema di IA sia conforme alle istruzioni per l'uso che accompagnano il sistema, anche per quanto riguarda la supervisione umana. Sotto tale profilo, dunque, i due sistemi si intersecano in maniera importante. Infatti il livello di supervisione e di intervento umano maggiore o minore esercitato da un utente di un sistema di IA può far sì che il sistema rientri o meno sotto l'alveo di applicazione dell'articolo 22. In altre parole, un intervento significativo da parte di un essere umano in una fase chiave del processo decisionale del sistema di IA può essere sufficiente a garantire che la decisione non sia più completamente automatizzata ai fini dell'articolo 22 del GDPR. Gli impatti sui diritti fondamentali e le attività da svolgere DPIA e FRIA Ai sensi dell'articolo 26 dell'AI Act, i deployer utilizzatori dei sistemi di AI ad alto rischio hanno l'obbligo di effettuare una valutazione di impatto sulla protezione dei dati a norma dell'articolo 35 GDPR. Sugli stessi soggetti grava l'obbligo di redigere una “valutazione di impatto sui diritti fondamentali per i sistemi di AI ad alto rischio”. Peraltro se uno qualsiasi degli obblighi relativi alla valutazione di impatto dei sistemi di AI è già rispettato a seguito della valutazione di impatto privacy articolo 35 GDPR , la valutazione di impatto dell'AI sui diritti fondamentali integra la valutazione d'impatto sulla protezione dei dati. La FRIA e la DPIA sono, quindi, due strumenti che si pongono il medesimo obiettivo valutare i rischi e decidere le possibili mitigazioni di tali rischi. Tali strumenti presentano alcune differenze. L'esecuzione di una DPIA è richiesta solo quando vengono trattati dati personali e tale trattamento presenta un alto rischio articolo 35 par. 1 . La FRIA, invece, deve essere posta in essere dal deployer in tutti i casi in cui utilizza un sistema di AI indipendentemente dalla natura del dato, personale o non personale - articolo 27 AI ACT . Inoltre la DPIA ha come obiettivo quello considerare solo i rischi per la privacy e i dati personali articolo 7 e articolo 8 del Codice , mentre la FRIA ha un ambito di indagine più ampio perché deve verificare tutte le tipologie di rischi che possono impattare sulla persona fisica nell'utilizzo del sistema di AI. Quindi il deployer che utilizza sistemi di AI deve sempre effettuare la FRIA e magari può utilizzare la DPIA collegata al software per l'analisi dei rischi e degli impatti in relazione alla protezione dei dati . L'utilizzatore di un software dovrà fare la DPIA solo se il trattamento è ad alto rischio, mentre non dovrà svolgere la FRIA se il software/apparecchio che sta utilizzando non rientra nella nozione di AI. Nel testo dell'AI Act, i riferimenti al GDPR sono molteplici se ne contano 29 , in particolare in relazione ad adempimenti connessi agli obblighi di trasparenza e agli assessment previsti. Ad esempio, ai sensi dell'articolo 27, paragrafo 4, della legge sull'AI, la valutazione d'impatto sui diritti fondamentali può integrare la valutazione d'impatto sulla protezione dei dati ove già presente . L'AI Act richiama e conferma la validità ed efficacia delle norme in materia di privacy e protezione dei dati così è per il Regolamento UE 2016/679 GDPR e per le direttive UE 2016/680 protezione dati nel settore penale e numero 2002/58/CE settore delle comunicazioni tali norme, secondo il considerando numero 10 all'AI Act, costituiscono la base per un trattamento sostenibile e responsabile dei dati. Al riguardo l'AI Act dichiara di non voler pregiudicare l'applicazione della disciplina sul trattamento dei dati personali, inclusi i compiti e i poteri del Garante della privacy. Alla formulazione di principio segue l'articolo 2 par. 7 dell'AI Act in base al quale il diritto dell'Unione in materia di protezione dei dati personali, della vita privata e della riservatezza delle comunicazioni si applica ai dati personali trattati in relazione ai diritti e agli obblighi stabiliti dal Regolamento sull'intelligenza artificiale. L'articolo espressamente dichiara che sono fatti salvi i regolamenti UE 2016/679 e UE 2018/1725 trattamento dati da parte delle istituzioni UE e le direttive 2002/58/CE e UE 2016/680, con due eccezioni. La prima deroga articolo 10 riguarda i trattamenti effettuati con lo scopo di eliminare distorsioni risultati sbagliati o idonei a trarre in inganno la seconda eccezione riguarda le sperimentazioni per interesse pubblico articolo 59 . Conformità dei sistemi e trasparenza dei fornitori L'AI Act, in riferimento ai fornitori di sistemi di AI ad alto rischio, indica che questi devono compilare una dichiarazione scritta leggibile meccanicamente, firmata a mano o elettronicamente, di conformità UE per ciascun sistema di AI ad alto rischio e devono tenerla a disposizione delle autorità nazionali competenti per dieci anni dalla data in cui il sistema di AI ad alto rischio è stato immesso sul mercato o messo in servizio. L'allegato V all'AI Act specifica il contenuto della dichiarazione di conformità UE. Tra le altre informazioni, la dichiarazione deve attestare, nel caso in cui un sistema di AI comporti il trattamento di dati personali, che tale sistema di AI è conforme ai regolamenti UE 2016/679 - GDPR e UE 2018/1725 trattamenti di dati da parte delle istituzioni UE e alla direttiva UE 2016/680 trattamento dati nel settore della giustizia penale . Tra i requisiti per i sistemi di AI ad alto rischio, l'articolo 10 dell'AI Act si occupa dei dati e della loro gestione. Come evidenzia il considerando numero 67 all'AI Act i dati di alta qualità svolgono un ruolo essenziale per i sistemi di AI. I blocchi di dati set usati per l'addestramento dei sistemi, inoltre, devono essere pertinenti, possedere le proprietà statistiche appropriate e, nella misura del possibile, esenti da errori e completi. Particolare cura deve essere dedicata ad attenuare possibili distorsioni nei set di dati, suscettibili di incidere sulla salute e sulla sicurezza delle persone, di avere un impatto negativo sui diritti fondamentali o di comportare discriminazioni. Il pericolo è molto alto considerato l'effetto “loop” e cioè il fatto che gli output di dati influenzano gli imput per operazioni future. Le distorsioni, peraltro, possono essere intrinseche ai set di dati di base, specie se si utilizzano dati storici, o generate quando i sistemi sono attuati in contesti reali. Alcune precauzioni dell'AI Act riguardano, proprio, il rischio di distorsioni risultati sbagliati o tali da indurre in errore . Se necessario per il rilevamento e la correzione delle distorsioni, i fornitori di sistemi ad alto rischio, dunque, possono eccezionalmente trattare categorie particolari di dati personali dati sensibili, biometrici, genetici pur richiamando la necessità di assicurare tutele adeguate per i diritti e le libertà fondamentali delle persone fisiche. Allo scopo di gestire le distorsioni l'articolo 10 detta una serie di adempimenti. A tal proposito va sottolineato che le precauzioni dettate dall'AI Act si sommano a quelle previste dal GDPR, dalla direttiva europea 2016/680 e dal Regolamento europeo 2018/1725. Il Regolamento sull'AI dettaglia e specifica gli adempimenti privacy e integra anche la disciplina dei registri delle attività di trattamento, nei quali bisogna spiegare i motivi per cui il trattamento delle categorie particolari di dati personali era necessario per rilevare e correggere distorsioni e i motivi per cui tale obiettivo non poteva essere raggiunto mediante il trattamento di altri dati. L'articolo 50 dell'AI Act prevede obblighi di trasparenza per i fornitori e gli utenti di determinati sistemi di AI. In particolare, gli utilizzatori di un sistema di riconoscimento delle emozioni o di un sistema di categorizzazione biometrica devono informare le persone fisiche che vi sono esposte in merito al funzionamento del sistema e devono trattare i dati personali in conformità al GDPR e alle altre norme sulla protezione dei dati. Tale obbligo non si applica ai sistemi di AI utilizzati per la categorizzazione biometrica e il riconoscimento delle emozioni autorizzati dalla legge per accertare, prevenire o indagare reati, fatte salve le tutele adeguate per i diritti e le libertà dei terzi, e conformemente al diritto dell'Unione. Anche il GDPR incentra le attività di trattamento sul concetto di trasparenza nei confronti del soggetto interessato. Tali informazioni devono essere trattate in modo lecito, corretto e trasparente nei suoi confronti oltre che raccolte per finalità determinate, esplicite e legittime. Il titolare del trattamento è competente per il rispetto di quanto fornito in termini di trasparenza mediante la propria informativa la quale deve essere concisa, trasparente e facilmente accessibile. Le attività svolte sui trattamenti di dati personali e le scelte effettuate da parte del Titolare come ad esempio il modello organizzativo data protection, i fornitori con cui il titolare ha firmato un contratto avente ad oggetto un trattamento di dati personali, il registro dei trattamenti, le valutazioni di impatto sui trattamenti ad alto rischio ecc. devono essere, dallo stesso, documentate e rendicontate accountability in caso di ispezioni, audit o controlli da parte dell'Autorità Garante per la privacy.