Il Garante della Privacy mette i puntini sulle “i”. Nonostante l’OK sullo schema di disegno di legge governativo sull’AI, l’Autorità ha chiesto al Governo italiano guidato da Giorgia Meloni alcune integrazioni su privacy nazionale ed europea, dati sintetici o anonimi, age verification e Autorità competente per i sistemi di AI.
Le richieste
Le integrazioni e correzioni chieste dal Garante sono tre. La prima è l’introduzione di un nuovo articolo per precisare che i trattamenti di dati personali effettuati attraverso i sistemi di Intelligenza Artificiale devono rispettare la normativa privacy nazionale ed europea. Nel caso di utilizzo di sistemi di Intelligenza Artificiale in ambito sanitario ad alto rischio, serve indicare particolari limitazioni per l’utilizzo dei dati (conservazione, divieto di trasmissione, trasferimento o comunicazione) e la preferenza per l’uso di dati sintetici o anonimi. Inoltre, il testo dovrà essere integrato con uno specifico riferimento a sistemi adeguati di verifica dell’età (cosiddetto “age verification”) in grado di garantire limitazioni o divieti all’uso dei sistemi di AI da parte dei minori. Infine, il Garante si candida quale Autorità competente per i sistemi di Intelligenza Artificiale ad alto rischio utilizzati ad esempio per le attività di law enforcement, identificazione biometrica remota, riconoscimento delle emozioni, gestione delle frontiere, amministrazione della giustizia e processi democratici.
Ddl AI: l’approccio antropocentrico in ambito sanitario
In concomitanza con l’adozione dell’AI Act da parte del Parlamento europeo, ad aprile il Consiglio dei ministri ha deliberato un disegno di legge che disciplina l’uso dell’Intelligenza Artificiale nei settori demandati dal Regolamento all’autonomia normativa degli Stati Membri. L’iter di approvazione ha preso avvio con la presentazione del disegno di legge al Senato il 20 maggio scorso. L’obiettivo è promuovere “un utilizzo corretto, trasparente e responsabile, in una dimensione antropocentrica, dell’Intelligenza Artificiale, volto a coglierne le opportunità” e migliorare le condizioni di vita dei cittadini e la coesione sociale. In ambito sanitario il testo applica l’approccio antropocentrico disponendo che l’utilizzo dell’AI “deve contribuire al miglioramento dei processi di diagnosi e cura in funzione di supporto, rimanendo impregiudicata la spettanza della decisione al professionista; non può determinare criteri discriminatori di accesso alle prestazioni sanitarie; deve contribuire al miglioramento della vita e al processo di inclusione sociale delle persone con disabilità”.
Lisi (Anorc Professioni): «Normativa su AI piuttosto generica in alcuni punti»
«Partiamo da una premessa, il parere dell’Autorità Garante per la protezione dei dati personali sullo schema di disegno di legge recante disposizioni e deleghe in materia di Intelligenza Artificiale è senz’altro opportuno, equilibrato e di buon senso», dice Andrea Lisi, avvocato e professore nel diploma universitario di Alta Specializzazione in Etica e intelligenza artificiale alla Pontificia Università Antonianum. Secondo il Presidente di Anorc Professioni, l’Associazione nazionale operatori e responsabili della custodia di contenuti digitali, il testo del Ddl sull’AI proposto dal governo italiano è una normativa complessivamente di indirizzo, piuttosto generica in alcuni punti, ricca di principi generali che erano comunque ricavabili da altre normative presenti nel nostro ordinamento. «In ogni caso – ha aggiunto – il governo ha prudentemente deciso di intervenire su una materia molto delicata e di cui in quest’ultimo periodo si sta discutendo moltissimo (a volte in modo esagerato) e, quindi, un intervento normativo di questo tipo, di coordinamento sistematico e di indirizzo interpretativo può risultare opportuno, o quanto meno non dannoso». L’esperto si sofferma su alcuni aspetti. «I rilievi del Garante su trasparenza informativa, esigenze di più chiaro coordinamento sistematico tra norme (come nel caso del consenso dei minori di età) e sul ruolo essenziale in materia che deve essere garantito alla stessa Authority, risultano di grande autorevolezza e vanno senz’altro tenuti in massima considerazione». Ma risulta forse superfluo, secondo Lisi, il suggerimento di prevedere nel testo normativo un articolo specifico e ad applicazione trasversale che prevede un vincolo generale di conformità dei trattamenti alla disciplina in materia di protezione dei dati personali. «Ma, considerati i tempi, se ne può comprendere lo spirito».
«Un utilizzo non accorto dei dati sintetici nei sistemi di AI, proprio in ambito sanitario, può causarne una sorta di collasso»
In ambito strettamente sanitario, per il Garante è indispensabile integrare l’articolo 7 del Ddl richiamando “i requisiti previsti dall’articolo 10 dell’AI Act per i sistemi di AI considerati ad alto rischio, con specifico riferimento al trattamento dei dati particolari di cui all’articolo 9 del Regolamento, in particolare prevedendo che sia preferito l’uso di dati sintetici o anonimi e siano indicate particolari limitazioni per l’utilizzo di dati sanitari (divieto di trasmissione, trasferimento o comunicazione), nonché la limitazione della conservazione”. «Il richiamo dell’Autorità Garante ai dati sintetici è senz’altro più che opportuno, se consideriamo gli specifici rischi insiti nell’utilizzo di dati personali di questa natura, ma allo stesso tempo – spiega l’esperto – va anche considerato che ci si sta occupando di un settore dove alla base del trattamento del dato vi è (e deve essere) da una parte la ricerca in materia di salute e dall’altra la cura del paziente, le quali nella nostra Costituzione vanno considerate espressione diretta dell’articolo 32 e, quindi, del diritto fondamentale della salute». Lisi precisa che un utilizzo non accorto dei dati sintetici nei sistemi di IA, proprio in ambito sanitario, se da una parte può tutelare i nostri dati personali, dall’altra può causarne una sorta di collasso, cioè, decretarne la possibile degenerazione e la perdita di utilità nel tempo. «I sistemi di AI hanno bisogno senz’altro di regole, ma credo che queste ormai siano solidamente presenti nel nostro ordinamento. Ciò che sembra mancare – conclude – è invece il buon senso nell’applicare principi generali e peculiari regole in materia. E il buon senso si può ricavare solo attraverso un approfondito studio e una formazione specifica in ambiti così delicati».
Il Garante della Privacy ha dato il suo placet al disegno di legge e detta le condizioni su privacy nazionale ed europea, dati sintetici o anonimi ed age verification. Non solo. Chiede di essere indicato come Autorità competente per i sistemi di Intelligenza Artificiale ad alto rischio utilizzati ad esempio per le attività di law enforcement, identificazione biometrica remota, riconoscimento delle emozioni, gestione delle frontiere, amministrazione della giustizia e processi democratici.