Il 2023 è stato un anno ricco di importanti novità, dal punto di vista della produzione normativa e non solo.
Le novità hanno generato un forte impatto sulla disciplina in materia di protezione dei dati personali e il 2024 si prospetta un anno altrettanto denso di sfide per la tutela dei diritti e delle libertà degli individui, soprattutto alla luce dell’inarrestabile evoluzione tecnologica caratterizzata, in primo luogo, dallo sviluppo di strumenti basati sull’Intelligenza Artificiale e dai sempre più diffusi dispositivi interconnessi.
Il nuovo accordo sul testo dell’AI Act
Il recente accordo sul testo del Regolamento Ue sull’Intelligenza Artificiale (AI Act) rappresenta un importante passo avanti verso la regolamentazione dell’utilizzo di detta tecnologia. Di seguito, si propone una breve panoramica dei principali punti dell’accordo provvisorio come emerso dalle FAQ pubblicate dalla Commissione UE a seguito dei negoziati del Trilogo tra il 6 e l’8 dicembre scorsi.
IA e violazione dedi diritti fondamentali
In primo luogo, il nuovo accordo vieta i sistemi di IA che possano causare gravi violazioni dei diritti fondamentali o altri rischi significativi. Invece, non sono sottoposti a divieto i sistemi di IA che presentino un rischio limitato, purché gli stessi siano sottoposti ad obblighi di trasparenza come, ad esempio, rendere noto che un contenuto è stato generato da Intelligenza Artificiale. In tal modo si permetterebbe agli utenti di prendere decisioni più consapevoli e informate.
Sono ammessi diversi sistemi di IA ad alto rischio, purché soggetti a una serie di requisiti e obblighi per ottenere accesso al mercato dell’Unione. In proposito, è fondamentale rammentare che l’accordo avrebbe accolto le istanze del Parlamento Europeo di introdurre una valutazione d’impatto sui diritti fondamentali prima che un sistema di IA ad alto rischio sia immesso sul mercato.
I divieti assoluti di usi dell’IA
Sussistono, tuttavia, divieti assoluti per situazioni in cui il rischio dell’uso di strumenti di IA sia considerato inaccettabile. Ad esempio, la manipolazione comportamentale cognitiva; lo scraping non mirato delle immagini facciali da Internet o da filmati di telecamere a circuito chiuso; il riconoscimento delle emozioni sul luogo di lavoro e negli istituti di istruzione; l’attribuzione di un punteggio sociale (credit scoring); la categorizzazione biometrica per dedurre dati sensibili, quali l’orientamento sessuale o le convinzioni religiose; alcuni casi di polizia predittiva per gli individui.
L’uso di sistemi di identificazione biometrica
Molto importante ricordare che per l’uso di sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico, l’accordo stabiliscela possibilità di utilizzare tali sistemi per finalità di contrasto, in via del tutto eccezionale e limitatamente a specifiche situazioni, come in caso di vittime di determinati reati, prevenzione di minacce reali, presenti o prevedibili (attacchi terroristici) e in caso di ricerca di individui sospettati dei reati più gravi.
Sanzioni e reclami
Per quanto riguarda le sanzioni, l’accordo provvisorio prevede massimali più proporzionati per le sanzioni amministrative pecuniarie per le PMI e le start-up in caso di violazione delle disposizioni del Regolamento.
Infine, si prevede che una persona fisica o giuridica possa presentare un reclamo alla pertinente autorità di vigilanza del mercato riguardo alla non conformità con il regolamento sull’IA, potendosi aspettare che tale reclamo sia trattato in linea con le procedure specifiche di tale autorità[1].
Tuttavia, è bene ricordare che si attende ancora il testo definito dell’AI Act, il quale è tutt’ora al vaglio del legislatore europeo. È in programma la sottoposizione del testo di compromesso ai rappresentanti degli Stati membri (Coreper) per approvazione, una volta conclusi i lavori.
Le sfide nella costruzione del Digital Single Market
Il 2024 si annuncia come l’anno in cui l’intensa attività regolatoria delle istituzioni europee degli scorsi anni verrà messa alla prova: il 17 febbraio, infatti, acquisterà efficacia anche il Digital Service Act (DSA) che prevede una serie di tutele per gli utenti delle piattaforme contro i contenuti illegali, nonché una serie di obblighi di trasparenza e non discriminazione per coloro che offrono i loro servizi attraverso le grandi piattaforme online e i marketplace.
Digital Markets Act e Data Act
La normativa si affianca al Digital Market Act (DMA) che avrà il compito di presidiare gli aspetti concorrenziali del mercato delle piattaforme digitali, efficace dal 2 maggio 2023, che ha visto la Commissione impegnata nell’individuazione dei gatekeepers destinatari degli obblighi previsti dal regolamento.
Il mercato digitale unico, però, ci porterà sempre più di frequente a parlare non solo di dati personali ma anche di dati non personali, proprio perché nel 2024 potrebbero iniziare a vedersi sul mercato i primi effetti del Data Governance Act, divenuto efficace il 24 settembre 2023, che mira a favorire il riuso e la condivisione dei dati delle pubbliche amministrazioni e delle organizzazioni private attraverso i servizi di intermediazione di dati (il regolamento fa riferimento non solo ai dati personali ma anche a informazioni altrimenti protette come dati finanziari o coperte dal diritto d’autore), le cooperative dei dati e favorire altresì l’altruismo dei dati.
Tuttavia, il Data Governance Act potrebbe avere uno slancio significativo con la pubblicazione in via definitiva del Data Act. Lo scorso 22 dicembre 2023, infatti, è stato pubblicato nel Bollettino Ufficiale dell’Unione Europea il Data Act che entrerà in vigore l’11 gennaio 2024 e si applicherà a decorrere dal 12 settembre 2025; quindi, ragionevolmente per vedere i suoi effetti occorrerà attendere ancora un altro anno.
In generale, il Data Act impone ai fabbricanti e ai fornitori di servizi l’obbligo di consentire ai loro utenti, siano essi imprese o privati, di accedere ai dati generati dall’uso dei loro prodotti o servizi e di riutilizzarli. Il Data Act permette, inoltre, agli utenti di condividere tali dati con terzi (ad esempio, i proprietari di automobili potrebbero scegliere in futuro di condividere determinati dati del veicolo con un meccanico o con la loro compagnia di assicurazione). L’approccio del Data Act è sicuramente innovativo, poiché con tale legge si darà vita a un sistema che permetterà di accedere a una quantità enorme di dati di alta qualità. Inoltre, verrà regolamentato l’uso dei dati generati dall’Internet of Things (IoT), ossia dai dispositivi interconnessi, in un’ottica di chiarire i diritti degli utenti che ne fanno uso. Il Data Act prevede, poi, un rafforzamento del diritto alla portabilità dei dati previsto dal GDPR all’art. 20, dedicato ai dati personali, facilitando il trasferimento di dati da e verso i fornitori di servizi, per i dati non personali.
L’approccio innovativo del Data Act ai dati interconnessi
Il Data Act rappresenterà, quindi, un punto fondamentale per regolamentare l’uso dei sempre più diffusi strumenti interconnessi, rappresentando un punto di svolta nell’odierno panorama digitale. In particolare, insieme al Data Governance Act potrà rappresentare la chiave per lo sviluppo di nuovi servizi nell’ambito delle smart cities con un particolare sguardo a iniziative volte a favorire la sostenibilità ambientale, la mobilità integrata e la ricerca scientifica.
Il Regolamento sullo Spazio Europeo dei dati sanitari
Su tale ultimo punto, lo slancio verso la condivisione e il riutilizzo dei dati all’interno dell’Unione Europea acquisterà maggiore vigore con l’adozione in via definitiva del Regolamento sullo Spazio Europeo dei dati sanitari. L’obiettivo del Regolamento è di garantire la libera circolazione dei dati di salute all’interno del territorio dell’Unione sia in relazione all’utilizzo primario dei dati da parte dei medici per le finalità di cura dei pazienti sia in relazione all’uso secondario dei dati per le finalità di ricerca scientifica, innovazione, elaborazione delle politiche in materia di salute e delle normative.
Come noto, l’utilizzo secondario dei dati di salute presenta una serie di criticità, soprattutto in Italia, in conseguenza delle stringenti condizioni previste dal legislatore agli articoli 110 e 110 bis Codice privacy sulla base delle deleghe agli stati membri contenute nel GDPR.
A tale condizione normativa si affianca un’interpretazione restrittiva da parte delle Autorità di controllo europee della nozione di anonimizzazione. Su quest’ultimo aspetto, il 2024 potrebbe portare delle novità da parte della Corte di Giustizia dell’Unione Europea in relazione al c.d. caso Deloitte nel quale il Tribunale dell’Unione Europea ha accolto la tesi dell’anonimizzazione relativa, riconoscendo che un dato personale può essere considerato anonimo laddove il ricevente non abbia l’accesso alle informazioni necessarie per reidentificare gli interessati. L’accoglimento di tale ricostruzione da parte della Corte di Giustizia potrebbe dare uno slancio all’utilizzo e la circolazione dei dati per finalità di ricerca scientifica.
L’iniziativa del Garante privacy: Privacy Tour 2024
Nell’ambito della lotta contro il digital divide, fenomeno che rappresenta uno dei più grossi problemi del nostro paese e mette in luce il divario digitale che si riscontra perlopiù nei piccoli centri urbani, è molto interessante menzionare una nuova iniziativa dell’Autorità Garante per la protezione dei dati personali, intitolata Privacy Tour 2024, la quale mira ad organizzare, nel corso dell’anno, eventi divulgativi e gratuiti all’interno di piccoli centri urbani e non solo, con l’obiettivo di accrescere e sviluppare una forte consapevolezza nel valore dei dati, educare al corretto uso degli strumenti digitali, formare sull’importanza della privacy e della protezione dei dati personali, anche in un’ottica di progressiva eliminazione del divario digitale che, purtroppo, ancora sussiste nel nostro paese.
Contrastare il digital competence divide
Sussiste, tuttavia, anche la necessità di contrastare un fenomeno legato al primo, seppure interconnesso al primo, ossia il digital competence divide. Si tratta del pericoloso divario di competenze tra i professionisti digitali e, in tale contesto, va considerata la necessità di un’evoluzione che sia improntata all’acquisizione di competenze più coerenti e specifiche. Si pensi, ad esempio, al settore dell’Intelligenza Artificiale, il quale, data la sua complessità, necessita di professionisti competenti e adeguatamente informati.
Solo eliminando questo divario e canalizzando le diverse competenze si potrà disporre di professionisti che sappiano fare la differenza nel complesso panorama normativo del digitale. Tale necessità diventerà sempre più stringente con l’entrata in vigore da gennaio del nuovo Codice degli Appalti pubblici che, come noto, incentiva l’adozione di soluzioni altamente innovative come la blockchain e l’Intelligenza Artificiale nei procedimenti ad evidenza pubblica obbligando le stazioni appaltanti e le imprese partecipanti alle gare a confrontarsi con tali innovazioni.
Conclusioni
Alla luce di quanto sopra esposto, si constata come sia estremamente difficile trovare un equilibrio all’interno di un panorama digitale caratterizzato da normative sempre più complesse e stratificate. Per questo motivo è importante la presenza di figure altamente specializzate, in grado di risolvere le questioni più complesse e spinose. Di contro, è fondamentale disporre di normative chiare e complete, che vadano non solo a disciplinare adeguatamente l’utilizzo degli strumenti del digitale, ma che siano estremamente attente alla protezione dei diritti e delle libertà fondamentali degli individui.
Note
[1] Commissione europea, Regolamento sull’intelligenza artificiale: il Consiglio e il Parlamento raggiungono un accordo sulle prime regole per l’IA al mondo, Comunicato stampa, disponibile al seguente link.