l’analisi

La privacy nell’AI Act e nel DDL italiano sull’intelligenza artificiale: perché è un tema ineludibile

Home Sicurezza digitale Privacy
Indirizzo copiato

L’AI Act, prossimo alla pubblicazione in Gazzetta Ufficiale, rappresenta il primo regolamento mondiale per l’IA, con un focus importante sulla privacy. Classifica i sistemi IA per rischio e impone valutazioni d’impatto sui diritti fondamentali, garantendo trasparenza, etica e sicurezza nell’uso dei dati personali

Pubblicato il 4 lug 2024
Floriana Capone

Avvocato dell’Ecommerce e Fondatrice di Ecommerce Legale

Vittorio Iaselli

avvocato presso Ecommerce Legale

privacy

Il Regolamento europeo sull’intelligenza artificiale (AI Act) è ormai prossimo alla pubblicazione in Gazzetta Ufficiale. Si tratta del primo atto normativo mondiale a regolare i sistemi di intelligenza artificiale. Nei suoi dettami, la privacy svolge un ruolo di primaria importanza in rapporto con l’AI. Questo perché i sistemi di intelligenza artificiale si nutrono di dati e di informazioni che costituiscono il dataset su cui possono contare per portare a termine i compiti che gli sono demandati. Tra i vari dati, ci sono anche i dati personali, cioè quelli relativi alle persone in particolare i dati identificativi oppure biometrici, cioè dati che riguardano aspetti fisici delle persone.

AI Act, si apre la partita Governance: Garante Privacy in campo (ma non solo)

Dunque, era inevitabile che l’Unione europea affrontasse il tema della privacy anche nella legge sull’intelligenza artificiale, cercando di armonizzare le nuove norme sull’AI con il Regolamento generale sulla protezione dei dati (GDPR). Tematica, per altro, al centro del disegno di legge sull’intelligenza artificiale (DDL sull’intelligenza artificiale) già approvato dal Consiglio dei Ministri italiano, su proposta del Presidente Giorgia Meloni e del Ministro della Giustizia Carlo Nordio.

Perché il tema della privacy è centrale nell’AI Act

Per quale motivo il tema della privacy risulta centrale nell’AI act e nella normativa sull’intelligenza artificiale?

Fin dal momento in cui è iniziato lo sviluppo dell’intelligenza artificiale, è sempre stato chiaro ed evidente che ci sarebbe stato un contrasto tra questa nuova tecnologia e la protezione dei dati personali.

Infatti, un aspetto particolarmente problematico nello studio dell’intelligenza artificiale è il procedimento che viene usato nella creazione dei sistemi IA: l’intelligenza artificiale elabora le risposte a partire dai dati che gli vengono forniti dal produttore; ma siamo sicuri che venga rispettata la normativa privacy nel trattamento di questi dati?

L’elemento che distingue l’AI dai cosiddetti sistemi domanda-risposta è il fatto che, mentre questi ultimi sono immediatamente pronti ad eseguire la loro funzione (l’esempio classico che viene fatto è quello della calcolatrice), l’IA nasce “stupida” e affinché sia in grado di elaborare risposte testuali o grafiche statisticamente corrette, deve essere addestrata su una grande quantità di dati e informazioni: i “training data”. Questi possono comprendere qualsiasi tipo di informazione, dalle opere scritte, alle immagini, fino ai dati personali.

Da un lato, questo rappresenta un vantaggio perché porta un continuo miglioramento nelle prestazioni dei sistemi. Però, dall’altro, siamo di fronte a una delle più sentite criticità dell’intelligenza artificiale: i training data non vengono rivelati dal proprietario dell’intelligenza artificiale e questo causa frizioni legali in una moltitudine di ambiti, dal diritto d’autore alla protezione dei dati personali.

Per tale motivo, il Regolamento europeo sull’intelligenza artificiale (AI Act) e il GDPR si devono intersecare e implementare a vicenda per garantire la protezione dei dati personali nell’uso e nello sviluppo dei sistemi di IA. Ciò è ancora più necessario quando il trattamento dei dati personali per mezzo dei sistemi di IA può avere un impatto significativo sui diritti e le libertà delle persone.

Verso l’approvazione dell’AI Act, il Regolamento europeo sull’intelligenza artificiale

Entro l’estate dovrebbe essere pubblicato in Gazzetta Ufficiale europea l’AI Act, già approvato dal Parlamento Europeo e dal Consiglio dell’Unione Europea. Il Regolamento europeo sull’intelligenza artificiale nasce per disciplinare lo sviluppo e l’utilizzo degli strumenti di intelligenza artificiale, compresi quelli che coinvolgono un trattamento dei dati personali.

Si tratta del primo regolamento al mondo scritto con lo scopo di fornire un quadro normativo sull’uso dell’intelligenza artificiale. E, probabilmente, si porrà come un pilastro anche a livello mondiale.
L’AI Act, in particolare, stabilisce le basi affinché l’intelligenza artificiale venga sviluppata e utilizzata nel rispetto dei diritti fondamentali dell’individuo. I sistemi di AI, quindi, dovranno garantire etica, trasparenza e, soprattutto, sicurezza per i diritti della società europea. Tra questi, anche il diritto alla protezione dei dati personali, ribadito dal Regolamento sull’Intelligenza artificiale che, pur non occupandosi nello specifico di privacy, rimanda espressamente al GDPR il compito di regolare il trattamento dei dati personali svolto attraverso l’uso di sistemi di AI.

Il testo dell’AI Act approvato anche dal Consiglio – e già disponibile al momento – ha un approccio basato sul rischio derivante dall’utilizzo dei dati da parte dell’intelligenza artificiale. Infatti, secondo la Commissione Europea “sebbene la maggior parte dei sistemi di IA non presenti rischi e possa contribuire a risolvere molte sfide sociali, alcuni sistemi di IA creano rischi che dobbiamo affrontare per evitare risultati indesiderati”.

La classificazione dei rischi

Nello specifico, sono individuate quattro categorie di sistemi sulla base del rischio:

  • sistemi a rischio inaccettabile, pertanto vietati;
  • sistemi ad alto rischio;
  • sistemi a basso rischio;
  • sistemi a rischio minimo.

Con questa classificazione vengono stabiliti i limiti per sviluppatori e utilizzatori e vengono definiti i modelli con un rischio troppo alto per essere autorizzati. Il Titolo II della nuova normativa vieta le “pratiche che presentano un elevato potenziale in termini di manipolazione delle persone attraverso tecniche subliminali, senza che tali persone ne siano consapevoli, oppure di sfruttamento delle vulnerabilità di specifici gruppi vulnerabili”, nonché le pratiche relative alla profilazione, l’attribuzione di un punteggio sociale basato sull’IA per finalità generali da parte della pubblica autorità, il ricorso a sistemi di identificazione biometrica remota “in tempo reale“, i sistemi di social scoring, il riconoscimento delle emozioni a scuola o sul posto di lavoro per valutare il pericolo che una persona commetta un reato.

Ma sono diversi i punti relativi alla privacy che vengono affrontati nell’AI Act.

Privacy: AI act e GDPR

Il legame tra privacy e GDPR viene introdotto dalla raccomandazione sull’intelligenza artificiale dell’OCSE (OECD Recommendation of the Council on Artificial Intelligence, “OECD AI Principles”) in cui vengono stabiliti i principi che rendono un sistema di IA affidabile e in linea con il GDPR (crescita inclusiva, sostenibilità e benessere, valori incentrati sulla persona, equità, trasparenza, spiegabilità, robustezza, sicurezza e responsabilità) e dai principi etici individuati dal gruppo di esperti sull’intelligenza artificiale HLEG.

Inoltre, nel considerando 27 della legge UE sull’intelligenza artificiale è stabilito: “È opportuno limitare i sistemi di IA identificati come ad alto rischio a quelli che hanno un impatto nocivo significativo sulla salute, la sicurezza e i diritti fondamentali delle persone nell’Unione, e tale limitazione riduce al minimo eventuali potenziali restrizioni al commercio internazionale”. Con il successivo considerando, poi, vengono enunciati i principi sulla sicurezza in situazioni complesse, supervisione, solidità e sicurezza tecnica, privacy e governance dei dati, il rispetto della vita privata e della vita familiare, la protezione dei dati personali, la libertà di espressione e d’informazione, la protezione dei consumatori, i diritti dei lavoratori, il diritto alla salute e alla sicurezza delle persone, il diritto fondamentale a un livello elevato di protezione dell’ambiente.


L’applicazione di questi principi, che in parte accomunano il GDPR e la legge sull’intelligenza artificiale, emerge da diversi articoli dell’AI Act, in cui vengono regolati:

  • Trattamento automatizzato dei dati;
  • Consenso;
  • Valutazione d’impatto sui diritti fondamentali (FRIA);
  • Regime di responsabilità per danno causato da intelligenza artificiale.

Infatti, sebbene l’AI Act non si occupi specificamente di privacy e trattamento dei dati personali, rimandando al GDPR, è possibile individuare alcune similitudini esaminando il suo contenuto in relazione al GDPR.

Privacy e AI: basi giuridiche e diritti dell’interessato nel trattamento dei dati con l’intelligenza artificiale

Entrando nel vivo del rapporto privacy/intelligenza artificiale, non si può prescindere dalla disamina delle basi giuridiche e dei diritti dell’interessato nel trattamento dei dati con strumenti di AI.

Uno dei punti di riferimento essenziali è certamente l’articolo 22 del GDPR che riguarda il processo decisionale automatizzato. Si tratta della tipologia di trattamento dei dati personali svolto dai sistemi di intelligenza artificiale chiamati ad assumere decisioni partendo dall’analisi di aspetti relativi alle persone. In presenza di tali trattamenti, il Considerando 10 dell’AI ACT fa salvi i diritti connessi e riconosciuti dal GDPR.

In particolare, l’art. 22 del GDPR sancisce il diritto dell’interessato a non essere soggetto ad un decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, quando ciò può produrre effetti giuridici sulla sua persona. Questo significa che, nel momento in cui il trattamento può produrre delle conseguenze non trascurabili sulla vita dell’interessato, quest’ultimo ha il diritto di richiedere l’intervento umano e ottenere che i suoi dati non vengano trattati in modo esclusivamente automatizzato.

Cosa si intende per trattamento dei dati che può produrre effetti giuridici

Ma cosa si intende per trattamento dei dati che può produrre effetti giuridici?

Per comprendere il concetto, proviamo a fare degli esempi: il trattamento automatizzato effettuato da un chatbot che propone all’utente determinati prodotti piuttosto che altri, basandosi sulle preferenze da questo espresse, non è un trattamento capace di produrre effetti giuridici sulla vita dell’interessato. Al contrario, un trattamento che senz’altro incide sulla vita dell’interessato è quello che, analizzando il profilo creditizio di un soggetto richiedente un prestito, decide se questo merita o meno di avere accesso ad una linea di credito.

Considerato l’impatto di questo tipo di trattamento, il GDPR riconosce all’interessato il diritto di ottenere una revisione del giudizio assunto dal sistema di IA, mediante un intervento umano. Nello specifico, l’interessato può contestare la decisione algoritmica chiedendo l’intervento del titolare del trattamento, chiamato a verificare in maniera critica la correttezza della decisione assunta dal sistema.

Inoltre, secondo quanto stabilito dal Considerando 71 del GDPR, il titolare del trattamento deve attuare quelle misure necessarie ad attenuare i rischi per l’interessato e a garantire i suoi diritti, compreso quello di ricevere informazioni che gli permettano di comprendere la logica del trattamento e le conseguenze che derivano dalla profilazione (Considerando 61), ovvero a comprendere il procedimento svolto dal sistema.

Consenso e IA: cosa prevede il GDPR e quali sono le criticità del consenso come base giuridica

Come abbiamo avuto modo di approfondire, l’art. 22 del GDPR sancisce essenzialmente un divieto di decisioni basate unicamente sul trattamento automatizzato. Tuttavia, il secondo comma dello stesso art. 22 stabilisce dei limiti a questo divieto, definendo i casi in cui, al contrario, ciò può avvenire.

Sono i casi in cui la decisione è necessaria alla conclusione di un contratto tra il titolare e l’interessato; oppure il caso in cui sia la stessa legge, europea o nazionale, a prevedere e autorizzare tale decisione; infine, la decisione può basarsi unicamente sul trattamento automatizzato, quando c’è il consenso esplicito dell’interessato.

In merito al «consenso dell’interessato» si pongono non pochi dubbi circa la sua valida raccolta, se si considera la natura e il funzionamento di questi elementi: consenso e intelligenza artificiale. In particolare, il consenso, secondo la definizione e i caratteri attribuitigli da GDPR, è qualsiasi manifestazione di volontà esplicita, attiva, basata su una completa informazione circa le finalità, le modalità, i tempi di trattamento. Ed è proprio qui che emerge una delle criticità relative al rapporto consenso/sistemi di intelligenza artificiale: come è possibile applicare la disciplina del consenso ai sistemi di intelligenza artificiale nella fase di “l’istruzione” dell’IA? E come può dirsi raccolto il consenso nei casi di web scraping in cui sostanzialmente c’è una pesca a strascico di informazioni sul web, compresi i dati personali. Sul tema web scraping e dati personali è interessante leggere l’ultimo provvedimento del Garante Privacy.

Proprio durante il training, infatti, vengono sfruttati dati di diversi tipi, compresi i dati personali. E quasi mai nella fase di training viene garantito un livello di conoscibilità delle modalità di trattamento, capace di soddisfare il requisito del consenso pienamente informato e, di conseguenza, di garantire la validità del consenso stesso.

Al contrario, la normativa privacy chiede anche al soggetto che utilizza l’intelligenza artificiale nel trattamento automatizzato un consenso granulare. Ciò significa che deve essere garantita all’utente la possibilità di scegliere per quali finalità intende dare il consenso. Quindi, ad esempio, potrà accettare di ricevere pubblicità ma rifiutare che i suoi dati vengano usati per addestrare l’intelligenza artificiale.

Caso studio privacy e AI: come ha raccolto i dati personali Zoom per sviluppare il suo sistema di IA?

Un caso che fa riflettere su quali basi giuridiche le compagnie sviluppano i sistemi di intelligenza artificiale sfruttando i dati personali ci è offerto da Zoom.

A marzo 2023, Zoom ha modificato i suoi Termini e Condizioni stabilendo che deteneva il completo controllo sui dati ottenuti dai clienti inclusi i diritti di modifica, distribuzione, elaborazione, condivisione, gestione e archiviazione. Ha anche inserito una nuova clausola in cui si affermava che i dati raccolti dalla piattaforma sarebbero stati utilizzati per sviluppare un sistema di intelligenza artificiale.

Questo ha causato reazioni negative non solo in Europa, dove le nuove clausole erano chiaramente contrarie al GDPR, ma anche negli Stati Uniti, dove i professionisti medici hanno sottolineato che l’uso di Zoom (che fornisce un servizio di videoconferenze) all’interno degli ospedali poteva contrastare con l’HIPAA (Health Insurance Portability and Accountability Act), la legge che gestisce la protezione dei dati sanitari negli Stati uniti.

A quel punto, Zoom ha modificato i Termini e Condizioni eliminando le clausole precedentemente aggiunte. Inoltre ha aggiunto una frase alla clausola 10.2: “Zoom non utilizza audio, video, chat, condivisione dello schermo, allegati dell’Utente o altro Contenuto del cliente simile a conversazioni (quali risultati dei sondaggi, whiteboard e reazioni) per addestrare i modelli di intelligenza artificiale di Zoom o di terze parti”.

Questo chiaramente non significa che i dati personali non possano essere usati per l’addestramento delle intelligenze artificiali, ma che bisogna rispettare le già menzionate previsioni sul consenso.

Quindi, per garantire che il consenso sia pienamente informato, all’interessato dovrà essere comunicato se viene utilizzata l’intelligenza artificiale e per quali scopi. Inoltre, per ogni finalità, dovrà essere previsto un consenso specifico.

Come però precedentemente menzionato, molto spesso le logiche del funzionamento dell’IA sono sconosciute e diventa difficile che il consenso possa definirsi davvero informato.

Valutazione d’Impatto sui Diritti Fondamentali (FRIA) e Valutazione di Impatto della Protezione dei dati (DPIA)

Altro punto di raccordo tra GDPR e AI Act può riguardare la Valutazione d’Impatto sui Diritti Fondamentali (FRIA) richiesta dall’AI ACT per i sistemi ad alto rischio e la Valutazione di Impatto della Protezione dei dati (DPIA) richiesta dal GDPR.

La DPIA è prevista dal GDPR all’art. 35 che impone al titolare di effettuare una valutazione sulla necessità e sulla proporzionalità del trattamento dei dati personali e dei rischi che da questo possono derivare. La DPIA è obbligatoria quando il trattamento dei dati può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Tra questi casi, secondo l’ex Gruppo Art. 29, rientrano i trattamenti valutativi o di scoring, compresa la profilazione, così come le decisioni automatizzate che producono effetti giuridici.

Allo stesso modo, il Regolamento sull’intelligenza artificiale prevede che prima che un sistema ad alto rischio possa essere messo in commercio è necessario che il produttore esegua autonomamente una Valutazione d’Impatto sui Diritti Fondamentali (FRIA). La FRIA ha lo scopo di garantire che i sistemi di IA siano conformi ai requisiti di trasparenza, sicurezza e affidabilità, assicurando che non violino i diritti fondamentali degli individui.

Entrambe le valutazioni sono considerate necessarie quando le attività di trattamento o i sistemi di intelligenza artificiale sono ad “alto rischio”, cioè possono avere impatti significativi sui diritti e le libertà. Tuttavia, mentre la DPIA si concentra principalmente sui rischi legati al trattamento dei dati personali, la FRIA estende il suo campo di applicazione a una gamma più ampia di diritti fondamentali, tra cui la non discriminazione, la protezione dalla sorveglianza eccessiva, e il diritto alla trasparenza e all’equità.

Un altro aspetto da sottolineare è che diversi strumenti di intelligenza artificiale inevitabilmente tratteranno quelli che la legislazione privacy considera dati particolari (o sensibili). Ad esempio, la possibilità che l’IA venga utilizzata in ambito sanitario rende inevitabile la raccolta di dati relativi alla salute. Per tale motivo, questi sistemi di intelligenza artificiale verranno categorizzati come sistemi ad alto rischio proprio per la tipologia di dati che vengono trattati.

Regime di responsabilità per danno causato da intelligenza artificiale

La questione privacy nell’AI Act emerge anche in relazione alla responsabilità in caso di danno provocato dai sistemi di intelligenza artificiale. L’art. 82 del GDPR prevede che chiunque subisca un danno materiale o immateriale cagionato da una violazione del Regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

Nello specifico, il Regolamento stabilisce che il titolare deve risarcire i danni dovuti ad un trattamento non conforme alle prescrizioni del GDPR. Sul punto la Corte di Cassazione con la pronuncia n. 167402/2021 ha chiarito che il danno non sussiste in re ipsa e che non tutte le violazioni delle prescrizioni privacy determinano una lesione e quindi la risarcibilità del danno, ma solo quelle che determinano un danno grave e dimostrabile. A questo punto si pongono due questioni importanti: come si prova il danno subito? E su chi ricade la responsabilità civile nel caso di danno causata da IA?

Secondo la normativa nazionale, per ottenere il risarcimento e attribuire la responsabilità civile, l’onere della prova ricade sul danneggiato. Ossia, come ribadito dalla sentenza n. 1931 del 25 gennaio 2017 della Corte di Cassazione, è l’interessato a dover dimostrare di aver subito un danno e che questo sia attribuibile alla responsabilità del sistema di IA.

Nel caso dell’IA, chiaramente, questo risulta estremamente più complesso per le modalità di funzionamento dei sistemi, che spesso sfuggono. In generale, infatti, i creatori tendono a mantenere il segreto sul metodo di funzionamento e a non rivelare l’algoritmo sul quale si basa il funzionamento del sistema. Il danneggiato, quindi difficilmente può riuscire a soddisfare l’onere della prova.

Di conseguenza, le normative nazionali per la gestione della responsabilità non risultano adatte alla gestione del danno da intelligenza artificiale. Il punto in comune, infatti, è che, secondo il nesso di causalità, il soggetto i cui diritti sono stati lesi deve provare il danno e come questo può essere attribuito al comportamento della controparte AI che lo abbia causato.

Violazione privacy e IA: cosa dice l’UE sulla responsabilità per danno causato da intelligenza artificiale

L’Unione Europea è intervenuta sull’argomento proponendo due direttive sulla responsabilità per danno causato da intelligenza artificiale: la Proposta di direttiva sulla responsabilità per danno da prodotti difettosi (Product Liability Directive, PLD) e la Proposta di direttiva sull’adeguamento delle norme sulla responsabilità civile extracontrattuale all’intelligenza artificiale ( AI Liability Directive, AILD).

La prima ha un contenuto più tecnico e riguarda la progettazione dei sistemi di intelligenza artificiale. In particolare, permette di richiedere informazioni su ogni tipo di sistemi di intelligenza artificiale, a qualsiasi livello di rischio. La seconda, invece, tratta nello specifico della responsabilità extracontrattuale e permette di accedere alle informazioni sui sistemi ad alto rischio.

L’importanza di queste proposte riguarda l’onere della prova: nel caso in cui il prodotto violi gli obblighi relativi alla fornitura di informazioni o non rispetti gli obblighi di sicurezza il danneggiato non è obbligato a provare la difettosità del prodotto. Inoltre, si presume che difetto e danno siano connessi quando i sistemi risultano troppo complessi a livello tecnico o scientifico per provare la causalità del danno. Le direttive sopra menzionate possono essere particolarmente utili se applicate alla violazione della privacy se si considera l’orientamento della giurisprudenza della Cassazione sull’argomento.

La Corte di Cassazione ha recentemente ribadito un orientamento già fissato da una precedente sentenza, secondo cui affinché un danno da violazione della privacy possa essere risarcibile è necessario che venga provato adeguatamente il danno e ne venga dimostrata la gravità.

Il contenuto delle direttive potrà intervenire a favore del danneggiato perchè queste prevedono una presunzione di causalità. Il soggetto danneggiato quindi non dovrà provare esattamente come è stato causato il danno ma semplicemente dovrà dimostrare che c’è stato un comportamento colposo della controparte e che esiste un nesso di causalità tra quest’ultimo e la lesione dei diritti del soggetto.

Il giudice potrà quindi presumere che è stato il sistema di intelligenza artificiale a causare il danno e potrà ordinare che ne venga divulgato il funzionamento nel rispetto del segreto industriale. Questo può supportare il danneggiato nell’identificazione del soggetto responsabile.

Nel caso in cui le aziende terze non abbiano rispettato le indicazioni del GDPR o del Responsabile privacy, saranno considerate responsabili del danno.

Il disegno di legge sull’intelligenza artificiale DDL

Il 23 aprile 2024 il Consiglio dei Ministri italiano ha approvato un disegno di legge di 26 articoli recante disposizioni sulla materia dell’intelligenza artificiale.

L’obiettivo che il legislatore si è prefissato con questo disegno di legge è quello di individuare i principi in materia di ricerca, sperimentazione, sviluppo, adozione e applicazione di sistemi e modelli di intelligenza artificiale e di promuovere un utilizzo corretto, trasparente e responsabile dell’intelligenza artificiale. Nel DDL, il legislatore non solo individua i principi su cui si deve basare l’applicazione della tecnologia dell’intelligenza artificiale in generale, ma stabilisce anche alcune regole specifiche per determinati ambiti.

Ad esempio, è stato oggetto di regolamentazione l’uso della tecnologia dell’intelligenza artificiale in ambito medico, in cui sono stati fissati degli obblighi di informazione in favore del paziente sull’utilizzo di intelligenza artificiale.

Inoltre, è stato ribadito il principio fissato dall’art. 22 del GDPR secondo cui l’individuo ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresi i trattamenti svolti dai sistemi di intelligenza artificiale. Di conseguenza, l’utilizzo di intelligenza artificiale in ambito medico non può sostituire del tutto la decisione del professionista.

Un altro aspetto molto interessante del disegno di legge sull’intelligenza artificiale riguarda la regolamentazione del trattamento dei dati personali.

Privacy e DDL sull’intelligenza artificiale

Come già detto, le intelligenze artificiali necessitano di grandi quantità di informazioni per il loro funzionamento, compresi i dati personali. Non è un caso che molti sistemi siano già in grado di riprodurre esattamente le sembianze e i particolari di un volto umano. Per questo motivo è inevitabile che ogni intervento legislativo che si occupi della regolamentazione dell’IA debba confrontarsi con la disciplina della tutela della privacy.

L’art. 3 del DDL stabilisce quali sono i principi generali che devono essere rispettati nell’utilizzo di intelligenza artificiale, riferendosi sia a quelli stabiliti dalla Costituzione italiana sia a quelli previsti dall’Unione Europea. Vengono inoltre indicati in maniera specifica i principi di trasparenza, proporzionalità, sicurezza, riservatezza, accuratezza, non discriminazione, parità dei sessi, sostenibilità e protezione dei dati personali. Quest’ultimo aspetto viene poi ulteriormente approfondito dal successivo art. 4 che, al comma 2, stabilisce che “l’utilizzo di sistemi di intelligenza artificiale garantisce il trattamento lecito, corretto e trasparente dei dati personali e la compatibilità con le finalità per le quali sono stati raccolti, in conformità col diritto dell’Unione europea in materia di dati personali e di tutela della riservatezza”.

Nella pratica, quindi, il disegno di legge non fornisce indicazioni specifiche su come debba essere gestito il trattamento dei dati personali, limitandosi a rimandare alla legislazione corrente (nello specifico, il già citato GDPR). Un aspetto che però viene stabilito al comma 4 dell’art. 4 riguarda l’uso dell’IA da parte dei minori. L’articolo in questione stabilisce, infatti, che è necessario il consenso di chi detiene la responsabilità genitoriale per l’uso di strumenti di intelligenza artificiale da parte dei minori di 14 anni. Anche in questo caso viene semplicemente richiamato un principio generale fissato dalla legislazione europea nel Regolamento 679/2016 che ha posto a 14 anni la soglia minima per aprire un profilo su un social network e accettare le informative privacy.

Argomento già affrontato dalla Cassazione italiana in diverse sentenze, ipotizzando la previsione della categoria dei “grandi minori”. Con questo termine si indicano soggetti che non hanno ancora raggiunto la maggiore età ma hanno una maggiore attitudine a orientare le proprie scelte di vita, includendo quindi la possibilità di decidere della diffusione dei propri dati personali.

Conclusioni

Ad una lettura approfondita, il contenuto del disegno di legge italiano risulta eccessivamente generico. Questo approccio può essere attribuito al fatto che il legislatore italiano è consapevole che presto verrà approvato il regolamento europeo sull’intelligenza artificiale e quindi si sono voluti evitare potenziali contrasti.

Non ci sono dubbi, infatti, che questo intervento legislativo sia stato, almeno in parte, influenzato dalla ormai prossima promulgazione dell’IA Act e dal testo a disposizione già da diversi mesi.

Il principale problema dell’intelligenza artificiale è la sua mancanza di trasparenza, in relazione all’uso indiscriminato e incontrollato dei dati personali. In entrambi i casi – DDL sull’intelligenza artificiale e AI Act – il legislatore ha cercato di armonizzare le nuove norme con il Regolamento generale sulla protezione dei dati, rispettando in particolare quelli che sono i principi relativi al consenso e al trattamento automatizzato dei dati.

A questo punto non resta che attendere la pubblicazione dell’AI Act e capire come i vari Stati membri attueranno il nuovo regolamento europeo sull’intelligenza artificiale.

Note

  1. Consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto – 15 maggio 2013 [2543820]
  2. Sentenza 2270/2019
  3. Cass. Civ. 4303/2023
  4. https://explore.zoom.us/it/terms/
  5. Ordinanza 16402/2021
  6. Cass. n. 222/2016
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Floriana Capone
Avvocato dell’Ecommerce e Fondatrice di Ecommerce Legale
Seguimi su
I
Vittorio Iaselli
avvocato presso Ecommerce Legale

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • common criteria

    Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

    06 Dic 2023

    di Garibaldi Conte

    Condividi

  • consigli utili

    Scuola e privacy: come gestire in sicurezza riunioni e lavoro a distanza

    21 Giu 2024

    di Lucia Gamalero e Paolo Martorana

    Condividi

  • approfondimento

    Come si digitalizza una stalla? Ecco in che modo la filiera zootecnica si innova

    01 Lug 2024

    di Antonio Picasso

    Condividi

Prossimo

Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

Articolo 1 di 4