IA e Gdpr: la nomina del DPO è obbligatoria?

La repentina diffusione dei sistemi di intelligenza artificiale nel recente panorama tecnologico e commerciale globale ha sollevato nuove sfide e domande riguardanti, tra i vari temi, anche la protezione dei dati personali.

Il DPO nell’era dell’IA: evoluzione del ruolo

Uno dei principali rischi evidenziati nell’ambito dei lavori preparatori ai diversi provvedimenti normativi nazionali ed europei sull’IA riguarda, infatti, proprio il rischio di un possibile impatto negativo per la privacy e protezione dei dati personali[1].

In tale contesto, la figura del Responsabile della Protezione dei Dati (Data Protection Officer – DPO), introdotta per la prima volta a livello europeo dal Regolamento (UE) 2016/679 (GDPR) – anche se già preesistente in diversi Paesi dell’UE – potrebbe vedere nel prossimo futuro un’evoluzione cruciale del proprio ruolo alla luce di queste tecnologie e della normativa in materia di prossima applicazione, basata sempre più sul concetto di gestione del rischio, il quale, in un sistema di governance, presuppone la presenza di adeguate funzioni di controllo.

Molti stakeholder, e in particolare molte aziende del settore privato, si stanno infatti chiedendo come l’utilizzo sempre più diffuso di software basati su sistemi di IA possa influire sulle valutazioni che il titolare e il responsabile del trattamento devono compiere in merito alla nomina del DPO. In particolare, la domanda che molti si pongono è se tale nomina, per il solo fatto di impiegare nel proprio contesto sistemi di IA volti ad automatizzare i vari processi organizzativi e produttivi, dovrà essere considerata di fatto obbligatoria per tutte le organizzazioni.

Tralasciando la considerazione – comunque sostanziale – che la nomina di un DPO rappresenta e dovrebbe rappresentare una misura di accountability fortemente raccomandata per ogni organizzazione che si trovi a trattare dati personali in contesti sottoposti a processi di digitalizzazione, tra l’altro sempre più avanzati, in questa sede ci soffermeremo sul profilo meramente giuridico, cercando di analizzare più nel dettaglio la relazione tra l’utilizzo dei sistemi di IA e le condizioni di obbligatorietà formale della nomina del DPO già poste dalla normativa vigente.

La figura del DPO e i casi di obbligatorietà previsti dal GDPR

Premesso che il GDPR stabilisce i criteri minimi per la nomina obbligatoria di un DPO, consentendo agli Stati membri di introdurre ulteriori requisiti, e che, di fatto, alcuni ordinamenti nazionali hanno adottato criteri più stringenti rispetto a quelli previsti dall’art. 37 del GDPR – si pensi al caso della Germania[2] – di seguito faremo riferimento ai soli casi di obbligatorietà formale previsti dal GDPR e alla loro relazione con l’utilizzo dei sistemi di IA.

Quando è obbligatoria la nomina del DPO

Ai sensi degli artt. 37 e 38 del GDPR, il DPO è designato dal titolare o dal responsabile del trattamento per garantire l’osservanza della normativa in materia e deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali (art. 37 del GDPR). In particolare, secondo l’articolo 37, paragrafo 1, del GDPR, la nomina di un DPO è obbligatoria in tre situazioni principali:

1. autorità pubbliche o organismi pubblici: ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
2. monitoraggio regolare e sistematico degli interessati su larga scala: quando le attività principali del titolare o del responsabile del trattamento richiedono un monitoraggio regolare e sistematico degli interessati su larga scala;
3. trattamenti su larga scala di categorie particolari di dati personali o di dati giudiziari: tali casi includono il trattamento di dati sensibili come quelli sulla salute, l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, biometrici e relativi alla vita sessuale o all’orientamento sessuale di una persona, nonché i dati riguardanti condanne penali o reati (art. 9 e 10 del GDPR).

Come si intuisce dalla lettura della norma, al di fuori dei casi in cui si tratti di una pubblica amministrazione, gli altri casi di obbligatorietà previsti dall’art. 37, paragrafo 1, del GDPR ricorrono entrambi in presenza del presupposto di un trattamento effettuato dal titolare o dal responsabile su “larga scala”. Il GDPR, tuttavia, non dà un’indicazione del numero esatto di dati o di interessati al ricorrere del quale si possa ritenere di rientrare nel concetto di “larga scala”. Il Considerando 91 del GDPR chiarisce che il trattamento su larga scala implica il trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale con un impatto su un vasto numero di interessati e potenzialmente un elevato rischio.

Sul punto, anche le Linee Guida dello European Data Protection Board (allora WP29) sui DPO (WP243 rev.01) forniscono ulteriori chiarimenti su come determinare se un trattamento possa considerarsi effettuato su larga scala, considerando quali fattori rilevanti il numero di soggetti interessati, il volume dei dati trattati, la durata del trattamento e la portata geografica dell’attività di trattamento. In particolare, il monitoraggio:

• viene assimilato a tutte le forme di tracciamento e profilazione automatizzata per valutare aspetti personali relativi ad una persona fisica;
• è “regolare” se è continuo ovvero avviene a intervalli definiti per un arco di tempo definito, se è ricorrente o viene ripetuto a intervalli costanti, se avviene in modo costante o ad intervalli periodici;
• è “sistematico” se avviene per sistema, se è predeterminato, organizzato o metodico, se ha luogo nell’ambito di un progetto complessivo di raccolta di dati e se viene svolto nell’ambito di una strategia.

IA e monitoraggio sistematico: requisiti per la nomina del DPO

Alla luce della rapida espansione dei sistemi di IA, è essenziale quindi comprendere come i predetti requisiti si applichino a tali tecnologie. In altri termini, la domanda da porsi è se l’IA, che si basa su grandi quantità di dati (inclusi dati personali) per addestrare i propri modelli e per fornire l’output richiesto, possa comportare necessariamente trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o il trattamento su larga scala di categorie particolari di dati personali.

La risposta non può essere immediata e affermativa in ogni caso, non potendo prescindere dall’analisi delle singole tecnologie impiegate e delle caratteristiche specifiche dei trattamenti effettuati.

Se si pensa, ad esempio, ai sistemi di raccomandazione utilizzati da piattaforme di streaming come Netflix o Amazon Prime Video che raccolgono continuativamente dati comportamentali e demografici degli utenti per generare suggerimenti personalizzati, è evidente che tali sistemi rappresentano un classico esempio di profilazione automatizzata dove i requisiti di trattamento su larga scala e monitoraggio regolare e sistematico risultano quasi sicuramente soddisfatti, rendendo obbligatoria la nomina del DPO.

Dall’altro lato, tuttavia, rileva come l’addestramento di modelli di linguaggio di grandi dimensioni (LLM) coinvolge tecniche di web scraping, utilizzo di dati “sintetici” e apprendimento supervisionato che non sempre implicano necessariamente un monitoraggio regolare e sistematico di individui e che, di conseguenza, non richiederebbero in linea teorica la nomina di un DPO.

Linee Guida sul trattamento dei dati e IA da parte delle Autorità di protezione

Il Garante Privacy ha sottolineato che per evitare gli enormi rischi connessi alla possibile inesattezza dei dati forniti per addestrare i sistemi di IA o delle assumption alla base del suo funzionamento, occorre mantenere un ruolo centrale dell’uomo[3] – e, diremmo noi, di una figura con elevate competenze tecnico-legali come il DPO – tanto nella fase di addestramento che in quella di assunzione delle decisioni basate sugli output dell’IA.

Le raccomandazioni CNIL

Anche la CNIL francese, ha recentemente pubblicato le sue prime raccomandazioni sullo sviluppo di sistemi di intelligenza artificiale confermando – tra le varie misure suggerite per ridurre i rischi del trattamento sulla protezione dei dati personali nell’intero ciclo di vita di un sistema di IA – la necessità di adottare misure organizzative di supervisione e di governance che pongono in primo piano capacità umane (attraverso, ad esempio, l’istituzione di comitati etici così come, a nostro avviso, un impiego efficiente della figura del DPO).

Le linee guida del WP29

Inoltre, sebbene non riguardino nello specifico i sistemi di IA, le linee guida del WP29 sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione evidenziano come l’IA e l’apprendimento automatico abbiano reso più facile la creazione di profili e l’adozione di decisioni automatizzate, con potenziali ripercussioni significative sui diritti e sulle libertà delle persone fisiche.

Le linee deel’EDPS

E più di recente, anche lo European Data Protection Supervisor (EDPS), nelle sue linee guida sull’intelligenza artificiale generativa e i dati personali, sottolinea l’importanza della consulenza indipendente del DPO nello sviluppo e utilizzo di sistemi. Tuttavia, l’EDPS non introduce nuovi obblighi di nomina del DPO. Ritiene infatti che le casistiche e le misure già previste dalla normativa vigente, insieme alla raccomandazione di nominare un DPO come buona prassi[4], siano sufficienti per guidare i titolari nel prendere le più opportune decisioni.

Sussistono poi ulteriori profili inerenti allo sviluppo e all’utilizzo di sistemi basati sull’IA che fanno propendere per una possibile necessaria adozione del DPO in tutti i contesti in cui tali tecnologie vengano adottate. Vediamo quali sono.

Relazione tra DPIA, IA e nomina del DPO

Come sappiamo, la valutazione di impatto sulla protezione dei dati (Data Protection Impact Assessment – DPIA) è uno strumento essenziale previsto dal GDPR per identificare e mitigare i rischi associati al trattamento dei dati personali, specialmente quando si utilizzano tecnologie innovative come l’IA.

Secondo l’art. 35 del GDPR, infatti, la DPIA è obbligatoria quando un tipo di trattamento, in particolare se utilizza nuove tecnologie, può comportare un rischio elevato per i diritti e le libertà delle persone fisiche. L’implementazione di sistemi di IA per ottimizzare e automatizzare processi aziendali e di business rientra spesso in tali casi. I sistemi di IA, infatti, possono comportare una profilazione automatizzata e un trattamento su larga scala di dati personali, aumentando il rischio per i diritti e le libertà degli interessati. Pertanto, una DPIA è generalmente necessaria prima di implementare tali sistemi, in quanto la stessa deve identificare i rischi specifici associati al trattamento dei dati mediante l’IA, valutare l’impatto di tali rischi e proporre misure per mitigare gli stessi. Tale processo – come previsto dalla normativa – deve coinvolgere il DPO che fornirà consulenza e assisterà nell’assicurare che le misure di protezione dei dati siano adeguatamente implementate e che i rischi siano stati adeguatamente mitigati.

Impatti dell’IA nella nomina di un DPO

Anche se l’IA, quindi, non introduce nuovi obblighi di nomina, appare evidente che l’importanza di designare un DPO risulta notevolmente rafforzata. Un DPO qualificato e competente garantisce, infatti, non solo la conformità al GDPR, ma rappresenta anche una misura di protezione organizzativa e di governance aziendale, facilitando un’implementazione etica e responsabile dei sistemi di IA e apportando alle organizzazioni numerosi vantaggi e benefici sotto diversi profili. Si pensi, ad esempio:

• alla gestione del rischio: il DPO può essere coinvolto fin dalla valutazione preliminare dell’implementazione di sistemi IA, nel loro mantenimento e aggiornamento, e nell’analisi dei rischi associati, garantendo che i soggetti interessati siano informati e consapevoli del trattamento dei loro dati personali tramite tali sistemi. Tale aspetto è particolarmente rilevante nello svolgimento della DPIA e della valutazione di impatto sui diritti fondamentali (FRIA) come richiesto dall’art. 27 del Regolamento europeo sull’intelligenza artificiale, recentemente approvato dal Consiglio europeo (AI Act) per i sistemi di IA ad alto rischio;
• al monitoraggio della compliance normativa: il DPO facilita e sorveglia il rispetto del GDPR e dell’intera normativa sulla protezione dei dati personali, inclusi gli obblighi posti dall’AI Act, potendo rappresentare quindi una misura di salvaguardia volta ad assicurare che i principi di privacy by design e privacy by default siano integrati nella progettazione e nel funzionamento dei sistemi di IA;
• al principio di responsabilizzazione (accountability): che richiede che le organizzazioni siano in grado di dimostrare la conformità alla normativa anche attraverso la nomina di un DPO. L’AI Act, infatti, non prevede una figura specificamente incaricata di garantire il rispetto delle sue disposizioni; il DPO, pertanto, potrebbe presumibilmente colmare questa lacuna.

Conclusioni

In conclusione, sebbene non sussista uno specifico obbligo “formale” per tutte le organizzazioni che sviluppano o utilizzano sistemi di IA di nominare necessariamente un DPO, la sua designazione può senza dubbio facilitare l’implementazione di sistemi di IA in modo etico, responsabile e affidabile, assicurando la conformità al GDPR e ai principi posti dal medesimo Regolamento e richiamati dall’AI Act.

Note

[1] In tale ottica, a livello nazionale, merita di essere menzionato il Disegno di legge sull’intelligenza artificiale approvato lo scorso 23 aprile dal Consiglio dei Ministri (DDL IA), mentre a livello europeo il Regolamento europeo sull’intelligenza artificiale, recentemente approvato dal Consiglio europeo (“AI Act”). Il potenziale impatto negativo sulla privacy è stato anche preso in considerazione dal National Institute of Standards and Technology (NIST) degli Stati Uniti, il quale, lo scorso 29 aprile, ha pubblicato una bozza di guida operativa per i modelli e i sistemi di intelligenza artificiale generativa. Ne abbiamo parlato qui, nonché dalle varie Autorità di controllo nazionali in materia di protezione dei dati personali (sul punto si rinvia, ad esempio, alle raccomandazioni sullo sviluppo di sistemi di intelligenza artificiale pubblicate recentemente dalla CNIL).

[2] In Germania, la nomina di un DPO è obbligatoria se l’azienda ha almeno 20 dipendenti che si occupano regolarmente del trattamento di dati personali tramite strumenti automatizzati, nella cui nozione, piuttosto ampia, vengono incluse anche attività come l’invio di e-mail, l’utilizzo di CRM o la gestione di siti web. La legislazione tedesca prevede inoltre l’obbligo di nominare un DPO per le aziende che trattano dati dei propri dipendenti, anche se il numero di dipendenti è inferiore a 20.

[3] Sul punto si rimanda al Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale del Garante Privacy – Settembre 2023.

[4] In tal senso, si rimanda sia alle Linee Guida sui DPO dello European Data Protection Board (allora WP29), che il Garante Privacy nelle proprie FAQ sul DPO in ambito privato.