In data 2 agosto il Collegio del Garante privacy ha adottato un provvedimento col quale, su richiesta della Presidenza del Consiglio ha espresso il suo parere su uno schema di disegno di legge recante disposizioni in materia di intelligenza artificiale.
Il parere del Garante sulla Legge IA: analisi e criticità
Il parere del Garante merita alcune osservazioni di metodo e di merito.
Il testo si caratterizza per un lungo riassunto del testo oggetto del parere, articolato col riferimento ai Capi del disegno di legge governativo, in ordine al contenuto del disegno di legge stesso.
Si tratta di una premessa che occupa quasi 2/3 del testo complessivo del provvedimento e che, quasi incidentalmente, contiene anche raccomandazioni e suggerimenti per la modifica di singoli articoli del testo.
Al termine di queta lunga premessa, che però anche esplicitamente contiene raccomandazioni e suggerimenti dei quali non è facile comprendere il significato giuridico in termini di vincoli per il legislatore, segue la parte dispositiva che si apre nuovamente con una raccomandazione al legislatore attuale e al futuro legislatore delegato, intesa a chiedere una attenta valutazione sul pericolo della sovrapposizione delle future norme nazionali con quelle contenute nello AI Act.
Protezione dei dati e IA: le proposte del Garante per un miglior coordinamento
Fatta questa raccomandazione, il dispositivo accentra la sua attenzione essenzialmente sulle norme che hanno un impatto significativo sulla protezione dei dati.
In questo quadro il Garante raccomanda prima di tutto un “miglior coordinamento sistematico” con la disciplina in materia di protezione dei dati.
Tuttavia subito dopo, e in ragione della necessità di una maggiore coordinazione delle due materie, chiede e suggerisce che al Capo I del testo sia introdotto “un articolo specifico ad applicazione trasversale, recante un vincolo generale di conformità dei trattamenti dei dati personali funzionali a sistemi di IA alla disciplina rilevante in materia”.
A questo proposito il Garante suggerisce anche la formulazione dell’articolo che raccomanda di aggiungere in questi termini: “Il trattamento dei dati personali correlato a sistemi di Intelligenza Artificiale è effettuato nel rispetto di quanto previsto dal Regolamento UE 2016/679, dal d.lgs. 30 giugno 2023 n, 196 e successive modificazioni e dal d.lgs. 18 maggio 2018 e successive modificazioni”.
Aggiunge il Garante anche: “conseguentemente, tale norma assorbirebbe i singoli riferimenti alle disposizioni rilevanti in termini di protezione dei dati personali, ad eccezione di eventuali istituti richiamati espressamente per realizzare un rinvio mobile”.
Aggiunge poi il Garante -e questo appare un punto di particolare rilievo- che con l’integrazione richiesta dell’art. 18 comma 3 del disegno di legge, sarà poi espressamente salvaguardata la competenza del Garante anche rispetto a norme, contenute nel disegno di legge stesso, suscettibili di avere implicazioni in termine di protezione dei dati”.
Vi è poi una parte del provvedimento dedicata alla legittimazione dei minori, nella quale si suggerisce di cogliere l’occasione per superare alcune carenze dell’attuale normativa in tema di tutela dei dati dei minori che non si era stati in grado di risolvere in precedenti occasioni.
Seguono poi specifiche raccomandazioni con riferimento a settori puntuali di trattamento di dati, quali quello sanitario, quello dei rapporti di lavoro e, in generale, la necessità di ampliare nei diversi settori i poteri del Garante, primo fra tutti nel settore relativo alla “Strategia nazionale del la IA” per la quale si raccomanda di prevedere esplicitamente all’art. 17 del testo, al fine di evitare che “le misure e le politiche delineate contrastino con la disciplina di protezione dei dati, garantendone la complessiva coerenza con il quadro normativo di riferimento”.
Potremmo continuare a lungo nell’indicare i tanti punti della parte dispositiva nei quali si suggeriscono modifiche al testo al fine di rafforzare il ruolo del Garante, sia introducendone la presenza negli organi o nelle strutture collegiali di verifica e controllo della IA, accanto alla ACN e alla AGID, sia chiedendo di salvaguardare esplicitamente i poteri propri del Garante in materia di trattamento dei dati.
Il ruolo del Garante nella strategia IA: richieste di ampliamento dei poteri
I punti di maggior interesse di questo provvedimento, e anche quelli destinati a occupare ancora a lungo la attenzione della Autorità garante, dei legislatori nazionale e unionale e di chi si occupa professionalmente di queste materie, riguarda quale sia la nozione di dato che è al centro di queste valutazioni e quale, di conseguenza debba essere il ruolo delle autorità garanti di protezione dei dati.
L’Autorità Garante, anche con questo provvedimento, rivendica una competenza generale sulla materia e una partecipazione a tutte le strutture che le varie normative, unionali e, soprattutto, nazionali prevedono per l’esercizio di poteri di coordinamento o di esercizio comune dei loro poteri fra diverse autorità e strutture in ordine alla disciplina dei dati.
In sostanza è possibile dire che, al di là della sua struttura un poco didascalica, il parere del Garante in esame faccia emergere a tutto tondo il vero problema che oggi è al centro di ogni disciplina unionale o nazionale in materia di disciplina e regolazione dei trattamenti dei dati: quello cioè di non riuscire a definire con chiarezza quali siano le regole e le autorità competenti a farle rispettare con ai trattamenti dei dati che non sono personali o non rientrano nella categoria dei dati personali come definita dal Regolamento europeo in materia di trattamenti di dati perdonali.
Dati personali vs dati generici: il dilemma della regolamentazione IA
La questione centrale ha origine nel fatto che nella UE, e prima ancora nel Mercato Unico, è emersa con forza la categoria dei dati personali come una categoria diversa e separata da quella dei dati trattati con modalità digitali.
Tutti sappiamo perché questo è avvenuto e come il richiamo al concetto di privacy sia stato utilizzato in Europa per creare un nuovo diritto fondamentale, sempre più essenziale con l’espandersi della società digitale anche nel nostro Continente.
Tuttavia la società digitale si è sviluppata negli anni con una velocità imprevista e ormai al centro delle relazioni che avvengono con modalità digitali non vi sono più solo o essenzialmente i dati personali ma i dati come tali ed è sempre più necessario aprirsi a una legislazione che, volendo regolare il sistema economico digitale, metta al centro la regolazione dell’uso e dello scambio dei dati fra i diversi soggetti che hanno relazioni tra loro con modalità digitali, indipendentemente dal fatto che tali dati siano o no personali secondo la definizione adottata da tempo a livello europeo.
Il tema è noto ma sostanzialmente sempre accantonato. In ogni caso, da un lato si tratta di un problema che tocca lo stesso Garante che si mantiene fermo al principio di avere poteri e compiti limitati ai trattamenti dei dati personali e non dei dati come tali. Dall’altro la regolazione europea, come avviene anche con l’AI Act, ha sempre più al suo centro non i dati personali ma i dati come tali, definiti e definibili “come qualsiasi rappresentazione digitale di atti, fatti o informazioni e qualsiasi raccolta di tali atti, fatti o informazioni, anche sotto forma di registrazione sonora, visiva o audiovisiva (cfr. art. 2 del Governance Act).
In sostanza oggi i dati nello spazio unico digitale unionale sono definibili come la codificazione informatica di concetti o informazioni che possono essere trattati, scambiati o analizzati con strumenti e modalità informatiche.
Le sfide della società digitale: verso una nuova definizione di dati
È ovvio che in una società digitale pienamente compiuta sia i dati personali che quelli che non rientrano in tale categoria sono trattati, scambiati, analizzati e usati per finalità di AI con modalità potenzialmente analoghe. Per contro la regolazione unionale e anche quella nazionale fissano il principio che ogni modalità di trattamento di dati nella società digitale debba rispettare i diritti fondamentali degli Stati e dell’Unione e dunque anche la tutela dei dati personali quando i dati scambiati o trattati rientrano in tale categoria.
E’ evidente però che è possibile, e sta accadendo anche con l’AI Act, che sia l’Unione che gli Stati membri dettino regole che hanno al centro il generico trattamento dei dati indipendentemente dal fatto che essi siano o meno personali e, per contro, affermare che restano valide e applicabili le regole già in vigore allorché i dati rientrino fra quelli personali, appunto n virtù della salvaguardia dei diritti fondamentali dei cittadini europei o operanti nella UE.
Di qui nasce una evidente complessità nella regolazione del trattamento dei dati e nella disciplina delle Autorità competenti a vigilare sul rispetto di tali regole.
Se i dati sono personali l’obbligo di rispettare i principi fondamentali dei cittadini viene in via generale interpretato, soprattutto dalle Autorità di protezione dei dati personali, come disciplinato dalla normativa sui dati personali alla cui vigilanza spetta alla Autorità Garante per la protezione dei dati provvedere.
Se invece le regole in discussione si applicano ai dati scambiati con modalità digitale senza distinzione allora nasce il problema di quale sia la competenza delle Autorità Garanti e quali i confini della loro azione. Un problema centrale che si declina innanzitutto come un dovere per ciascuna Autorità di difendere le proprie competenze, compresa la partecipazione a organizzazioni che coinvolgano anche altre strutture o Autorità. Allo stesso tempo, però, e per i medesimi principi, questo problema si delinea anche come un obbligo per l’Autorità di protezione dati di non andare oltre i propri confini di competenza e quindi di astenersi, in assenza di una normativa specifica autorizzante, dal controllo e dalla vigilanza sui trattamenti di dati che non siano personali anche se sono trattati o scambiati con modalità digitali.
Il futuro della protezione dati nell’era dell’IA: prospettive e necessità di riforma
Il provvedimento del Garante in materia di disegno di legge del governo sulle norme nazionali relative all’AI Act è un esempio importantissimo delle difficoltà che il Garante incontra quando deve mettere ogni cura nell’evitare di andare oltre i suoi poteri ma ritiene anche di dover difendere i suoi poteri e doveri e, allo stesso tempo, si trova pressato dalla consapevolezza, in ragione della esperienza maturata nella sua attività istituzionale, dei problemi che i trattamenti informatici dei dati e i loro scambi possono porre, anche se si tratta di dati che non rientrano nella categoria dei dati personali.
Non possiamo sapere allo stato attuale se, come e quando questo intricato nodo di problemi, proprio della normazione digitale europea, sarà risolto.
Possiamo però sapere fin da ora che tanto più con lo sviluppo della AI nel sistema economico europeo e nel mercato unico digitale europeo questa tematica diventerà sempre più pressante, fino ad obbligare, presto o tardi, a ridefinire limiti e modalità di tutela del diritto fondamentale al trattamento dei dati personali, almeno quando questo avvenga con modalità telematiche e digitali.
