Intelligenza Artificiale: il Garante audito al Senato

Audizione del professor Pasquale Stanzione, Presidente del Garante per la protezione dei Dati personali - AS 1146, Disposizioni e delega al Governo in materia di intelligenza artificiale

Senato della Repubblica - Commissioni 8a e 10a riunite
(24 luglio 2024)

- IL VIDEO DELL'AUDIZIONE

Ringrazio le Commissioni per aver inteso acquisire anche l’avviso del Garante su di un tema, quale quello della regolazione dell’i.a., che tocca ambiti già in parte normati, sin dal 2016, dalla disciplina di protezione dei dati. Sia il Reg. Ue 2016/679, infatti, sia la corrispondente direttiva (UE) 2016/680, relativa ai trattamenti di Dati personali in ambito di giustizia penale e polizia recepita con il d.lgs. 51 del 2018 recano, infatti, una prima, essenziale, disciplina di ciò che costituisce il fulcro dell’i.a.: il Processo decisionale automatizzato fondato su dati personali.

L’art. 22 del Reg Ue 2016/679 (e, in maniera per molti versi affine, l’art. 8 d.lgs. 51 del 2018) ha infatti sancito sul punto specifiche garanzie, quali il principio di conoscibilità (che esclude la legittimità di algoritmi black-box riconoscendo il diritto di ricevere informazioni significative sulla logica utilizzata), quello di non esclusività della decisione algoritmica che impone un intervento umano capace di controllare, validare o smentire la decisione automatizzata, il divieto di discriminazione algoritmica, un generale principio di trasparenza che impone precisi obblighi informativi nei confronti dell’utente, un criterio di qualità ed esattezza dei dati da utilizzare, particolarmente rilevante per evitare i bias propri di un addestramento dell’algoritmo sulla base di informazioni inesatte o non sufficientemente rappresentative.

I principi sanciti dalla disciplina privacy hanno, così, già assunto un valore determinante nella regolazione dei processi algoritmici, al punto da aver consentito, ad esempio alla giurisprudenza amministrativa, di rinvenirvi la disciplina di alcune determinate fattispecie e appunto, al Garante, di conformare l’utilizzo dell’i.a. con i valori propri dell’ordinamento costituzionale ed europeo.

Questo spiega non solo perché il Reg. Ue 2024/1689 (infra: “AI Act”) si fondi anche sull’art. 16 TFUE (base giuridica della normativa in materia di protezione dati) ma, soprattutto, perché mutui, dal Reg. Ue 2016/679, molte opzioni di politica legislativa: ad esempio la tassonomia dei divieti e delle regole applicabili, fondata sul grado di rischiosità dei sistemi, la valutazione d’impatto (qui sui diritti fondamentali) per le applicazioni ad alto rischio, il principio di trasparenza quale cardine del rapporto tra utilizzo della tecnica e autodeterminazione della persona, le garanzie rafforzate per i dati appartenenti a categorie particolari, il sistema dei diritti, delle tutele e delle sanzioni, la governance nella sua duplice dimensione interna e sovranazionale.

Il disegno di legge in esame va letto, dunque, anche alla luce di questa prospettiva, nella consapevolezza del ruolo dirimente che la protezione dei dati svolge nell’indirizzare l’i.a. in una direzione antropocentrica, compatibile con i diritti fondamentali e il principio di non discriminazione, come correttamente sancito dagli artt. 1, c. 1 e 3, c. 1 del ddl. Molte norme del provvedimento hanno un impatto significativo sulla materia ed esigono, pertanto, un migliore coordinamento sistematico con la disciplina di riferimento, nei termini esposti nel parere che il Garante il 2 agosto renderà al Governo, su sua richiesta e che esso vorrà trasmettere alle Commissioni.

Preferirei ora, tuttavia, soffermarmi su aspetti più di sistema, riconducibili in particolare alla delega legislativa per l’adeguamento dell’ordinamento interno all’AI Act, meritevole di integrazione rispetto ai profili la cui specificazione è stata demandata, dal legislatore europeo, alla disciplina dei singoli Stati membri.

Particolarmente rilevante, in tal senso, è l’articolo 5, par. 5, dell’AI Act, che demanda a ciascuno Stato membro la decisione sulla possibilità di autorizzare in tutto o in parte l'uso di sistemi di identificazione biometrica remota "in tempo reale" in spazi accessibili al pubblico per finalità di polizia nei limiti previsti, disciplinando tra l’altro condizioni e procedure per l’autorizzazione e per la notifica all’Autorità di protezione dati dell’uso di tali sistemi. Inoltre, spetta al legislatore interno individuare - nell’autorità giudiziaria o in un’autorità amministrativa indipendente- l’organo competente all’autorizzazione, ai sensi dell’articolo 5, par. 3, dell’AI Act.

L’articolo 22, c. 2, del disegno di legge dovrebbe, quindi, essere integrato con la previsione di criteri direttivi volti alla definizione di tali profili, auspicabilmente anche designando il Garante quale autorità competente all’autorizzazione all’uso dei sistemi di identificazione biometrica di cui all’articolo 5, par. 3 dell’AI Act, in ragione delle competenze già acquisite sul punto. La designazione del Garante quale autorità competente ai fini dell’articolo 5, par. 3, sarebbe inoltre coerente con il citato obbligo di notifica all’Autorità dell’uso di tali sistemi (c.4) e tale da ridurre i correlativi oneri amministrativi. 

Un ulteriore obbligo di designazione del Garante, quale autorità competente per i  sistemi di IA ad alto rischio utilizzati per l’attività di law enforcement, gestione delle frontiere, amministrazione della giustizia e processi democratici deriva, peraltro, dall’articolo 74, par.8, dell’AI Act, essendo il Garante “autorità competente per la protezione dei dati a norma del regolamento (UE) 2016/679 o della direttiva (UE) 2016/680” (artt. 2-bis del Codice e 2, c. 1, lett. s) d.lgs. 51 del 2018).

Anche da questo punto di vista, pertanto, l’articolo 22, c. 2, del disegno di legge andrebbe integrato con un criterio direttivo specifico, relativo alla designazione del Garante quale autorità competente, ai fini di cui all’articolo 74, par. 8, dell’AI Act e alla disciplina delle procedure di coordinamento con le Autorità designate ai sensi dell’articolo 18 del disegno di legge. 

Il Garante dovrebbe, inoltre, essere annoverato tra le autorità competenti alla tutela dei diritti fondamentali in relazione all'uso dei sistemi di i.a. ad alto rischio, a norma dell’articolo 77, parr. 1 e 2, dell’AI Act.. Il Garante è, infatti, peraltro per espressa previsione dello stesso art. 74, par. 8, autorità deputata alla tutela di un diritto fondamentale (quale, appunto, il diritto alla protezione dei dati personali: art. 8 CDFUE) “ in relazione all'uso dei sistemi di IA ad alto rischio di cui all'allegato III”... Non solo.

La protezione dei dati è il diritto fondamentale maggiormente coinvolto dal ricorso a sistemi di i.a., che nella maggior parte dei casi si avvalgono, appunto, di dati personali. La stessa valutazione d’impatto sulla protezione dei dati, prodromica anche a molti processi algoritmici, presuppone un’analisi dell’incidenza del Trattamento sui “diritti e le libertà” (art.35, p.1, Reg. Ue 2016/679), con significative affinità rispetto a quanto previsto dall’art. 27 dell’AI Act rispetto alla valutazione d’impatto sui diritti fondamentali. La stretta interrelazione tra protezione dati e i.a. spiega la specifica riserva di competenza sancita dal Regolamento (cfr., appunto, art. 74, p.8) in favore delle autorità di protezione dei dati la cui indipendenza, peraltro, ne renderebbe opportuna la designazione come autorità di vigilanza ai sensi dell’art. 70 dell’AI Act.

La designazione del Garante come autorità di vigilanza ex art. 70 (oltre che punto di contatto unico) risponderebbe, infatti- come già argomentato nella segnalazione a Parlamento e Governo del 25 marzo scorso - a esigenze di razionalizzazione e semplificazione degli oneri amministrativi, dal momento che comunque l’Autorità dovrebbe esercitare le proprie attribuzioni tutte le volte in cui (la maggior parte) il processo algoritmico coinvolga dati personali, oltre che nei casi espressamente previsti dall’AI Act (cfr. anche, in questo senso, la dichiarazione del 17 luglio del Comitato europeo della protezione dei dati). La designazione, quali autorità di vigilanza per l’i.a., di organi diversi determinerebbe infatti una rilevante frammentazione della governance, con il rischio di conflitti di competenza e duplicazione degli oneri amministrativi per soggetti pubblici e privati.

La soluzione auspicata garantirebbe, invece, una notevole semplificazione per i cittadini, i quali dovrebbero rivolgersi a un’unica autorità per i sistemi di i.a. che operino su Dati personali (artt. 26, p.9 e 27, p. 4 dell’Ai Act), una maggiore coerenza della disciplina - considerando che al Garante dovrebbero comunque essere riservate le competenze sui sistemi di i.a. di cui all’art. 74, p.8- nonché l’estensione, al settore dell’i.a., dello statuto di garanzie (anche in termini di indipendenza) dell’Autorità.

Le reciproche implicazioni tra protezione dati e i.a. sono, infatti, tali da determinare l’esigenza costante di un’applicazione coerente dei due plessi normativi: si pensi soltanto alla biometria, per la quale il Regolamento prevede garanzie specifiche, comprensive anche del controllo sulla legittimità del Trattamento dei Dati personali (C 14, 38, 93, 94, 95, 159; art. 26, pp.10 e 11).

L’individuazione nel Garante dell’autorità di vigilanza ex art. 70 (oltre, dunque, agli ambiti comunque riservatagli dall’art. 74, p.8) e punto di contatto unico consentirebbe, quindi, un adeguamento tempestivo agli obblighi ivi previsti, potendo esso avvalersi dell’esperienza già maturata rispetto a quell’aspetto così dirimente dell’i.a. che è rappresentato dal processo decisionale automatizzato.

Il Garante possiede infatti, già oggi, i requisiti di competenza e, assieme, indipendenza necessari per garantire un’attuazione del Regolamento coerente con l’obiettivo di garanzia di un livello elevato di tutela dei diritti fondamentali nel ricorso all’i.a., sancito dall’art. 1, p.1 del disegno di legge.

E’, del resto, significativo che lo stesso art. 74, p.9, del Regolamento designi il Garante europeo per la protezione dei dati quale autorità competente, in ambito UE.

Non si può, dunque, che suggerire una riflessione su questo aspetto, nella consapevolezza di quanto la sinergia tra le due discipline – e, quindi, la loro applicazione da parte di un’unica Autorità- sia determinante per l’effettività dei diritti e delle garanzie che sanciscono, con significativa lungimiranza.