Se c’è un AI Act, bisognerebbe quantomeno che le normative nazionali lo prendano in considerazione. Se c’è una autorità per la protezione dei dati personali, bisognerebbe quantomeno che le normative nazionali la assumano come punto di riferimento in questo ambito. Se esistono sistemi di verifica dell’età che dovrebbero disciplinare, in qualche modo, la vita digitale, sarebbe opportuno che le normative nazionali li possano prevedere, anche quando si parla di intelligenza artificiale. Il Garante della Privacy ha recentemente inviato alla Presidenza del Consiglio dei ministri un parere in merito al disegno di legge che dovrebbe disciplinare l’utilizzo dell’AI in Italia, il cosiddetto ddl intelligenza artificiale. Il quadro tracciato dal collegio presieduto da Pasquale Stanzione non è propriamente roseo, dal momento che – tra i sei capi contenenti norme e principi all’interno della legge che deve essere discussa e approvata – sono diversi i punti critici su cui le istituzioni farebbero bene ad approfondire e a studiare soluzioni alternative, suggerite – del resto – dallo stesso Garante.
LEGGI ANCHE > Cosa prevede la bozza del ddl AI di Palazzo Chigi
Ci sono almeno tre temi caldi su cui si è concentrata l’attenzione del Garante della Privacy: si tratta soprattutto dell’assenza, all’interno del ddl intelligenza artificiale, di un riferimento ai sistemi di age verification che le varie piattaforme che offrono servizi basati sull’intelligenza artificiale dovrebbero mettere a disposizione degli utenti. In secondo luogo, sarebbe importante evidenziare il ruolo di garanzia del collegio che si riunisce a Piazza Venezia soprattutto sul trattamento dei dati personali e sulle varie previsioni in materia di archiviazione e distribuzione degli stessi, affiancando il Garante della Privacy all’Agenzia per la Cybersicurezza Nazionale e all’Agid. In ultimo, il Garante ha evidenziato come una eventuale piattaforma basata sull’intelligenza artificiale per determinare l’accesso dei cittadini ad alcuni servizi sanitari non dovrebbe indicare come titolare del trattamento dei dati personali l’Agenas (ovvero l’Agenzia nazionale per i servizi sanitari regionali), ma il ministero della Salute, che è già titolare del trattamento di questa particolare categoria di dati per tutte le altre esigenze dei cittadini.
L’analisi, comunque, è molto più puntuale e prende in considerazione anche i problemi che si vengono a creare nel momento in cui queste tre esigenze sembrano essere scoperte all’interno del disegno di legge. Mentre il Garante della Privacy si ritiene soddisfatto, ad esempio, rispetto all’impostazione generale del disegno di legge, definito “antropocentrico” e – pertanto – volto a mettere un confine molto ben delineato rispetto a tutte le storture che l’intelligenza artificiale potrebbe rappresentare per l’essere umano, non esita a evidenziare nello specifico i punti che andrebbero integrati e corretti.
Due i fari normativi che dovrebbero orientare il ddl, secondo il Garante. Innanzitutto, l’AI Act recentemente approvato a livello comunitario: il Garante ritiene che nel testo del ddl ci siano delle sovrapposizioni che sarebbe utile verificare, per evitare un sovraffollamento normativo e una conseguente confusione nell’applicazione delle regole. Poi, il Regolamento (Ue) 2016/679 che affronta proprio l’argomento del trattamento dei dati personali: secondo il Garante, sarebbe opportuno sintetizzare il disegno di legge facendo un riferimento specifico a questo regolamento e a tutte le norme nazionali da esso derivate per uniformare a tutti gli altri trattamenti di dati personali anche quello derivante dall’utilizzo di sistemi e piattaforme di intelligenza artificiale. Tutto questo impedirebbe alle aziende che si occupano di intelligenza artificiale di fare un uso indiscriminato dei dati personali e le farebbe rientrare in quel solco che tutte le altre aziende e piattaforme (ad esempio, anche quelle di social networking) devono prevedere attualmente per non violare il regolamento europeo sulla privacy.
Il riferimento specifico a sistemi di age verification, poi, è da sempre un cruccio del Garante della Privacy: la non conformità di un sistema come ChatGPT alle previsioni comunitarie e nazionali, infatti, era stata tra le varie considerazioni che, nel 2023, avevano portato il Garante della Privacy a criticare ChatGPT (che, per un certo periodo di tempo, aveva smesso di funzionare sul territorio italiano, salvo poi tornare operativo dopo una serie di interlocuzioni tra il Garante e OpenAI, che avevano messo una pezza ai problemi evidenziati dall’autorità italiana). Sarebbe davvero strano se una autorità richiedesse con così insistente puntualità il rispetto di criteri di verifica dell’età a tutela dei minori di 14 anni per gli utenti che si servono di strumenti di intelligenza artificiale, mentre una legge dello Stato – al contrario – non facesse nulla per affermare questo sacrosanto principio.
Inoltre, il Garante ha ribadito l’importanza del collegio nell’ambito della sorveglianza e dell’applicazione delle normative sulla tutela dei dati personali: per questo richiede a gran voce un ruolo maggiore, che possa affiancare e integrare (ma questo aspetto è già stato oggetto di una querelle tra l’autorità e le parti politiche in causa nella stesura del ddl) quello di ACN e Agid. Mentre boccia su tutta la linea il ruolo attribuito ad Agenas – come vedremo in un altro articolo del monografico di oggi – nella tutela del trattamento dei dati personali delle piattaforme sanitarie che dovessero dotarsi di servizi basati sull’intelligenza artificiale.
L'articolo Al Garante della Privacy non tornano diverse cose sul ddl intelligenza artificiale proviene da Giornalettismo.