Con parere n. 477 del 2/08/2024, il Garante Privacy si è espresso sullo “Schema di disegno di legge recante disposizioni e deleghe in materia di intelligenza artificiale”. Esaminate le singole norme proposte dal DDL AI alla luce dei principi sanciti dal GDPR, il Garante ha espresso parere favorevole sul testo, chiedendo però l’adozione di alcuni correttivi.
Il D.D.L. italiano sull’AI
Parallelamente all’adozione dell’AI Act da parte del Parlamento europeo (Reg. UE 2024/1689), il 23/04/2024 il Consiglio dei Ministri italiano ha proposto l’adozione di un disegno di legge in materia di intelligenza artificiale. Il D.D.L., presentato in Senato il 20/05/2024, mira ad adeguare la normativa interna all’AI Act, disciplinando l’uso dei sistemi di intelligenza artificiale in settori particolarmente delicati e rimessi all’autonomia dei singoli Stati Membri.
Il testo, elaborato allo scopo di promuovere “un utilizzo corretto, trasparente e responsabile, in una dimensione antropocentrica, dell’intelligenza artificiale, volto a coglierne le opportunità” (art. 1 del D.D.L.), è composto da 26 articoli, che si propongono di regolamentare l’uso dell’AI nel settore sanitario (art. 7, 8 e 9), del lavoro (art. 10 e 11), nell’esercizio di professioni intellettuali (art. 12), nell’attività della pubblica amministrazione e giudiziaria (art. 14 e 15), in materia di diritto d’autore (art. 23 e 24) e, infine, in ambito penale (art. 25).
Con particolare riguardo all’uso dell’AI in ambito sanitario, l’art. 8 del D.D.L. disciplina l’uso di dati personali, anche particolari (ex dati sensibili), per finalità di sviluppo di sistemi AI. Tale norma dichiara di rilevante interesse pubblico i trattamenti di dati personali per finalità di ricerca e sperimentazione nello sviluppo di sistemi di AI in ambito sanitario e, così facendo, legittima l’uso secondario dei dati per tali finalità.
La norma impone però di rispettare l’obbligo di informativa agli interessati – da assolvere anche mediante la pubblicazione di un’informativa generale sul sito web del titolare e senza ulteriore consenso dell’interessato – e l’obbligo di comunicazione preventiva al Garante, prevedendo un meccanismo di silenzio-assenso in base al quale, ove non si riceva un provvedimento inibitorio nei 30 giorni successivi alla comunicazione, le attività di trattamento potranno proseguire.
Vista la stretta correlazione tra l’uso dei sistemi di AI e la tutela dei dati personali, la Presidenza del Consiglio dei Ministri ha chiesto al Garante Privacy di esprimere il proprio parere sul testo del D.D.L.
Il parere del Garante italiano
Il Garante italiano ha analizzato nel dettaglio la formulazione dei singoli articoli contenuti nel D.D.L. e, nel complesso, ha emesso parere positivo sul testo. Tuttavia, ha evidenziato la necessità di modificare in più punti il testo del D.D.L. al fine di renderlo conforme al GDPR e all’AI Act.
In primo luogo, è stato suggerito di introdurre un articolo specifico e ad applicazione trasversale, contenente un vincolo generale di conformità dei trattamenti di dati personali alla disciplina prevista dal GDPR.
Un’attenzione particolare è stata riservata alle norme relative all’uso dell’AI in ambito sanitario, per le quali il Garante ha richiesto le correzioni più significative. In particolare, è stato suggerito al legislatore di riformulare gli art. 7, 8 e 9 del D.D.L. integrandoli con gli stringenti limiti che l’art. 10 dell’AI Act esige per il trattamento dei dati particolari.
Inoltre, rispetto all’art. 8 del D.D.L., il Garante ha sottolineato la necessità di adeguare la norma ai requisiti di determinatezza, previsti dagli articoli 6 e 9 del GDPR, e alle garanzie di cui all’art. 89 del GDPR. Il Garante ha chiesto altresì di sopprimere il riferimento alla possibilità di assolvere all’obbligo di informativa mediante la pubblicazione di un’informativa generale sul sito web del titolare del trattamento, ritenendo che tale ipotesi non sia compatibile con di uso secondario dei dati.
Infine, rispetto al meccanismo di silenzio-assenso previsto dall’art. 8 del D.D.L., il Garante ha sottolineato che il decorso del termine di 30 giorni non consuma i poteri tipici dell’Autorità che, anche successivamente, potrà comunque accertare e sanzionare eventuali illeciti.
Ilaria Feriti