I possibili conflitti fra AI Act e GDPR

I possibili conflitti fra AI Act e GDPR

Il parlamento europeo si interroga sui possibili conflitti fra legge sull’intelligenza artificiale e regolamento generale sulla protezione dei dati, legati alla possibilità di trattare dati personali per garantire elaborazioni corrette da parte dell’IA.

Nell’agosto 2024 è stata approvata la legge sull’intelligenza artificiale e cominciano adesso ad apparire difficoltà applicative, legate alla possibilità di trattare particolari dati personali, per garantire elaborazioni corrette da parte degli applicativi di intelligenza artificiale. Occorre approfondire questo potenziale conflitto.

È noto come gli applicativi di intelligenza artificiale possano violare i diritti fondamentali degli individui, soprattutto in applicazioni particolari, come ad esempio la valutazione del rischio di credito o la valutazione della idoneità ad assumere particolari ruoli aziendali.

La legge sulla intelligenza artificiale affronta proprio questo tipo di problemi e consente il trattamento di speciali categorie di dati, almeno nei limiti in cui questo trattamento sia necessario per garantire valutazioni eque, emesse da sistemi di intelligenza artificiale.

Pubblicità

Libri e Manuali - La progettazione delle sale di controllo: la serie ISO 11064 ed altre norme - eBook in pdf Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti.

Il concetto di “ speciali categorie di dati personali” definito nell’articolo 9 del GDPR, ad esempio, comprende origine razziale od etnica, opinioni politiche, appartenenza a sindacati, dati genetici, biometrici, sanitari, orientamento sessuale e via dicendo. A questo proposito, alcuni esperti hanno sottolineato il fatto che perché un algoritmo utilizzato nel settore della valutazione di idoneità ad un impiego non possa discriminare sulla base di elementi etnici, l’algoritmo dovrebbe essere messo a conoscenza del dato etnico, relativo al soggetto in esame. A questo proposito, il GDPR esplicitamente indica che questi dati possono essere trattati solo col consenso esplicito dell’interessato coinvolto. Ecco perché, in caso di possibile conflitto fra la legge sull’intelligenza artificiale ed il GDPR, viene chiaramente stabilito che le indicazioni del GDPR sono prevalenti.

Già a settembre 2024 l’autorità garante belga aveva messo in evidenza alcuni elementi fondamentali da rispettare, nel trattare dati personali sensibili in un contesto di applicativi di intelligenza artificiale, vale a dire:

• occorre introdurre robuste misure di sicurezza informatica per prevenire perdita di dati,
• tutti gli applicativi di intelligenza artificiale, che trattano dati personali, devono soddisfare i requisiti di riduzione al massimo dei dati acquisiti, l’indicazione di tempi di conservazione i più brevi possibili, il rispetto del principio di integrità e riservatezza dei dati,
• occorre introdurre il concetto di consentire il trattamento dei dati solo in casi di stretta necessità,
• e via dicendo.

Tutti questi aspetti devono inoltre essere esaminati alla luce del fatto che già da qualche tempo si parla di una possibile revisione del GDPR e questa potrebbe essere l’occasione per risolvere possibili conflitti con gli applicativi di intelligenza artificiale e, contemporaneamente, aggiornare il GDPR, sulla base della ormai lunga esperienza maturata e sulla base delle evidenze di necessari aggiornamenti in alcune aree del regolamento stesso.

Parlamento Europeo - Algorithmic discrimination under the AI Act and the GDPR (PDF)

Adalberto Biasiotti

Licenza Creative Commons