Un tema estremamente attuale è quello relativo all’intelligenza artificiale (c.d. “AI”), il quale – inevitabilmente – unitamente alla ventata di progresso di cui è pioniere, porta con sé altresì accesi dibattiti ed interrogativi in merito alla compatibilità di tale innovativo strumento con le attuali norme in materia di privacy e tutela dei dati personali. 

Il Consiglio Europeo, difatti, ha emanato il Regolamento Europeo in materia di intelligenza artificiale, il quale entrerà in vigore a breve, successivamente alla pubblicazione in Gazzetta Ufficiale. 

È chiaro, pertanto, che nelle more, molte organizzazioni si stiano interrogando su quale sia il perimetro entro il quale sarà possibile ricorrere ad applicazioni di intelligenza artificiale, non ponendosi in violazione delle normative in materia di protezione dei dati, avendo specifico riguardo ai c.d. “Large Language Model (LLM)”, i quali sono alla base dei sempre crescenti chatbot frutto della richiamata intelligenza artificiale. 

In tale ambito, di grande rilievo appare il ruolo attualmente svolto dalle Autorità per la protezione dei dati personali dei diversi stati membri dell’Unione, le quali stanno operando al fine di delimitare o, quanto meno, regolamentare l’utilizzo dei sistemi di intelligenza artificiale in maniera tale da renderli compatibili con le vigenti normative in materia di privacy e protezione dei dati personali.

Orbene, da ultimo, sul tema è intervenuto il Garante della Privacy tedesco (“Conference of Independent Federal and State Data Protection Supervisory Authorities” – c.d. “DSK”), il quale ha fornito delle utili linee guida che gli operatori pubblici e privati dovranno osservare al fine di mantenere un corretto bilanciamento tra il progresso connesso all’implementazione dei sistemi di AI e la tutela della privacy e dei dati personali coinvolti.

Nello specifico, le ridette linee guida si articolano nelle seguenti sezioni: 

– Concezione dell’uso e della selezione delle applicazioni di IA e campi di applicazione leciti;

– Base giuridica per il trattamento dei dati tramite sistemi di IA e decisioni finali basate automatizzate; 

– Pro e contro della scelta tra Sistema chiuso aperto;

– La centralità del tema della trasparenza, incluso per quanto riguarda l’addestramento;

– Implementazione di applicazioni di IA e la necessaria valutazione d’impatto sulla protezione dei dati;

– Protezione dei dati attraverso la progettazione tecnologica e l’impostazione predefinita favorevole alla protezione dei dati; 

– Sicurezza dei dati; 

– Sensibilizzare i dipendenti; 

– Particolare attenzione alle categorie particolari di dati personali;

– Verifica della correttezza dei risultati e delle procedure per evitare effetti di discriminazione. 

Elementi cardine al fine di correttamente operare il suindicato bilanciamento, come statuito dalle linee guida emesse dal Garante della Privacy tedesco, sono i seguenti: 

1. Chiarire in modo esplicito, prima di utilizzare un’applicazione di IA, a quali campi di applicazione l’AI specifica è destinata in tal modo chiarendo, con riferimento ai dati personali coinvolti, la finalità di raccolta degli stessi e l’indispensabilità della raccolta medesima per il raggiungimento dello scopo; 
2. Individuazione di una corretta base giuridica ai sensi del GDPR (UE) come passaggio necessario per ogni fase del trattamento in cui i dati personali vengono trattati tramite un’applicazione di intelligenza artificiale, fermo restando il dettato ex art. 22 del GDPR il quale prevede che ogni soggetto a cui si riferiscano i dati personali trattati tramite i sistemi di intelligenza artificiale abbia il diritto di non essere sottoposto a procedure automatizzate di trattamento dei dati; 
3. Fornire una informativa chiara e dettagliata sull’utilizzo dei dati personali, sia circa le informazioni direttamente identificative delle persone (nome, cognome, ecc.), sia di quelle indirettamente identificative di persone fisiche, le quali comunque costituiscono fattore di rischio nell’ambito delle applicazioni di intelligenza artificiale, le quali sono proprio progettate per creare riferimenti incrociati tra dati; 
4. Particolare attenzione al trattamento di dati sensibili quali informazioni in materia di religione, identità sessuale, informazioni sanitarie, ecc..

Avv. Cecilia Di Guardo