GDPR e AI: L’Applicazione della Normativa nell’Unione Europea
Il rapido sviluppo dei sistemi di intelligenza artificiale (AI) nell’Unione Europea (UE) ha posto la legge sulla protezione dei dati al centro della governance dell’AI. Molti sistemi di AI si basano su un’elaborazione su larga scala di dati personali, rendendo il Regolamento Generale sulla Protezione dei Dati (GDPR) il primo quadro normativo efficace per l’AI, ben prima dell’entrata in vigore della Legge sull’Intelligenza Artificiale (AI Act).
Applicazione del GDPR nelle Tecnologie AI
Più di sette anni dopo l’entrata in vigore del GDPR, le autorità nazionali per la protezione dei dati (DPA) stanno applicando le normative sulla protezione dei dati in modo concreto alle pratiche legate all’AI. Le DPA hanno avviato indagini, adottato misure correttive e, in alcuni casi, imposto sanzioni significative riguardo a tecnologie abilitate all’AI come l’identificazione biometrica, il riconoscimento facciale e la profilazione.
Questa attività riflette il crescente ruolo delle DPA nella salvaguardia dei diritti fondamentali degli individui. Tuttavia, l’applicazione rimane disomogenea in tutta l’UE, con differenze nelle risorse e nelle priorità nazionali che contribuiscono a un’applicazione frammentata del GDPR nei contesti legati all’AI.
Guidelines e Soft Law
Oltre all’applicazione, le autorità europee e nazionali si basano su linee guida e strumenti di soft law per chiarire come i principi fondamentali del GDPR (come legalità, trasparenza e responsabilità) si applicano all’AI. Questi sforzi aiutano a plasmare le pratiche di conformità e forniscono una certa certezza legale per le organizzazioni.
Enforcement delle Tecnologie Biometriche
Le tecnologie biometriche abilitate all’AI hanno subito un’applicazione rigorosa da parte delle DPA. I sistemi di riconoscimento facciale basati su raccolta di immagini da siti web pubblici sono stati trovati in violazione dei principi fondamentali del GDPR. In un caso significativo, un’autorità ha imposto una multa di oltre 30 milioni di euro per la raccolta illegale di fotografie di volti.
Decisioni Automatizzate e Profilazione
Un’altra area centrale di applicazione riguarda le decisioni automatizzate e la profilazione. Le DPA hanno sanzionato organizzazioni che prendono decisioni commerciali senza una base legale valida o adeguata trasparenza. A tal proposito, una DPA ha multato un’istituzione finanziaria per elaborazione illecita di dati.
Guida sull’Utilizzo dei Sistemi AI
Il livello europeo ha chiarito che i modelli AI e i sistemi di decisione automatizzati devono rispettare l’intero insieme di principi del GDPR. È fondamentale identificare una base legale appropriata per l’elaborazione dei dati legati all’AI, con particolare attenzione alla necessità e alla documentazione delle misure di salvaguardia.
Conclusioni
L’applicazione del GDPR offre un quadro operativo principale per scrutinare le tecnologie AI che coinvolgono dati personali. Sebbene l’AI Act non sostituisca il ruolo delle DPA, esso assegna loro obblighi di supervisione per alcune applicazioni AI ad alto rischio. La crescente complessità tecnica dei sistemi AI richiede un’evoluzione continua delle normative per rimanere praticabili e proporzionate, in un contesto di competitività europea e semplificazione normativa.
