L’Atto sull’IA dell’UE e il GDPR: collisione o armonia?
L’IA è la parola d’ordine omnipresente nel settore legale. Di conseguenza, l’Atto sull’IA dell’UE è uno degli argomenti principali per molti professionisti del diritto. Ma che dire di quell’altra legislazione che era un argomento molto caldo nel 2018, il Regolamento Generale sulla Protezione dei Dati (GDPR)?
Dopo oltre sette anni, la conformità al GDPR è diventata territorio familiare per molti avvocati interni e altri professionisti. Ci sono diverse somiglianze e interazioni tra il nuovo Atto sull’IA e il GDPR, così come riferimenti espliciti al GDPR nell’Atto sull’IA. In questo articolo, discuteremo alcune delle interazioni più significative.
Generale
È sorprendente quanto la struttura generale dell’Atto sull’IA sia influenzata dal GDPR. Molti dei principi di dati (trasparenza, accuratezza, sicurezza) sono speculari all’Atto sull’IA che, come il GDPR, adotta un approccio basato sul rischio.
Il punto di incrocio evidente in termini di conformità all’Atto sull’IA è dovuto al fatto che lo sviluppo e l’uso dei sistemi di IA comportano probabilmente l’addestramento di modelli di IA su dati, alcuni dei quali saranno quasi certamente dati personali, che devono essere elaborati in conformità con il GDPR. Ciò richiede adeguate misure di sicurezza della privacy dei dati, non solo internamente, ma anche nei rapporti con fornitori e altre parti coinvolte nell’ecosistema dell’IA.
Significativamente, l’Articolo 47 dell’Atto sull’IA richiede ai fornitori di sistemi di IA ad alto rischio di redigere una dichiarazione di conformità che deve includere una dichiarazione di conformità al GDPR dove il sistema include dati personali.
Trasparenza
Il GDPR e l’Atto sull’IA hanno ciascuno il proprio regime di trasparenza. In entrambi i casi, gli individui devono ricevere informazioni adeguate su come vengono elaborati i loro dati personali e su come l’uso dell’IA li influenza.
Secondo il GDPR (Articoli 12-14), i soggetti interessati devono ricevere informazioni chiare e accessibili riguardo all’elaborazione dei loro dati personali, compresi scopi, basi legali, destinatari, periodi di conservazione e diritti dei soggetti interessati.
Secondo l’Atto sull’IA, si applicano diversi obblighi di trasparenza. Ad esempio, l’Articolo 13 richiede che i distributori ricevano istruzioni per l’uso dei sistemi di IA ad alto rischio.
Gestione del rischio
Da una prospettiva di gestione del rischio, sia il GDPR che l’Atto sull’IA adottano un approccio basato sul rischio in termini di conformità. Tuttavia, c’è una differenza fondamentale tra i due in termini di fase in cui il rischio è affrontato.
Il GDPR è basato sul rischio, richiedendo una valutazione preventiva e continua dei rischi associati all’elaborazione dei dati personali. Questo richiede misure tecniche e organizzative per affrontare il rischio in modo proporzionato.
Sotto l’Atto sull’IA, i sistemi di IA sono categorizzati in diversi livelli di rischio: rischio inaccettabile, alto rischio o rischio basso/minimo. Gli obblighi più onerosi sono associati ai sistemi di IA ad alto rischio.
Responsabilità
Sia il GDPR che l’Atto sull’IA richiedono responsabilità. In generale, ciò implica documentare i vari passi, processi e politiche per dimostrare la conformità.
Il GDPR richiede accordi di trattamento dei dati tra i controllori e i (sub-)trattatori, mentre l’Atto sull’IA richiede garanzie contrattuali sufficienti tra i vari ruoli definiti nell’Atto.
DPIA e valutazioni dei diritti fondamentali
Entrambi il GDPR e l’Atto sull’IA richiedono valutazioni dei rischi. Secondo il GDPR, in specifiche circostanze i controllori devono eseguire una Valutazione d’Impatto sulla Protezione dei Dati (DPIA).
L’Articolo 26(8) dell’Atto sull’IA stabilisce che, dove applicabile, i distributori di sistemi di IA ad alto rischio devono utilizzare le informazioni fornite sotto l’Articolo 13 dell’Atto per conformarsi all’obbligo del GDPR di eseguire una DPIA.
Trattamento di dati personali sensibili
L’Atto sull’IA (Articolo 10(5)) consente eccezionalmente il trattamento di dati personali sensibili, ma solo se strettamente necessario per garantire la rilevazione e la correzione dei pregiudizi nei sistemi di IA ad alto rischio e sotto determinate condizioni.
Decisioni automatizzate e supervisione umana
Sia l’Atto sull’IA che il GDPR prevedono una forma di meccanismo di supervisione umana. L’Articolo 22 del GDPR conferisce ai soggetti interessati il diritto di non essere soggetti a una decisione automatizzata esclusivamente che abbia un effetto legale o significativamente rilevante su di loro.
L’Atto sull’IA ha un regime più rigoroso in atto nell’Articolo 14, secondo il quale i sistemi di IA ad alto rischio devono essere progettati con strumenti di interfaccia uomo-macchina che consentono una supervisione efficace.
Segnalazione di incidenti
Entrambi i regimi implementano un sistema di segnalazione degli incidenti, consentendo di presentare segnalazioni iniziali e successive.
Secondo il GDPR (Articolo 33), l’incidente principale che può verificarsi è una violazione dei dati. La notifica di tale violazione deve essere effettuata all’autorità di protezione dei dati pertinente senza indugi.
Sotto l’Atto sull’IA (Articolo 73), incidenti gravi devono essere segnalati alle autorità regolatorie immediatamente dopo aver stabilito un legame causale tra il sistema di IA e l’incidente grave.
Gestione del doppio onere di conformità
Questo è solo un riepilogo di alcune delle aree in cui i concetti del GDPR si sovrappongono a quelli dell’Atto sull’IA. Tuttavia, ci sono situazioni limitate in cui la conformità a una legislazione sarà sufficiente per conformarsi all’altra.
Azioni utili includono:
- mappare i ruoli dell’Atto sull’IA con i ruoli del GDPR
- raccogliere informazioni adeguate e elaborare tali informazioni in linee guida pertinenti per gli utenti/soggetti dei dati
- garantire che i dati di addestramento dell’IA contenenti dati personali siano soggetti a adeguate misure di privacy
- documentare lo sviluppo e il monitoraggio dell’IA per dimostrare la conformità
