Negli ultimi mesi, il dibattito si è acceso attorno alla questione della liceità dell’uso dei sistemi di IA nell’ambito della Pubblica Amministrazione. Questo fervore deriva dalla comprensibile preoccupazione che l’impiego di tali sistemi possa comportare, seppur non necessariamente, il trattamento illegittimo di dati personali. Ne consegue – per alcuni – che l’implementazione di simili tecnologie deve essere sorretta da una solida base giuridica, in grado di legittimarne l’uso, soprattutto nel settore pubblico.
In questo contesto, il legittimo interesse assume un ruolo di primaria importanza, divenendo – anche erroneamente – la base giuridica prescelta per giustificare l’adozione e l’operatività di sistemi di IA. Tale base giuridica si erge a pilastro, applicabile in modo uniforme e senza distinzioni all’interno del complesso panorama normativo in cui si colloca. Tuttavia, si ritiene fondamentale, dunque, che le autorità competenti e gli operatori del settore considerino attentamente le implicazioni etiche, giuridiche e sociali di questo approccio, affinché l’innovazione tecnologica possa realizzarsi in armonia con i principi fondamentali di protezione dei dati e dei diritti dei cittadini.
A tale proposito sarebbe utile ricordare che l’interesse legittimo è uno dei fondamenti di liceità per il trattamento dei dati personali previsto dal Regolamento (UE) 2016/679, di seguito, anche GDPR). Tale base giuridica si applica “quando il trattamento dei dati è necessario per perseguire un legittimo interesse del titolare del trattamento o di un terzo, a condizione che su tale interesse non prevalgano i diritti e le libertà fondamentali dell’interessato, in particolare se l’interessato è un minore” (art. 6, comma 1 lett. f) GDPR).
La base giuridica del legittimo interesse – come stabilito al comma 1 dell’art. 6 del GDPR, “non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti”. Così viene ribadito nel considerando 47 del medesimo Regolamento che stabilisce “[p]osto che spetta al legislatore prevedere per legge la base giuridica che autorizza le autorità pubbliche a trattare i dati personali, la base giuridica per un legittimo interesse del titolare del trattamento non dovrebbe valere per il trattamento effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti”.
Il dubbio circa la base giuridica applicabile all’impiego dell’intelligenza artificiale appare, in verità, piuttosto superficiale ma sarebbe utile approfondire la questione nella “bozza di linee guida”. Infatti, i più significativi atti giuridici vincolanti applicabili, quali il Regolamento (UE) 2016/679 e, in particolare, il Regolamento (UE) 1689/2024 (c.d. AI Act), non forniscono riferimenti chiari riguardo alla base giuridica da applicare nell’ambito dell’utilizzo di tali sistemi da parte delle PA. È evidente che tali normative non legittimano le pubbliche amministrazioni, in qualità di Titolari del trattamento (deployer), ad avvalersi del legittimo interesse quale fondamento giuridico per le proprie operazioni di trattamento. Questa constatazione è cruciale, poiché implica che le attività di trattamento condotte dalle PA debbano necessariamente ruotare attorno a basi giuridiche diverse, adeguatamente contemplate dalla normativa vigente, nel rispetto dei diritti e delle libertà fondamentali dei cittadini; nello specifico “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6 comma 1 lett. e) GDPR).
In questo senso, è imperativo che il quadro normativo venga interpretato con rigore e precisione, anche attraverso l’impiego di linee guida operative, affinché l’innovazione tecnologica non comprometta la tutela dei dati personali e la fiducia dei cittadini nelle istituzioni pubbliche.
È fondamentale sottolineare che un sistema di IA non deve essere assimilato a un’attività di trattamento, ma si configura piuttosto come “un sistema automatizzato progettato per operare con livelli di autonomia variabili, in grado di manifestare adattabilità anche dopo la sua diffusione. Esso, per obiettivi espliciti o impliciti, deduce dall’input ricevuto come generare output, quali previsioni, contenuti, raccomandazioni o decisioni, con la potenziale capacità di influenzare ambienti fisici o virtuali” (art. 3 AI Act).
A tale riguardo, appare chiaro che il legislatore non ha il compito di individuare la base giuridica applicabile all’utilizzo di tali sistemi, ma piuttosto di imporre ai Titolari del trattamento l’obbligo di identificare la base giuridica appropriata per le operazioni di trattamento associate all’impiego dell’IA. Questa responsabilità conferisce un’importante dimensione di autonomia e di consapevolezza ai Titolari, i quali devono affrontare sfide normative e garantire che le loro pratiche siano sempre allineate con le previsioni giuridiche vigenti, tutelando nel contempo i diritti e le libertà dei soggetti coinvolti.
Le pubbliche amministrazioni non possono legittimare le proprie attività di trattamento in cui viene utilizzato un sistema di IA basandosi sul legittimo interesse.
Nel campo dell’IA, la necessità di determinazione e l’ambito di applicazione della base legittimante di tali sistemi è stato oggetto di vari approfondimenti e interpretazioni sia da parte delle autorità di protezione dati dei singoli Stati membri dell’UE, sia da parte dell’EDPB (s.v. Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models Adopted on 17 December 2024).
La bozza di linee guida proposta dall’AGID (di seguito, anche “bozza di linee guida”) manca di qualsiasi riferimento alla base giuridica applicabile in merito all’utilizzo di un sistema di intelligenza artificiale, rinviando al Parere sopra menzionato, dove viene approfondito il tema dell’“adeguatezza dell’interesse legittimo come base giuridica per il trattamento dei dati personali nel contesto dello sviluppo e dell’implementazione dei modelli di IA e il possibile impatto di un trattamento illecito di dati personali”.
Tale Parere, infatti, ricorda che “non esiste una gerarchia tra le basi giuridiche fornite dal GDPR” e che “spetta ai titolari del trattamento identificare la base giuridica appropriata per le loro attività di trattamento”. Tuttavia, dall’applicazione di questo principio deve essere esclusa la base giuridica dell’interesse legittimo in quanto non applicabile alle PA.
Pertanto, è responsabilità della PA condurre il cosiddetto necessity test o analisi di rischi allo scopo di valutare preventivamente, in virtù del meta-principio di “AI by design” e “by default”, se il sistema di IA utilizzato per il trattamento in oggetto (a) sia necessario al fine di raggiungere l’obiettivo prefissato e (b) se esistano alternative meno invasive per conseguire il medesimo obiettivo. Questa analisi preliminare è essenziale per garantire che l’adozione delle nuove tecnologie avvenga nel pieno rispetto dei diritti e delle libertà dei cittadini, mitigando al contempo i rischi inerenti al trattamento dei dati personali.
Queste interpretazioni – rivolte al settore privato – mirano a “chiarire” le condizioni e i limiti entro cui l’interesse legittimo può essere invocato, sottolineando la necessità di un attento bilanciamento tra l’interesse legittimo perseguito dal titolare del trattamento (soggetto privato) o dal terzo e i diritti e le libertà fondamentali dell’interessato/a.
Per tutto quanto sopra premesso, si “suggerisce” di arricchire la “bozza di linee guida” per evitare ambiguità e garantire che le disposizioni ivi presenti siano pienamente conformi agli obiettivi stabiliti, nonché coerenti con le normative applicabili. In particolare, si raccomanda di esplicitare chiaramente che, nel contesto della PA, il legittimo interesse non può essere considerato una base giuridica valida (Paragrafo n. 4, pagina 66 della “bozza di linee guida”). Tale precisazione è essenziale per assicurare che le linee guida, a seguito dell’approvazione da parte dell’AGID, riflettano con precisione le limitazioni normative vigenti e guidino correttamente le pratiche delle PA nel trattamento dei dati mediante l’uso di sistemi di IA a norma.