10. Protezione dei dati personali

Bozza di linee guida per l’adozione di IA nella pubblica amministrazione

La consultazione pubblica è attiva dal 18/02/2025 al 20/03/2025.

Questo argomento accoglie i commenti relativi al capitolo 10. Protezione dei dati personali.

I commenti dovranno includere il numero del paragrafo o sotto-paragrafo (se presente) e un riferimento puntuale al brano di testo al quale si riferiscono (ad esempio paragrafo 4.3, terzo capoverso).

Leggi il documento in consultazione.

Nonostante l’argomento sia rilevante (benché non sempre un sistema di IA utilizzi dati personali) è stato trattato in modo molto sommario. manca, ad esempio, un chiaro riferimento alla DPIA in relazione alla FRIA del AI Act.

Si suggerisce di ampliare la trattazione relativa alle misure di minimizzazione dei dati. Si raccomanda di integrare la sezione con esempi concreti di tecniche di data shaping (quali generalizzazione, soppressione, randomizzazione) che le Pubbliche Amministrazioni possono adottare al fine di ridurre la quantità di dati trattati, senza compromettere la funzionalità dei sistemi di Intelligenza Artificiale.

Si reputa utile approfondire le tecniche di anonimizzazione avanzate, quali la privacy differenziale, il k-anonimato e la l-diversity, fornendo criteri orientativi per la loro selezione in funzione del livello di rischio.

Considerata la necessità di adattare la Valutazione d’Impatto sulla Protezione dei Dati (DPIA) alle peculiarità dei sistemi di IA, si raccomanda di considerare i rischi specifici ad essi associati (es., rischio di re-identificazione, di inferenza di informazioni sensibili).

Al fine di chiarire le responsabilità in materia di protezione dei dati, si suggerisce di distinguere tra il fornitore del sistema di IA e la Pubblica Amministrazione che lo utilizza in qualità di deployer, con particolare riferimento ai trattamenti complessi.

Al fine di garantire un effettivo controllo da parte degli utenti, si raccomanda di evidenziare la necessità di predisporre meccanismi chiari e accessibili per opporsi al trattamento dei propri dati, nel rispetto della normativa vigente, e di garantire la trasparenza del trattamento attraverso la messa a disposizione di informazioni chiare e comprensibili.

Per una maggiore sistematicità, si propone di valutare la predisposizione di una tabella che elenchi le diverse tipologie di dati trattati dai sistemi di IA (dati di addestramento, dati in input, dati in output) e, per ciascuna tipologia, le misure di protezione ritenute più adeguate.

Negli ultimi mesi, il dibattito si è acceso attorno alla questione della liceità dell’uso dei sistemi di IA nell’ambito della Pubblica Amministrazione. Questo fervore deriva dalla comprensibile preoccupazione che l’impiego di tali sistemi possa comportare, seppur non necessariamente, il trattamento illegittimo di dati personali. Ne consegue – per alcuni – che l’implementazione di simili tecnologie deve essere sorretta da una solida base giuridica, in grado di legittimarne l’uso, soprattutto nel settore pubblico.

In questo contesto, il legittimo interesse assume un ruolo di primaria importanza, divenendo – anche erroneamente – la base giuridica prescelta per giustificare l’adozione e l’operatività di sistemi di IA. Tale base giuridica si erge a pilastro, applicabile in modo uniforme e senza distinzioni all’interno del complesso panorama normativo in cui si colloca. Tuttavia, si ritiene fondamentale, dunque, che le autorità competenti e gli operatori del settore considerino attentamente le implicazioni etiche, giuridiche e sociali di questo approccio, affinché l’innovazione tecnologica possa realizzarsi in armonia con i principi fondamentali di protezione dei dati e dei diritti dei cittadini.

A tale proposito sarebbe utile ricordare che l’interesse legittimo è uno dei fondamenti di liceità per il trattamento dei dati personali previsto dal Regolamento (UE) 2016/679, di seguito, anche GDPR). Tale base giuridica si applica “quando il trattamento dei dati è necessario per perseguire un legittimo interesse del titolare del trattamento o di un terzo, a condizione che su tale interesse non prevalgano i diritti e le libertà fondamentali dell’interessato, in particolare se l’interessato è un minore” (art. 6, comma 1 lett. f) GDPR).

La base giuridica del legittimo interesse – come stabilito al comma 1 dell’art. 6 del GDPR, “non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti”. Così viene ribadito nel considerando 47 del medesimo Regolamento che stabilisce “[p]osto che spetta al legislatore prevedere per legge la base giuridica che autorizza le autorità pubbliche a trattare i dati personali, la base giuridica per un legittimo interesse del titolare del trattamento non dovrebbe valere per il trattamento effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti”.

Il dubbio circa la base giuridica applicabile all’impiego dell’intelligenza artificiale appare, in verità, piuttosto superficiale ma sarebbe utile approfondire la questione nella “bozza di linee guida”. Infatti, i più significativi atti giuridici vincolanti applicabili, quali il Regolamento (UE) 2016/679 e, in particolare, il Regolamento (UE) 1689/2024 (c.d. AI Act), non forniscono riferimenti chiari riguardo alla base giuridica da applicare nell’ambito dell’utilizzo di tali sistemi da parte delle PA. È evidente che tali normative non legittimano le pubbliche amministrazioni, in qualità di Titolari del trattamento (deployer), ad avvalersi del legittimo interesse quale fondamento giuridico per le proprie operazioni di trattamento. Questa constatazione è cruciale, poiché implica che le attività di trattamento condotte dalle PA debbano necessariamente ruotare attorno a basi giuridiche diverse, adeguatamente contemplate dalla normativa vigente, nel rispetto dei diritti e delle libertà fondamentali dei cittadini; nello specifico “l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento” (art. 6 comma 1 lett. e) GDPR).

In questo senso, è imperativo che il quadro normativo venga interpretato con rigore e precisione, anche attraverso l’impiego di linee guida operative, affinché l’innovazione tecnologica non comprometta la tutela dei dati personali e la fiducia dei cittadini nelle istituzioni pubbliche.

È fondamentale sottolineare che un sistema di IA non deve essere assimilato a un’attività di trattamento, ma si configura piuttosto come “un sistema automatizzato progettato per operare con livelli di autonomia variabili, in grado di manifestare adattabilità anche dopo la sua diffusione. Esso, per obiettivi espliciti o impliciti, deduce dall’input ricevuto come generare output, quali previsioni, contenuti, raccomandazioni o decisioni, con la potenziale capacità di influenzare ambienti fisici o virtuali” (art. 3 AI Act).

A tale riguardo, appare chiaro che il legislatore non ha il compito di individuare la base giuridica applicabile all’utilizzo di tali sistemi, ma piuttosto di imporre ai Titolari del trattamento l’obbligo di identificare la base giuridica appropriata per le operazioni di trattamento associate all’impiego dell’IA. Questa responsabilità conferisce un’importante dimensione di autonomia e di consapevolezza ai Titolari, i quali devono affrontare sfide normative e garantire che le loro pratiche siano sempre allineate con le previsioni giuridiche vigenti, tutelando nel contempo i diritti e le libertà dei soggetti coinvolti.

Le pubbliche amministrazioni non possono legittimare le proprie attività di trattamento in cui viene utilizzato un sistema di IA basandosi sul legittimo interesse.

Nel campo dell’IA, la necessità di determinazione e l’ambito di applicazione della base legittimante di tali sistemi è stato oggetto di vari approfondimenti e interpretazioni sia da parte delle autorità di protezione dati dei singoli Stati membri dell’UE, sia da parte dell’EDPB (s.v. Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models Adopted on 17 December 2024).

La bozza di linee guida proposta dall’AGID (di seguito, anche “bozza di linee guida”) manca di qualsiasi riferimento alla base giuridica applicabile in merito all’utilizzo di un sistema di intelligenza artificiale, rinviando al Parere sopra menzionato, dove viene approfondito il tema dell’“adeguatezza dell’interesse legittimo come base giuridica per il trattamento dei dati personali nel contesto dello sviluppo e dell’implementazione dei modelli di IA e il possibile impatto di un trattamento illecito di dati personali”.

Tale Parere, infatti, ricorda che “non esiste una gerarchia tra le basi giuridiche fornite dal GDPR” e che “spetta ai titolari del trattamento identificare la base giuridica appropriata per le loro attività di trattamento”. Tuttavia, dall’applicazione di questo principio deve essere esclusa la base giuridica dell’interesse legittimo in quanto non applicabile alle PA.

Pertanto, è responsabilità della PA condurre il cosiddetto necessity test o analisi di rischi allo scopo di valutare preventivamente, in virtù del meta-principio di “AI by design” e “by default”, se il sistema di IA utilizzato per il trattamento in oggetto (a) sia necessario al fine di raggiungere l’obiettivo prefissato e (b) se esistano alternative meno invasive per conseguire il medesimo obiettivo. Questa analisi preliminare è essenziale per garantire che l’adozione delle nuove tecnologie avvenga nel pieno rispetto dei diritti e delle libertà dei cittadini, mitigando al contempo i rischi inerenti al trattamento dei dati personali.

Queste interpretazioni – rivolte al settore privato – mirano a “chiarire” le condizioni e i limiti entro cui l’interesse legittimo può essere invocato, sottolineando la necessità di un attento bilanciamento tra l’interesse legittimo perseguito dal titolare del trattamento (soggetto privato) o dal terzo e i diritti e le libertà fondamentali dell’interessato/a.

Per tutto quanto sopra premesso, si “suggerisce” di arricchire la “bozza di linee guida” per evitare ambiguità e garantire che le disposizioni ivi presenti siano pienamente conformi agli obiettivi stabiliti, nonché coerenti con le normative applicabili. In particolare, si raccomanda di esplicitare chiaramente che, nel contesto della PA, il legittimo interesse non può essere considerato una base giuridica valida (Paragrafo n. 4, pagina 66 della “bozza di linee guida”). Tale precisazione è essenziale per assicurare che le linee guida, a seguito dell’approvazione da parte dell’AGID, riflettano con precisione le limitazioni normative vigenti e guidino correttamente le pratiche delle PA nel trattamento dei dati mediante l’uso di sistemi di IA a norma.

Un aspetto quasi del tutto trascurato dal punto di vista PRATICO (copia e incolla dal GDPR, purtroppo) è sempre quello tecnologico-ingegneristico, in particolare per quanto riguarda la “teoria dei sistemi” (= un sistema IT per poter risultare “sicuro” deve poter essere osservabile e controllabile). Il percorso di compliance quindi non può prescindere dal contributo effettivo di professionisti IT con importante specializzazione nel settore dell’intelligenza artificiale. Mi auguro non venga fatto lo stesso errore che i “padri” del GDPR hanno compiuto, ovvero il quasi totale disinteresse nel prevedere l’obbligatorietà di applicazione di una norma ISO a supporto (27001 ed oggi la 42001) a mezzo di perizia tecnica verticale, relativa all’istanza specifica e magari GIURATA ! Ideale il contributo da parte degli ingegneri ICT libero professionisti. Grazie

1 Mi Piace
  1. Allineamento normativo esplicito: esplicitare i riferimenti al GDPR, Codice Privacy e altre normative, aggiungendo sezioni che descrivano le procedure di compliance; rimuovere passaggi troppo generici o duplicati.
  2. Procedure di gestione delle violazioni: integrare una procedura operativa dettagliata per la gestione e la comunicazione delle violazioni dei dati, con esempi pratici (es. flowchart di intervento), eliminando parti poco chiare.
  3. Tecniche di protezione dei dati: aggiungere linee guida operative e esempi concreti per l’adozione di tecniche di anonimizzazione e pseudonimizzazione, semplificando e rimuovendo descrizioni troppo tecniche.

Il trattamento dei dati personali assume un aspetto essenziale ai fini della verifica della salvaguardia e della tutela dei diritti di un soggetto, in considerazione dell’inevitabile trattamento di dati sensibili, correlati alla salute dei soggetti, nonché anche dati genetici a seconda delle circostanze, in funzione dei quali la normativa in materia di dati personali disciplina disposizioni altamente restrittive, finalizzate a conferire al Titolare del trattamento dei dati importanti funzioni di responsabilità in merito, essendo tenuto alla massima protezione degli stessi, mediante misure che ne assicurino anche la trasparenza della rispettiva gestione. Nell’ambito di una data sperimentazione clinica, le responsabilità in materia di protezione dei dati personali sono sia in capo al Promotore in qualità di Titolare del Trattamento che in capo alla struttura sanitaria. Il Titolare del Trattamento dati personali di un’azienda sanitaria è rappresentato dal Direttore Generale in qualità di rappresentante legale della medesima e ciascuna struttura sanitaria è tenuta a predisporre appropriati sistemi organizzativi e gestionali finalizzati alla garanzia di una sicura e protetta gestione dei dati personali dei soggetti afferenti, assicurando peraltro le dovute formazioni e attribuzioni di responsabilità in capo al personale delegato al trattamento. In Italia il recepimento del Regolamento Europeo n. 679/2016 è avvenuto mediante l’emanazione del D. lgs n.101/2018 che integra le disposizioni del Regolamento suddetto con quelle del Codice Privacy n.196/2003.
Nell’ambito dell’organizzazione di un dato sito sperimentale, come parte integrante dell’organizzazione della struttura sanitaria, rientra pertanto oggetto di verifica anche dell’implementazione di un adeguate misure finalizzate ad assicurare il massimo rispetto della tutela dei dati personali dei soggetti afferenti. Gli ispettori pertanto devono poter verificare che il trattamento dei dati è avvenuto solo in capo al personale debitamente delegato, nel rispetto dell’ impiego di sistemi informatici e organizzativi che ne assicurino la protezione, come sistemi telematici che assicurino la crittografia dei dati, nonché database di raccolta dei dati debitamente muniti di software in grado di assicurarne la protezione, inclusa la necessità di assicurare l’accesso ai medesimi solo dal personale delegato in possesso di apposite credenziali personali, debitamente archiviate, assicurandone la riservatezza. Nell’ambito della presente organizzazione, nel rispetto della normativa disciplinata dal suddetto regolamento, pertanto deve essere assicurata la presenza di un apposito Responsabile della Protezione dei dati (DPO) al quale competono funzioni di assicurare una gestione corretta dei dati personali, nelle imprese e negli enti e di porsi quale referente principale presso ogni ente e struttura. Rappresenta pertanto una figura professionale che assume le medesime responsabilità del titolare del trattamento dati, assicurando il rispetto alla massima sicurezza degli stessi. Un’altra importante responsabilità del DPO è assicurare la tempestiva denuncia al Garante della Privacy in caso di violazione dei dati, nonché istituzione e gestione di un apposito registro di trattamento dei dati personali.

Con riferimento alla sezione citata, non si evincono informazioni circa le responsabilità del titolare del trattamento dei dati personali, a cui competono obblighi di adozione come sopra citato di un sistema caratterizzato da misure organizzative e gestionali, oltre che tecniche in grado di assicurare la gestione consona dei dati personali oggetto di trattamento, nell’ambito dei quali pertanto assicurare un rispettivo sistema di gestione per la qualità meramente specifico il trattamento dei dati personali caratterizzato da procedure operative oltre che processi, nell’ambito dei quali dedurre il rispetto del principio di accontability per quanto concerne l’uso di sistemi ai fini della protezione dei dati, ovvero appropriate misure volte ad assicurare la responsabilità in capo a ciascun dipendente delegato, delle quali peraltro dare debita evidenza anche nell’ambito di appositi contratti di lavoro, fermo restando le informazioni presenti nell’ambito di una informativa al trattamento dei dati.

A tal riguardo, si evince come ricorra pertanto la necessità in capo ad un dato titolare del trattamento dei dati, di assicurare un contenuto informativo adeguato alla normativa vigente, con riferimento particolare al GDPR 679/2016 che sia commisurato a fornire informazioni da rendere disponibili su affissi qualora destinati ad un eventuale trattamento implicito per lo svolgimento di attività per le quali sussiste una pluralità di trattamento, avvalendosi di un unica informativa nell’ambito di apposito cartelli o avvisi, fermo restando le circostanze nelle quali sussistono finalità di trattamento specifico, ovvero oltre dati anagrafici e identificativi, per i quali la normativa vigente in materia disciplina obblighi di trattamento in un rispettivo ambito più restrittivo. Si fa ovvero riferimento a tutte quelle circostanze nelle quali ricorrono necessita di erogazione di servizi che richiedano un trattamento di dati oltre i soli dati identificativi, con una rispettiva necessita ad esempio nel caso di trattamento di dati personali in materia di salute o dati genetici, di appartenenza pertanto ad una categoria notevolmente sensibile.

Ciò detto non si evincono obblighi inerenti la necessità di adozione di un sistema di trattamento dei dati conforme ai principi di minimizzazione degli stessi, ovvero che veda il trattamento dei soli dati necessari ai fini del l’espletamento delle attività per le quali rosutlino essere trattati.

Non si evincono informazioni circa i diritti che possa esercitare un soggetto, fermo restando la base legale di riferimento, sia essa rappresentata da scopi contrattuali con trattamento di dati implicito previa informativa resa disponibile allo stesso. Nel caso di trattamento dei dati mediante l’uso di sistemi informatici, non si evincono inoltre anche conformità al regolamento per quanto concerne la necessità di rilascio di un consenso mediante la selezione di una spunta finalizzata all’autorizzazione al trattamento dei dati nei casi di eventuali richieste di erogazione di servizi nell’ambito di pre contratti da stipulare con una data PA. Resta intesa la necessità di fornire un’informativa ulteriore con richiesta di trattamento dei dati ulteriori a quelli raccolti nell’ambito di un pre contratto, ovvero strettamente necessari per i fini di erogazione del medesimo trattamento. Per quanto concerne un eventuale pluritrattamento si fa riferimento ad esempio in tutte quelle circostanze nelle quali si faccia uso di sistemi biomedici coinvolti nella rilevazione dei volti.

(messaggio eliminato dall’autore)

​​

​​