La consultazione pubblica è attiva dal 18/02/2025 al 20/03/2025.
Questo argomento accoglie i commenti relativi all’allegato C - Valutazione d’impatto.
I commenti dovranno includere il numero del paragrafo o sotto-paragrafo (se presente) e un riferimento puntuale al brano di testo al quale si riferiscono (ad esempio paragrafo 4.3, terzo capoverso).
La scelta di basare la valutazione d’impatto sul modello Impact Assessment (AIIA) introdotto dal governo dei Paesi Bassi appare metodologicamente critica per una serie di ragioni.
In primo luogo la parte relativa all’impatto sui diritti fondamentali non è sufficientemente sviluppata, limitandosi a chiedere quali diritti potrebbero essere pregiudicati. Si fa, inoltre, riferimento alla base legale per l’uso dell’AI, base legale che non è un requisito richiesto dall’AI Act.
Il modello AIIA non fornisce poi nessuna metodologia per valutare il livello di impatto, che è l’elemento cruciale per poter stimare il rischio e le misure da adottarsi.
Per altro, il modello si basa sul precedente modello IAMA che adottava un approccio Why-What-How inadeguato per una valutazione di impatto sui diritti fondamentali, essendo tale impatto rilevante in tutte le tre fasi e costringendo, quindi, a ripetere per ciascuna di esse tale valutazione. Non a caso i modelli di valutazione di impatto, nel settore ambientale o dati personali per esempio, adottano una diversa struttura di natura circolare basata sull’ (i) analisi della situazione, (ii) identificazione dell’impatto e (iii) mitigazione del rischio. Per un’analisi metodologica relativa ai limiti del AIIA e simili modelli, si rinvia a:
https://www.sciencedirect.com/science/article/pii/S0267364924000864
Diversamente, un modello di riferimento specificatamente incentrato sui diritti fondamentali e con una metodologia allineata al quadro giuridico vigente in tale ambito, a partire dall’AI Act, è stato recentemente adottato dall’autorità catalana per la protezione dei dati personali e potrebbe costituire un migliore quadro di riferimento per le linee guida in questione, essendo anche già stato testato dall’autorità in casi concreti nel settore pubblico:
https://www.dpdenxarxa.cat/pluginfile.php/2468/mod_folder/content/0/ENG-APDcat-281.pdf
Relativamente all’obbligo di effettuare una “valutazione di impatto”, dal punto di vista prettamente grammaticale, si suggerisce di inserire la dicitura completa da cui derivano le iniziali FRIA, che in inglese è “Fundamental Rights Impact Assessment” (FRIA). Lo stesso suggerimento vale per quanto concerne la DPIA. È consigliabile includere queste diciture complete sia nel glossario, per completezza, sia nel testo, oppure, per comodità, esclusivamente nel glossario. Questo accorgimento contribuirà a garantire chiarezza e comprensione uniformi, facilitando la consultazione e la corretta applicazione delle linee guida da parte di tutti gli attori coinvolti nel processo normativo e operativo.
Dal punto di vista operativo, sebbene la “bozza di linee guida” rappresenti un progresso verso la compliance normativa, in merito all’obbligo di effettuare una valutazione preventiva per determinare il tipo di rischio associato all’uso di un sistema di intelligenza artificiale, si ritiene opportuno stabilire che il processo di valutazione delle potenziali conseguenze sui diritti fondamentali, derivanti dallo sviluppo, utilizzo o uso improprio di tali sistemi, anche quando si tratti di sistemi IA a “rischio minimo o nessun rischio”, diventi un obbligo.
È importante distinguere tra l’obbligo di effettuare la valutazione e la procedimentalizzazione di tale obbligo. In altre parole, dovrebbe essere obbligatorio definire, all’interno della propria procedura, quando effettuare la DPIA (Data Protection Impact Assessment) e la FRIA (Fundamental Rights Impact Assessment), previa un’analisi dei rischi. Come delineato nella “bozza di linee guida”, “resta ferma la necessità di svolgere la valutazione del rischio sulla protezione dei dati personali nelle attività istituzionali e progettuali condotte mediante strumenti di IA, ai sensi della normativa vigente e dei provvedimenti del Garante per la protezione dei dati personali (cfr. Cap. 10)”. È fondamentale ricordare che non si tratta di una semplice “necessità”, ma di un vero e proprio obbligo che ricade sul titolare del trattamento ¶. Questa distinzione rafforza l’importanza di un approccio sistematico e predefinito, volto a garantire il rispetto dei diritti fondamentali e delle normative vigenti nel contesto dell’adozione tecnologica avanzata.
A tale scopo si ritiene opportuno, qualora non sia necessaria l’effettuazione di una DPIA e FRIA in quanto il rischio risulti medio o inesistente, fornire una motivazione approfondita da parte del deployer che spieghi perché non ha ritenuto necessario procedere, successivamente, con una DPIA e FRIA. Tale evidenza è fondamentale per dimostrare la consapevolezza e l’attenzione riposta nella valutazione dei rischi potenziali, assicurando trasparenza e accountability nel processo decisionale. Tale requisito consentirebbe di consolidare ulteriormente la fiducia delle autorità e del pubblico nell’operato dei titolari del trattamento e dei deployer, garantendo al contempo il pieno rispetto delle normative vigenti.
Un altro aspetto non sufficientemente considerato nella “bozza di linee guida” è che, ai sensi del comma 4 dell’art. 27 dell’AI Act, “[s]e uno qualsiasi degli obblighi di cui all’art. 27 è già rispettato mediante la [DPIA] effettuata a norma dell’art. 35 del [GDPR] o dell’articolo 27 della Direttiva (UE) 2016/680, la [FRIA] integra tale [DPIA]”.
Questo implica che, laddove le DPIA siano già state eseguite nell’ambito del medesimo trattamento e soddisfino i requisiti previsti, la FRIA può essere utilizzata come integrazione e approfondimento delle considerazioni già esistenti, ma non necessariamente sostitutiva. Ciò non solo ottimizza il processo valutativo, evitando la duplicazione degli sforzi, ma assicura anche un approccio coerente e comprensivo al trattamento dei dati e alla protezione dei diritti fondamentali, sottolineando l’importanza di un’integrazione normativa efficace tra diverse disposizioni legislative.
Si afferma, inoltre, che “[i] risultati della valutazione d’impatto DEVONO essere condivisi con le parti interessate”, mentre nella normativa di riferimento non viene esplicitamente sancito tale obbligo, bensì viene sottolineata la necessità di coinvolgere i “soggetti interessati” durante la fase di svolgimento della DPIA ed eventualmente la FRIA. È di cruciale importanza che le parti interessate siano coinvolte attivamente “durante” lo svolgimento delle valutazioni d’impatto piuttosto che “ex post”.
Coinvolgere le parti interessate lungo il percorso valutativo arricchisce il processo decisionale e permette di rispondere alla domanda più importante: è opportuno, possibile e necessario avvalersi di un sistema di IA? Tale approccio permetterebbe un confronto costruttivo e iterativo tra gli interessati in grado di anticipare e risolvere potenziali criticità prima che si giunga a una decisione finale ovvero prima di utilizzare un sistema di IA. Questo approccio consente, inoltre, di instaurare un iter valutativo e procedimentale autentico, partecipato e trasparente, evitando che le persone interessate si trovino a dover accettare passivamente una decisione già adottata. Inserire il coinvolgimento anticipato delle parti interessate nel processo valutativo (ovvero durante la conduzione della DPIA e della FRIA) assicura che le scelte siano informate e ben fondate, rispettando il principio di trasparenza e promuovendo la fiducia nel trattamento equo e responsabile dei dati personali.
Per quanto riguarda l’AI nelle tecnologie in uso da parte delle polizie locali (che hanno la gestione di pressoché tutti gli impianti di videosorveglianza urbana in tutta Italia, al di là che poi vengono visionati anche dagli organi di polizia dello Stato) , con riferimento alla necessità della FRIA in caso di AI ad alto rischio il primo problema è che chi vende i sistemi (distributori) non fornisce mai informazioni riguardo gli strumenti di video analysis e video synopsis, ormai spesso usati, e che utillizzano sicuramente sw basato su AI. Andrebbero fornite indicazioni cogenti alle p.a. affinché, in sede di appalto, inserissero nei capitolati l’obbligo di fornire le informazioni tecniche necessarie per la FRIA.
Tutti gli allegati, ma questa sezione nello specifico, dovrebbero essere più chiari a livello terminologico. Se qui si vuole far riferimento al tema centrale della valutazione di impatto sui diritti fondamentali (FRIA), questa dovrebbe essere approfondita con maggiore dettaglio, presentando un quadro per la conduzione di una FRIA. Si dovrebbe rappresentare un approccio che integri strumenti qualitativi e quantitativi per la valutazione dei rischi. In particolare, le linee guida dovrebbero fornire un questionario per raccogliere informazioni contestuali e operative sul sistema di IA e, inoltre, una matrice per mappare sistematicamente i potenziali impatti su specifici diritti e attribuire un punteggio quantitativo agli impatti. Sul punto, si dovrebbe prendere ispirazione dal lavoro di Andrea Cosentini et al, “Assessing the impact of artificial intelligence systems on fundamental rights”, pubblicato su “MediaLaws”. Si dovrebbe, da ultimo, considerare di ricordare quanto previsto dall’art. 27 del Regolamento europeo in materia, con riguardo alla possibilità di utilizzare la FRIA come integrazione della DPIA.
Pg. 64 e ss. (Art. 10) pg. 17 modello di Valutazione d’impatto C4.2
Il Centro Studi di Informatica Giuridica di Ivrea e Torino segnala che nelle linee guida non viene richiamato l’obbligo di chiedere il parere del DPO sulla Valutazione d’impatto, mentre nel modello di Valutazione d’impatto (pg. 17 nella scheda C4.2 - PRIVACY E PROTEZIONE DEI DATI PERSONALI) si chiede solo di specificare se l’Amministrazione ha coinvolto o meno il Responsabile per la Protezione dei Dati (in aggiunta al RTD e a eventuali altre figure specifiche previste dall’Amministrazione) a garanzia dei dati trattati.
Al riguardo si suggerisce di precisare l’obbligo di effettuare una Data Protection Impact Assessment (DPIA) per i sistemi IA che trattano dati personali (art. 35.2 GDPR) precisando altresì che in tal caso è necessario che sulla valutazione d’impatto sulla protezione dei dati personali venga reso il parere del DPO come prevede l’art. 35, paragrafo 2 del Reg. UE 2016 n.679 (GDPR).
(Pg. 12: modello di Valutazione d’impatto: C3.3 - IMPLEMENTAZIONE TECNICA)
Il Centro Studi di Informatica Giuridica di Ivrea e Torino riguardo all’Allegato C (valutazione d’impatto) suggerisce di prevedere l’obbligo delle amministrazioni di
precisare nella valutazione d’impatto il tipo di sistema che si intende implementare, specificandone in maniera dettagliata le caratteristiche anche in relazione alle diverse tipologie di sistemi esistenti sul mercato;
indicare in maniera specifica quali sono le misure che sono state adottate o che si prevede di adottare per ridurre il rischio in modo da renderlo accettabile.
Inoltre, poiché taluni atti e provvedimenti amministrativi devono per legge rimanere segreti e non sono ostensibili a terzi, si suggerisce di imporre l’obbligo di prevedere specifiche misure per garantire la riservatezza degli atti amministrativi il cui contenuto non debba essere reso ostensibile a terzi non aventi titolo per averne conoscenza.
Questo argomento è stato automaticamente chiuso dopo 35 giorni. Non sono permesse altre risposte.