In relazione all’approvazione, avvenuta il 21 maggio 2024, dell'Artificial intelligence (AI) act, è stato tempestivamente preparato dal Governo lo SCHEMA di disegno di legge recante “Disposizioni e delega al governo in materia di intelligenza artificiale”.

Il Comunicato stampa n. 78/2024 del Consiglio dei Ministri ha evidenziato che “Il disegno di legge individua criteri regolatori capaci di riequilibrare il rapporto tra le opportunità che offrono le nuove tecnologie e i rischi legati al loro uso improprio, al loro sottoutilizzo o al loro impiego dannoso. Inoltre, introduce norme di principio e disposizioni di settore che, da un lato, promuovano l’utilizzo delle nuove tecnologie per il miglioramento delle condizioni di vita dei cittadini e della coesione sociale e, dall’altro, forniscano soluzioni per la gestione del rischio fondate su una visione antropocentrica. In quest’ottica, il disegno di legge non si sovrappone al Regolamento europeo sull’intelligenza artificiale approvato lo scorso 13 marzo dal Parlamento Europeo, di prossima emanazione, ma ne accompagna il quadro regolatorio in quegli spazi propri del diritto interno, tenuto conto che il regolamento è impostato su un’architettura di rischi connessi all’uso della intelligenza artificiale (IA).Le norme intervengono in cinque ambiti: la strategia nazionale, le autorità nazionali, le azioni di promozione, la tutela del diritto di autore, le sanzioni penali. Si prevede, inoltre, una delega al governo per adeguare l’ordinamento nazionale al Regolamento UE in materie come l’alfabetizzazione dei cittadini in materia di IA (sia nei percorsi scolastici che in quelli universitari) e la formazione da parte degli ordini professionali per professionisti e operatori. La delega riguarda anche il riordino in materia penale per adeguare reati e sanzioni all’uso illecito dei sistemi di IA”.

Il Garante, visto lo schema di disegno di legge, ha ritenuto che le norme rilevanti sullo sviluppo dell’IA, contenute nello schema, sono volte a indirizzarne l’applicazione in una direzione antropocentrica, compatibile con i diritti fondamentali e il principio di non discriminazione (cfr. artt. 1, c. 1 e 3, c. 1). Tuttavia, a giudizio dell’Autorità, “per quanto riguarda la protezione dei dati, molte norme hanno un impatto significativo sulla materia ed esigono, pertanto, un migliore coordinamento sistematico con la disciplina di riferimento, nei termini di seguito esposti”.

Per questo motivo, il Garante ha espresso il 2 agosto 2024 scorso, parere favorevole condizionato sul proposto schema di disegno di legge, individuando, testualmente:

α) le seguenti condizioni, relative all’esigenza di:

a) introdurre al Capo I un articolo specifico e ad applicazione trasversale – sopprimendo, di riflesso, i commi 2 e 3 dell’articolo 4 – recante un vincolo generale di conformità dei trattamenti alla disciplina in materia di protezione dei dati personali, in questi o analoghi termini: “Il trattamento dei dati personali correlato a sistemi di intelligenza artificiale è effettuato nel rispetto di quanto previsto dal Regolamento (Ue) 2016/679, dal codice in materia di protezione dei dati personali di cui al d.lgs. 30 giugno 20023, n.196 e successive modificazioni e dal d.lgs. 18 maggio 2018, n. 51 e successive modificazioni”;

b) inserire, all’articolo 3, c. 1, il riferimento alla protezione dei dati personali nel più corretto ambito dei diritti fondamentali di cui si impone il rispetto e non, invece, tra i “principi” di cui si esige l’osservanza;

c) modificare l’articolo 4, c. 4, sostituendo il riferimento ai quattordici anni con quello all’età prevista dall’articolo 2-quinquies del Codice e integrandolo con il riferimento a misure idonee a garantire sistemi adeguati di verifica dell’età del minore, quali quelle adottate ai sensi dell’articolo 13-bis, c.3, d.l. 123 del 2023, convertito, con modificazioni, dalla legge n. 159 del 2023.;

d) integrare l’articolo 7 richiamando, nell’ambito del settore sanitario, i requisiti previsti dall’articolo 10 dell’AI Act per i sistemi di i.a. considerati ad alto rischio, con specifico riferimento al trattamento dei dati particolari di cui all’articolo 9 del Regolamento, in particolare prevedendo che sia preferito l’uso di dati sintetici o anonimi e siano indicate particolari limitazioni per l’utilizzo di dati sanitari (divieto di trasmissione, trasferimento o comunicazione), nonché la limitazione della conservazione;

e) integrare e modificare l’articolo 8, provvedendo a:

-conformare il comma 1 ai requisiti di determinatezza di cui agli articoli 6, p. 3, lett. b), 9, par. 2, lett. g) del Regolamento e 2-sexies del Codice;

prevedere, con riferimento all’uso secondario dei dati, le garanzie di cui all’articolo 89 del Regolamento;

-sostituire la locuzione “dati privi di elementi identificativi diretti” con quella di “dati pseudonimizzati”

-sopprimere, al comma 2, il riferimento alla possibilità di assolvere l’obbligo di informativa in forma generale;

-integrare il comma 3, con una clausola di salvaguardia rispetto ai poteri di cui alla Sezione II del Capo VI del Regolamento;

f) integrare l’articolo 9:

-inserendo i medesimi requisiti già indicati rispetto all’articolo 7;

-prevedendo il parere del Garante sui decreti attuativi di cui al comma 1, primo periodo, dell’articolo 12-bis del decreto-legge 18 ottobre 2012, n. 179;

-prevedendo, al comma 4, che la definizione integrativa degli elementi costitutivi del trattamento venga demandata a una norma di natura regolamentare o, in subordine, a un decreto ministeriale anche non regolamentare;

-rivalutando l’attribuzione della titolarità dei trattamenti effettuati attraverso la piattaforma, tenendo conto dei poteri decisori ravvisabili in capo al Dicastero, cui il trattamento è complessivamente imputabile;

g) integrare l’articolo 10:

-richiamando le garanzie previste dagli articoli 22, par. 3, e 88 del Regolamento, nonché 113 e 114 del Codice, per il trattamento dei dati personali funzionale ai sistemi di i.a. utilizzati nel contesto lavorativo;

-al comma 2, sostituendo le parole: “nei casi e con le modalità di cui all’articolo” con le seguenti: “fermo restando quanto previsto dall’articolo”;

introducendo un comma ulteriore del seguente tenore: “Le disposizioni del presente articolo si applicano, ove compatibili, anche ai trattamenti effettuati in fase preassuntiva”;

h) inserire, all’articolo 17, c.1, dopo le parole: “in chiave duale”, le seguenti: “e il Garante per la protezione dei dati personali per gli aspetti di competenza”;

i) modificare l’articolo 18:

-inserendo, al secondo periodo del comma 2, dopo le parole: “due Agenzie”, le seguenti: “da un membro del Collegio del Garante per la protezione dei dati personali";

-prevedendo, infine, che AgID e ACN trasmettono al Garante gli atti dei procedimenti in relazione ai quali emergano profili suscettibili di rilevare in termini di protezione dati, richiedendo altresì il parere dell’Autorità rispetto a fattispecie, al loro esame, che coinvolgano aspetti di protezione dei dati, mentre il Garante trasmetterà, per parte sua, elementi informativi in ordine a profili di competenza di AgID o ACN suscettibili di emergere nella trattazione di propri procedimenti;
-estendendo più esplicitamente la clausola di salvaguardia delle funzioni del Garante anche alle norme del disegno di legge che abbiano implicazioni in termini di protezione dei dati personali;

j) integrare l’articolo 22, c. 2, con la previsione di criteri direttivi specifici relativi:

a. alla disciplina dell’autorizzazione di sistemi di identificazione biometrica remota "in tempo reale" in spazi accessibili al pubblico per finalità di polizia, indicando l’autorità competente all’effettuazione di tale vaglio autorizzativo ai sensi dell’articolo 5, p. 3, dell’AI Act;

b. alla designazione del Garante quale autorità competente ai fini di cui all’articolo 74, par. 8, dell’AI Act, con la relativa disciplina delle procedure di coordinamento con le Autorità designate ai sensi dell’articolo 18 del disegno di legge;

c. all’adeguato coinvolgimento del Garante nella realizzazione degli spazi di sperimentazione normativa.

β) e l’osservazione, relativa all’opportunità di designare il Garante tra le autorità competenti alla tutela dei diritti fondamentali ai sensi e per gli effetti di cui all’articolo 77, pp.1 e 2 dell’AI Act.