L’APPROFONDIMENTO

Intelligenza artificiale, la legge italiana viola il Gdpr?

HomeDigital Economy
Indirizzo copiato

Nel disegno di legge è previsto che il trattamento dei dati personali dei pazienti possa decorrere dopo 30 giorni dalla notifica al Garante Privacy, in palese contrasto con il regolamento europeo e con quanto prevede la riforma dell’articolo 110 del Codice. L’analisi di Massimiliano Masnada, Partner di Hogan Lovells

Pubblicato il 6 mag 2024
intelligenza artificiale 4

La scorsa settimana il Consiglio dei Ministri ha approvato la bozza di Ddl recante le disposizioni e la delega al Governo in materia di intelligenza artificiale (IA). Ad un primo esame, il Ddl appare più un elenco di affermazioni di principio, all’interno del quale ci sono, tuttavia, alcune disposizioni interessanti che meritano uno spunto di riflessione.

La prima riflessione riguarda proprio la norma di apertura del Ddl relativa ai principi generali cui devono essere ispirati i sistemi e i modelli di IA. Tra i diritti fondamentali sono espressamente menzionati la non discriminazione, la parità tra i sessi e la sostenibilità. Inoltre, si fa esplicito riferimento alla trasparenza, alla conoscibilità e alla spiegabilità dei sistemi e dei modelli oltre che al rispetto dell’autonomia e del potere decisionale dell’uomo. Pur essendo concetti già alla base del AI Act (tuttavia non ancora formalmente approvato), a mio avviso, è importante ribadire che l’IA è uno strumento per aiutare l’uomo e non per sostituirlo, per garantire l’inclusività ed il rispetto delle diversità e non per ghettizzare o omologare, per capire e includere anche linguaggi diversi e renderli protagonisti e non relegarli a costi sociali. Citando l’economista americano David Autor, se l’IA invece di innescare la fine del mondo, servisse a rendere il mondo migliore? Se invece di accelerare l’automazione e sostituire l’uomo con le macchine, l’IA fosse un fattore di riequilibrio per estendere le competenze a lavoratori svantaggiati, per garantire le pari opportunità, per appianare le discriminazioni e per ridurre la disparità sociale? Se l’IA fosse uno strumento per raggiungere quell’uguaglianza sostanziale agognata dall’art. 2 della Costituzione?

Sanità e disabilità

In tal senso meritano di essere citate, tra le altre, due disposizioni del Ddl contenute nel capo dedicato alle norme di settore. La prima è l’art. 7, comma 4 relativo all’IA in campo sanitario e nelle disabilità, laddove si promuove lo sviluppo e la diffusione di sistemi e modelli di IA che migliorino le condizioni di vita delle persone con disabilità, agevolino l’accessibilità, l’autonomia e i processi di inclusione sociale. La seconda è l’art. 10 relativo all’IA nel mondo del lavoro in cui l’incipit e che i sistemi e i modelli di IA siano impiegati per migliorare le condizioni di lavoro e l’integrità psico-fisica dei lavoratori, oltre che per accrescere la qualità delle prestazioni e la produttività. In tal senso, la norma successiva prevede la creazione di un Osservatorio presso il Ministero del Lavoro per monitorare le conseguenze dell’impatto nel mondo del lavoro dei sistemi e modelli di AI.

Oltre alle disposizioni di settore, le previsioni del Ddl intervengono in cinque ambiti: la strategia nazionale, le autorità nazionali, le azioni di promozione, la tutela del diritto di autore, le sanzioni penali. Si prevede, inoltre, una delega al governo per adeguare l’ordinamento nazionale al prossimo AI Act in materie come l’alfabetizzazione dei cittadini in materia di IA (sia nei percorsi scolastici che in quelli universitari) e la formazione da parte degli ordini professionali per professionisti e operatori. La delega riguarda anche il riordino in materia penale per adeguare reati e sanzioni all’uso illecito dei sistemi di IA.

Cosa si può migliorare

Al di là delle affermazioni di principio – con cui non si può non essere d’accordo – continuano ad esserci, a mio parere, alcune cose che potrebbero essere migliorate nell’ottica di uno sviluppo coerente ed efficace dell’IA in Italia.

Ciò che mi convince di meno sono le previsioni in ambito sanitario e della ricerca scientifica. Si afferma giustamente che i trattamenti di dati, anche personali, eseguiti da soggetti pubblici e privati senza scopo di lucro per la ricerca e la sperimentazione scientifica nella realizzazione di sistemi di IA per finalità terapeutica e farmacologica, sono dichiarati di rilevante interesse pubblico. Ciò significa, quindi, che l’uso di dati dei pazienti per l’allenamento degli algoritmi di IA nell’ambito della ricerca scientifica è esente dal consenso degli interessati. Tuttavia, non si comprende perché questa previsione valga soltanto per i soggetti pubblici e gli enti non a scopo di lucro, lasciando scoperta una parte rilevantissima della ricerca scientifica che viene effettuata da istituti privati o anche società farmaceutiche che agiscono da sponsor rispetto a studi e ricerche che necessitano di fondi che i soggetti pubblici non sono in grado di reperire. Peraltro, sembrerebbero esclusi tutti quegli istituti e centri di ricerca privati, anche se convenzionati con le regioni e le Ats. È auspicabile un chiarimento in tal senso. Inoltre, con riferimento all’uso secondario dei dati per la ricerca medica, seppur si afferma il principio che i sistemi di IA contribuiscono al miglioramento del sistema sanitario e di cura delle malattie nel rispetto della trasparenza e dei diritti fondamentali, quando si parla di sperimentazione e ricerca si introduce un regime autorizzatorio rispetto all’uso secondario dei dati medici che è incoerente con il diritto comunitario e anche con la recente modifica dell’art. 110 del Codice Privacy, approvata in sede di conversione in legge del DL Pnrr (modifica questa, peraltro, non esente da critiche poiché troppo debole rispetto alle esigenze del settore).

Il nodo della tutela dei dati sanitari

Nel Ddl in esame è infatti previsto che l’uso dei dati personali dei pazienti per i sistemi di IA, oltre all’approvazione dei comitati etici interessati, deve essere comunicato al Garante per la protezione dei dati personali e che i trattamenti possono essere iniziati decorsi trenta giorni dalla predetta comunicazione se non oggetto di blocco disposto dal Garante medesimo. Questa previsione è palesemente contraria al Gdpr e al Codice Privacy laddove è l’interesse pubblico rilevante è autonoma base giuridica alternativa al consenso e all’approvazione, anche solo sotto forma di silenzio-assenso, del Garante. Inoltre, anche la citata recente riforma dell’art. 110 del Codice Privacy elimina la necessità di ricorrere a consultazione preventiva del Garante in caso di uso secondario dei dati medici per la ricerca medica, rinviando al rispetto di regole deontologiche di settore che il Garante dovrà adottare in ragione delle proprie competenze. E’ palese la incoerenza tra le due norme approvate peraltro lo stesso giorno.

Gli investimenti per lo sviluppo dell’AI

Tralasciando per ora ogni commento rispetto alla scelta di affidare ad Agid e Acn il ruolo di autorità di controllo rispetto alla materia dell’IA, frutto di recenti polemiche soprattutto con il Garante privacy, un’ultima disposizione del Ddl che merita attenzione è quella relativa agli investimenti per favorire lo sviluppo di tecnologia basata sull’IA. La notizia rilevante è che si prevedono investimenti per un ammontare complessivo di 1 miliardo di euro nei settori dell’IA, della cybersicurezza e del quantum computing delle telecomunicazioni e delle tecnologie per queste abilitanti, al fine di favorire lo sviluppo, la crescita e il consolidamento delle imprese operanti in tali settori. Tuttavia, chi attendeva un elenco più specifico delle misure concrete è stato deluso. Probabilmente si dovranno aspettare i decreti delegati. Anche la somma stanziata non sembra all’altezza di quello che stanno facendo gli altri Stati Ue (lascerei stare Usa e Cina che giocano in un altro campionato). La Francia con Macron ha annunciato investimenti per circa 7 miliardi. In Germania, la sola Microsoft ha annunciato investimenti nelle infrastrutture per il calcolo quantistico per circa 3.2 miliardi. È pur vero che per competere con Usa e Cina, oltre che a normative comuni, serve anche un piano di investimenti comuni da parte dell’Ue. In tal senso, assumono ancora più valore le parole di Mario Draghi che ha auspicato investimenti Ue per 500 miliardi per lo sviluppo tecnologico.

Certo che questa è partita politica per la quale sarà necessario attendere il prossimo parlamento Ue nella speranza che vi sia una maggioranza compatta e coesa in grado di esprimere senza ritardo una politica industriale comune, una parte rilevante della quale sarà costituita dal compimento di quella strategia della digitalizzazione 2030 iniziata dall’attuale Commissione Ue. L’auspicio è che l’Italia faccia la sua parte al di là dei proclami e delle affermazioni di principio.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Who's Who

Aziende

Argomenti

Canali

Articoli correlati

  • LA NEWCO

    Digitalizzazione dell’edilizia, via al network di imprese Etim Italy

    30 Apr 2024

    Condividi

  • LE NUOVE REGOLE

    Gigabit Act, disco verde del Parlamento Ue: spinta al roll out delle reti ultraveloci

    23 Apr 2024

    Condividi

  • BANDA ULTRALARGA

    Opiquad cresce nel mercato Fwa: doppia acquisizione da inizio anno

    07 Mar 2024

    Condividi

  • L’INCHIESTA

    Riconoscimento biometrico, gli smartphone a rischio: basta una foto per aggirarlo

    29 Gen 2024

    Condividi

Prossimo

Digitalizzazione dell’edilizia, via al network di imprese Etim Italy

Articolo 1 di 5