Il testo normativo dell’AI Act è stato ufficialmente approvato dal Parlamento Europeo, dunque, la normativa che disciplina lo sviluppo e l’uso dell’intelligenza artificiale, si applicherà a tutti gli Stati membri a partire da giugno 2026.

La legge, la prima al mondo in materia, detta una serie di obblighi a fornitori, sviluppatori ed utilizzatori di sistemi di intelligenza artificiale in base ai diversi livelli di rischio identificati.

Il rischio è proprio l’elemento chiave del nuovo Regolamento, così come per il GDPR. Tuttavia, vi è una differenza sostanziale: il GDPR tutela, tramite la protezione dei dati personali, i diritti e le libertà delle persone fisiche; l’AI Act è volto alla mitigazione dei rischi presenti nei sistemi di intelligenza artificiale, proteggendo, dunque, indirettamente i diritti fondamentali dei cittadini.

Per trovare un equilibrio tra i benefici che questa nuova tecnologia offre e i rischi connessi ai diritti e alla sicurezza delle persone fisiche, la normativa individua quattro categorie di rischio:

  1. Sistemi di AI che presentano un rischio inaccettabile sono quelli che contraddicono i valori e principi fondamentali dell’UE. Questi sistemi sono vietati o soggetti a severe restrizioni. Ad esempio, sono vietati sistemi che manipolano il comportamento umano in modo da eludere la volontà degli utenti o che consentano lo scoring sociale da parte dell’autorità (pratica per cui le autorità in base a determinati comportamenti di un cittadino assegnano allo stesso un punteggio).
  2. Sistemi di AI che presentano un rischio elevato sono quelli che possono avere un impatto sistematico, cioè, significativo per i diritti fondamentali. Questi sistemi sono soggetti a numerosi obblighi e requisiti prima di poter essere messi sul mercato o utilizzati. Rientrano in questa categoria i sistemi utilizzati per il reclutamento del personale, ammissione all’istruzione ed erogazione di servizi essenziali.
  3. Sistemi di AI che presentano un rischio limitato sono quelli che possono influenzare i diritti o le volontà degli utenti ma in modo meno significato rispetto a quelli ad alto rischio. Questi sistemi sono soggetti ad obblighi di trasparenza che consentono agli utenti di essere consapevoli del fatto che interagiscono con un sistema di AI. (es. deepfake, chatbot).
  4. Sistemi di AI che presentano un rischio minimo o nullo sono quelli che non hanno impatto sui diritti fondamentali e che offrono ampi margini di scelta e controllo agli utenti (es. filtri fotografici).

PRINCIPI FONDAMENTALI PER L’UTILIZZO DI STRUMENTI DI AI

Preme precisare che restano saldi tutti i principi enunciati dal GDPR, tuttavia, a questi già noti, il nuovo Regolamento aggiunge tre ulteriori principi cardine che devono governare l’utilizzo di sistemi di intelligenza artificiale:

  • Principio di conoscibilità: L’interessato ha il diritto di conoscere l’esistenza di processi decisionali basati su trattamenti automatizzati e deve quindi ricevere informazioni significative in tal senso.
  • Principio di non esclusività della decisione algoritmica: Deve sempre esistere nel processo decisionale un intervento umano capace di controllare, validare o smentire la decisione automatica.
  • Principio di non discriminazione algoritmica: Devono essere utilizzati sistemi affidabili che riducano le opacità e gli errori, verificando periodicamente l’efficacia interrogando i sistemi.

COME LEGITTIMARE IL TRATTAMENTO DI DATI ATTRAVERSO SISTEMI DI INTELLIGENZA ARTIFICIALE?

Come già affermato, i due Regolamenti sono tra loro interconnessi. Difatti, il Codice Privacy così come modificato dal GDPR e il GDPR stesso, trovano assoluta applicazione per quanto concerne il trattamento di dati personali che avviene tramite sistemi di intelligenza artificiale.

Più precisamente, in relazione alla fase prodromica al trattamento di dati è fondamentale assicurare i principi di privacy by design e by default, infatti, vi è la necessità di costruire un sistema virtuoso secondo cui i principi di protezione del dato e i conseguenti adempimenti siano integrati con il funzionamento delle tecnologie di AI.

A tal proposito, il Titolare del trattamento potrebbe dover svolgere una DPIA (una valutazione del Titolare connessa ai rischi collegati ad un determinato trattamento studiano l’impatto che lo stesso potrebbe avere sui diritti e le libertà delle persone fisiche). Non solo, nel caso di utilizzo di strumenti di intelligenza artificiale sarà onere del Titolare informare i soggetti interessati, consentire loro di opporsi al trattamento e di garantire sempre e comunque il principio di minimizzazione nell’inserimento dei dati personali.

È quindi fondamentale per le aziende che hanno già scoperto oppure stanno scoprendo gli enormi vantaggi (tra questi: l’automazione di processi lunghi e difficili o l’analisi di grandi quantità di dati o ancora il miglioramento di determinate prestazioni), apportati da queste tecnologie, impostare sin da subito un processo di utilizzo virtuoso e rispettoso dei dati personali trattati tramite sistemi di AI, così da poterne trarre vantaggi e benefici e, soprattutto, così da scongiurare future opposizioni e sanzioni.

Vuoi sapere se stai utilizzando correttamente strumenti e sistemi di intelligenza artificiale rispettando la protezione dei dati personali dei tuoi dipendenti o clienti? SCRIVICI UTILIZZANDO IL MODULO CHE SEGUE!

Il testo normativo dell’AI Act è stato ufficialmente approvato dal Parlamento Europeo, dunque, la normativa che disciplina lo sviluppo e l’uso dell’intelligenza artificiale, si applicherà a tutti gli Stati membri a partire da giugno 2026.

La legge, la prima al mondo in materia, detta una serie di obblighi a fornitori, sviluppatori ed utilizzatori di sistemi di intelligenza artificiale in base ai diversi livelli di rischio identificati.

Il rischio è proprio l’elemento chiave del nuovo Regolamento, così come per il GDPR. Tuttavia, vi è una differenza sostanziale: il GDPR tutela, tramite la protezione dei dati personali, i diritti e le libertà delle persone fisiche; l’AI Act è volto alla mitigazione dei rischi presenti nei sistemi di intelligenza artificiale, proteggendo, dunque, indirettamente i diritti fondamentali dei cittadini.

Per trovare un equilibrio tra i benefici che questa nuova tecnologia offre e i rischi connessi ai diritti e alla sicurezza delle persone fisiche, la normativa individua quattro categorie di rischio:

  1. Sistemi di AI che presentano un rischio inaccettabile sono quelli che contraddicono i valori e principi fondamentali dell’UE. Questi sistemi sono vietati o soggetti a severe restrizioni. Ad esempio, sono vietati sistemi che manipolano il comportamento umano in modo da eludere la volontà degli utenti o che consentano lo scoring sociale da parte dell’autorità (pratica per cui le autorità in base a determinati comportamenti di un cittadino assegnano allo stesso un punteggio).
  2. Sistemi di AI che presentano un rischio elevato sono quelli che possono avere un impatto sistematico, cioè, significativo per i diritti fondamentali. Questi sistemi sono soggetti a numerosi obblighi e requisiti prima di poter essere messi sul mercato o utilizzati. Rientrano in questa categoria i sistemi utilizzati per il reclutamento del personale, ammissione all’istruzione ed erogazione di servizi essenziali.
  3. Sistemi di AI che presentano un rischio limitato sono quelli che possono influenzare i diritti o le volontà degli utenti ma in modo meno significato rispetto a quelli ad alto rischio. Questi sistemi sono soggetti ad obblighi di trasparenza che consentono agli utenti di essere consapevoli del fatto che interagiscono con un sistema di AI. (es. deepfake, chatbot).
  4. Sistemi di AI che presentano un rischio minimo o nullo sono quelli che non hanno impatto sui diritti fondamentali e che offrono ampi margini di scelta e controllo agli utenti (es. filtri fotografici).

PRINCIPI FONDAMENTALI PER L’UTILIZZO DI STRUMENTI DI AI

Preme precisare che restano saldi tutti i principi enunciati dal GDPR, tuttavia, a questi già noti, il nuovo Regolamento aggiunge tre ulteriori principi cardine che devono governare l’utilizzo di sistemi di intelligenza artificiale:

  • Principio di conoscibilità: L’interessato ha il diritto di conoscere l’esistenza di processi decisionali basati su trattamenti automatizzati e deve quindi ricevere informazioni significative in tal senso.
  • Principio di non esclusività della decisione algoritmica: Deve sempre esistere nel processo decisionale un intervento umano capace di controllare, validare o smentire la decisione automatica.
  • Principio di non discriminazione algoritmica: Devono essere utilizzati sistemi affidabili che riducano le opacità e gli errori, verificando periodicamente l’efficacia interrogando i sistemi.

COME LEGITTIMARE IL TRATTAMENTO DI DATI ATTRAVERSO SISTEMI DI INTELLIGENZA ARTIFICIALE?

Come già affermato, i due Regolamenti sono tra loro interconnessi. Difatti, il Codice Privacy così come modificato dal GDPR e il GDPR stesso, trovano assoluta applicazione per quanto concerne il trattamento di dati personali che avviene tramite sistemi di intelligenza artificiale.

Più precisamente, in relazione alla fase prodromica al trattamento di dati è fondamentale assicurare i principi di privacy by design e by default, infatti, vi è la necessità di costruire un sistema virtuoso secondo cui i principi di protezione del dato e i conseguenti adempimenti siano integrati con il funzionamento delle tecnologie di AI.

A tal proposito, il Titolare del trattamento potrebbe dover svolgere una DPIA (una valutazione del Titolare connessa ai rischi collegati ad un determinato trattamento studiano l’impatto che lo stesso potrebbe avere sui diritti e le libertà delle persone fisiche). Non solo, nel caso di utilizzo di strumenti di intelligenza artificiale sarà onere del Titolare informare i soggetti interessati, consentire loro di opporsi al trattamento e di garantire sempre e comunque il principio di minimizzazione nell’inserimento dei dati personali.

È quindi fondamentale per le aziende che hanno già scoperto oppure stanno scoprendo gli enormi vantaggi (tra questi: l’automazione di processi lunghi e difficili o l’analisi di grandi quantità di dati o ancora il miglioramento di determinate prestazioni), apportati da queste tecnologie, impostare sin da subito un processo di utilizzo virtuoso e rispettoso dei dati personali trattati tramite sistemi di AI, così da poterne trarre vantaggi e benefici e, soprattutto, così da scongiurare future opposizioni e sanzioni.

Vuoi sapere se stai utilizzando correttamente strumenti e sistemi di intelligenza artificiale rispettando la protezione dei dati personali dei tuoi dipendenti o clienti? SCRIVICI UTILIZZANDO IL MODULO CHE SEGUE!