L’analisi delle complesse questioni legate alla protezione dei dati personali nel contesto dello sviluppo e dell’implementazione dei modelli di intelligenza artificiale (IA), ha trovato una eco importante all’intero dell’Opinione 28/2024 del 17 dicembre 2024 da parte del Comitato Europeo per la Protezione dei Dati (European Data Protection Board).

La rilevanza della questione di come conciliare la sempre più pressante richiesta da parte delle organizzazioni all’ IA per il processo decisionale, il servizio clienti ed il rilevamento delle frodi con le severe leggi sulla protezione dei dati, ha finito con l’assumere una ricorrenza sempre più incalzante.

All’interno di questa cornice, la richiesta di una definitiva attività consultiva è avvenuta da parte dell’autorità irlandese per la protezione dei dati (DPA) al fine di conseguire un’armonizzazione normativa a livello europeo. Onde poter raccogliere i contributi utili, l’EDPB oltre ad organizzare un evento per le parti interessate, ha avuto altresì uno scambio con l’Ufficio dell’UE per l’IA.

In questo modo il GDPR (cioè il Regolamento Generale sulla Protezione dei Dati, ufficialmente regolamento n. 2016/679) si dimostra ancora una volta capostipite delle normative in materia di diritto delle nuove tecnologie, fungendo da faro non soltanto per le normative contingenti.

Più in particolare, ed entrando nel merito del tema, con il parere in questione, l’EDPB ha potuto esprimersi “su alcuni aspetti della protezione dei dati connessi al trattamento dei dati personali nel contesto dei modelli di AI”, soffermandosi inoltre su tre profili sottoposti dall’Autorità garante irlandese (SAIE), ed in particolare:

  1. Come e quando i modelli di AI possono essere considerati anonimi; risultando quest’ultimo, un punto oltremodo significativo del parere, l’EDPB ha avuto cura di precisare che la semplice eliminazione degli identificatori diretti non sia più sufficiente. In tal senso, i criteri di valutazione subiscono una riconsiderazione considerevole, tanto da indurre l’EDPB ad insistere su un’analisi caso per caso ed avvertendo che anche i dati aggregati possono essere suscettibili di attacchi di re identificazione, come l’inversione del modello o l’inferenza di appartenenza.
  2. Se e come l’interesse legittimo possa essere utilizzato come base giuridica per lo sviluppo o l’utilizzo di modelli di AI; il concetto di “legittimo interesse”, viene altresì esplorato, ribadendo che, pur non essendo subordinato ad altri fondamenti giuridici come il consenso, esso debba essere sempre valutato con estrema attenzione, soprattutto all’interno di contesti di trattamento complesso come quelli relativi all’IA.
  3. Quali conseguenze, infine, ricorrono se un modello di AI viene sviluppato utilizzando dati personali, trattati illecitamente.
A tal fine l’EDPB, fornendo alcuni esempi nonché un chatbot chiamato ad assistere gli utenti nell’uso dell’AI, finisce con il contemplare una serie di criteri come l’accessibilità dei dati personali al pubblico, la natura del rapporto tra l’individuo ed il responsabile del trattamento, la natura del susseguente servizio, l’origine ed il contesto in cui sono stati raccolti i dati personali, nonché i potenziali ulteriori usi del modello di AI, accertandosi che le persone interessate siano effettivamente a conoscenza del fatto che i loro dati personali sono online.

Natura Giuridica del parere EDPB e la sua rilevanza

Di pari rilievo l’indagine relativa al valore intrinseco del parere; anzitutto, secondo dottrina maggioritaria, esso troverebbe spazio dentro un dibattito consolidato sul diritto alla privacy, con un richiamo alle teorie del costituzionalismo classico che vedono nella protezione della persona un fondamento irrinunciabile delle democrazie moderne.

Esso, inoltre, oltreché riferirsi alle norme costituzionali, in particolare agli articoli 1 e 2 della Costituzione italiana, inserendosi all’interno della cornice costituzionale europea, richiama i principi fondamentali come il diritto alla privacy ed alla protezione dei dati personali sanciti dall’articolo 8 della Carta dei Diritti Fondamentali dell’Unione Europea, collegandosi ai principi giuridici più ampi del diritto dell’Unione, come il principio di sussidiarietà, che implica la necessità di interventi normativi efficaci, ma non invasivi.

Per altro verso l’analisi si può ulteriormente riflettere in una lettura delle sentenze della Corte Costituzionale italiana, che dal canto suo ha più volte sottolineato la centralità della privacy e della protezione dei dati personali. La Consulta in particolare ha riaffermato in più occasioni la necessità di bilanciare il diritto alla privacy con l’evoluzione tecnologica, così come in riferimento al principio di “autodeterminazione informativa”; contrasto, quest’ultimo, non sempre allineato con le normative tradizionali, trovandosi talvolta a dover integrare la protezione dei dati con le nuove realtà tecnologiche.

Sennonché, emerge altresì una crescente attenzione alle nuove tendenze, come la tutela multilivello e l’attenzione alle implicazioni transnazionali del trattamento dei dati. L’intervento dell’EDPB, gettando le basi per un futuro in cui innovazione e protezione dei dati devono andare di pari passo, sottolinea la necessità di integrare la protezione dei diritti fondamentali all’interno di un contesto che sempre più spesso travalica i confini nazionali, richiedendo un coordinamento delle politiche europee.

Comprendendo l’elevata soglia fissata per l’anonimato, le condizioni per l’utilizzo dell’interesse legittimo, le ramificazioni dell’elaborazione illegale dei dati e la necessità di una documentazione rigorosa e della gestione del rischio, le aziende possono così navigare all’interno di un orizzonte complesso con fiducia.

Questa necessità, d’altra parte, rappresenta il risultato di un una visione sistematica in cui si deve considerare come alcuni istituti di rilievo quali la protezione dei dati, la libertà individuale e la competitività economica, siano intrecciati ed interconnessi, sia a livello nazionale quanto sovranazionale.

Proprio riguardo quest’ultimo rilievo, in particolare, le normative europee come la Carta dei Diritti Fondamentali dell’Unione Europea (art. 8) e la Convenzione Europea dei Diritti dell’Uomo (CEDU), offrono un quadro di protezione robusto dei diritti fondamentali, in particolare per quanto riguarda il diritto alla privacy.

Costituendo un argine contro la possibilità che l’innovazione tecnologica possa ledere i diritti individuali, questi strumenti giuridici impongono limiti chiari all’uso dei dati personali da parte degli Stati e delle imprese.

Dall’altro lato, invece, la necessità di armonizzare la protezione dei diritti fondamentali con il bisogno di innovare e stimolare la crescita economica, rappresenta una sfida che, a livello internazionale, comporta rischi di incoerenza giuridica e sovrapposizione normativa.

Hai bisogno di consulenza specialistica in Intelligenza Artificiale e GDPR?

Il nostro team di esperti in diritto delle nuove tecnologie ti supporta nella:

Affidati a professionisti esperti per navigare il complesso panorama normativo dell'IA responsabile e privacy by design.