L’European Data Protection Board (EDPB) con la dichiarazione n. 3 del 16 luglio 2024 ha espresso la propria posizione sul ruolo che le autorità garanti per la protezione dei dati hanno all’interno del quadro regolatorio del “neonato” Regolamento (UE) 2024/1689, meglio conosciuto come AI Act, partendo dal contesto e scopo, per poi concludere con dei “consigli”.
Vediamoli nel dettaglio.
Indice degli argomenti
AI Act e ruolo delle Autorità privacy: i chiarimenti dell’EDPB
Nella sua recente dichiarazione il Board, richiamandosi a quanto già anticipato nel parere congiunto EDPB-EDPS 5/2021, in buona sostanza si allinea alle posizioni che alcuni Garanti privacy avevano già assunto ai tempi. Si tratta ora di uniformarvisi tutti.
D’altronde, l’obiettivo primario, a legge sull’AI ufficialmente approvata e pubblicata in GU UE, è quello di far fronte comune, specie a livello di organi di controllo.
I rapporti tra AI Act e GDPR, con scopo complementare
L’EDPB ben chiarisce fin da subito, nel tratteggiare il “contesto e scopo” (punto 1) dello Statement in questione, che le due leggi sull’AI e il GDPR ma non solo, devono essere lette e interpretate in modo coerente e complementare, rafforzandosi a vicenda, anche in termini di tutela.
Non a caso, il Board parla di “norme armonizzate”, in linea peraltrocon la ratio dell’art. 1, par. 1, della AI Act, volendo “migliorare il funzionamento del mercato interno e sostenere l’innovazione” grazie alla promozione di un’AI “antropocentrica e affidabile” a garanzia della salute, sicurezza, con un elevato livello di protezione dei diritti fondamentali sanciti dalla Carta di Nizza, tra cui rientra anche la protezione dei dati personali (artt. 7 e 8).
I dati personali e il ciclo di vita dei sistemi di AI
È verosimile pensare che lungo il ciclo di vita dei sistemi di IA insista almeno un’attività di trattamento dati personali.
Non a caso, nello scopo, l’EDPB sottolinea che quest’ultimo “è chiaramente (e continuerà ad essere) un elemento centrale delle varie tecnologie coperte dalla definizione di IA, come sancito dall’articolo 3, paragrafo 1, della legge sull’intelligenza artificiale”.
Ecco perché alcune delle Autorità nazionali per la protezione dei dati si sono già attivate e lo stesso EDPB si è preoccupato di seguire da vicino l’iter legislativo relativo all’AI Act, vista la sua “multiforme interazione” con il GDPR.
Il ruolo delle Autorità privacy
Con la presente dichiarazione, l’EDPB prima di effettuare le raccomandazioni/consigli di cui tratteremo dopo, intende “evidenziare ulteriormente le questioni di supervisione e coordinamento che potrebbero derivare dalla designazione delle autorità competenti da parte degli Stati membriin settori così strettamente legati alle questioni relative alla protezione dei dati personali”.
In altre parole, per il Board si rende necessario riconoscere alle Autorità un ruolo di primaria importanza, in virtù dell’esperienza e non di meno competenza già acquisite sui trattamenti dei dati personali connessi ai sistemi di AI.
Di qui, ecco perché secondo l’EDPB non solo è utile ma anche sarebbe in perfetta linea con quella logica di one stop shop del GDPR, concepire i Garanti privacy come “autorità di vigilanza multisettoriali”.
Sistemi di AI: le raccomandazioni dell’EDPB
Nel richiamarci allo Statement in questione, ecco che l’EDPB dopo aver individuato contesto e scopo, formula alcuni “consigli” o meglio raccomandazioni.
Designare le autorità privacy per i sistemi di AI ad alto rischio
Anzitutto, l’EDPB raccomanda che gli Stati membri designino autorità di protezione dei dati per i sistemi di AI ad alto rischio (art. 74, par. 8) del Reg. UE 2024/1689 cd AI Act.
Specialmente quando tali sistemi operino “in settori che possono incidere sui diritti e sulle libertà delle persone fisiche con riguardo al trattamento dei dati personali”, prevedendo tuttavia una deroga dettata dalla copertura di “una nomina obbligatoria prevista dalla legge sull’IA (ad esempio il settore finanziario)”, come leggiamo nello Statement in questione.
Non solo, si raccomanda anche di designare Autorità privacy come “autorità di vigilanza del mercato per i sistemi di IA ad alto rischio” con riferimento a quelli che vengono impiegati a fini di attività come quelle di:
- contrasto;
- controllo delle frontiere;
- giustizia e processi democratici.
Ancora, altro passaggio saliente che merita essere rilevato concerne l’ipotesi in cui “un modello o sistema di AI di uso generale comporti il trattamento di dati personali”, ecco che ciò diventa inevitabilmente appannaggio dei relativi Garanti privacy nonché del GEPD, se nell’ambito di applicazione dell’EUDPR.
È chiaro ed evidente che qualora le Autorità privacy agiscano come autorità di vigilanza del mercato, queste diventano “punti di contatto unico per il pubblico e le controparti a livello di Stati membri e UE”.
Cooperazione tra Autorità e con l’Ufficio AI grazie a procedure chiare
Da ultimo, l’EDPB insiste sulla “necessità di cooperare” nonché stabilire, d’intesa con esse, una “adeguata cooperazione reciproca”mossa tanto da uno spirito di lealtà quanto di efficienza.
Non solo tra Autorità privacy ma anche con l’Ufficio dell’AI e non di meno con l’EDPB.
L’interesse d’altronde è comune: farvi fronte per una tecnologia sempre più evoluta e al passo ma anche compliance alle normative di settore.
Il tutto, e così concludiamo, raccomanda l’EDPB grazie a “procedure chiare” che devono/dovranno essere stabilite strada facendo.
Solo una solida cooperazione tra autorità di vigilanza e altri soggetti incaricati della vigilanza dei sistemi di IA, ivi compresi i Garanti privacy, regolamentata da valide procedure (scritte) potrà evitare possibili, potenziali incoerenze tra decisioni adottate dalle singole Autorità/organismi di vigilanza, sfruttando invece, “le sinergie in azioni di esecuzione coerenti, efficaci e complementari a vantaggio dei singoli e della certezza del diritto”, come conclude l’EDPB nello Statement finora analizzato.
