Approvata la legge italiana sull’Intelligenza Artificiale

Quella approvata è una legge di delega alquanto complessa, con scelte forti che interessano anche altri plessi normativi. Il rapporto tra il GDPR e la nuova normativa italiana non è solo di coesistenza, ma di vera e propria integrazione funzionale, dove i principi di protezione dei dati personali diventano architrave per uno sviluppo responsabile dell’intelligenza artificiale.

La trasparenza assume una dimensione particolare nell’intersezione tra GDPR e intelligenza artificiale. Mentre il primo richiede informazioni chiare sul trattamento dei dati, la legge italiana aggiunge l’obbligo di spiegabilità dei sistemi IA (v. art. 4, c. 3 – prevede che le informazioni siano rese “con linguaggio chiaro e semplice, in modo da garantire all’utente la conoscibilità dei relativi rischi e il diritto di opporsi ai trattamenti autorizzati dei propri dati personali”).

Il principio di minimizzazione trova nuova applicazione nel contesto IA. Tali sistemi tendono ad assorbire grandi quantità di dati per migliorare le proprie prestazioni, ma la normativa italiana richiede che questo avvenga secondo “il principio di proporzionalità in relazione ai settori nei quali sono utilizzati”. Emerge così la necessità di bilanciare l’efficacia degli algoritmi con la protezione dei dati, sviluppando tecniche di Machine Learning che possano operare con Dataset ridotti o anonimizzati.

Il consenso, si confronta con le peculiarità del IA. L’art. 4, c. 4 della legge italiana stabilisce regole specifiche per i minori, richiedendo il consenso dei genitori per l’accesso alle tecnologie IA da parte di minori di 14 anni. Questa disposizione riconosce che l’IA presenta rischi specifici per i soggetti vulnerabili, richiedendo protezioni rafforzate che vanno oltre al GDPR.

La profilazione automatizzata trova nuove sfaccettature nell’IA generativa. La legge italiana non introduce divieti assoluti, ma rafforza i principi di supervisione umana e spiegabilità. Ogni decisione automatizzata deve rimanere sotto controllo umano effettivo, garantendo all’interessato il diritto di comprendere la logica utilizzata e di contestare le decisioni che lo riguardano.

Diritto all’oblio si arricchisce di nuove dimensioni nel contesto IA. Non si tratta più solo di cancellare dati da database, ma di garantire che le informazioni eliminate non continuino ad influenzare i modelli IA già addestrati. Una sfida che richiede lo sviluppo di tecniche di “machine unlearning” che permettano di rimuovere selettivamente l’influenza di specifici dati dai modelli addestrati. La cooperazione tra Autorità di controllo si intensifica con l’introduzione delle Autorità nazionali per l’IA. Pur restando ferme le competenze, i poteri e i compiti del Garante si prevedono meccanismi di coordinamento con AgID e ACN, delineando così un sistema di governance multi-livello.

Sanzioni – Mentre il GDPR prevede multe fino al 4% del fatturato, la legge italiana prevede aggravanti penali per reati commessi mediante IA (art. 26), creando un sistema sanzionatorio articolato che copre sia gli aspetti amministrativi che quelli penali.

La logica della normativa vuole indubbiamente essere un primo viatico di semplificazione e di disciplina flessibile che:
1) prova a semplificare la disciplina dei dati personali per ciò che rileva il ciclo di vita dell’IA;
2) disegna uno scenario di sviluppo economico all’impronta della sinergia tra livelli di governo, mondo delle imprese e PPAA (ad esempio, art. 5.1.e sulla ricerca collaborativa);
3) necessariamente cerca di coniugare un libero mercato della IA con le sempre più pressanti esigenze in materia di sicurezza e difesa nazionale (v. ad es. art. 5 sulla localizzazione sul territorio nazionale dei Data Centers per la PPAA).

Il futuro del rapporto tra privacy e IA si prospetta caratterizzato da crescente integrazione normativa e tecnica. L’obiettivo è sviluppare un ecosistema normativo dove innovazione tecnologica e protezione dei diritti fondamentali si rafforzino reciprocamente.