Un potenziale conflitto tra AI Act e GDPR potrebbe derivare dal contrasto tra l’obiettivo dell’AI Act di affrontare il bias algoritmico e le rigide protezioni della privacy del GDPR, rendendo difficile per le aziende trattare dati personali sensibili per tali finalità rimanendo al contempo conformi.
L’AI Act consente esplicitamente alle aziende di trattare dati personali sensibili, come quelli relativi all’etnia o alla salute, per rilevare e correggere i bias algoritmici in sistemi di IA ad alto rischio come gli strumenti di assunzione, il credit scoring o il riconoscimento facciale. Tuttavia, mentre la legge sull’IA mira alla flessibilità, il quadro normativo esistente del GDPR introduce una complessità significativa, creando un rompicapo legale impegnativo per le imprese.
Potenziale conflitto tra la legge sull’IA e il GDPR: dove sta lo scontro legale?
- Base giuridica per il trattamento dei dati
Ai sensi dell’articolo 9 del GDPR, il trattamento di dati personali sensibili è generalmente vietato, a meno che non sussistano specifici motivi giuridici:
- Consenso esplicito dell’interessato.
- Interesse pubblico come definito dal diritto dell’UE o nazionale.
Tuttavia, l’articolo 10(5) dell’AI Act consente una maggiore flessibilità, permettendo il trattamento di dati sensibili senza consenso esplicito per prevenire o correggere la distorsione algoritmica, a condizione che siano in atto forti garanzie. Questa flessibilità è in diretto conflitto con le condizioni più severe del GDPR, intensificando il conflitto tra GDPR e IA.
- Necessità e proporzionalità
- Prospettiva GDPR: il trattamento dei dati è consentito solo quando è assolutamente necessario e le aziende devono escludere prima i metodi meno invasivi.
- Prospettiva AI Act: richiede “necessità”, ma in pratica ciò potrebbe consentire un uso più ampio dei dati quando si affrontano i bias algoritmici. L’ambiguità qui rischia di entrare in conflitto con gli standard di privacy più severi del GDPR, acuendo ulteriormente il conflitto tra AI e GDPR.
Un punto di vista alternativo: Esiste davvero un conflitto tra AI e GDPR?
Alcuni esperti sostengono che la tensione percepita tra l’AI Act e il GDPR possa essere esagerata. Sostengono che gli articoli 6 e 9 del GDPR non sono in contraddizione, ma piuttosto lavorano insieme: l’articolo 6 definisce le basi giuridiche per il trattamento di tutti i dati personali, mentre l’articolo 9, paragrafo 2, prevede esenzioni specifiche per il trattamento dei dati sensibili. Ciò significa che le aziende che gestiscono categorie particolari di dati per la correzione dei bias dell’IA devono soddisfare entrambe le disposizioni, garantendo una base giuridica ai sensi dell’articolo 6 e un’esenzione ai sensi dell’articolo 9, paragrafo 2, insieme ai requisiti dell’articolo 10, paragrafo 5, dell’AI Act.
Da questo punto di vista, la sfida non è un conflitto tra l’AI Act e il GDPR, ma piuttosto la complessità della conformità. L’AI Act afferma esplicitamente nel considerando 70 che la mitigazione dei pregiudizi può rientrare nel fondamento giuridico del “sostanziale interesse pubblico” del GDPR. Invece di entrare in conflitto con il GDPR, la legge sull’IA fornisce un approccio strutturato alla gestione dei dati sensibili nei sistemi di IA ad alto rischio, anche se con un elevato onere di conformità per le aziende.
Il conflitto tra l’IA e il GDPR: un vero rompicapo legale per le aziende
Le aziende che cercano sistemi di IA equi e imparziali si trovano ora intrappolate tra due quadri normativi critici:
- Garantire l’equità dell’IA correggendo i pregiudizi algoritmici, che potrebbero richiedere un ampio trattamento di dati sensibili.
- Aderire rigorosamente al GDPR, che potrebbe limitare la loro capacità di gestire dati sensibili senza esplicito consenso individuale.
Dati i rischi associati a un’applicazione incoerente delle normative in tutta l’UE, le aziende hanno urgente bisogno di linee guida chiare o aggiornamenti legali. In assenza di chiarezza, interpretazioni divergenti potrebbero portare a pratiche disomogenee e a problemi di conformità potenzialmente costosi, alimentando ulteriori conflitti tra l’IA e il GDPR.
La via da seguire: risolvere il conflitto tra l’IA e il GDPR
L’intento dell’AI Act è lodevole: affrontare la questione dei pregiudizi algoritmici è essenziale. Tuttavia, il suo approccio deve essere armonizzato con il GDPR per evitare l’incertezza giuridica. Finché le autorità preposte non forniranno indicazioni esplicite su come affrontare queste complessità, le aziende dovranno bilanciare attentamente gli obiettivi di equità dell’IA con la rigorosa conformità alla privacy.
In definitiva, un’interpretazione e un’applicazione chiare e coerenti di queste leggi in tutta l’UE saranno essenziali per sbloccare il pieno potenziale dell’IA senza compromettere i diritti fondamentali e riducendo al minimo il conflitto tra IA e GDPR. Questo scenario è solo uno degli ambiti legali in cui le aziende potrebbero trovarsi ad affrontare delle sfide nel gestire le disposizioni dell’AI Act. È auspicabile in ogni caso che le autorità forniscano dei chiarimenti.
Su un argomento simile può essere d’interesse l’articolo: “Bias cognitivi e discriminazioni dell’algoritmo di intelligenza artificiale“
