L'INTELLIGENZA ARTIFICIALE NELLA PUBBLICA AMMINISTRAZIONE. TRA LA GESTIONE DEL DATO PERSONALE E LE IMPLICAZIONI PRIVACY.

Privacy e Intelligenza Artificiale nella Pubblica Amministrazione: Un'Analisi Normativa

L'adozione dell'intelligenza artificiale (IA) nella Pubblica Amministrazione (PA) promette di rivoluzionare l'erogazione dei servizi, l'efficienza operativa e la capacità decisionale. Tuttavia, questa trasformazione digitale solleva questioni cruciali in merito alla protezione dei dati personali e al rispetto della privacy dei cittadini. Analizziamo le implicazioni normative che disciplinano questo delicato equilibrio.

L'uso che oggi può fare un Comune Italiano o, in generale, la Pubblica Amministrazione è interessante per l'efficientamento della macchina pubblica. Le implicazioni, tuttavia, sono molteplici. Come, dove e chi può utilizzare i dati che l'amministrazione pubblica conserva (leggi questo articolo). Come vengono gestiti i dati che l'amministrazione pubblica utilizza. Chi ne ha accesso e come. Queste sono le domande che ci poniamo a cui non è certamente facile dare una risposta. 

In Italia, infatti, si discute da tempo della centralizzazione della conservazione dei dati. Sino ad oggi, però, l'infrastruttura è in parte decentralizzata e gestita con piattaforme e tecniche diverse.

La centralizzazione permetterebbe l'uso dei dati (per esempio nella medicina) per analisi previsionali preziose e, quinidi, anche velocità efficienza e risparmio della spesa pubblica.

L'IA nella PA: Potenzialità e Rischi per la Privacy

L'IA nella PA si basa sull'analisi di grandi quantità di dati, spesso contenenti informazioni personali sensibili. L'utilizzo di algoritmi avanzati per l'elaborazione di questi dati può portare a benefici significativi, come la personalizzazione dei servizi, la prevenzione di frodi e l'ottimizzazione delle risorse. Tuttavia, questo comporta anche rischi intrinseci per la privacy, tra cui:

• Raccolta e Trattamento Massivo di Dati: L'IA richiede l'accesso a vasti dataset, che possono includere dati sensibili come quelli sulla salute, le convinzioni religiose, l'orientamento sessuale, ecc.
• Profilazione e Decisioni Automatizzate: Gli algoritmi di IA possono essere utilizzati per creare profili dettagliati dei cittadini e per prendere decisioni automatizzate che li riguardano, potenzialmente con impatti significativi sulla loro vita.
• Mancanza di Trasparenza e Spiegabilità: Alcuni sistemi di IA, come le "black box" dell'apprendimento profondo, possono essere difficili da comprendere e spiegare, rendendo complesso per i cittadini capire come vengono prese le decisioni che li riguardano.
• Rischi per la Sicurezza dei Dati: L'aumento del trattamento di dati personali e l'utilizzo di sistemi complessi aumentano il rischio di violazioni della sicurezza e accessi non autorizzati.

Il Quadro Normativo di Riferimento: Il GDPR e Oltre

La protezione dei dati personali nella PA che utilizza l'IA è principalmente disciplinata dal Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE¹ (GDPR). Il GDPR stabilisce principi fondamentali e obblighi specifici per il trattamento dei dati personali, che si applicano integralmente anche all'utilizzo dell'IA da parte della PA.

Tra i principi chiave del GDPR rilevanti per l'IA nella PA, troviamo:

• Principio di Liceità, Correttezza e Trasparenza (Art. 5, par. 1, lett. a)): Il trattamento dei dati personali deve essere lecito, corretto e trasparente nei confronti dell'interessato. Ciò implica la necessità di fornire informazioni chiare e comprensibili sul trattamento dei dati, inclusi gli scopi e le modalità di utilizzo dell'IA.
• Principio di Limitazione della Finalità (Art. 5, par. 1, lett. b)): I dati personali devono essere raccolti per finalità determinate, esplicite e legittime e non possono essere trattati in modo incompatibile con tali finalità.² L'utilizzo dell'IA deve quindi essere strettamente correlato agli scopi per cui i dati sono stati originariamente raccolti.
• Principio di Minimizzazione dei Dati (Art. 5, par. 1, lett. c)): I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.³ La PA deve raccogliere e utilizzare solo i dati strettamente indispensabili per le finalità dell'IA.
• Principio di Esattezza (Art. 5, par. 1, lett. d)): I dati personali devono essere esatti e, se necessario, aggiornati. Devono essere adottate tutte le misure ragionevoli per cancellare o rettificare⁴ tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
• Principio di⁵ Limitazione della Conservazione (Art. 5, par. 1, lett. e)): I dati personali devono essere conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore⁶ a quello necessario al conseguimento delle finalità per le quali sono trattati.⁷ La PA deve definire periodi di conservazione appropriati per i dati utilizzati dall'IA.
• Principio di Integrità e Riservatezza (Art. 5, par. 1, lett. f)): I dati personali devono essere trattati in modo da garantire un'adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti⁸ non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.⁹

Obblighi Specifici del GDPR per l'IA nella PA:

Oltre ai principi generali, il GDPR impone specifici obblighi che sono particolarmente rilevanti per l'utilizzo dell'IA nella PA:

• Base Giuridica del Trattamento (Art. 6): Il trattamento dei dati personali deve avere una base giuridica valida, come il consenso dell'interessato, l'adempimento di un obbligo legale, l'esecuzione di un compito di interesse pubblico o l'esercizio di pubblici poteri. L'utilizzo dell'IA nella PA deve sempre basarsi su una base giuridica appropriata.
• Diritti degli Interessati (Artt. 12-22): Gli interessati hanno una serie di diritti, tra cui il diritto di accesso, rettifica, cancellazione, limitazione del trattamento, opposizione e portabilità dei dati. La PA deve garantire l'effettivo esercizio di questi diritti anche nel contesto dell'utilizzo dell'IA. In particolare, il diritto di opposizione al trattamento basato sulla profilazione (art. 22) è fondamentale.
• Trasparenza e Informazioni (Artt. 13 e 14): La PA deve fornire agli interessati informazioni chiare e concise sul trattamento dei loro dati personali, inclusi gli scopi, le categorie di dati trattati, i destinatari e i diritti dell'interessato. Questo include informazioni sull'utilizzo dell'IA e sulla logica sottostante.
• Valutazione d'Impatto sulla Protezione dei Dati (DPIA) (Art. 35): Se il trattamento dei dati personali con l'IA presenta un rischio elevato per i diritti e le libertà delle persone fisiche, la PA è tenuta a effettuare una DPIA prima di avviare il trattamento. La DPIA deve valutare i rischi e individuare le misure per mitigarli.
• Responsabile della Protezione dei Dati (RPD) (Art. 37): Le autorità pubbliche, come la PA, devono nominare un Responsabile della Protezione dei Dati (RPD) che supervisioni il rispetto del GDPR e fornisca consulenza in materia di protezione dei dati.

Ulteriori Riferimenti Normativi e Linee Guida:

Oltre al GDPR, la normativa italiana prevede ulteriori disposizioni in materia di protezione dei dati personali e, in particolare, in relazione all'utilizzo di tecnologie innovative nella PA. Il Codice in materia di protezione dei dati personali (D.Lgs. 196/2003 e successive modifiche), pur essendo stato in gran parte abrogato dal GDPR, continua a fornire indicazioni e integrazioni specifiche per il contesto italiano.

A livello europeo, sono in fase di discussione e approvazione normative specifiche sull'intelligenza artificiale, come l'AI Act, che potrebbero fornire ulteriori dettagli e vincoli sull'utilizzo dell'IA nella PA, con particolare attenzione ai rischi per i diritti fondamentali.

Conclusioni: Un Approccio Bilanciato e Responsabile

L'utilizzo dell'intelligenza artificiale nella Pubblica Amministrazione offre notevoli opportunità per migliorare i servizi e l'efficienza. Tuttavia, è fondamentale che questo avvenga nel pieno rispetto dei principi e degli obblighi stabiliti dal GDPR e dalla normativa vigente. La PA deve adottare un approccio responsabile e trasparente, garantendo la protezione dei dati personali dei cittadini e il loro diritto alla privacy.

Ciò richiede un impegno costante verso:

• L'applicazione rigorosa dei principi del GDPR.
• La conduzione di valutazioni d'impatto sulla protezione dei dati (DPIA) quando necessario.
• La garanzia di trasparenza e di informazioni chiare ai cittadini sull'utilizzo dell'IA.
• L'implementazione di misure tecniche e organizzative adeguate per la sicurezza dei dati.
• La formazione e la sensibilizzazione del personale.

Solo attraverso un approccio olistico e un impegno costante verso la tutela della privacy sarà possibile sfruttare appieno i benefici dell'intelligenza artificiale nella PA, mantenendo al contempo la fiducia dei cittadini e garantendo il rispetto dei loro diritti fondamentali.