intelligenza artificiale e la protezione dei dati: sintesi del regolamento (ue) 2024/1689 e le sue connessioni con il gdpr
articoli e news

• Pubblicato il: 29-01-2025

Il Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio (https://www.europarl.europa.eu/doceo/document/A-9-2023-0188-AM-808-808_IT.pdf), noto come il Regolamento sull’Intelligenza Artificiale (IA), (di seguito “Regolamento IA”), rappresenta un passo fondamentale verso la creazione di un quadro normativo armonizzato per l’utilizzo, lo sviluppo e l’adozione dei sistemi di IA nell’Unione Europea. Questo regolamento si colloca in continuità con le disposizioni già esistenti in materia di protezione dei dati personali, in particolare con il Regolamento Generale sulla Protezione dei Dati (GDPR) - Regolamento (UE) 2016/679.

Obiettivi del Regolamento (UE) 2024/1689
Il Regolamento IA mira a:

• Garantire un utilizzo affidabile e sicuro dell’IA: Lo scopo è promuovere un’IA antropocentrica, affidabile e allineata ai valori dell’Unione, quali la democrazia, lo Stato di diritto e i diritti fondamentali.
• Proteggere i diritti fondamentali: Prevenire rischi materiali e immateriali derivanti dall’uso dell’IA, quali discriminazioni, violazioni della privacy e danni economici o psicologici.
• Promuovere l’innovazione: Creare un ambiente favorevole per lo sviluppo e l’adozione di soluzioni IA in tutti i settori economici e sociali.
• Evitare frammentazioni normative: Armonizzare le normative nazionali e garantire la libera circolazione di sistemi di IA e prodotti correlati all’interno del mercato unico.

Definizione di Sistema di IA
Il Regolamento IA definisce un sistema di IA come: "un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall'input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali."
Esaminiamo i punti fondamentali della definizione di sistema di IA, citando alcuni esempi:

• Automazione e autonomia: Un sistema di IA è progettato per operare con un certo grado di indipendenza rispetto alle istruzioni umane, sfruttando algoritmi avanzati per eseguire compiti automaticamente. Ad esempio, ChatGPT utilizza modelli linguistici per generare risposte in tempo reale senza bisogno di intervento manuale, mentre i sistemi di guida autonoma come quelli di Tesla analizzano in tempo reale i dati raccolti dai sensori per prendere decisioni sulla guida.
• Adattabilità post-diffusione: L 'IA può evolversi e migliorare il proprio funzionamento attraverso l’elaborazione di nuovi dati. Un esempio è Spotify, che utilizza tecniche di apprendimento automatico per personalizzare le playlist degli utenti in base ai loro gusti musicali, modificando i suggerimenti man mano che le preferenze cambiano. Allo stesso modo, gli assistenti vocali come Alexa migliorano la loro capacità di comprendere le richieste dell’utente nel tempo.
• Obiettivi espliciti o impliciti:  Alcuni sistemi di IA operano seguendo obiettivi dichiarati, come i modelli di previsione meteorologica, che analizzano dati climatici per fornire previsioni precise. Altri, come gli algoritmi di social media (es. Facebook o TikTok), influenzano decisioni o comportamenti, proponendo contenuti personalizzati che possono spingere gli utenti a trascorrere più tempo sulle piattaforme, spesso senza che gli obiettivi di questa personalizzazione siano pienamente chiari.
• Influenza su ambienti fisici o virtuali: Gli output generati dai sistemi di IA possono avere impatti significativi sia nel mondo reale che online. Ad esempio, nel settore logistico, Amazon Robotics utilizza sistemi di IA per ottimizzare il movimento dei prodotti nei magazzini, migliorando l’efficienza. Nel mondo digitale, ad esempio, sono in corso di diffusione sistemi di IA in grado di esaminare le operazioni svolte per determinare il merito creditizio dei clienti.

Sistemi di IA vietati
Il Regolamento (UE) 2024/1689 sull'intelligenza artificiale (IA) stabilisce specifiche pratiche vietate per garantire la tutela dei diritti fondamentali e prevenire l'uso improprio di tali tecnologie.
1. Manipolazione subliminale o ingannevole: È vietato l'uso di sistemi di IA che influenzano il comportamento delle persone senza la loro consapevolezza, attraverso tecniche subliminali o manipolative. come ad esempio un'applicazione che, mediante messaggi nascosti o stimoli sensoriali impercettibili, induce gli utenti ad acquistare prodotti non desiderati, compromettendo la loro capacità di prendere decisioni informate.
2. Sfruttamento delle vulnerabilità: sono proibiti i sistemi di IA che sfruttano le vulnerabilità di individui o gruppi, dovute a età, disabilità o condizioni socio-economiche, per distorcere il loro comportamento in modo dannoso, come ad esempio  Un giocattolo intelligente che, attraverso interazioni persuasive, induce bambini a effettuare acquisti in-app senza la supervisione dei genitori.
3. Punteggio sociale: è vietata l'implementazione di sistemi di IA che valutano o classificano le persone in base al loro comportamento sociale o caratteristiche personali, portando a trattamenti discriminatori o ingiustificati, come ad esempio di un sistema che assegna punteggi ai cittadini in base alle loro attività online e offline, determinando l'accesso a servizi pubblici o opportunità lavorative, simile al sistema di credito sociale adottato in alcuni paesi.
4. Profilazione per prevedere comportamenti criminali: non è consentito l'uso di IA per valutare o prevedere il rischio che una persona commetta un reato basandosi unicamente su profilazioni o caratteristiche personali, come ad esempio di un software che, analizzando dati demografici e comportamentali, identifica potenziali criminali senza evidenze concrete, portando a possibili discriminazioni.
5. Creazione di database di riconoscimento facciale tramite scraping: è proibita la creazione o l'ampliamento di banche dati di riconoscimento facciale mediante la raccolta indiscriminata di immagini da internet o da sistemi di videosorveglianza senza il consenso degli interessati, come ad esempio di un'azienda che raccoglie foto dai profili social pubblici per costruire un database di riconoscimento facciale utilizzato per sorveglianza senza autorizzazione.
6. Rilevamento delle emozioni in contesti specifici: l'uso di sistemi di IA per inferire le emozioni delle persone è vietato in ambiti come il luogo di lavoro e gli istituti di istruzione, salvo motivi medici o di sicurezza, come ad esempio di un sistema che analizza le espressioni facciali degli studenti durante le lezioni per valutare il loro coinvolgimento, potenzialmente violando la loro privacy.
7. Categorizzazione biometrica sensibile: è vietato l'uso di sistemi di IA che classificano le persone sulla base di dati biometrici per dedurre informazioni sensibili, come razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o orientamento sessuale, come ad esempio di un'applicazione che, analizzando tratti del volto, cerca di determinare l'orientamento sessuale di una persona, con rischi di discriminazione e violazione della privacy.
8. Identificazione biometrica remota in tempo reale in spazi pubblici: l'uso di sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico è generalmente vietato, salvo eccezioni specifiche legate alla sicurezza pubblica, come ad esempio  L'installazione di telecamere con riconoscimento facciale in una piazza per identificare automaticamente i passanti senza una giustificazione legale adeguata.

Sistemi di IA ad alto Rischio
Un sistema di IA è considerato ad alto rischio se vengono soddisfatte entrambe le seguenti condizioni:  
a) Utilizzo del sistema di IA come componente di sicurezza o come prodotto autonomo quando il sistema di IA è destinato a svolgere una funzione di sicurezza in un prodotto (ad esempio, controllare il funzionamento sicuro di un dispositivo medico o di un veicolo autonomo) o in alternativa, il sistema di IA può essere un prodotto autonomo, progettato per operare direttamente con scopi legati alla sicurezza (esempio: un sistema di IA installato in un'automobile per il rilevamento di ostacoli e la prevenzione di collisioni sarebbe considerato un componente di sicurezza).
b) Soggetto a valutazione di conformità da parte di terzi quando il sistema di IA (o il prodotto che lo contiene) deve essere sottoposto a una valutazione di conformità indipendente da parte di un organismo di terze parti ai fini dell’immissione sul mercato (esempio: un sistema di IA utilizzato per diagnosticare malattie deve passare una valutazione da parte di un ente certificatore per verificare che operi in modo sicuro e affidabile, in conformità con le normative UE).

Oltre ai sistemi di IA ad alto rischio, che presentano i requisiti sopra descritti,  sono considerati ad alto rischio anche i sistemi di IA di cui all'allegato III del Regolamento IA:

• Biometria: Sistemi di IA che gestiscono il riconoscimento biometrico (come il riconoscimento facciale in spazi pubblici), la categorizzazione basata su dati biometrici sensibili (ad esempio, genere o razza) o il rilevamento delle emozioni. Questi sistemi, se non adeguatamente controllati, possono violare la privacy e causare discriminazioni.
• Infrastrutture critiche: IA utilizzate per garantire la sicurezza e il funzionamento di reti essenziali come trasporti, energia e servizi idrici. Eventuali malfunzionamenti potrebbero avere conseguenze gravi per la società.
• Istruzione e formazione: Sistemi che decidono l’accesso a scuole o corsi, valutano i risultati degli studenti o monitorano il comportamento durante esami. Ad esempio, IA usate per identificare potenziali frodi negli esami online devono rispettare standard rigorosi.
• Occupazione e lavoro: Algoritmi che selezionano candidati per offerte di lavoro, valutano le prestazioni lavorative o assegnano compiti. Questi strumenti devono essere progettati per evitare bias e discriminazioni.
• Servizi essenziali: Sistemi che valutano l’ammissibilità a prestazioni sociali, affidabilità creditizia o tariffe assicurative. Questi strumenti possono influire direttamente sulla vita delle persone e richiedono verifiche attente per garantire equità.
• Attività di contrasto: IA impiegate dalle forze dell’ordine per valutare rischi criminali, analizzare prove o effettuare profilazioni. È necessario un controllo rigoroso per evitare abusi e discriminazioni basate su dati sensibili.
• Migrazione e asilo: Sistemi usati per valutare richieste di asilo, controllare i confini o identificare rischi legati alla sicurezza. Questi strumenti devono rispettare i diritti umani e le normative internazionali.
• Giustizia e processi democratici: IA utilizzate dai tribunali per interpretare norme o supportare decisioni legali, e sistemi progettati per influenzare il comportamento di voto. È essenziale garantire che tali strumenti non compromettano l’imparzialità o la democrazia.

Fatto salvo il primo comma, un sistema di IA di cui all'allegato III è sempre considerato ad alto rischio qualora esso effettui profilazione di persone fisiche
Sistemi di IA a Rischio contenuto
Un fornitore che ritiene che un sistema di IA di cui all'allegato III non sia ad alto rischio ne documenta la valutazione prima che tale sistema sia immesso sul mercato oppure messo in servizio. Tale fornitore è soggetto all'obbligo di registrazione di cui all'articolo 49, paragrafo 2 del Regolamento IA. Su richiesta delle autorità nazionali competenti, il fornitore mette a disposizione la documentazione relativa alla valutazione.