ricerca avanzata
ricerca anche su

angolo del professionista

  • Privacy - Intelligenza artificiale -Tecnologie dell'informazione e della comunicazione (ICT)

4 marzo 2025

CNIL: le nuove linee guida sui diritti degli interessati nell’utilizzo di sistemi di IA

di Lorenzo Baudino Bessone e Alice Dal Bello

La Commission nationale de l'informatique et des libertés (“CNIL”) ha adottato lo scorso 7 febbraio due raccomandazioni, rispettivamente sull’obbligo di informare gli interessati e sull’agevolazione all’esercizio dei diritti, che puntualizzano l’applicazione della disciplina a tutela dei dati personali anche nei sistemi di intelligenza artificiale (in seguito, anche “Sistemi di IA”).


Guardando al futuro, ormai davvero prossimo, in cui i sistemi di Intelligenza Artificiale ad alto rischio dovranno essere dotati dei requisiti previsti dal Regolamento (UE) 2024/1689 (cd. “AI Act”) in materia di trasparenza nei confronti degli utenti finali (tra cui la necessità di garantire la supervisione umana), l’Autorità garante francese ha elaborato due raccomandazioni che mirano a proporre soluzioni concrete per garantire l’esercizio dei diritti degli interessati, ai sensi degli artt. 13, 14 e 15-22 del Regolamento (UE) 2016/679 (cd. “GDPR”), nei casi in cui i Sistemi di IA siano utilizzati per il trattamento di dati personali.

L'attività della CNIL risponde infatti all’esigenza di fornire chiarimenti in merito a come coordinare la normativa sulla protezione dei dati personali con il fenomeno dell’IA, considerato peraltro che, come noto, anche il l'AI Act, adottato il 12 luglio 2024, afferma al Considerando 10 che: “Il presente regolamento non mira a pregiudicare l'applicazione del vigente diritto dell'Unione che disciplina il trattamento dei dati personali, inclusi i compiti e i poteri delle autorità di controllo indipendenti competenti a monitorare la conformità con tali strumenti. Inoltre, lascia impregiudicati gli obblighi dei fornitori e dei deployer dei sistemi di IA nel loro ruolo di titolari del trattamento o responsabili del trattamento derivanti dal diritto dell'Unione o nazionale in materia di protezione dei dati personali, nella misura in cui la progettazione, lo sviluppo o l'uso di sistemi di IA comportino il trattamento di dati personali. È inoltre opportuno chiarire che gli interessati continuano a godere di tutti i diritti e le garanzie loro conferiti da tale diritto dell'Unione, compresi i diritti connessi al processo decisionale esclusivamente automatizzato relativo alle persone fisiche, compresa la profilazione. Norme armonizzate per l'immissione sul mercato, la messa in servizio e l'uso dei sistemi di IA istituiti a norma del presente regolamento dovrebbero facilitare l'efficace attuazione e consentire l'esercizio dei diritti degli interessati e di altri mezzi di ricorso garantiti dal diritto dell'Unione in materia di protezione dei dati personali nonché degli altri diritti fondamentali.

L’Autorità garante privacy francese ha colto l’invito avanzato dal legislatore europeo con l’AI Act elaborando, pertanto, due nuove raccomandazioni che offrono soluzioni volte a garantire che gli utenti siano informati sull’uso dei propri dati e agevolare l’esercizio dei loro diritti.

Circa l’obbligo di informazione, originando dal principio della trasparenza del trattamento, il CNIL ha sottolineato come lo stesso si applichi sia qualora i dati vengano raccolti direttamente dagli interessati sia qualora vengano raccolti indirettamente. Se il responsabile del trattamento raccoglie i dati di apprendimento direttamente dagli interessati, deve informarli al momento della raccolta. In caso di raccolta indiretta, l’organizzazione deve informare gli interessati il prima possibile, al più tardi al momento del primo contatto con loro o della prima comunicazione dei dati a un altro destinatario. In ogni caso, ai sensi dell’art. 14 GDPR, il titolare deve informare gli interessati entro e non oltre un mese dalla data in cui ha recuperato i loro dati. Come buona prassi, quando i dati sono particolarmente sensibili, la CNIL invita le organizzazioni a rispettare un periodo di tempo ragionevole tra il momento in cui le persone sono informate che i loro dati sono contenuti su un database per l’apprendimento di sistemi di AI e il concreto utilizzo di tali dati, affinché gli interessati possano esercitare i propri diritti in tale lasso di tempo. La raccomandazione ribadisce altresì che le informazioni devono essere facilmente accessibili dagli interessati sia sotto il profilo della consultabilità che della comprensibilità. Relativamente a quest’ultimo aspetto il CNIL raccomanda l’introduzione di un sistema di informazioni a più livelli, che dia priorità alle informazioni essenziali al primo livello, ma che fornisca informazioni complete agli altri livelli.

La seconda raccomandazione, strettamente correlata a quella già esaminata, si focalizza invece sull’agevolazione dell’esercizio dei diritti degli interessati. Richiamando i diritti attributi dal GDPR agli interessati, il CNIL sottolinea come gli stessi debbano avere la facoltà di esercitare i propri diritti sia sull’apprendimento dell’AI che sui modelli di AI. Se da un lato non sussistono particolare difficoltà nell’esercizio dei diritti nella fase dell’apprendimento, non è possibile affermare lo stesso in relazione ai modelli di AI. In tale contesto è possibile distinguere due situazioni: i) la presenza dei dati riferibili ad un determinato soggetto è ovvia; ii) è probabile che il modello tratti i dati riferibili all’interessato. In quest’ultima ipotesi il titolare del trattamento può allora dimostrare di non essere in grado di identificare le persone presenti nel suo modello ai sensi dell’art. 11 del GDPR. Ad oggi, infatti, a causa dell’elevato numero di iterazioni necessarie per addestrare il modello non è possibile, per una determinata persona, identificare tutti i dati che la riguardano memorizzati dal modello di intelligenza artificiale.

Ovviamente, la difficoltà nell’identificare la presenza di dati personali incide anche sull’esercizio di altri diritti degli interessati, come il diritto di rettifica, di opposizione o di cancellazione dei dati.

A questo proposito, il CNIL promuove attivamente la ricerca e lo sviluppo di soluzioni innovative che garantiscano il rispetto dei diritti degli interessati e l’applicazione del principio di privacy-by-design. L’obiettivo è incoraggiare l’adozione di pratiche che integrino la protezione dei dati fin dalla progettazione dei sistemi di intelligenza artificiale, assicurando trasparenza, controllo e sicurezza per gli utenti.
 

Avv. Lorenzo Baudino Bessone e Dott.ssa Alice Dal Bello
Studio Previti
Associazione Professionale

×
©2025 - Sprint Soluzioni Editoriali s.r.l. - P.I. 15078421003 - Riproduzione Riservata

I testi presenti in questa banca dati hanno finalità unicamente informative e scientifiche e non rivestono carattere di ufficialità; si declina, pertanto, ogni responsabilità per eventuali errori o inesattezze. Tutti i marchi riportati appartengono ai legittimi proprietari; marchi di terzi, nomi di prodotti, nomi commerciali e immagini di prodotti sono di proprietà dei rispettivi titolari. Sono utilizzati nella seguente banca dati a puro scopo divulgativo e informativo, senza alcun fine di violazione dei diritti vigenti.

informativa privacy - informativa cookie