Viviamo in un’epoca caratterizzata da una costante e inarrestabile evoluzione tecnologica, dove la raccolta, l’elaborazione e l’utilizzo dei dati personali hanno assunto un ruolo centrale nella nostra quotidianità. L’avvento dell’intelligenza artificiale (IA) e la sempre maggiore digitalizzazione delle interazioni umane hanno amplificato la capacità di raccogliere informazioni e di impiegarle per fini diversi, trasformando il concetto stesso di identità e privacy. In questo scenario, la necessità di un quadro normativo adeguato a regolamentare l’uso delle tecnologie emergenti e garantire la tutela dei diritti fondamentali diventa cruciale.

Il GDPR: la prima risposta normativa dell’UE

L’Unione Europea si è distinta per il suo approccio pionieristico in materia di protezione dei dati, come dimostra l’introduzione del Regolamento Generale sulla Protezione dei Dati (GDPR). Tuttavia, la rapida diffusione dell’IA ha reso necessaria una nuova disciplina specifica per regolamentare il suo impiego e i suoi impatti sulla società. A tal fine, la Commissione Europea ha proposto l’AI Act, un regolamento che si pone l’obiettivo di garantire un utilizzo sicuro e responsabile dell’intelligenza artificiale, mitigando i rischi derivanti da un impiego non etico o potenzialmente pericoloso di queste tecnologie.

AI Act: una nuova frontiera per la tutela dei diritti

L’AI Act introduce un sistema di classificazione dei sistemi di intelligenza artificiale basato sul livello di rischio che essi comportano per i diritti fondamentali delle persone. Questa classificazione prevede quattro categorie: rischio inaccettabile, alto rischio, rischio limitato e rischio minimo. Le applicazioni considerate a rischio inaccettabile, come i sistemi di sorveglianza di massa o quelli che manipolano il comportamento umano in modo dannoso, saranno vietate. I sistemi ad alto rischio, come quelli impiegati in ambiti sensibili quali la selezione del personale o la concessione di prestiti, saranno soggetti a rigidi obblighi di conformità e trasparenza. Per le applicazioni a rischio limitato, invece, saranno previste misure di trasparenza, mentre per quelle a rischio minimo non vi saranno particolari restrizioni.

Uno degli aspetti più innovativi dell’AI Act è la centralità attribuita alla protezione dei diritti fondamentali e alla trasparenza delle decisioni automatizzate. La normativa impone che gli sviluppatori e i fornitori di sistemi di IA garantiscano meccanismi di controllo umano, documentazione chiara e sistemi di gestione del rischio per prevenire eventuali danni. Inoltre, viene promossa la ricerca di soluzioni di IA che siano affidabili e al servizio dell’uomo, in linea con i principi già sanciti dal GDPR.

Un nuovo equilibrio tra innovazione e diritti

L’introduzione dell’AI Act segna dunque un ulteriore passo verso una regolamentazione sempre più improntata alla tutela della dignità dell’individuo in un contesto digitale in continua trasformazione. L’attenzione verso la protezione dei dati personali e la responsabilità nell’uso delle nuove tecnologie evidenzia come il legislatore europeo intenda costruire un futuro in cui l’innovazione sia bilanciata dalla salvaguardia dei diritti e delle libertà fondamentali.

È proprio su questa tematica che si inserisce il GDPR, quale strumento cardine per la tutela della privacy e della dignità dell’individuo nel contesto digitale odierno.

Il diffondersi di raccolte di dati personali sempre più ampie e specializzate, per finalità molteplici e a opera dei soggetti più vari produce forme di spossessamento e frantumazione, disloca il sé di ciascuno in luoghi diversificati…l’unità delle persone viene spezzata e al suo posto troviamo tante persone “elettroniche”, tante persone create dal mercato quanti sono gli interessi che spingono alla raccolta delle informazioni. Stiamo divenendo astrazioni nel Cyberspazio, siamo di fronte a un individuo moltiplicato. Correva l’anno 1997 quando Stefano Rodotà, allora presidente del GPDP, (garante per la protezione dei dati personali) pronunciava queste parole, auspicando il recupero del valore della Dignità quale limite alla scarnificazione dell’individuo. Secondo il giurista infatti è compito del legislatore dell’avvenire, in una società democratica, salvaguardare le ragioni di libertà degli uomini di domani. Si tratta di un guanto di sfida lanciato al futuro e che è stato progressivamente accolto dai legislatori nazionali e sovrannazionali tramite la previsione di una normativa vigente sempre più improntata e sensibile al tema del “data protection” in chiave antropocentrica.

I principi chiave del GDPR

Una delle fonti più importanti nel panorama giuridico odierno, in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, è senza dubbio il regolamento 2016/679, anche conosciuto come GDPR, che ha abrogato la direttiva 95/46/CE. Una lettura rapida del considerando numero 4 del regolamento ci permette di cogliere – tramite espressioni e termini come “al servizio dell’uomo”, “funzione sociale”, “rispetto di tutti i diritti fondamentali” – la ratio del regolamento: regolare la raccolta e il trattamento, anche automatizzato, dei dati personali, affinché sia lecito, trasparente e corretto, proteggendo l’individuo e al contempo operando un bilanciamento con altri diritti fondamentali, alla luce di una nuova era, quella dell’intelligenza artificiale che rende possibili operazioni sui dati quali la profilazione. Liceità, Trasparenza, Correttezza, ma ancora Minimizzazione dei dati e Accountability sono alcuni dei principi cui è informato il regolamento che, in un’ottica innovativa, fa propri anche concetti come privacy by design, by default e Diritto all’Oblio.

Privacy by design e diritto all’oblio

Mentre “privacy by design” e “by default” sono termini che alludono all’esigenza che fin dall’inizio, quindi fin dalla progettazione, la privacy venga assunta come impostazione di default, per garantire centralità e rispetto della riservatezza dell’utente, il Diritto all’Oblio, quale diritto dell’utente di ottenere la cancellazione dei dati personali, è una modalità attraverso cui si esplica il diritto all’identità personale; parafrasando è il diritto a essere dimenticati e affonda le sue radici nel cosiddetto “right to be left alone”. Nel nostro ordinamento, tuttavia, non esistono diritti tiranni, conseguentemente anche il diritto alla protezione non è assoluto ma è possibile che debba essere contemperato con altre esigenze e diritti come, per esempio, il diritto di cronaca, che hanno pari dignità di esistere.

Per concludere è possibile affermare che il GDPR a oggi rappresenti uno dei più significativi baluardi per ridurre o evitare il pericolo di frammentazione dell’individuo. Chiaramente l’efficacia del regolamento dipenderà dalla capacità di adattarlo alle nuove tecnologie senza tradire i principi posti a salvaguardia della dignità dell’uomo. La vera sfida sarà dunque bilanciare novità e innovazioni, affinché l’Intelligenza artificiale sia al servizio dell’uomo e l’Uomo non diventi mera astrazione nel cyberspazio.

Melissa Marro e Daniela Rispoli – Area legale – JELU Consulting