L’entrata in vigore del Reg. UE 1689/2024 sull’intelligenza artificiale, meglio conosciuto come AI Act, rappresenta un cambio di paradigma per le pubbliche amministrazioni locali, che sempre più spesso integrano sistemi di intelligenza artificiale nei propri servizi per migliorare efficienza, trasparenza e risposte ai cittadini.
La conformità al dettato normativo dell’AI Act è diventata imprescindibile per gli Enti locali, poiché il mancato rispetto di queste normative può comportare conseguenze legali e reputazionali rilevanti. Queste norme si intrecciano e si coordinano con quelle relative alla protezione dei dati personali dettate dal GDPR (Reg. UE 679/2016), già obbligatorie per gli Enti locali dal 2018 (anche se non sempre tutte le amministrazioni pubbliche se ne sono rese conto e i Comuni sono ben lungi dall’essere pienamente in regola), a formare un combinato disposto di regole che da un lato mirano alla protezione dei diritti e delle libertà fondamentali dei cittadini e dall’altro si propongono non già di frenare, ma al contrario di promuovere l’innovazione tecnologica. E la difficoltà sta proprio tutta qui, nel coordinare le esigenze di tecnologia e l’ineludibile necessità di rispettare i diritti: in questo fragile e spesso complesso, ma affascinante equilibrio si colloca lo sforzo che tutti gli Enti locali devono attuare per realizzare strategie di compliance e trovarsi allo stesso tempo al passo con i tempi di un mondo che cambia con estrema velocità.
In questo articolo esploreremo le implicazioni e le responsabilità specifiche derivanti dall’AI Act in combinato disposto con il GDPR per i Comuni e le amministrazioni locali, delineando le migliori pratiche per garantire la compliance e mantenere la fiducia dei cittadini.
L’AI Act: un quadro normativo per la PA
L’AI Act, entrato in vigore nell’agosto 2024, introduce una regolamentazione strutturata che riguarda anche le pubbliche amministrazioni, soprattutto nei settori a rischio elevato.
Gli Enti locali che adottano sistemi di intelligenza artificiale (e diciamolo, la tentazione prima o poi arriva a chiunque, perché l’intelligenza artificiale come la consociamo oggi è uno strumento di lavoro potentissimo e conoscerla ed utilizzarla responsabilmente può migliorare non solo l’efficienza pubblica, ma altresì il lavoro del singolo dipendente) devono conformarsi alle normative europee, che impongono controlli rigorosi per assicurare l’affidabilità, la trasparenza e la sicurezza dell’intelligenza artificiale. Questo è particolarmente importante per i sistemi utilizzati nella sorveglianza, nella gestione del traffico, nei servizi di welfare e nella sanità pubblica.
Il primo passo da fare per gli Enti locali è classificare i sistemi di AI utilizzati in base al livello di rischio. Il regolamento prevede diversi livelli di rischio, a seconda dell’impatto che i sistemi usati possono potenzialmente avere nei confronti dei cittadini.
• Rischio inaccettabile: l’uso di AI per manipolare comportamenti o limitare le libertà individuali è proibito. Ad esempio, sistemi di “social scoring” o sistemi di riconoscimento biometrico non autorizzati rientrano in questa categoria.
• Rischio alto: sistemi impiegati in settori come la sanità e l’istruzione richiedono obblighi di trasparenza e supervisione. È il caso di software per la gestione dei dati sanitari, dei welfare locali o per l’istruzione pubblica.
• Rischio limitato e rischio minimo: qui rientrano sistemi di IA a basso impatto come i chatbot informativi (anche se sui chatbot e sul loro livello di rischio è in corso un dibattito aperto presso le Autorità Garanti europee), che necessitano di avvisi trasparenti, ma richiedono meno adempimenti rispetto ai sistemi ad alto rischio.
>> LEGGI ANCHE: Comuni, nuove assunzioni e lavoro aumentato grazie all’intelligenza artificiale.
Gli obblighi degli Enti locali nel contesto del GDPR
Gli Enti locali sono già soggetti al GDPR per quanto riguarda la gestione dei dati personali. Tuttavia, l’adozione di sistemi basati sull’intelligenza artificiale generativa amplifica la necessità di rispettare i principi di protezione dei dati e di sicurezza. I principali obblighi includono:
• Trattamento dei dati personali: molti sistemi di AI utilizzano dati personali per offrire servizi pubblici, come quelli legati alla mobilità urbana, alla sanità o ai servizi sociali. Ogni trattamento deve rispettare i principi di minimizzazione dei dati, trasparenza e responsabilità, in linea con il GDPR.
• DPIA (valutazione di impatto sulla protezione dei dati): le amministrazioni locali devono effettuare una DPIA (Data Protection Impact Assessment, la valutazione di impatto già prevista, ad esempio, per i sistemi di videosorveglianza) per ogni sistema AI ad alto rischio, identificando i potenziali impatti sui diritti e sulle libertà dei cittadini. Questo processo prevede l’analisi di rischi specifici e l’adozione di misure di mitigazione, come l’anonimizzazione dei dati sensibili.
• Diritti degli interessati: i cittadini devono avere il diritto di accedere, modificare e cancellare i propri dati, soprattutto quando vengono trattati da sistemi automatizzati. Gli enti locali devono implementare procedure efficienti per rispondere a queste richieste, dimostrando trasparenza e attenzione ai diritti individuali.
AI ACT e GDPR: come garantire la conformità per imprese e Pubbliche Amministrazioni
Linee guida pratiche per la compliance degli Enti locali
Gli Enti locali devono adottare un approccio metodico e proattivo per implementare la compliance con l’AI Act e il GDPR. Di seguito sono elencati alcuni passaggi chiave che possono aiutare le amministrazioni locali a gestire e integrare in sicurezza i sistemi di intelligenza artificiale.
• Mappatura e classificazione dei sistemi di AI utilizzati: la prima fase consiste nell’identificare e classificare i sistemi di AI già in uso o in fase di implementazione. Questo processo implica una revisione completa di tutte le applicazioni e dei software di AI, valutandone il livello di rischio secondo le categorie definite dall’AI Act. Gli enti locali dovrebbero stilare un inventario dettagliato dei sistemi utilizzati, specificando per ciascuno il livello di rischio e gli ambiti di applicazione.
• Implementazione della supervisione umana nei processi automatizzati: per garantire che i sistemi di AI operino in modo equo e corretto, è essenziale che siano supervisionati da personale qualificato, specialmente nei settori critici come la gestione dei servizi sociali, della salute e dell’istruzione. Questo passaggio richiede che il personale locale riceva una formazione adeguata per intervenire e monitorare il comportamento dei sistemi automatizzati, soprattutto nei casi di potenziale impatto negativo sui cittadini.
• Trasparenza e informazione per i cittadini: gli enti locali devono garantire una comunicazione trasparente con i cittadini, informandoli sull’uso dei sistemi di AI che trattano i loro dati. Ad esempio, i chatbot o i sistemi di assistenza virtuale dovrebbero chiaramente indicare che si sta interagendo con un sistema automatizzato, e le amministrazioni devono assicurarsi che i cittadini siano consapevoli dei propri diritti ai sensi del GDPR.
• Adozione di misure di sicurezza per la protezione dei dati: la sicurezza dei dati è cruciale, soprattutto quando i sistemi di IA trattano informazioni particolari (ex art. 9 del GDPR). Gli enti locali devono implementare misure di sicurezza come la crittografia, il controllo degli accessi e la segmentazione dei dati per limitare il rischio di violazioni. Inoltre, dovrebbero essere predisposti piani di risposta a incidenti, in grado di gestire rapidamente eventuali violazioni dei dati.
• Formazione e sensibilizzazione del personale: il personale degli enti locali deve essere adeguatamente formato sulle normative AI Act e GDPR, nonché sui principi fondamentali di protezione dei dati e sicurezza. Corsi di aggiornamento, workshop e linee guida pratiche possono supportare i dipendenti nella gestione responsabile dei sistemi di AI, riducendo il rischio di errori o di trattamenti inappropriati dei dati.
Sanzioni e impatti reputazionali per la non conformità
La non conformità all’AI Act può comportare sanzioni finanziarie significative, con multe che, per le aziende private, possono arrivare fino al 7% del fatturato globale annuo o a 35 milioni di euro, in base a quale importo risulti maggiore. Per le pubbliche amministrazioni e gli enti locali, invece, la portata delle sanzioni potrebbe essere adattata alle specificità del settore pubblico, con parametri definiti dalle autorità nazionali competenti e coerenti con i bilanci pubblici. Per le amministrazioni locali, un’eventuale non conformità non si traduce solo in penalità economiche, ma anche in una perdita di fiducia da parte dei cittadini, che vedrebbero minata la trasparenza e la sicurezza dei servizi pubblici.
Esempi di applicazione pratica per gli Enti locali
Per aiutare gli Enti locali a comprendere meglio come implementare le linee guida, ecco alcuni esempi pratici di sistemi di AI e delle relative misure di compliance.
• Riconoscimento facciale nella sicurezza pubblica: se un Ente locale utilizza sistemi di riconoscimento facciale, essi devono essere strettamente monitorati e utilizzati in conformità con l’AI Act, che vieta l’uso per la sorveglianza di massa e richiede una supervisione umana e trasparenza. In tali casi, l’ente dovrebbe garantire una DPIA e assicurarsi che il sistema sia conforme alle normative sulla privacy.
• Chatbot per assistenza ai cittadini: i chatbot sono strumenti ampiamente utilizzati per fornire informazioni ai cittadini in modo automatizzato. Gli enti locali devono assicurarsi che i cittadini siano informati chiaramente di interagire con un sistema di intelligenza artificiale e che possano avere accesso a un operatore umano, se necessario.
• Sistemi di AI per la gestione del traffico urbano: l’AI può ottimizzare i flussi di traffico e ridurre la congestione stradale. Tuttavia, se vengono raccolti dati sul comportamento dei cittadini, ad esempio tramite GPS, questi devono essere anonimizzati o pseudonimizzati per evitare rischi di violazione della privacy.
Conclusioni
L’AI Act rappresenta un importante passo avanti per regolamentare l’uso responsabile dell’intelligenza artificiale nelle pubbliche amministrazioni locali. Sebbene la conformità possa sembrare complessa, soprattutto per gli enti locali con risorse limitate, un approccio metodico e proattivo può garantire il rispetto delle normative. La compliance richiede non solo l’adozione di misure tecniche e organizzative, ma anche un cambiamento culturale che valorizzi la trasparenza e il rispetto per i diritti dei cittadini.
Implementando una strategia di compliance integrata e un’efficace gestione dei sistemi di AI, gli Enti locali possono non solo evitare sanzioni, ma anche migliorare i propri servizi e rafforzare la fiducia della comunità. Essere conformi all’AI Act (e al GDPR) significa garantire un uso di uno strumento innovativo e potente come l’intelligenza artificiale che sia etico, trasparente e sicuro, contribuendo a costruire una PA locale moderna e affidabile, che mette i cittadini e i loro diritti al centro delle proprie politiche tecnologiche.
*******
Maggioli Editore è orgogliosa di presentare il corso di formazione online in diretta intitolato “AI ACT e GDPR: come garantire la conformità per imprese e Pubbliche Amministrazioni”, articolato in tre unità didattiche il 20, 22 e 26 novembre 2024 (docenti Luca Bolognini, Michele Iaselli e Luisa Di Giacomo): un’opportunità imperdibile per professionisti, giuristi e rappresentanti delle Pubbliche Amministrazioni e delle imprese. Ideato per affrontare le sfide pratiche legate alla conformità normativa, il percorso formativo offre un approccio strutturato e operativo alle regolamentazioni emergenti sull’intelligenza artificiale. La prima sessione fornisce una panoramica sull’AI e sui principi normativi ed etici dell’AI ACT. La seconda, di taglio pratico, affronta gli obblighi di trasparenza e documentazione, il ruolo del DPO e dei responsabili della conformità, con un focus sull’AI Impact Assessment, culminando in un workshop interattivo. La terza sessione esplora la sicurezza informatica dei sistemi AI e i modelli di responsabilità legale in caso di danni, fornendo strumenti concreti per una gestione consapevole dei rischi. Un corso essenziale per chi desidera allinearsi alle nuove normative europee e anticipare le sfide di un futuro sempre più tecnologico e regolato. Tutte le informazioni utili sono disponibili qui.
Scrivi un commento
Accedi per poter inserire un commento