Una bozza di Linee guida per promuovere l'uso efficiente e appropriato dell'intelligenza artificiale generativa nella Pubblica Amministrazione. I risultati raggiunti in Svezia.

Premessa

Il committment inviato dal Governo svedese all’Autorità per la protezione dei dati ed all’agenzia per la governance digitale, ha origine dalla necessità è di valutare la conformità dell’uso dell’AI generativa con i principi fondamentali del GDPR, di cui all’art. 5, e tra questi, la minimizzazione dei dati, la trasparenza del trattamento e la corretta gestione dei ruoli tra titolare e responsabile del trattamento.[1]

Per questo motivo l’Autorità (IMY) ha ritenuto che le amministrazioni pubbliche devono assumere la responsabilità della gestione dell’AI generativa e predisporre documenti di governance per regolare il suo utilizzo. Inoltre, devono documentare e valutare continuamente i rischi connessi, soprattutto in relazione alla sicurezza e alla protezione dei dati personali

Nell’estate del 2024, l’Autorità svedese per la protezione dei dati (IMY) insieme all’Agenzia svedese per la governance digitale (Digg) è stata incaricata dal governo di sviluppare linee guida per promuovere l’uso efficiente e appropriato dell’intelligenza artificiale generativa (IA) nella pubblica amministrazione.

A gennaio 2025, i risultati dell’incarico sono stati pubblicati sotto forma di linee guida sia da Digg che da IMY

Questo rapporto contiene la parte delle linee guida che IMY ha sviluppato e deciso, ovvero la parte che riguarda la protezione dei dati

Le pubbliche amministrazioni che intendo utilizzare sistemi di intelligenza artificiale devono, prima, porsi i seguenti quesiti:

• È necessario considerare la normativa sulla protezione dei dati quando si utilizza l’IA generativa?

• L’uso è compatibile con i principi fondamentali della legge sulla protezione dei dati?

• Chi è il titolare del trattamento dei dati?

Esistono responsabili del trattamento dei dati?

• Esiste una base giuridica e altro supporto legale per il trattamento dei dati personali?

• Durante l’uso si verificano decisioni automatizzate o trasferimenti di dati personali a paesi terzi e, in tal caso, ci sono le condizioni per questo?

• Come dovrebbero essere rispettati i diritti individuali durante l’uso?

• Come dovrebbe essere raggiunta una sicurezza adeguata durante l’uso?

• Quali rischi comporta l’uso dell’IA generativa dal punto di vista della protezione dei dati?

In questa sede ci si limita a riportare la parte delle linee guida che IMY ha sviluppato e deciso, ovvero la parte che riguarda la protezione dei dati.

Sviluppo e messa a punto non inclusi

Lo sviluppo di sistemi di intelligenza artificiale generativa, ovvero la creazione di un modello di base che può essere utilizzato per risolvere diversi tipi di attività, è un processo ad alta intensità di risorse che richiede:

investimenti significativi,
grandi quantità di dati e
un’ampia infrastruttura tecnica.

Le operazioni della pubblica amministrazione hanno generalmente limitate opportunità di sviluppare autonomamente tali sistemi da zero. Un’alternativa allo sviluppo di un nuovo modello di base è la messa a punto di un modello esistente per adattarlo alle esigenze specifiche delLa PA. Anche la messa a punto di modelli di base esistenti è un processo avanzato che richiede competenze specialistiche, accesso a set di dati più ampi e risorse tecniche significative. Questo è qualcosa che manca alla maggior parte delle operazioni della pubblica amministrazione oggi. In questo contesto, le linee guida non affrontano né lo sviluppo di nuovi modelli di base né la messa a punto di modelli di base esistenti. Invece, le linee guida si concentrano su come le organizzazioni pubbliche possono utilizzare i sistemi di intelligenza artificiale generativa esistenti in modo responsabile e legalmente sicuro.

Considerare le normative sulla protezione dei dati come punto di partenza

Le PA che intendono utilizzare l’IA generativa spesso devono assicurarsi che l’uso sia compatibile con le normative sulla protezione dei dati, ovvero principalmente il Regolamento generale sulla protezione dei dati (GDPR) e la legislazione supplementare. Le normative sulla protezione dei dati devono essere prese in considerazione se vengono elaborati dati personali Si può presumere che gran parte dell’uso dell’IA generativa da parte della pubblica amministrazione implichi l’elaborazione di dati personali.[2]

Le normative sulla protezione dei dati dovrebbero essere prese in considerazione anche come punto di partenza per altri utilizzi. Anche in situazioni in cui le PA non intendono elaborare dati personali con l’IA generativa, potrebbe essere necessario tenere in considerazione le normative sulla protezione dei dati quando la si utilizza. Questo perché un modello di base (chiamato anche modello di IA generico o modello di IA) presente nei sistemi di IA generativa spesso contiene dati personali appresi sin dallo sviluppo del modello.

Tali dati personali possono essere elaborati, ad esempio, da un dipendente che intenzionalmente o involontariamente istruisce il sistema di IA in un modo che lo induce a immettere dati personali che sono stati appresi. Può anche accadere che una parte esterna attacchi il sistema e ottenga quindi dati personali che sono stati appresi. Come punto di partenza, le attività della pubblica amministrazione possono quindi presupporre che le normative sulla protezione dei dati debbano essere prese in considerazione quando si utilizza l’IA generativa. Tuttavia, in alcuni casi, potrebbero essere state adottate misure per garantire l’anonimizzazione dei sistemi di IA, il che significa che le normative sulla protezione dei dati non si applicano. Per ottenere l’anonimizzazione, è necessario che sia trascurabile il rischio che sia gli utenti del sistema sia soggetti esterni possano ottenere dati personali dal sistema di intelligenza artificiale.

Cosa si intende per normativa sulla protezione dei dati?

La normativa sulla protezione dei dati si riferisce qui alle norme che riguardano il trattamento dei dati personali. Tali norme sono principalmente il Regolamento UE sulla protezione dei dati, (GDPR), e la legislazione nazionale integrativa.

Utilizzare l’IA generativa secondo i principi di protezione dei dati

L’uso dell’IA generativa può essere fatto in modo coerente con i principi fondamentali della protezione dei dati. Ciò richiede che vengano prese misure, tra le altre cose, per ridurre al minimo l’uso di dati personali e che il trattamento dei dati personali venga effettuato in modo trasparente in relazione all’individuo. Un’organizzazione deve garantire che i principi siano rispettati prima che inizi il trattamento dei dati personali e applicarli anche su base continuativa per tutto il tempo in cui il trattamento è in corso.

Il principio di responsabilità

La PA è responsabile dell’uso; il principio di responsabilità significa che la PA è responsabile di garantire ed essere in grado di dimostrare che il GDPR è rispettato. L’uso dell’IA generativa dovrebbe essere approvato dalla PA in anticipo per garantire ciò. Deve anche essere chiaro ai dipendenti per cosa può essere utilizzata l’IA generativa e quali informazioni possono essere elaborate nei sistemi di IA generativa.

Sviluppare documenti di orientamento per l’uso dell’IA generativa

Un’organizzazione che intende utilizzare l’IA generativa dovrebbe sviluppare e implementare una politica o un documento di governo simile che ne regoli l’uso. I documenti dovrebbero descrivere chiaramente come l’IA generativa può essere utilizzata all’interno dell’organizzazione e quali requisiti sono stabiliti per garantire una gestione responsabile. I documenti dovrebbero, tra le altre cose, chiarire se e in quali condizioni i dati personali possono essere elaborati quando l’organizzazione utilizza l’IA generativa. L’organizzazione dovrebbe descrivere le considerazioni e le misure adottate per garantire che l’uso sia conforme alle normative sulla protezione dei dati.

Per garantire la conformità, tutti i soggetti coinvolti all’interno dell’organizzazione dovrebbero ricevere informazioni su questi documenti e avervi accesso. La PA dovrebbe inoltre sviluppare procedure o documenti di controllo simili per gestire i rischi in modo sistematico e garantire audit regolari del funzionamento del sistema di IA in modo appropriato.

Documentare l’uso.

Una parte importante della conformità è la documentazione del trattamento dei dati personali. Se è probabile che il trattamento comporti un rischio elevato per i diritti e le libertà degli individui, La PA deve effettuare una valutazione dell’impatto. Le PA che utilizzano l’IA generativa dovrebbero anche implementare meccanismi di tracciabilità appropriati durante il trattamento dei dati personali, rendendo possibile verificare e dedurre come è stato utilizzato il sistema di IA. Il principio di legalità, regolarità e trasparenza I dati personali devono essere trattati in modo lecito Il principio di legalità significa, tra le altre cose, che il trattamento dei dati personali deve avere una base giuridica. Ulteriori informazioni in merito sono disponibili nella sezione Garantire che vi sia una base giuridica e altro supporto legale per l’uso.

Le linee guida hanno preso in esame anche il problema della scatola nera.

Una sfida con l’IA generativa è il cosiddetto problema della scatola nera.il problema della scatola nera ), il che significa che non è sempre possibile comprendere appieno come funziona la tecnologia o su quale base viene generata una risposta. Ciò può comportare rischi per la sicurezza che ancora non conosciamo o non comprendiamo. Le organizzazioni pubbliche dovrebbero quindi considerare se l’uso dell’IA generativa sia necessario o se una soluzione IT più prevedibile e basata su regole possa svolgere la stessa funzione. Dovrebbero essere prese in considerazione anche soluzioni di IA più semplici che possano fornire un migliore controllo e una migliore comprensione dell’elaborazione, ad esempio un modello di linguaggio di piccole dimensioni che può essere gestito più vicino alla PA.

Il principio di correttezza e il Rischio di allucinazioni

Le PA che elaborano dati personali devono garantire che i dati siano accurati e, se necessario, aggiornati. L’intelligenza artificiale generativa crea i suoi risultati in base a probabilità statistiche, il che significa che può creare contenuti fattualmente errati o inventati. Questo è solitamente definito allucinazioni. Ci sono diverse ragioni per cui un sistema di intelligenza artificiale può avere allucinazioni. Ad esempio, può dipendere da come è stato addestrato il modello di base, quali parametri sono stati utilizzati e la qualità e la quantità di dati utilizzati durante l’addestramento. Le allucinazioni possono verificarsi anche a causa del modo in cui vengono poste le domande al sistema di intelligenza artificiale, poiché le domande possono essere poste intenzionalmente o involontariamente in un modo che porta il sistema di intelligenza artificiale a generare risposte che contengono allucinazioni.

Chiunque utilizzi un sistema di intelligenza artificiale generativa dovrebbe quindi rivedere e controllare le sue risposte e non dare per scontato che l’output del sistema sia accurato e affidabile. Per generare risposte più accurate e precise, possono essere utili tecniche come la generazione aumentata di recupero (RAG). RAG combina le capacità generative del modello di base con informazioni aggiuntive da fonti selezionate, dando al modello accesso a informazioni più aggiornate rispetto a quelle disponibili nei suoi dati di training originali. RAG può quindi migliorare le risposte generate dal sistema AI. Tuttavia, va sottolineato che è ancora necessario rivedere e controllare attentamente le risposte del sistema AI, poiché si verificano allucinazioni anche quando si utilizza RAG. Per saperne di più sulle allucinazioni e sulle misure per garantire l’accuratezza, leggi la sezione Valutare i rischi di utilizzo e garantire un’adeguata sicurezza.

È consentito il processo decisionale automatizzato?

La regola principale del Regolamento sulla protezione dei dati è che il processo decisionale automatizzato è vietato. Tuttavia, ci sono una serie di eccezioni al divieto. Un’eccezione è che esiste una regolamentazione che consente il processo decisionale automatizzato e che tale regolamentazione contiene adeguate garanzie. Il governo ha valutato che la regolamentazione svedese nella legge sulla procedura amministrativa, nella legge sugli enti locali e in alcune normative speciali fornisce le condizioni per il processo decisionale automatizzato ai sensi del Regolamento sulla protezione dei dati. Affinché l’IA generativa possa costituire la base per il processo decisionale automatizzato all’interno delle autorità, è necessario che siano rispettati i requisiti della legge sulla procedura amministrativa in materia di proporzionalità, obiettività e legalità. È quindi necessario garantire che il processo decisionale segua le regole applicabili, sia prevedibile e che non vengano prese considerazioni irrilevanti. Ciò significa, tra le altre cose, che si deve garantire che la parzialità, la cosiddetta parzialità e le allucinazioni non influenzino negativamente gli individui. Se ciò non può essere garantito in misura sufficiente, è necessario scegliere altre soluzioni, ad esempio un sistema basato su regole.

Le Pubbliche Amministrazioni e l’uso di servizi di AI generativa

Quando si utilizza l’IA generativa, potrebbero essere rilevanti le disposizioni del Regolamento sulla protezione dei dati relative al processo decisionale automatizzato e al trasferimento di dati personali a paesi terzi. Affinché le autorità possano utilizzare l’IA generativa per il processo decisionale automatizzato, è necessario rispettare i requisiti dell’Administrative Procedure Act in materia di proporzionalità, obiettività e legalità. Se l’uso dell’IA comporta il trasferimento di dati personali a un paese al di fuori dell’UE/SEE, devono essere soddisfatte condizioni specifiche ai sensi del Regolamento sulla protezione dei dati.

Garantire i diritti individuali nell’uso dell’IA generativa.

Le PA devono adottare misure per garantire che i diritti degli individui ai sensi del GDPR siano protetti quando si utilizza l’IA generativa. Ad esempio, le PA devono considerare se siano necessari aggiornamenti alla loro politica sulla privacy o documenti simili per informare gli individui sul trattamento dei loro dati personali. Le PA dovrebbero anche sforzarsi di utilizzare l’IA generativa con protezioni integrate per i diritti degli individui.

Decisioni automatizzate.

L’intelligenza artificiale generativa può essere utilizzata per prendere decisioni sugli individui. Il Regolamento generale sulla protezione dei dati contiene disposizioni che regolano le situazioni in cui è consentito il processo decisionale automatizzato. Tuttavia, le disposizioni si applicano solo alle decisioni che hanno conseguenze legali o che influenzano significativamente l’individuo, ad esempio nell’esercizio dell’autorità ufficiale.

Cos’è il processo decisionale automatizzato?

Il processo decisionale automatizzato significa che le decisioni vengono prese senza l’intervento umano. Affinché qualcosa possa essere considerato un processo decisionale automatizzato ai sensi del GDPR, il processo decisionale stesso deve essere eseguito tramite l’elaborazione automatizzata dei dati personali. Se l’intelligenza artificiale generativa viene utilizzata per supportare il processo decisionale ma un essere umano prende la decisione effettiva, questo non è un processo decisionale automatizzato ai sensi del GDPR. Tuttavia, se un essere umano si basa in pratica sulla base generata da un sistema di intelligenza artificiale in modo decisivo, questo può essere considerato un processo decisionale automatizzato ai sensi del GDPR anche se la decisione formale è presa dalla persona in questione.

[1] Per un esame completo del testo si rinvia al seguente link: https://www.imy.se/nyheter/imy-och-ai-sweden-samarbetar-om-ai-och-dataskydd/

[2] Ad esempio, i dati personali vengono elaborati quando all’IA generativa vengono forniti dati che contengono dati personali. Se i dati personali vengono elaborati quando si utilizza l’IA generativa, ciò significa che devono essere prese in considerazione le normative sulla protezione dei dati.

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

Una bozza di Linee guida per promuovere l’uso efficiente e appropriato dell’intelligenza artificiale generativa nella Pubblica Amministrazione. I risultati raggiunti in Svezia.

About Author / Davide De Luca

La determinazione delle sanzioni amministrative pecuniarie nei confronti di una impresa appartenente ad un gruppo di imprese, alla luce di una sentenza della Corte di Giustizia Europea.

L’utilizzo dei permessi sindacali ex legge n. 104 del 1992 e il controllo svolto, su richiesta del datore di lavoro, da una agenzia investigativa. Il vaglio della conformità alla norma sulla protezione dei dati in un recente arresto della Cassazione.

Lascia un commento Annulla risposta