Post di Massimiliano Masnada e Giulia Mariuz, Partner di Hogan Lovells –

Il 20 marzo 2025 il Senato ha approvato il disegno di legge sull’intelligenza artificiale (“DDL IA“), ora trasmesso alla Camera dei deputati.

Stando al relativo dossier, i 28 articoli che compongono il DDL IA mirano a introdurre una disciplina nazionale sull’intelligenza artificiale (“IA“) per mezzo di “misure specifiche adatte al contesto italiano per coglierne le opportunità“.

Nel dicembre 2024, la CE aveva rilevato criticità significative rispetto alla precedente versione del DDL IA, dalle incongruenze terminologiche alle restrizioni aggiuntive per sistemi non “ad alto rischio”, enfatizzando la necessità di un’armonizzazione normativa tra gli Stati membri alla luce dell’AI Act (Regolamento (UE) 2024/1689).

Il nuovo DDL sull’intelligenza artificiale mira a rafforzare il raccordo con l’AI Act, sia nelle definizioni sia nel rinvio allo stesso. Significativa è la precisazione che il DDL IA non introduce obblighi ulteriori rispetto a quelli previsti dall’AI Act, anche se a fronte di alcune sue previsioni tale statuizione sembra avere natura puramente formale.

Rispetto alla versione iniziale, il disegno di legge dedica maggiore spazio alla protezione dei dati personali.

Il quadro che ne emerge può riassumersi come segue:

• • – i sistemi di sull’intelligenza artificiale in ambito sanitario devono supportare la prevenzione, diagnosi e cura tramite l’utilizzo di dati affidabili, verificati e aggiornati periodicamente (requisiti analoghi nell’AI Act sono previsti per sistemi ad alto rischio), lasciando impregiudicata la decisione del medico;
  • – si è colmata una incomprensibile disparità tra il settore pubblico e quello privato nell’utilizzo dei dati personali su sistemi di sull’intelligenza artificiale dedicati ad attività di ricerca e sperimentazione scientifica. Nella prima versione ciò era riconosciuto solo per i soggetti pubblici e gli enti non a scopo di lucro, mentre ad ora sono ricompresi gli Istituti di ricovero e cura a carattere scientifico (IRCCS), e i soggetti privati operanti nel settore sanitario nell’ambito di progetti di ricerca a cui partecipano soggetti pubblici e privati senza scopo di lucro o IRCCS. In tal senso, si include una parte rilevantissima della ricerca scientifica effettuata da privati che agiscono da sponsor a studi e ricerche che i soggetti pubblici non sono in grado di sovvenzionare;
  • – tali trattamenti per realizzare sistemi di IA per talune finalità di ricerca e sperimentazione scientifica sono dichiarati di rilevante interesse pubblico, anche ai sensi dell’art. 9, lett. g) GDPR;
  • – in particolare, è sempre consentito, per le finalità citate, l’uso secondario dei dati personali, anche di natura sensibile, senza necessità di consenso degli interessati, purché siano “privi degli elementi identificativi diretti”. L’attività di anonimizzazione, pseudonimizzazione o sintetizzazione dei dati nel contesto delle finalità predette è sempre consentita. L’AGENAS potrà (sentito il Garante privacy) emanare linee guida sul punto. Questa è una grandissima novità rispetto non solo alla prima versione del DDL sull’intelligenza artificiale, ma anche alla letteratura che si è formata nel tempo sul bilanciamento tra il diritto alla salute e quello alla riservatezza;
  • – sull’uso secondario dei dati per le finalità di ricerca e sperimentazione scientifica, sono previste misure di semplificazione al fine di garantire la trasparenza nei confronti degli interessati, ma resta comunque l’obbligo di approvazione da parte dei comitati etici e di comunicazione al Garante Privacy che ha 30 giorni per eventualmente bloccare tali attività. Questa forma di silenzio-assenso – già ampiamente criticata nella prima versione del Disegno di legge – risulta incoerente con i precedenti commi dell’articolo in commento. Se è vero che il trattamento dei dati personali nell’ambito dello sviluppo di sistemi di intelligenza artificiale per finalità di ricerca e sperimentazione scientifica è di interesse pubblico; se è vero che l’uso secondario dei dati personali anonimizzati o solo de-identificati per le stesse finalità è sempre ammessa, l’introduzione di un regime autorizzatorio (seppure con la formula del silenzio-assenso) appare ultronea in virtù del principio di legalità e di gerarchia delle fonti del diritto. Laddove infatti l’interesse pubblico come autonoma base giuridica, alternativa al consenso, è stabilita dalla legge, per effetto del citato art. 9, lett. g) GDPR, non si può subordinare tale interesse all’autorizzazione di una autorità di controllo, sebbene questa possa essere chiamata a fornire linee guida di riferimento.

I sistemi di sull’intelligenza artificiale in ambito sanitario devono supportare la prevenzione, diagnosi e cura tramite l’utilizzo di dati affidabili, verificati e aggiornati periodicamente (Designed by Freepik)

Altre novità in tema di protezione dei dati riguardano i seguenti punti:

• – il Governo dovrà disciplinare l’uso di dati e algoritmi per l’addestramento dei sistemi di sull’intelligenza artificiale, definendo diritti, obblighi, tutele e sanzioni;
• – i minori di 14 anni non potranno accedere ai sistemi di IA senza l’autorizzazione di chi esercita la responsabilità genitoriale. Questa previsione solleva particolare perplessità, nella misura in cui sembra introdurre un obbligo generalizzato di age verification, a prescindere dall’approccio basato sul rischio di cui all’AI Act;
• – la correttezza, attendibilità e sicurezza dei dati utilizzati per lo sviluppo di tecnologie IA dovranno essere garantite.

Il Disegno di legge sull’intelligenza artificiale passerà ora all’esame della Camera, dove potrà subire modifiche e, in caso di approvazione, diventare legge. Tuttavia, il suo impatto concreto emergerà solo con l’adozione dei decreti attuativi da parte delle autorità competenti.