Digital Omnibus e modifiche all’AI Act utilizzo dei dati particolari nei sistemi di IA per finalità di bias mitigation e bias detection

Il Digital Omnibus è la nuova proposta della Commissione europea pensata per aggiornare e semplificare le principali norme digitali UE. Tra le modifiche più rilevanti spicca l’intervento sull’AI Act, che chiarisce e amplia la possibilità di utilizzare categorie particolari di dati personali nei sistemi di intelligenza artificiale per finalità di bias detection e bias mitigation, cioè per individuare e correggere possibili discriminazioni algoritmiche.

I dati interessati sono quelli tutelati dall’articolo 9 GDPR: informazioni su origine razziale o etnica, stato di salute, convinzioni religiose, opinioni politiche e altri dati sensibili. Con l’introduzione del nuovo articolo 4a dell’AI Act, il Digital Omnibus consente – in via eccezionale – il trattamento di questi dati quando è necessario per:

• verificare se un sistema di IA genera discriminazioni o risultati distorti;
• correggere o mitigare tali bias algoritmici.

È davvero una novità rispetto all’AI Act originale?

Non del tutto. Una previsione simile esiste già nell’articolo 10 dell’AI Act, ma è limitata ai soli sistemi di IA ad alto rischio. Il problema è che i bias non emergono soltanto in questa categoria: anche sistemi non classificati come ad alto rischio possono produrre effetti discriminatori su gruppi protetti.

Per questo motivo, con il Digital Omnibus il legislatore europeo ha deciso di:

• estendere la possibilità di utilizzare dati particolari ai tutti i sistemi e modelli di IA, non solo a quelli ad alto rischio;
• rendere più efficace la lotta ai bias algoritmici, riconoscendo che, per ottenere algoritmi più equi e inclusivi, è spesso necessario lavorare anche su dati sensibili.

Base giuridica nel GDPR: interesse pubblico rilevante

Dal punto di vista della protezione dei dati personali, il trattamento di queste categorie particolari trova fondamento nell’articolo 9, paragrafo 2, lettera g del GDPR, che consente l’uso di dati sensibili quando:

• è necessario per motivi di interesse pubblico rilevante;
• sono previste garanzie adeguate e specifiche per tutelare i diritti e le libertà degli interessati.

Le attività di bias detection e bias mitigation sui sistemi di IA rientrano in questo quadro, perché mirano proprio a prevenire e ridurre le discriminazioni che possono colpire determinate categorie di persone (ad esempio per origine etnica, religione o salute).

Limiti e garanzie: non è una libertà totale

L’uso di dati particolari nei sistemi di IA non è affatto illimitato. Il Digital Omnibus e il nuovo articolo 4a dell’AI Act prevedono che:

• il trattamento sia consentito solo se strettamente necessario per le attività di bias detection e bias mitigation;
• siano applicate garanzie molto rigorose, tra cui:
  • minimizzazione dei dati e utilizzo di dataset separati rispetto ai dati ordinari;
  • misure tecniche avanzate per ridurre al minimo i rischi di re-identificazione degli interessati;
  • limitazione degli accessi ai soli soggetti strettamente autorizzati e competenti;
  • cancellazione o neutralizzazione dei dati particolari una volta completata l’analisi.

Un punto fondamentale in ottica compliance GDPR è che questi dati non possono essere riutilizzati per altre finalità, ad esempio:

• marketing;
• profilazione commerciale;
• attività non strettamente collegate alla prevenzione e correzione dei bias.

Conclusioni: cosa cambia davvero con il Digital Omnibus

In sintesi, il Digital Omnibus non introduce un principio completamente nuovo, ma amplia e generalizza una tutela già prevista dall’AI Act per i sistemi di IA ad alto rischio. La novità sta nel fatto che:

• la possibilità di usare dati particolari ai sensi dell’art. 9 GDPR viene estesa a tutti i sistemi e modelli di IA per finalità di bias detection e bias mitigation;
• viene rafforzata la logica secondo cui, per avere algoritmi più equi, è a volte indispensabile trattare dati molto sensibili, purché ciò avvenga nel rispetto delle garanzie previste dal GDPR e nel quadro dell’interesse pubblico rilevante.

Per chi sviluppa o utilizza sistemi di intelligenza artificiale nell’Unione europea, questo significa dover progettare processi e misure di governance dei dati che consentano di:

• migliorare l’equità algoritmica e ridurre i bias;
• restare pienamente conformi a AI Act, Digital Omnibus e GDPR.