Le recenti linee guida UE sulle pratiche di intelligenza artificiale vietate hanno un grande rilievo anche per le questioni di protezione dei dati personali poste dall’AI Act.
I divieti, infatti, riguardano attività tipicamente fondate sul trattamento di dati personali: basti pensare alle pratiche manipolative o ingannevoli, connotate da un potenziale nocivo particolarmente elevato quando perpetrate, ad esempio, mediante la profilazione dei destinatari, realizzata trattando i loro dati; ancora più chiari, d’altra parte, sono i casi delle pratiche per distorcere il comportamento di una persona sfruttando le sue vulnerabilità o di quelle riguardanti i sistemi AI di social scoring.
Su questi temi, le indicazioni della Commissione del 6 febbraio 2025 chiariscono il rapporto tra il consolidato framework sulla protezione dei dati personali e il nuovo AI Act evidenziando plurimi aspetti di interesse, tra cui un aspetto particolarmente delicato: la valutazione della conformità al GDPR è un criterio essenziale per comprendere se una determinata pratica debba ritenersi vietata o meno ai sensi del regolamento sull’intelligenza artificiale. Per distinguere tra persuasione lecita e manipolazione indebita (art. 5, par. 1, lett. a, AI Act), ad esempio, sarà di significativa importanza considerare l’aderenza ai principi privacy di liceità, correttezza e trasparenza, così come la strutturazione di processi idonei ad assicurare il rispetto dei diritti degli interessati.
