AI e nuovi scenari tecnologici: il ruolo del DPO

16/09/2024

Stefano Gazzella - Privacy Officer e Data Protection Officer, giornalista, responsabile del Comitato Scientifico di Assoinfluencer

All’interno dei nuovi scenari della data economy e dell’Intelligenza Artificiale, il ruolo del Data Protection Officer è destinato a mutare inevitabilmente ed assumere un vero e proprio ruolo di “filtro” per le organizzazioni a fronte delle molteplici novità normative e tecnologiche in arrivo, soprattutto in materia di AI.

Privacy e progresso tecnologico sono tematiche indissolubilmente legate, dai tempi di Warren e Brandeis, in cui la doglianza riguardava l’invasività delle fotografie e la prurient curiosity del pubblico, fino ad arrivare ad oggi con il webscraping e tutti i rischi collegati ai sistemi di Intelligenza Artificiale. Ma ogni tentativo di imbrigliare il progresso tecnologico attraverso la redazione di norme specifiche anziché principi, è inevitabilmente destinato a fallire. Se il legislatore sceglie di inseguire la novità tecnologica anziché indicare dei principi che ne governano l’evoluzione, peccherà sempre di inattualità agendo come nel paradosso di Achille e la tartaruga. E il più delle volte si troverà incagliato per effetto delle azioni di lobbying di attivisti, Big Tech e altri stakeholder, adottando decisioni valide per il passato ma inidonee a tracciare la cornice entro cui il presente dovrà realizzare il futuro.

Non sempre legge = compliance

Ciò non significa che si debbano abbandonare gli intenti di regolamentazione, né che l’UE con i vari “Act” stia indulgendo in manierismi. Ma è noto che l’inserimento di nuove norme e prescrizioni, non può che comportare complessità che spesso sono viste dagli operatori di mercato come barriere ed ostacoli. Ed è un fatto che nell’ambito data economy ci sia stata un’iperproduzione normativa, con due effetti di segno opposto: ha incentivato comportamenti spregiudicati da parte di operatori che hanno preferito sostituire i costi di compliance con quelli di sanzione, destinando un budget al costo di violazione della norma; ha rallentato se non bloccato progetti di chi invece ha - per necessità o vocazione - scelto un approccio di conformità alle norme. Il tutto anche per effetto di quell’incertezza prodotta da annunci, bozze e comunicazioni di norme presentate come imminenti ma che tutt’ora giacciono in un limbo (uno su tutti: il Regolamento e-Privacy).

E l’AI?

Un esempio riguardante il fenomeno di tecnologie la cui applicazione è tutt’ora connotata da incertezze applicative può ben essere offerto dalle novità riguardanti l’Intelligenza Artificiale, che riguardano tanto la normazione - non solo europea ma anche d’oltreoceano qualora si vogliano ricercare “buone prassi” - quanto l’effettivo impatto di tali sistemi nei confronti della protezione dei dati personali, nonché la loro capacità di diffusione d’impiego. Con la pubblicazione dell’AI Act (Reg. UE 2024/1689) e la sua entrata in vigore a partire dal 1 agosto 2024 vengono infatti scanditi una serie di obblighi lungo un orizzonte temporale di circa 3 anni, motivo per cui le organizzazioni dovranno pianificare tanto lo sviluppo, quanto l’impiego di tali sistemi e, nel caso in cui possano riguardare dati personali, dovranno necessariamente coinvolgere il Data Protection Officer. Coinvolgimento che è bene ricordare è da intendersi in modo speculare: da un lato, sta all’iniziativa del professionista per adempiere correttamente al proprio incarico; dall’altro, sta all’organizzazione designante in forza di accountability.

Il ruolo del DPO

Il ruolo del DPO non può che essere impattato dai nuovi scenari tecnologici e normativi che si stanno profilando e questo comporterà lo svolgimento di una funzione di “filtro” per indicare e verificare gli adempimenti richiesti, mantenendo però sempre il proprio ruolo di garanzia in ordine alla conformità della gestione normativa in materia di protezione dei dati personali e rivolto alla tutela dei diritti e delle libertà degli interessati. Soprattutto negli ambiti complessi in cui c’è un’intersezione di più normative, però, graduare talune misure secondo il diaframma dei rischi delle attività condotte o che si intendono condurre sui dati personali è un’operazione che richiede proattività e una capacità di anticipare problemi e criticità. Queste soft skill devono essere intese come essenziali e si aggiungono a quel bagaglio di conoscenze e competenze richieste dalla norma sin dalla designazione, in quanto consentono la “messa a terra” di una funzione che altrimenti sarebbe destinata a giacere solo nelle pieghe di una designazione meramente formale.

Collaborazione con professionalità diverse

Quanto considerato può trovare un punto di convergenza emblematico nelle molteplici declinazioni applicative del principio di privacy by design, nonché nella dotazione di risorse da dover mettere a disposizione del DPO. Infatti, dal momento che saranno richieste (anzi: dovranno essere richieste) competenze ancor più specifiche nel contesto operativo in cui opera l’organizzazione designante, sarà fondamentale avere una conoscenza approfondita e specifica della normativa e delle prassi in materia di protezione dei dati personali di settore, soprattutto nel momento in cui le organizzazioni operano in prima linea all’interno di contesti tecnologici innovativi quali lo sviluppo e l’applicazione dei sistemi di AI. Da tutto questo non potrà che derivare, di conseguenza, l’esigenza di cooperazione fra DPO e altre e ben diverse professionalità, le quali potranno andare ad assumere il ruolo di esperti tecnici già noto ai team di audit, nonché quello di consulenti per fornire un supporto, anche permanente, all’ufficio del DPO. Solo in questo modo può essere infatti garantito quel mantenimento di un livello di conoscenze e competenze adeguato per lo svolgimento dei compiti di advisoring e sorveglianza e che possa garantire l’esercizio della funzione in modo continuo ed efficace.