IA e pubbliche amministrazioni: doppio lavoro con le nuove normative

L’adozione dell’intelligenza artificiale (IA) nelle pubbliche amministrazioni italiane rischia di trasformarsi in un doppio lavoro burocratico. L’entrata in vigore del Regolamento UE sull’IA n. 2024/1689 (AI Act) introduce nuovi obblighi che si sommano a quelli già previsti dal Regolamento UE sulla privacy n. 2016/679 (GDPR). In particolare, la valutazione di impatto sui diritti fondamentali (Fria), richiesta dall’AI Act, si aggiunge alla valutazione di impatto sulla protezione dei dati (Dpia) prevista dal GDPR, aumentando la complessità gestionale per le amministrazioni pubbliche.

È quanto emerge dalla bozza delle “Linee guida per l’adozione di sistemi di IA nelle pubbliche amministrazioni”, pubblicata dall’Agenzia per l’Italia Digitale (AgID) con la determinazione n. 17 del 17 febbraio 2025 e attualmente in consultazione pubblica fino al 20 marzo 2025.

Linee guida per un’adozione consapevole

Il documento dell’AgID punta ad accompagnare passo dopo passo le pubbliche amministrazioni nell’adozione di sistemi di IA, sottolineando come tali tecnologie non siano semplici strumenti tecnologici, ma richiedano modifiche organizzative e gestionali. Le linee guida analizzano approfonditamente ogni fase del processo di implementazione e offrono fac-simile per gli adempimenti documentali necessari.

Una particolare attenzione viene posta al coordinamento tra IA e privacy: il documento impone obbligatoriamente alle pubbliche amministrazioni di affidare la strategia di IA, insieme a quella sui dati, al Responsabile per la transizione al digitale, coinvolgendo anche il Responsabile della protezione dei dati (DPO). Questo approccio mira a garantire la conformità normativa e la protezione dei diritti fondamentali.

Fria e Dpia: valutazioni d’impatto a confronto

L’AI Act introduce la Fria (valutazione di impatto sui diritti fondamentali) per i sistemi di IA “ad alto rischio”, utilizzati soprattutto dalle pubbliche amministrazioni e dagli organi giudiziari. La Fria deve descrivere i sistemi di IA, i rischi per i diritti fondamentali, le misure di prevenzione e le modalità di sorveglianza umana sui risultati.

Parallelamente, il GDPR richiede una Dpia (valutazione di impatto sulla protezione dei dati personali), obbligatoria prima dell’uso di IA che trattano dati personali e da aggiornare periodicamente. La Dpia deve individuare i rischi e le misure tecniche e organizzative per mitigarli. Se permane un rischio elevato, l’amministrazione deve consultare il Garante per la protezione dei dati personali.

Sebbene la Fria e la Dpia presentino contenuti parzialmente sovrapponibili, devono restare documenti distinti: la prima valuta l’IA da una prospettiva ampia sui diritti fondamentali, mentre la seconda si concentra specificamente sui dati personali.

Una normativa italiana ancora incompleta

Nonostante i progressi, l’Italia è in ritardo nell’approvazione di una legislazione nazionale che armonizzi l’AI Act con l’ordinamento giuridico interno. Non basta più una normativa generale che ripeta concetti astratti, ma serve una disciplina dettagliata sull’uso dei sistemi di IA nelle amministrazioni pubbliche.

Per esempio, così come la legge sui procedimenti amministrativi (L. 241/1990) prevede la figura del “responsabile del procedimento”, sarebbe necessario introdurre il “responsabile della supervisione umana sui sistemi di IA”. Inoltre, occorre disciplinare l’utilizzo dell’output dell’IA nei processi decisionali amministrativi e nella motivazione dei provvedimenti finali.

L’aggiornamento della legge 241/1990 e dei relativi regolamenti attuativi appare dunque imprescindibile per gestire in modo coerente l’impatto dell’IA sull’amministrazione pubblica.

---

LEGGI ANCHE