Regno Unito: le modifiche alla disciplina sulla protezione dei dati personali

Nel Regno Unito, le principali fonti in materia di protezione dei dati personali, dopo l’uscita dall’Unione europea, consistono nel Regolamento generale sulla protezione dei dati del Regno Unito (UK GDPR), ossia il GDPR UE incorporato nel diritto del Regno Unito mediante l’European Union (Withdrawal) Act 2018 e nel Data Protection Act del 2018 (DPA 2018).

In particolare, il Regolamento disciplina il trattamento dei dati personali da parte di società con sede nel Regno Unito e di società straniere che trattano dati personali in relazione all’offerta di beni e servizi per soggetti nel Regno Unito o monitorano individui che si trovano nel Regno Unito. Il DPA 2018, entrato in vigore il 25 maggio 2018, ha integrato e adeguato in alcuni punti il Regolamento.

Il Governo ha recentemente annunciato che la disciplina inglese in materia di dati personali sarà presto oggetto di modifiche e, in parte, si discosterà da quanto previsto dalla normativa europea. Difatti, nel documento consultivo dal titolo “Data – a new direction”, del 10 settembre 2021, il Governo ha manifestato la volontà di riformare la materia, dichiarando che l’obiettivo è quello di sfruttare al massimo le numerose opportunità offerte dal trattamento dei dati e di dar vita a una disciplina che favorisca la crescita e l’innovazione.

I cambiamenti più significativi dovrebbero riguardare il trattamento dei dati nell’ambito dell’intelligenza artificiale. Il Governo ha infatti affermato che, entro la fine dell’anno, sarà pubblicato un documento di strategia nazionale per l’IA e ha proposto alcune modifiche alle disposizioni del Regolamento che possono essere d’ostacolo allo sviluppo dell’IA e del machine learning o che possono causare incertezza e ambiguità per le parti coinvolte nei sistemi di intelligenza artificiale.

In primo luogo, il Governo ha chiesto alle parti interessate chiarimenti sul concetto di fairness usato nell’ambito dell’IA. L’equità, infatti, è un concetto ampio che assume una portata diversa a seconda del ramo del diritto in cui è impiegato. Il Governo si è detto preoccupato per la vaghezza, quanto allo scopo e alla sostanza, del concetto di equità nell’ambito del trattamento dei dati così come applicato all’IA, del ruolo dell’ICO e del rischio di confusione normativa che potrebbe portare a una interpretazione estensiva dell’equità nel contesto nella protezione dei dati nel campo dell’IA.

Un altro aspetto su cui si concentra il documento consultivo riguarda la possibilità per gli sviluppatori dei sistemi di IA di usare i dati personali con meno restrizioni, fatte salve le necessarie garanzie. Al momento c’è molta confusione tra le parti coinvolte nei sistemi di intelligenza artificiale. Queste parti non hanno ben chiaro come e quando una determinata attività si inserisca nell’attuale regime della protezione dei dati e se sia consentita o meno.

La consultazione ha avuto ad oggetto anche l’articolo 22 UK GDPR, o meglio la necessità di tenerlo ancora in vigore. Attualmente, l’articolo 22 tutela gli individui soggetti a un processo decisionale automatizzato, che devono essere informati ogniqualvolta in tale processo vi sia un intervento umano e a cui deve essere concessa la possibilità di impugnare la decisione. Il governo afferma che, poiché è probabile che il processo decisionale automatizzato aumenti notevolmente nel futuro, in particolare all’interno dei sistemi di IA, potrebbe risultare non più opportuno mantenere in vita la possibilità che all’intervento automatizzato si affianchi o si aggiunga quello umano. Viene dunque sottolineata la necessità di consentire l’uso dei sistemi di intelligenza artificiale esclusivamente automatizzati solo in presenza di un interesse legittimo o di un interesse pubblico.

Infine, il governo del Regno Unito sta anche valutando la creazione di un elenco di interessi legittimi in presenza dei quali le organizzazioni possono utilizzare i dati personali senza applicare il test di bilanciamento e così elaborare i dati personali per gli scopi dichiarati. L’elenco suggerito include, tra gli altri, la segnalazione di atti criminali, il monitoraggio, l’individuazione e la correzione degli errori nei sistemi di intelligenza artificiale, la sicurezza dei prodotti.

Redazione