In merito alle osservazioni del Garante, quest’ultimo nello specifico ha chiarito che, poiché molte norme hanno un impatto significativo sulla materia della protezione dei dati personali, queste esigono un migliore coordinamento sistematico con la disciplina di riferimento: per tale ragione, l’Autorità ha suggerito di introdurre una norma ad hoc ad applicazione trasversale, recante un vincolo generale di conformità alla normativa dei trattamenti di dati personali funzionali a sistemi di IA; rispetto, dunque, all’art. 3, co. 1, il riferimento alla protezione dei dati personali andrebbe più correttamente inserito nell’ambito dei diritti fondamentali (art. 8 CDFUE) di cui si impone il rispetto e non, invece, tra i principi di cui si esige l’osservanza.
Sulla scorta di tale presupposto, il Garante ha pertanto toccato tutta una serie di tematiche alle quali prestare la dovuta attenzione. Ad esempio, l’Autorità ha suggerito di integrare tutti i riferimenti del disegno di legge alle misure idonee a garantire sistemi adeguati di verifica dell’età, per evitare l’altrimenti agevole elusione della prevista soglia anagrafica per la prestazione del consenso. In ambito sanitario, nel delineare condizioni, limiti e garanzie per l’utilizzo dei sistemi di IA, il Garante ritiene fondamentale il richiamo ai requisiti, saldi e stringenti, che l’art. 10 dell’AI Act esige per il trattamento di dati personali: trattasi, infatti, di garanzie essenziali (ad esempio, la preferenza circa l’uso dei dati sintetici o anonimi, particolari limitazioni per l’utilizzo di dati sanitari, come il divieto di trasmissione, trasferimento o comunicazione, nonché la limitazione della conservazione) non assorbite dalle previsioni di cui all’art. 7 dell’odierno disegno. E ancora, in ambito giuslavoristico, l’Autorità ha sottolineato che l’art. 10 del disegno dovrebbe essere integrato introducendo le necessarie garanzie per il ricorso all’IA in un settore in cui particolarmente rilevanti sono le esigenze di tutela e non discriminazione: sul punto, il richiamo all’art. 1-bis del D. Lgs. 152/1997 (norma attuativa della direttiva 91/533/CEE concernente l’obbligo del datore di lavoro di informare il lavoratore delle condizioni applicabili al rapporto di lavoro, in particolare l’utilizzo di sistemi di monitoraggio) dovrà essere quindi concepito come non esaustivo, dal momento che si riferisce ai soli trattamenti interamente automatizzati.
Quanto, infine, al ruolo prefiguratosi dal Garante, quest’ultimo consiglia che venga demandata alla stessa Autorità una funzione di partecipazione, coordinamento e controllo, sottolineando le caratteristiche di autorità indipendente per la protezione dei dati personali, tema appunto fondamentale, le cui istanze di tutela si sovrappongono pressoché costantemente all’applicazione dei sistemi di IA.