IA NELLA PA: PERCHÉ NON BASTA INNOVARE, SERVE GOVERNARE

L’adozione dell’Intelligenza Artificiale nella Pubblica Amministrazione si inserisce oggi in un quadro normativo e istituzionale articolato e multilivello, nel quale l’innovazione tecnologica deve procedere di pari passo con la tutela dei diritti fondamentali, la protezione dei dati personali e l’adozione di modelli di governance adeguati.

Un segnale chiaro in questa direzione arriva anche dall’attività di enforcement del Garante per la protezione dei dati personali, che con provvedimento urgente del 30 gennaio 2025 ha disposto la limitazione del trattamento dei dati degli utenti italiani nei confronti di un servizio di Intelligenza Artificiale generativa, rilevando carenze in materia di liceità del trattamento, trasparenza e garanzie per gli interessati, in violazione del Regolamento (UE) 2016/679 (GDPR).

Il messaggio per le amministrazioni è inequivocabile: l’utilizzo dell’IA non attenua gli obblighi di protezione dei dati, ma rafforza le responsabilità del titolare del trattamento.

Il riferimento centrale per l’uso dell’IA è oggi il Regolamento europeo sull’Intelligenza Artificiale (AI Act – Regolamento UE 2024/1689), che introduce un sistema di regole basato sul livello di rischio dei sistemi IA. Il Regolamento, infatti:

• vieta alcune pratiche considerate incompatibili con i diritti fondamentali;
• sottopone i sistemi di IA ad alto rischio, tipicamente utilizzabili anche nella PA, a stringenti obblighi di governance, controllo e documentazione;
• rafforza i principi di trasparenza, supervisione umana e accountability;
• conferma la piena applicabilità del GDPR ai trattamenti di dati personali effettuati tramite sistemi di IA.

L’AI Act non sostituisce la normativa privacy, ma la integra, imponendo alle amministrazioni un approccio strutturato e consapevole all’adozione dell’IA. Il Regolamento (UE) 2016/679 (GDPR) resta il pilastro normativo per qualunque utilizzo dell’IA che comporti il trattamento di dati personali.

Per gli enti pubblici ciò implica, in particolare:

• l’individuazione di una base giuridica adeguata per ogni trattamento;
• l’adozione dei principi di privacy by design e by default;
• la realizzazione di Valutazioni di Impatto sulla Protezione dei Dati (DPIA) nei casi di trattamenti innovativi o ad alto rischio;
• la garanzia di trasparenza verso i cittadini, soprattutto in presenza di processi decisionali automatizzati.

I recenti interventi del Garante confermano che l’IA rappresenta un’area di attenzione prioritaria per le autorità di controllo, anche nei confronti della Pubblica Amministrazione.

A livello nazionale, il Codice dell’Amministrazione Digitale (D.Lgs. 82/2005) fornisce il quadro di riferimento per la trasformazione digitale della PA, attribuendo ad AgID un ruolo centrale nella definizione di linee guida e indirizzi tecnici.

In questo contesto si colloca il Piano Triennale per l’Informatica nella Pubblica Amministrazione 2024-2026, che individua l’Intelligenza Artificiale come una delle leve strategiche della transizione digitale, subordinandone l’adozione a:

• una governance chiara e consapevole;
• il rispetto di elevati standard di sicurezza e protezione dei dati;
• lo sviluppo di competenze interne;
• l’allineamento con il quadro normativo europeo e nazionale.

Il Piano Triennale non promuove un’adozione indiscriminata dell’IA, ma un utilizzo responsabile, pianificato e sostenibile, coerente con le finalità istituzionali dell’ente.

Il quadro normativo si completa con il ruolo delle autorità e delle strutture di coordinamento istituzionale:

• AgID, per gli indirizzi strategici e operativi sull’IA nella PA;
• il Garante per la protezione dei dati personali, per la tutela dei diritti e la vigilanza sui trattamenti;
• l’Agenzia per la Cybersicurezza Nazionale (ACN), per i profili di sicurezza e resilienza, anche in connessione con la normativa NIS2.

L’adozione dell’IA nella PA richiede quindi un approccio integrato che tenga insieme innovazione, sicurezza, protezione dei dati e responsabilità organizzativa.

Alla luce di questo quadro normativo e istituzionale, l’Intelligenza Artificiale non può essere introdotta attraverso iniziative isolate o sperimentazioni non governate. Al contrario, è necessario che l’ente adotti un approccio strutturato e pianificato, prevedendo che:

• l’uso dell’IA sia esplicitamente inserito e progettato nel Piano Triennale per l’Informatica dell’ente, in coerenza con gli indirizzi nazionali e con gli obiettivi strategici di trasformazione digitale;
• siano pianificate risorse adeguate, competenze interne e misure di controllo, anche in termini di valutazione e monitoraggio dei rischi giuridici, organizzativi ed etici;
• privacy, sicurezza e governance siano integrate fin dalla fase di progettazione, secondo i principi di privacy by design, security by design e human oversight.

A questi elementi si affianca un aspetto sempre più centrale: la formazione del personale.
Il Regolamento europeo sull’Intelligenza Artificiale (AI Act) introduce infatti il principio della AI literacy, imponendo ai soggetti che sviluppano o utilizzano sistemi di IA di garantire un livello adeguato di competenze e consapevolezza in relazione alle tecnologie impiegate.

Per la Pubblica Amministrazione ciò si traduce nella necessità di:

• programmare percorsi formativi specifici per dirigenti, funzionari e operatori coinvolti;
• sviluppare competenze non solo tecniche, ma anche giuridiche, organizzative ed etiche;
• considerare la formazione come misura organizzativa essenziale, al pari delle policy e delle misure di sicurezza.

A tal proposito, nel mese di marzo Logos organizzerà un evento formativo di aggiornamento sulle tematiche legate all’IA nella Pubblica Amministrazione, pensato per fornire strumenti pratici, linee guida normative aggiornate e indicazioni operative per la governance e la compliance.

Solo integrando pianificazione, governance, tutela dei dati e formazione all’interno del Piano Triennale è possibile garantire un utilizzo dell’Intelligenza Artificiale conforme al quadro normativo, sostenibile nel tempo e realmente orientato al miglioramento dei servizi pubblici

A cura di Dott.ssa Cristina Pieretti