- Negli spazi di sperimentazione normativa per l'IA (regulatory sandbox), i dati personali legalmente raccolti per altre finalità possono essere riutilizzati per sviluppare, addestrare e testare sistemi di IA, ma solo se sono soddisfatte tutte le condizioni cumulative elencate all'art. 59.
- Il riutilizzo è ammesso esclusivamente per sistemi sviluppati nell'interesse pubblico rilevante in settori definiti: sicurezza e sanità pubblica, ambiente, energia, trasporti, pubblica amministrazione.
- I dati devono essere trattati in un ambiente separato, isolato e protetto, con accesso limitato alle sole persone autorizzate, e cancellati al termine della partecipazione al sandbox.
- Il trattamento non può comportare decisioni aventi ripercussioni sugli interessati né incidere sull'applicazione dei loro diritti ai sensi del GDPR.
- L'obbligo di trasparenza verso il pubblico include la pubblicazione sul sito delle autorità competenti di una sintesi del progetto di IA e dei suoi obiettivi.
- Le stesse condizioni cumulative si applicano, con base giuridica specifica, al trattamento di dati personali a fini di contrasto e sicurezza pubblica nell'ambito dei sandbox.
Testo dell'articoloVigente
Art. 59 Reg. (UE) 2024/1689 — Ulteriore trattamento dei dati personali per lo sviluppo nello spazio di sperimentazione normativa per l’IA di determinati sistemi di IA nell’interesse pubblico
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)
1. Nello spazio di sperimentazione normativa per l’IA, i dati personali legalmente raccolti per altre finalità possono essere trattati unicamente ai fini dello sviluppo, dell'addestramento e delle prove di determinati sistemi di IA nello spazio di sperimentazione quando sono soddisfatte tutte le condizioni seguenti:
a) i sistemi di IA sono sviluppati per salvaguardare un interesse pubblico rilevante da parte di un'autorità pubblica o di un'altra persona fisica o giuridica e in uno o più dei settori seguenti: i) la sicurezza pubblica e la sanità pubblica, compresi l'individuazione, la diagnosi, la prevenzione, il controllo e il trattamento delle malattie e il miglioramento dei sistemi sanitari; ii) un elevato livello di protezione e di miglioramento della qualità dell'ambiente, la tutela della biodiversità, la protezione contro l'inquinamento, le misure per la transizione verde, la mitigazione dei cambiamenti climatici e l'adattamento ad essi; iii) la sostenibilità energetica; iv) la sicurezza e la resilienza dei sistemi di trasporto e della mobilità, delle infrastrutture critiche e delle reti; v) l'efficienza e la qualità della pubblica amministrazione e dei servizi pubblici; i) la sicurezza pubblica e la sanità pubblica, compresi l'individuazione, la diagnosi, la prevenzione, il controllo e il trattamento delle malattie e il miglioramento dei sistemi sanitari; ii) un elevato livello di protezione e di miglioramento della qualità dell'ambiente, la tutela della biodiversità, la protezione contro l'inquinamento, le misure per la transizione verde, la mitigazione dei cambiamenti climatici e l'adattamento ad essi; iii) la sostenibilità energetica; iv) la sicurezza e la resilienza dei sistemi di trasporto e della mobilità, delle infrastrutture critiche e delle reti; v) l'efficienza e la qualità della pubblica amministrazione e dei servizi pubblici;
i) la sicurezza pubblica e la sanità pubblica, compresi l'individuazione, la diagnosi, la prevenzione, il controllo e il trattamento delle malattie e il miglioramento dei sistemi sanitari;
ii) un elevato livello di protezione e di miglioramento della qualità dell'ambiente, la tutela della biodiversità, la protezione contro l'inquinamento, le misure per la transizione verde, la mitigazione dei cambiamenti climatici e l'adattamento ad essi;
iii) la sostenibilità energetica;
iv) la sicurezza e la resilienza dei sistemi di trasporto e della mobilità, delle infrastrutture critiche e delle reti;
v) l'efficienza e la qualità della pubblica amministrazione e dei servizi pubblici;
b) i dati trattati sono necessari per il rispetto di uno o più dei requisiti di cui al capo III, sezione 2, qualora tali requisiti non possano essere efficacemente soddisfatti mediante il trattamento di dati anonimizzati, sintetici o di altri dati non personali;
c) esistono meccanismi di monitoraggio efficaci per individuare eventuali rischi elevati per i diritti e le libertà degli interessati di cui all'articolo 35 del regolamento (UE) 2016/679 e all'articolo 39 del regolamento (UE) 2018/1725 durante la sperimentazione nello spazio di sperimentazione e meccanismi di risposta per attenuare rapidamente tali rischi e, ove necessario, interrompere il trattamento;
d) i dati personali da trattare nel contesto dello spazio di sperimentazione sono in un ambiente di trattamento dei dati funzionalmente separato, isolato e protetto sotto il controllo del potenziale fornitore e solo le persone autorizzate hanno accesso a tali dati;
e) i fornitori possono condividere ulteriormente i dati originariamente raccolti solo in conformità del diritto dell'Unione in materia di protezione dei dati; i dati personali creati nello spazio di sperimentazione non possono essere condivisi al di fuori dello spazio di sperimentazione;
f) il trattamento di dati personali nel contesto dello spazio di sperimentazione non comporta misure o decisioni aventi ripercussioni sugli interessati né incide sull'applicazione dei loro diritti sanciti dal diritto dell'Unione in materia di protezione dei dati personali;
g) i dati personali trattati nell'ambito dello spazio di sperimentazione sono protetti mediante adeguate misure tecniche e organizzative e cancellati una volta terminata la partecipazione allo spazio di sperimentazione o al raggiungimento del termine del periodo di conservazione dei dati personali;
h) i log del trattamento dei dati personali nel contesto dello spazio di sperimentazione sono conservati per la durata della partecipazione allo spazio di sperimentazione, salvo diversa disposizione del diritto dell'Unione o nazionale;
i) una descrizione completa e dettagliata del processo e della logica alla base dell'addestramento, delle prove e della convalida del sistema di IA è conservata insieme ai risultati delle prove nell'ambito della documentazione tecnica di cui all'allegato IV;
j) una breve sintesi del progetto di IA sviluppato nello spazio di sperimentazione, dei suoi obiettivi e dei risultati attesi è pubblicata sul sito web delle autorità competenti; tale obbligo non riguarda i dati operativi sensibili in relazione alle attività delle autorità competenti in materia di contrasto, di controllo delle frontiere, di immigrazione o di asilo.
2. A fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro le minacce alla sicurezza pubblica e la prevenzione delle stesse, sotto il controllo e la responsabilità delle autorità di contrasto, il trattamento dei dati personali negli spazi di sperimentazione normativa per l'IA si basa su una specifica disposizione di diritto nazionale o dell'Unione ed è soggetto alle stesse condizioni cumulative di cui al paragrafo 1.
3. Il paragrafo 1 lascia impregiudicate le disposizioni del diritto dell'Unione o nazionale che escludono il trattamento dei dati personali per fini diversi da quelli espressamente menzionati in tali disposizioni, nonché il diritto dell'Unione o nazionale che stabilisce la base per il trattamento dei dati personali necessario ai fini dello sviluppo, delle prove e dell'addestramento di sistemi di IA innovativi o qualsiasi altra base giuridica, conformemente al diritto dell'Unione in materia di protezione dei dati personali.
Stesso numero, altri codici
- Art. 59 D.Lgs. 504/1995 — Sanzioni (Art. 20 T.U. energia elettrica 1924 Art. 2 legge 28 dicembre 1993, n. 562
- Articolo 59 L. 184/1983: Modifica del capo I del titolo VIII del codice civile
- Art. 59 Cod. Amb. — competenze della Conferenza Stato-regioni
- Art. 59 D.Lgs. 159/2011 — Verifica dei crediti. Composizione dello stato passivo
- Art. 59 D.Lgs. 209/2005 — Requisiti e procedura
- Art. 59 D.Lgs. 42/2004 — Denuncia di trasferimento
Commento
Lo spazio di sperimentazione normativa come contesto di eccezione controllata
L'articolo 59 del Regolamento (UE) 2024/1689 affronta uno dei nodi più delicati della regolazione dell'intelligenza artificiale: come consentire lo sviluppo e la sperimentazione di sistemi di IA innovativi nell'interesse pubblico senza che i vincoli ordinari del diritto alla protezione dei dati personali blocchino ogni progetto di ricerca applicata. La risposta del legislatore europeo è la creazione di un regime speciale all'interno degli spazi di sperimentazione normativa (in inglese, «regulatory sandbox») di cui all'art. 57 AI Act.
La logica di fondo è quella di una «sandbox giuridica»: un ambiente controllato in cui alcune delle regole ordinarie sono temporaneamente modulate per consentire l'innovazione, a condizione che siano soddisfatte salvaguardie stringenti che tutelino i diritti fondamentali degli interessati. L'articolo 59 si colloca al crocevia tra l'AI Act e il Regolamento (UE) 2016/679 (GDPR), creando un raccordo tra i due strumenti normativi.
Il principio di limitazione della finalità e la sua modulazione nel sandbox
Il diritto ordinario della protezione dei dati personali stabilisce il principio di limitazione della finalità: i dati personali raccolti per uno scopo specifico non possono essere liberamente riutilizzati per finalità incompatibili (art. 5, par. 1, lett. b, GDPR). L'art. 59 AI Act introduce una deroga condizionata a questo principio, consentendo il riutilizzo di dati «legalmente raccolti per altre finalità» ai soli fini dello sviluppo, dell'addestramento e delle prove di sistemi di IA nel sandbox.
La deroga non è assoluta: l'articolo impone che siano soddisfatte tutte le condizioni cumulative elencate nel paragrafo 1. La natura cumulativa — non alternativa — dei requisiti è fondamentale: il mancato rispetto anche di una sola delle condizioni preclude l'applicazione della deroga. Questo approccio rigoroso riflette il principio di «privacy by design» e garantisce che la sperimentazione non si trasformi in un vettore di aggiramento sistematico delle garanzie del GDPR.
Le condizioni cumulative: punti essenziali
La prima condizione (lett. a) richiede che i sistemi siano sviluppati per un interesse pubblico rilevante nei settori elencati: sanità pubblica, ambiente, energia, trasporti, pubblica amministrazione. Non sono ammessi progetti puramente commerciali senza ricaduta pubblica.
La seconda condizione (lett. b) impone il principio di necessità e sussidiarietà: i dati personali sono utilizzabili solo se i requisiti del sistema non possono essere soddisfatti con dati anonimizzati, sintetici o non personali.
La terza condizione (lett. c) richiede meccanismi di monitoraggio efficaci e di risposta rapida ai rischi per i diritti degli interessati, in coerenza con le valutazioni d'impatto di cui all'art. 35 GDPR.
La quarta condizione (lett. d) prescrive la segregazione tecnica: i dati devono essere trattati in un ambiente separato, isolato e protetto, con accesso limitato alle sole persone autorizzate. Le condizioni successive (lett. e-j) disciplinano divieto di condivisione esterna, assenza di effetti sugli interessati, misure di sicurezza, conservazione dei log e pubblicazione di una sintesi del progetto.
Il raccordo con il GDPR
L'articolo 59 non si sostituisce al GDPR: lo completa e lo modula per il sandbox. Il par. 3 precisa che la norma lascia impregiudicate le disposizioni che escludono il trattamento per finalità diverse e le basi giuridiche già previste dall'ordinamento. La partecipazione al sandbox non solleva dall'obbligo di verificare una base giuridica valida ai sensi del GDPR e di documentarla nel registro del trattamento.
Il regime speciale per le autorità di contrasto
Il paragrafo 2 estende le stesse condizioni cumulative al trattamento di dati personali nell'ambito dei sandbox da parte delle autorità di contrasto, per finalità di prevenzione, indagine e perseguimento di reati. In questo caso, il trattamento deve basarsi su una specifica disposizione di diritto nazionale o dell'Unione che lo autorizzi esplicitamente. La norma riconosce che le autorità di sicurezza pubblica hanno esigenze specifiche di sperimentazione di sistemi di IA (es. sistemi di analisi predittiva della criminalità, sistemi di riconoscimento facciale) che possono giustificare un accesso controllato ai dati esistenti, sempre nell'ambito delle garanzie previste dall'art. 59.
Implicazioni pratiche per i partecipanti ai sandbox
Per le organizzazioni — pubbliche e private — che intendono partecipare agli spazi di sperimentazione normativa istituiti ai sensi dell'art. 57 AI Act e che hanno necessità di riutilizzare dati personali esistenti, l'art. 59 impone la predisposizione di un'infrastruttura di governance specifica. In concreto: una valutazione di impatto sulla protezione dei dati (DPIA) adattata al contesto del sandbox; la definizione di un perimetro tecnico isolato per il trattamento dei dati; protocolli di accesso con autenticazione forte e log di audit; procedure di cancellazione dei dati al termine della partecipazione; e un documento di sintesi del progetto da pubblicare sul sito dell'autorità competente che gestisce il sandbox, con le limitazioni previste per i dati operativi sensibili.
Casi pratici
Caso 1:
Caso 2:
Caso 3:
Domande frequenti
Un'azienda privata può usare dati personali di propri clienti in un sandbox AI?
Sì, ma solo se il sistema di IA è sviluppato per salvaguardare un interesse pubblico rilevante nei settori ammessi dall'art. 59, par. 1, lett. a. Un progetto puramente commerciale senza finalità di interesse pubblico non rientra nell'ambito della deroga. L'azienda deve inoltre soddisfare tutte le altre condizioni cumulative, inclusa la segregazione tecnica dei dati e l'assenza di effetti sugli interessati durante la sperimentazione.
Cosa succede ai dati personali al termine della partecipazione al sandbox?
Devono essere cancellati, ai sensi dell'art. 59, par. 1, lett. g). I dati personali creati nel sandbox non possono essere condivisi al di fuori dello stesso. I log del trattamento, invece, devono essere conservati per la durata della partecipazione al sandbox e secondo le disposizioni del diritto dell'Unione o nazionale applicabile.
Partecipare a un sandbox AI esime dalla redazione della valutazione d'impatto GDPR?
No. L'art. 59 non sostituisce il GDPR: lo integra. Il partecipante al sandbox deve comunque condurre la valutazione d'impatto sulla protezione dei dati (DPIA) se il trattamento presenta un rischio elevato ai sensi dell'art. 35 GDPR, e deve verificare la sussistenza di una base giuridica valida per il trattamento specifico.
È possibile condividere con terzi i dati trattati nel sandbox?
La condivisione dei dati originariamente raccolti è possibile solo in conformità del diritto dell'Unione in materia di protezione dei dati. I dati personali creati nell'ambito del sandbox (es. dati sintetici generati nel corso della sperimentazione) non possono invece essere condivisi al di fuori dello spazio di sperimentazione.
Qual è l'obbligo di trasparenza verso il pubblico per i progetti nei sandbox?
L'art. 59, par. 1, lett. j, impone la pubblicazione sul sito delle autorità competenti di una breve sintesi del progetto di IA, dei suoi obiettivi e dei risultati attesi. L'obbligo non riguarda i dati operativi sensibili in relazione alle attività delle autorità competenti in materia di contrasto, controllo delle frontiere, immigrazione o asilo.
Vedi anche