Autorità per la protezione dei dati lussemburghese: pubblicata una guida su come adempiere all’obbligo di alfabetizzazione in materia di Intelligenza Artificiale.

L’autorità lussemburghese per la protezione dei dati personali (Commission nationale pour la protection des données – CNPD) ha pubblicato una guida rivolta alle organizzazioni pubbliche e private su come garantire un adeguato livello di alfabetizzazione in materia di intelligenza artificiale (IA), in conformità con l’articolo 4 del Regolamento (UE) 2024/1689 (AI Act), applicabile integralmente in tutti gli Stati membri dell’Unione a decorrere dal 2 febbraio 2025.

Secondo la CNPD, l’obbligo di garantire un’adeguata alfabetizzazione all’IA per il personale coinvolto nella gestione e nell’utilizzo di sistemi di intelligenza artificiale costituisce un adempimento specifico previsto dall’AI Act e deve essere inserito nei processi di conformità normativa già in fase di implementazione. Le indicazioni dell’autorità lussemburghese si fondano sugli orientamenti adottati a livello unionale, in particolare sulle domande frequenti (FAQ) della Commissione europea sull'alfabetizzazione in materia di IA.

L’articolo 4 del Regolamento stabilisce che i fornitori e gli utilizzatori di sistemi di IA devono adottare misure adeguate per assicurare, “nella miglior misura possibile”, un livello sufficiente di alfabetizzazione in materia di IA da parte del personale e di altri soggetti che operano per loro conto. Tali misure devono tenere conto:

• delle conoscenze tecniche, dell’esperienza, della formazione e del livello di istruzione dei destinatari della formazione;

• del contesto di utilizzo dei sistemi di IA;

• delle caratteristiche delle persone o dei gruppi di persone sui quali tali sistemi sono destinati a incidere.

Nel suo documento, la CNPD ha chiarito che le organizzazioni devono adottare un approccio olistico all’alfabetizzazione all’intelligenza artificiale, valutando in concreto:

• il grado di familiarità dei dipendenti con i concetti e i meccanismi dell’IA;

• il settore di impiego e la finalità dei sistemi utilizzati;

• le categorie di soggetti interessati, con particolare attenzione alle popolazioni vulnerabili, ai lavoratori e agli utenti di servizi pubblici.

Con riferimento alla competenza del personale, la guida raccomanda alle organizzazioni di adattare i programmi formativi alle reali esigenze, distinguendo tra soggetti con conoscenze tecniche avanzate e soggetti con competenze di base, per i quali è opportuna una formazione introduttiva su concetti fondamentali quali il machine learning e gli algoritmi. La CNPD suggerisce inoltre di tener conto dell’anzianità di servizio e dei percorsi di onboarding nell’elaborazione dei piani formativi.

Quanto al contesto applicativo, le misure di alfabetizzazione dovrebbero essere calibrate in base al livello di rischio associato allo specifico utilizzo dei sistemi di IA nel settore di riferimento (es. sanitario, finanziario, pubblico, ecc.).

Infine, l’identificazione dei soggetti impattati dai sistemi di IA è considerata dalla CNPD un passaggio cruciale per accrescere la consapevolezza dei rischi e impostare correttamente i meccanismi di supervisione e controllo, in coerenza con quanto previsto anche dall’articolo 3 del Regolamento.

Nel documento, la CNPD fornisce inoltre una panoramica sulle prassi già adottate da alcune organizzazioni in materia di IA literacy, offrendo esempi utili per l’impostazione di strategie formative efficaci, proporzionate e conformi al nuovo quadro regolatorio.