Cresce l’AI Act: la Commissione per il mercato interno e la protezione dei consumatori del Parlamento Europeo, oltre che della Commissione per le libertà civili, la giustizia e gli affari interni, ha pubblicato una relazione congiunta contenente delle raccomandazioni inerenti alla proposta di Regolamento sull’Intelligenza Artificiale.
Tra le modifiche più rilevanti che si propongono nel report, rientrano il divieto di utilizzare l’intelligenza artificiale per porre in essere pratiche di polizia predittiva, l’obbligo di registrazione delle tecnologie basate sull’AI e un maggior allineamento con il GDPR.
Le modifiche proposte dai due comitati sono state accolte favorevolmente dagli esperti e dai ricercatori, in quanto garantirebbero una maggiore tutela dei diritti fondamentali dei cittadini europei.
Ecco una disamina dei principali punti della relazione e dei possibili profili di miglioramento suggeriti dagli esperti sul tema.
Il contenuto del Draft Report dell’AI Act
Lo scopo perseguito dalle due commissioni che hanno lavorato al report è stato quello di rendere l’intelligenza artificiale umano-centrica e degna di fiducia da parte dei cittadini, garantendo al tempo stesso il rispetto dei loro diritti fondamentali e lo sviluppo del tessuto produttivo europeo.
In primo luogo, i correlatori hanno condiviso l’approccio basato sul rischio inizialmente proposto dalla Commissione, limitando gli obblighi del regolamento esclusivamente a determinate pratiche vietate, ai sistemi di intelligenza artificiale definiti “ad alto rischio”. Lo stesso dicasi per gli obblighi di trasparenza, strutturati in base al rischio o alla tipologia di intelligenza artificiale utilizzata. L’introduzione di requisiti di conformità per detti sistemi consentirà anche di rendere gli stessi più affidabili e maggiormente appetibili sul mercato.
“In quanto tale” – si legge nel report – “nessun sistema di IA dovrebbe essere escluso ex ante, né dalla definizione di ‘intelligenza artificiale’ né ritagliando eccezioni per particolari tipi di sistemi di IA, compresa l’IA di uso generale. Qualora, per ragioni oggettive, i fornitori non siano in grado di adempiere agli obblighi previsti dal presente regolamento, essi dovrebbero poter concludere accordi con gli utenti per condividere le responsabilità”.
Armonizzazione con il GDPR
Ulteriore elemento chiave della relazione è l’armonizzazione del testo normativo con le previsioni e gli obblighi contenuti all’interno del GDPR, richiedendo – nella maggior parte dei casi – l’uso dell’intelligenza artificiale un massivo trattamento di dati personali. I due regolamenti, secondo le commissioni, dovrebbero “funzionare in modo complementare l’uno all’altro per lo sviluppo e l’adozione dell’IA in Europa”, andando a creare un quadro normativo coeso e privo di incoerenze che potrebbero, altrimenti, creare non pochi problemi nell’applicazione degli stessi.
Non rientrano nel campo di applicazione del regolamento, nel testo così modificato, i sistemi di AI sviluppati o utilizzati esclusivamente per scopi militari, rientrando gli stessi nel campo di applicazione della “Common Foreign and Security Policy” disciplinata dal Titolo V del TUE.
Le commissioni hanno poi aggiunto tra le pratiche proibite quelle che equivalgono alla “polizia predittiva”, sposando l’opinione che ritiene che “le società liberali non possono utilizzare la tecnologia in violazione del principio chiave della presunzione di innocenza”.
Sistemi di AI ad alto rischio
Con riferimento, invece, ai sistemi di intelligenza artificiale classificati come “ad alto rischio” e ritenuti l’obiettivo principale del regolamento, sono stati aggiunti ulteriori casi d’uso, al fine di tutelare categorie di interessati particolarmente vulnerabili, come i bambini, che potrebbero essere influenzati dall’AI nella loro fase di sviluppo. Inoltre, sono considerati ad alto rischio anche “i sistemi di intelligenza artificiale utilizzati dai candidati o dai partiti per influenzare i voti nelle elezioni locali, nazionali o europee e i sistemi di intelligenza artificiale utilizzati per contare tali voti”, in quanto hanno il potenziale, “influenzando un gran numero di cittadini dell’Unione, di influire sul funzionamento stesso della nostra democrazia”.
Lo stesso dicasi per i sistemi di intelligenza artificiale utilizzati per il triage dei pazienti nel settore sanitario e quelli utilizzati per determinare l’idoneità per l’assicurazione sanitaria e sulla vita, considerati ad alto rischio.
A causa dell’elevato potenziale che hanno di “ingannare” i loro utenti, inoltre, vi sono dei sistemi di IA che dovrebbero essere soggetti “sia ai requisiti di trasparenza che ai requisiti di conformità dei sistemi di IA ad alto rischio: deepfake che impersonano persone reali e contenuti editoriali scritti da AI (“autori di IA”)”.
La lista delle applicazioni ad alto rischio dovrebbe essere soggetta a costante revisione, al fine di rendere il regolamento coerente con il mercato e garantire la massima tutela dell’interessato finale.
La responsabilità connessa all’uso dell’AI
All’interno del report relativo all’AI Act, poi, si esamina la catena di responsabilità connessa all’utilizzo dell’AI, cercando di “chiarire e riequilibrare alcune disposizioni. Vale a dire, sulla governance dei dati, è stata rafforzata la coerenza con il GDPR ed è stata rimossa la possibile base giuridica aggiuntiva per il trattamento dei dati personali. Inoltre, è stato chiarito che le serie di dati “prive di errori” dovrebbero essere un obiettivo generale da raggiungere nella migliore misura possibile, piuttosto che un requisito preciso”. Le revisioni proposte tengono conto anche di alcune preoccupazioni espresse dalle imprese, che rilevano che la catena del valore dell’AI non è sempre lineare, con conseguente necessità di meglio definire le rispettive responsabilità tra i diversi attori della catena del valore.
L’AI Board
Particolare rilevanza viene data dalle commissioni anche all’AI Board, il cui ruolo sarà essenziale nel definire un’applicazione uniforme del Regolamento e nel risolvere dispute relative alla frammentazione del Mercato Unico. A livello nazionale, si evidenzia l’importanza di una stretta cooperazione “tra le autorità di vigilanza del mercato e le autorità di protezione dei dati, poiché l’applicazione del regolamento sull’AI richiederà entrambe le serie di competenze, che, inoltre, dovrebbero essere regolarmente aggiornate. In caso di violazione dei diritti fondamentali, anche i pertinenti organismi per i diritti fondamentali dovrebbero essere strettamente coinvolti”.
Si propone, poi, un nuovo meccanismo di applicazione del regolamento da parte della Commissione, “da attivare nei casi che equivalgono a violazioni diffuse (tre o più Stati membri), anche in caso di inazione su un’infrazione che colpisce almeno tre Stati membri”. Questo meccanismo, basato sul modello previsto nel Digital Services ACT, ma adattato alla diversa natura della legislazione in materia di AI, “mira ad affrontare alcuni dei problemi di applicazione che sono stati osservati in altre configurazioni di governance, a contribuire all’attuazione uniforme del presente regolamento e a rafforzare il mercato unico digitale. Secondo il meccanismo, in tali casi di infrazioni diffuse, la Commissione dovrebbe disporre dei poteri delle autorità di sorveglianza del mercato”.
Da ultimo, è stato aggiunto dalle commissioni “al fine di garantire che le persone siano adeguatamente responsabilizzate quando l’uso di un sistema di AI viola i loro diritti, ma anche al fine di contribuire a creare fiducia nei sistemi di IA e nel loro uso diffuso”, un intero capo dedicato ai mezzi di ricorso, sia per le persone fisiche che per quelle giuridiche. Si tratta, più nello specifico, del capo 3b, rubricato “Rimedi”, che prevede:
- il diritto per le persone fisiche di presentare un reclamo nei confronti dei fornitori o degli utilizzatori dei sistemi di AI che ricadono nel campo di applicazione del regolamento;
- il diritto, per le persone fisiche e giuridiche, di proporre un ricorso giurisdizionale effettivo nei confronti di una decisione vincolante emessa da un’autorità nazionale di controllo.
AI Act, un passo avanti positivo
Come anticipato in premessa, il Draft Report pubblicato sull’AI Act dalle competenti commissioni del Parlamento Europeo è visto dagli esperti e dagli attivisti del settore come un passo avanti rispetto alle precedenti versioni della proposta, in quanto pone l’accento sulla tutela dei diritti fondamentali dell’uomo, che potrebbero essere lesi da un uso distorto e abusivo delle intelligenze artificiali.
Le modifiche, secondo l’esame condotto dall’organizzazione per la tutela dei diritti digitali Access Now, tra i primi a commentare il Report, appaiono in linea con le raccomandazioni fornite già precedentemente dai principali gruppi di ricercatori “An EU Artificial Intelligence Act for Fundamental Rights”. Nel documento, in particolare, si richiedeva ai legislatori di perseguire 9 obiettivi principali, qui riassunti sinteticamente:
- un approccio coeso, flessibile e a prova di futuro al “rischio” dei sistemi di AI;
- divieto di utilizzare tutti i sistemi di AI che presentano un rischio inaccettabile per i diritti fondamentali;
- obblighi per gli utenti di sistemi di AI ad alto rischio che facilitino la responsabilizzazione di coloro che sono interessati dai sistemi di AI;
- trasparenza pubblica coerente e significativa;
- diritti e strumenti di ricorso significativi per le persone interessate dai sistemi di AI;
- accessibilità durante tutto il ciclo di vita dell’AI;
- sostenibilità e tutela dell’ambiente;
- standard migliorati e a prova di futuro per i sistemi di intelligenza artificiale;
- un AI Act davvero completo, che funzioni per tutti.
Molte delle richieste avanzate sono state accolte dalle commissioni, che hanno introdotto, nella nuova proposta emendativa, un divieto generalizzato di valutazione del rischio individuale per le attività di polizia predittiva, in quanto si tratterebbe di un utilizzo intrinsecamente discriminatorio e pericoloso dell’AI. Nel regolamento si legge, infatti, che “I sistemi di IA utilizzati dalle autorità di contrasto o per loro conto per prevedere la probabilità che una persona fisica commetta un reato o una recidiva, sulla base della profilazione e della valutazione del rischio individuale, presentano un rischio particolare di discriminazione nei confronti di determinate persone o gruppi di persone, poiché violano dignità umana, nonché il principio giuridico fondamentale della presunzione di innocenza. Tali sistemi di IA dovrebbero pertanto essere vietati”.
Nulla viene detto, tuttavia, riguardo alle attività di polizia predittiva fondate sulla localizzazione e su gruppi di individui, che potrebbero ugualmente minare i diritti fondamentali.
Nuove forme di tutela per i soggetti interessati dai sistemi di AI
Allo stesso modo, nel Draft Report sono previste nuove forme di tutela per i soggetti interessati dai sistemi di AI, che consentano di presentare un reclamo o chiedere rimedi in sede giudiziaria, e nuovi obblighi di trasparenza e registrazione per i sistemi di AI ad altro rischio, secondo una procedura più snella rispetto a quella originariamente prevista.
AI Act: le richieste non accolte
Non sono state accolte, invece, ad oggi, le richieste mosse dagli attivisti per includere anche degli obblighi per le valutazioni d’impatto sui diritti fondamentali, correggere alcune lacune riscontrate nella parte che si occupa di disciplinare il divieto di identificazione biometrica da remoto, e obblighi di trasparenza più ampi.
“I relatori hanno perso un’importante opportunità per proteggere i diritti delle persone vietando completamente l’identificazione biometrica a distanza in spazi accessibili al pubblico”, ha dichiarato Caterina Rodelli, analista politico dell’UE presso l’organizzazione per la difesa dei diritti digitali Access Now, “Allo stato attuale, ci sono eccezioni così ampie a quel ‘divieto’ nell’AI Act che sta praticamente fornendo una base legale per questa tecnologia distopica”.
“L’aggiunta di un divieto parziale di sistemi di polizia predittiva intrinsecamente discriminatori nell’AI Act è lodevole, ma ci sono altri sistemi altrettanto problematici che devono essere inclusi nell’elenco delle pratiche proibite”, ha affermato Daniel Leufer, Senior Policy Analyst di Access Now. “Abbiamo visto una proliferazione di sistemi di intelligenza artificiale assolutamente indifendibili che pretendono di fare di tutto, dalla previsione dell’orientamento sessuale o politico dalle caratteristiche facciali, al rilevamento di bugie dalle micro-espressioni facciali, abbiamo bisogno di linee rosse complete per fermare quelle che minano irrimediabilmente i nostri diritti fondamentali”.
Conclusioni
Il Draft Report, dunque, rappresenta un importante progresso per la salvaguardia dei diritti fondamentali, ma è ancora molto il lavoro da fare per garantire la piena efficacia dell’AI Act. “Tutti gli occhi sono puntati sui relatori e sui relatori ombra per rafforzare le protezioni per i diritti delle persone in modo che l’AIA possa fare ciò che dovrebbe: proteggere milioni di persone dall’abuso e dallo sfruttamento da parte dei sistemi di intelligenza artificiale”, affermano gli esperti di Access Now.