Il 19 giugno 2020 l’European Data Protection Supervisor (comunemente chiamato Garante europeo) ha pubblicato il documento “Opinion on the European Commission’s White Paper on Artificial Intelligence – A European approach to excellence and trust”.
Con questo documento, come si evince dal titolo, l’EDPS ha voluto fornire un proprio parere sul White paper pubblicato in data 19 febbraio 2020 dalla Commissione europea al fine di evidenziarne pregi e aspetti critici per i quali vengono, nel documento stesso, forniti appositi suggerimenti.
Vantaggi, costi e rischi dell’AI
In primo luogo, il Garante europeo, pur riconoscendo la crescente rilevanza dell’intelligenza artificiale non esita a evidenziare come questa non debba essere considerata come una sorta di “proiettile d’argento” (termine utilizzato più volte) capace di risolvere ogni problema del nostro tempo. Come tutte le tecnologie anche la AI presenta infatti vantaggi, costi e rischi che dovrebbero essere attentamente considerati da chiunque adotti una tecnologia, in particolare, dalle pubbliche amministrazioni che elaborano grandi quantità di dati personali.
A queste affermazioni l’EDPS giunge per via dell’approccio quasi “soluzionistico” adottato dalla Commissione europea nel White paper dove si ritiene “essenziale che le pubbliche amministrazioni, gli ospedali, i servizi di pubblica utilità e i servizi di trasporto, i supervisori finanziari e altre aree di interesse pubblico inizino rapidamente a distribuire prodotti e servizi che si basano sull’intelligenza artificiale nelle loro attività” . Come visto, l’AI viene qui definita come tecnologia “essenziale”, circostanza questa che, secondo l’Opinion 4, lascerebbe a intendere che la AI sia sempre la tecnologia più appropriata, indipendentemente dai processi aziendali di un’autorità pubblica e dai rischi posti dal suo utilizzo.
Il Garante sostiene invece che nella realtà non esiste, appunto, un “proiettile d’argento” tecnologico. L’intelligenza artificiale, come qualsiasi altra tecnologia, è un semplice strumento e dovrebbe essere progettata per servire l’umanità. L’artificial intelligence , come qualsiasi altra tecnologia, presenta vantaggi e svantaggi e le autorità pubbliche e le entità private dovrebbero considerare caso per caso se un’applicazione AI è l’opzione migliore per ottenere importanti risultati di interesse pubblico.
È quindi forse un po’ superficiale l’approccio della Commissione secondo l’opinione del Garante il quale sottolinea poi come il White paper affermi: “Un focus specifico riguarderà le aree dell’assistenza sanitaria e dei trasporti in cui la tecnologia è matura per la diffusione su larga scala”.
Secondo la Commissione, quindi, la AI sarebbe “matura” per la diffusione su larga scala. Il problema però, secondo l’Opinion 4, è che di tale maturità non si ha nel White paper fornito alcun riscontro scientifico.
In base a cosa quindi la Commissione si sarebbe sbilanciata con simili affermazioni?
Con un simile approccio si corre il rischio di promuovere un’accettazione cieca dell’AI?
Forse sì e per questo il Garante europeo ritiene che un’analisi più approfondita e quantificata, basata su fonti identificate, rispetto a quella attualmente presente nel White paper, rafforzerebbe il dibattito pubblico garantendo inoltre una maggiore qualità degli argomenti che si rispecchierebbe nella maggiore credibilità della Commissione stessa.
Del resto, è noto che alcune applicazioni di AI (ad es. riconoscimento biometrico) interferiscano con i diritti e le libertà fondamentali in misura tale da poter mettere in discussione l’essenza di tali diritti e libertà. Si tratta di tecnologie potenzialmente pericolose il cui sviluppo e diffusione sono figli di una mancanza di chiarezza e di dialogo. È proprio per questo motivo che la condivisibile posizione del Garante propone maggiori riflessioni oggi per evitare problemi domani, quando le tecnologie saranno già diffuse e, quindi, sarà più difficile rimediare alle criticità.
Una definizione univoca di AI
Un altro grande problema del White paper è il fatto che non fornisce una chiara ed univoca definizione di cosa si debba ritenere con il termine “intelligenza artificiale”.
Ora, questo è un quesito a lungo dibattuto in dottrina. Alcuni forniscono una definizione, altri un’altra. Il punto è che, volendo gettare le basi per una normativa europea sarebbe quantomeno opportuno partire da una definizione chiara e precisa. La Commissione avrebbe quindi dovuto prendere una posizione netta.
Un software di analisi avanzato che fornisce risultati partendo da big data può ritenersi AI in base al White paper? La AI Narrow è AI? I chatbot sono AI ? Sono domande importanti, perché una corretta definizione permette di capire i confini del “terreno di gioco” su cui si è espressa la Commissione.
Il Garante Europeo ritiene quindi che il termine AI deve “essere chiaramente definito” tanto per la comprensione del White Paper quanto per eventuali e possibili iniziative normative future.
Il White paper, al suo interno, propone difatti più di una definizione, peraltro non sempre coerente: a volte parla di AI come della “combinazione di dati, algoritmi e potenza di calcolo”, ma tale definizione sarebbe troppo ambigua in quanto applicabile anche ad altre tecnologie (ad esempio “big data”). In altri passaggi il White paper fa riferimento alle definizioni incluse nella comunicazione della Commissione europea sull’intelligenza artificiale, poi nelle definizioni rilasciate dal “gruppo di esperti ad alto livello sull’intelligenza artificiale”, infine, il White paper, arriva a delegare il compito di definire l’AI al futuro Regolamento che andrà a disciplinare proprio tale ambito.
Ora, secondo l’ EDPS, la Commissione europea avrebbe perso una grande occasione per proporre una chiara e definitiva definizione di AI utile per inquadrare il campo di azione e per fornire un importante strumento per le possibili proposte legislative future.
In mancanza di questa definizione, evidenzia il Garante, sarà difficile comprendere quale sarà la portata della possibile legislazione basata sul White Paper.
La necessità di una nuova legge
Ciò su cui invece il Garante concorda con la Commissione è l’approccio proposto, in base al quale per i sistemi di AI operati nell’UE “è fondamentale che le norme dell’UE siano rispettate da tutti gli attori, indipendentemente dal fatto che siano basate nell’UE o meno”. Si tratta del resto di un approccio coerente con quello scelto per il GDPR circostanza questa che gioverebbe nel quadro di organicità normativa della UE.
Tuttavia, mentre il White paper segue un approccio basato sul rischio “per contribuire a garantire che l’intervento normativo sia proporzionato “, l’ EDPS suggerisce di procede in modo differente.
Il Garante ritiene difatti che il concetto di “alto rischio” del White Paper sia troppo limitato e limitante. Il Libro bianco prevede che potrebbero esserci casi eccezionali in cui, a causa dei rischi in gioco, l’uso delle applicazioni AI per determinati scopi, pur dovendosi considerare ad alto rischio, potrebbe ritenersi accettabile. Quasi ad intendere che, se la finalità è di elevato interesse, allora il rischio è giustificabile.
L’EDPS ritiene invece che l’approccio per determinare il livello di rischio nell’uso delle applicazioni di intelligenza artificiale dovrebbe essere oggettivo e basato sulle le linee guida dell’EDPB sulla valutazione dell’impatto di cui al GDPR (DPIA).
I criteri per determinare il livello di rischio dovrebbero quindi riflettere le Linee guida sopra menzionate e dovrebbero pertanto considerare: valutazione o punteggio; processo decisionale automatizzato con effetti significativi giuridici o simili; monitoraggio sistematico; dati sensibili; dati trattati su larga scala; set di dati che sono stati abbinati o combinati; dati riguardanti soggetti vulnerabili; uso innovativo o applicazione di soluzioni tecnologiche o organizzative; trasferimento dati oltre confine al di fuori dell’Unione Europea; se il trattamento in sé “impedisce agli interessati di esercitare un diritto o utilizzare un servizio”.
Il criterio proposto dal White Paper che suddivide il rischio in base al settore in cui si opera non è quindi affidabile per il Garante, valendo, tutt’al più come indicazione presuntiva, ma non come discriminante.
È a tal riguardo interessante notare come, da tali prese di posizione, traspaia una certa consapevolezza sul ruolo fondamentale del GDPR il quale, secondo quanto emerge in questa Opinion 4, deve essere preso ad ispirazione, quale esempio di norma capace di adattarsi alle evoluzioni della tecnologia.
Il Garante europeo difatti, pur riconoscendo la necessità di una norma che disciplini l’utilizzo dell’intelligenza artificiale, in più punti torna a dire che tale norma dovrà ispirarsi al Regolamento sulla Protezione dei Dati, ad esempio, per quanto riguarda il principio di territorialità, accountability, principio di privacy by design e by default, principio di valutazione del rischio.
Insomma, basta leggere questo parere dell’EDPS per comprendere come, secondo il Comitato, il regolamento sulla intelligenza artificiale dovrebbe di fatto ricalcare il GDPR. Ma, allora, la domanda che verrebbe automatica è “perché non emendare semplicemente il GDPR, prevedendo nuove parti dirette alla sola intelligenza artificiale?”.
A parere di chi scrive è condivisibile l’idea di individuare un nuovo framework dedicato solo all’AI e ciò in quanto, a parità di principi guida da seguire, esistono situazioni in cui pur non essendoci un vero e proprio trattamento di dati (come definito nel Regolamento) vi sarebbe comunque un alto rischio per i diritti delle persone. Per questo il GDPR non può essere lo strumento adatto.
Non a caso, anche per l’EDPS tutta una serie di argomenti necessitano di una disciplina a parte.
Tra questi sicuramente il riconoscimento facciale.
Il board evidenzia infatti come, secondo alcuni orientamenti, i sistemi di riconoscimento biometrico potrebbero essere utilizzati per combattere la pandemia in corso in diversi modi, come ad esempio attraverso la misurazione del distanziamento sociale o dell’uso di maschere o controlli della temperatura (quando le telecamere hanno termometri integrati).
Alcune di queste nuove applicazioni, secondo l’EDPS potrebbero non cadere nell’ambito del GDPR, ma avrebbero comunque un effetto significante sui diritti delle persone. Tali usi dell’intelligenza dovrebbero quindi essere adeguatamente affrontati con un’apposita norma.
Medesimo pericolo esiste nei confronti dei bias cognitivi capaci di discriminare le minoranze. Questo tipo di problema difatti non ricade necessariamente nell’area di applicabilità del GDPR pur avendo grossi riflessi sui diritti delle persone, risultando quindi evidente la necessità di una norma che si occupi anche di questo.
Conclusioni
In conclusione, l’EDPS concorda con la Commissione sulla necessità di un approccio europeo all’AI, tuttavia, ritiene che le proposte formulate nel Libro bianco debbano essere ulteriormente approfondite
con adeguati chiarimenti, chiedendo poi che, per quanto riguarda l’identificazione biometrica remota, sia stabilita una sospensione nell’utilizzo di tale tecnologia in modo da permettere di svolgere accurate riflessioni stimolando il dibattito. La fretta del resto è da sempre cattiva consigliera, specie quando si parla di scenari così delicati.
