È trascorso quasi un anno dalla proposta di Regolamento del Parlamento europeo e del Consiglio per l’armonizzazione delle norme in materia di intelligenza artificiale. Gli sviluppi sono ancora lenti ma di recente si sono mossi i Garanti europei con importanti indicazioni che potrebbero incidere sui prossimi passi
Un corpus di regole armonizzate e valide per tutta l’Unione
Il 21 aprile 2021 la Commissione europea ha presentato l’attesissima proposta di Regolamento in materia di intelligenza artificiale. La scelta della fonte si colloca sulla scia del GDPR che, in quanto regolamento, gode di portata generale, obbligatorietà in tutti i suoi elementi e applicabilità diretta in ciascuno degli Stati membri come previsto dall’art. 288 del Trattato sul funzionamento dell’Unione europea (TFUE). Lo scopo è pertanto quello di creare un corpus di regole armonizzate e valide per tutta l’Unione, andando cioè a consolidare quello che può essere definito un approccio europeo all’intelligenza artificiale volto principalmente all’ottenimento della fiducia dei cittadini verso questo tipo di tecnologia e la tutela dei loro diritti in un contesto regolamentare chiaro.
Naturalmente, non si disdegna l’aspetto prettamente economico, anzi. E questo è ravvisabile già nel Considerando n. 1 della proposta, ai sensi del quale “lo scopo del presente regolamento è migliorare il funzionamento del mercato interno istituendo un quadro giuridico uniforme in particolare per quanto riguarda lo sviluppo, la commercializzazione e l’uso dell’intelligenza artificiale (IA) in conformità ai valori dell’Unione”.
Dalla pubblicazione della proposta a oggi, però, i passi avanti sono stati pochi e piuttosto lenti, che non hanno cioè inciso in modo decisivo né sull’avanzamento della regolamentazione né sui contenuti. Tuttavia, recentemente sono arrivati importanti interventi che potrebbero incidere sulla prosecuzione dei lavori, soprattutto a opera dei Garanti europei in tema di responsabilità civile legata all’utilizzo dell’IA e correlazione tra quest’ultima e la tutela dei dati personali.
L’approccio europeo all’AI
L’approccio europeo all’intelligenza artificiale è – nelle dichiarazioni d’intenti – volto a introdurre norme che abbiano al centro la persona, al fine di assicurare sicurezza, trasparenza e presa di responsabilità per evitare pregiudizi e discriminazioni, e assicurare il rispetto dei diritti fondamentali.
Si può quindi affermare che, senz’altro, la normativa nasce in primis come strumento di armonizzazione ai fini del mercato interno, ma è poi costruita in modo da essere incentrata sulla tutela dei diritti fondamentali in un’ottica di protezione rispetto ai rischi derivanti dalle nuove tecnologie. Si tratta in effetti del medesimo spirito che ha accompagnato la redazione del Regolamento in materia di privacy che è interamente incentrato sulla protezione dei dati personali delle persone fisiche.
Sulla scia del noto Libro bianco pubblicato nel 2020, si può dire che le parole d’ordine del futuro Regolamento europeo saranno efficienza – tanto normativa quanto economica – e fiducia (dei cittadini). Senza quest’ultima, infatti, potrebbe essere complicato rendere l’intelligenza artificiale una realtà globalmente accettata all’interno dell’Unione. La strada per ottenerla è, per l’appunto, la garanzia della tutela dei diritti. Questa è peraltro la caratteristica essenziale che distingue l’approccio europeo da quello statunitense, più incentrato sui risvolti commerciali dello sviluppo dell’AI.
Da un punto di vista normativo, l’elemento essenziale risiede in un approccio basato sul rischio, altro aspetto di comunanza con il GDPR. Il quadro proposto dalla Commissione, infatti, si basa su diversi livelli di rischio: ad esempio, alcuni sistemi di AI sono considerati a rischio intollerabile e sono quindi proibiti: sono soprattutto i sistemi che erogano valutazioni sociali o quelli di identificazione facciale usati dalle forze dell’ordine nei luoghi pubblici. Non è un caso che le tecnologie vietate siano al contempo le più temute e criticate dall’opinione pubblica. Altri sistemi AI sono invece considerati ad alto rischio. Alla luce di ciò, emergono inevitabilmente le questioni relative agli obblighi posti a carico dei fornitori e, di conseguenza ai profili di responsabilità che possono configurarsi nei confronti degli stessi.
Intelligenza artificiale e responsabilità civile: le raccomandazioni dei Garanti europei
Per quanto riguarda la responsabilità civile derivante dall’utilizzo di sistemi di intelligenza artificiale, la proposta di regolamento – che in materia si mostra piuttosto incerta – chiarisce che la stessa fa parte di un pacchetto più ampio di misure destinate ad affrontare i problemi posti dallo sviluppo e dall’utilizzo dell’AI. La proposta, infatti, non affronta direttamente questo tema ma impone una distribuzione della responsabilità – con adempimenti differenziati – sui soggetti coinvolti, e mira ad adattare la disciplina alle nuove tecnologie e alle conseguenti nuove sfide.
La lettera dell’European Data Protection Board (EDPB) alla Commissione europea
Di recente, l’European Data Protection Board (EDPB) – il Comitato composto dai rappresentanti dei Garanti europei – ha inviato una importante lettera alla Commissione per dimostrare la propria soddisfazione per la volontà, come accennato, di adeguare le norme in materia di responsabilità civile alla luce dell’impiego dell’intelligenza artificiale.
Ciononostante, hanno anche evidenziato alcune criticità che, a detta del Comitato, meritano di essere affrontate e risolte.
In primo luogo, poiché la proposta di regolamento rivela la volontà di strutturare una responsabilità civile differenziata a seconda dei ruoli dei diversi attori coinvolti, l’EDPB ravvisa la necessità di chiarire suddetti ruoli, e nello specifico quelli dei produttori e fornitori di sistemi di intelligenza artificiale utilizzati per incrementare la sicurezza dei dati personali, in modo tale da rendere effettiva la corretta attribuzione delle responsabilità sia in termini di protezione dei dati sia in termini di responsabilità civile.
La lettera evidenzia poi la necessità di garantire agli utenti la trasparenza riguardo all’impiego dei sistemi basati sull’intelligenza artificiale mediante la corretta e completa informazione sui meccanismi di elaborazione dei dati.
I Garanti affermano, in sostanza, il rapporto tra intelligenza artificiale e protezione dei dati: non è sempre possibile illustrare chiaramente il funzionamento di sistemi di AI; pertanto, devono essere ideati in conformità alle regole in materia di privacy dettate dal Regolamento europeo e dalle normative nazionali, verificando costantemente la qualità delle informazioni trattate e dei processi di elaborazione.
In terzo luogo, il Comitato europeo evidenzia la necessità – sempre in un’ottica di protezione dei dati personali – di effettuare una valutazione preliminare sulla qualità dei dati utilizzati dagli algoritmi. Infine, l’EDPB sottolinea che la nuova normativa sulla responsabilità civile dovrà essere efficace come legislazione a sé stante e non ricalcare semplicemente gli obblighi previsti dal futuro Regolamento.
La recente memoria del Garante italiano
Sul rapporto tra AI e protezione dei dati si è espresso anche il Garante italiano rivolgendosi alle Commissioni IX e X della Camera dei Deputati con una memoria del 9 marzo 2022. In particolare, afferma l’Autorità, le due materie sarebbero sì trasversali, ma al contempo “accomunate dal rappresentare la sfida, attuale e futura, lanciata dalla tecnica al diritto e alla sua possibilità di regolamentare anche ciò che appare, nella sua evoluzione incessante, più refrattario alla norma”. In primo luogo, secondo il Garante, il trattamento dei dati è funzionale all’alimentazione dei sistemi basati sull’AI in vista del loro apprendimento automatico; pertanto, errori o violazioni in materia di protezione dei dati, si traducono in distorsioni nel processo degli algoritmi, e ciò rende necessario che di questa correlazione si tenga conto nella programmazione dei prossimi passi.
Peraltro, a ulteriore conferma di tale connessione, l’Autorità evidenzia – richiamando gli artt. 22 del GDPR e 11 della Direttiva n. 2016/680 – come siano già esistenti principi riconducibili all’AI, seppur dettati in materia di privacy: il diritto alla spiegazione e alla revisione umana delle decisioni automatizzate, e il divieto di discriminazione. Le prime, infatti, sono l’elemento fondamentale dei sistemi di intelligenza artificiale, mentre la seconda ne è la conseguenza più diffusa e temuta.
Anche la scelta normativa del regolamento, come già evidenziato in introduzione, rappresenta una presa di coscienza del successo del GDPR in termini di armonizzazione delle norme e regolamentazione dei progressi della tecnologia con un occhio particolare alla tutela dei cittadini. Pertanto, si prospetterebbe una sorta di “avanguardia nella regolazione del digitale” caratterizzata da una compattezza delle regole di “governo” delle nuove tecnologie, a partire dall’approccio fondato sul rischio con la correlativa valutazione d’impatto i quali, anche nel Regolamento sull’AI, dovrebbero essere conformati a quanto previsto dal GDPR.
Lo stesso vale per i doveri di trasparenza nei confronti degli utenti, per la rilevanza delle certificazioni e dei codici di condotta in funzione co-regolativa, per la modulazione del trattamento sanzionatorio secondo il fatturato o la comunicazione obbligatoria degli “incidenti” potenzialmente pregiudizievoli e il coordinamento tra le Autorità nazionali nell’ambito del Comitato europeo per l’AI. Si tratta, in altri termini, di principi applicati oggi per la regolamentazione in materia di privacy, ma potenzialmente attuabili – o meglio, da attuare – anche nella futura regolamentazione sull’intelligenza artificiale.
Migliorare l’Artificial Intelligence Act europeo
Alla luce di ciò, il Garante evidenzia un serie di migliorie da apportare al futuro Artificial Intelligence Act europeo (AIA), di cui alcune già previste dal richiamato parere congiunto n. 5/2021 dell’European Data Protection Board (EDPB) e dell’European Data Protection Supervisor (EDPS). Innanzi tutto, gli obblighi di conformità dei sistemi basati sull’AI dovrebbero essere riferiti a tutta la normativa europea in materia di nuove tecnologie, e quindi non solo all’AIA ma anche al GDPR. Andrebbe poi garantito un maggiore coordinamento del sistema di certificazione previsto dalla proposta di Regolamento sull’AI con quello proprio della disciplina sulla protezione dati, in particolare “coinvolgendo le relative Autorità nella redazione di norme armonizzate e chiarendo se la protezione dei dati personali debba essere considerata uno dei «requisiti supplementari» nell’ambito dei codici di condotta”.
Il Garante si sofferma naturalmente sulla tutela dei diritti fondamentali, a partire dai necessari divieti per tutti quei sistemi di intelligenza artificiale funzionali a punteggi sociali, alla deduzione delle emozioni, o a categorizzare le persone in insiemi sulla base di dati biometrici, dell’etnia, del genere, dell’orientamento politico o sessuale, o in base ad altri motivi di discriminazione di cui all’art. 21 della Carta di Nizza. Per fare ciò, e per rafforzare la tutela dei diritti fondamentali in generale, l’Autorità italiana evidenzia che dovrebbe essere riconosciuta al Comitato europeo per l’intelligenza artificiale una maggiore indipendenza e il potere di agire d’ufficio, oltre alla necessità di definire specifici requisiti di indipendenza anche in favore delle autorità di controllo nazionali, le quali, ad oggi, sono tenute ad obblighi di segnalazione alla Commissione poco compatibili con uno statuto di reale indipendenza. A quest’ultima dovrebbe affiancarsi un maggiore coinvolgimento dei Garanti nazionali per la protezione dei dati, riconoscendo agli stessi anche il ruolo di Autorità di controllo per l’intelligenza artificiale proprio in virtù della connessione evidente tra le due materie e in un’ottica di armonizzazione e di coerenza delle regole e dell’interpretazione delle stesse.
Conclusioni
Il Regolamento europeo sull’intelligenza artificiale è, ad oggi, la normativa europea più attesa anche in ottica commerciale, in quanto si colloca in quella corsa alla leadership nel settore che al momento rappresenta uno dei principali terreni su cui costruire l’economia del futuro. Da questo punto di vista, l’Europa sta provando a non rimanere indietro, ma cerca di farlo senza che gli obiettivi di mercato compromettano lo spirito comunitario improntato sulla tutela dei diritti delle persone già attuato tramite il Regolamento 2016/679. Da questo punto di vista le osservazioni del Garante italiano sono condivisibili, perché il GDPR deve essere il punto di riferimento per la nuova normativa sull’intelligenza artificiale, e questo non solo per le indubbie connessioni tra le due materie, ma anche per l’impianto incentrato sulla persona fisica.
Il ruolo delle Autorità diventa quindi essenziale per i prossimi passi. Queste ultime, come osservato dal Garante, possiedono già i requisiti di competenza e indipendenza necessari per garantire un’attuazione pienamente coerente del regolamento e un’applicazione lungimirante delle sue disposizioni, garantendo una piena armonizzazione e coerenza tra le normative che permetta di conseguire tanto gli obiettivi economici quanto quelli di tutela. La speranza è, quindi, che le istituzioni europee e nazionali tengano conto delle indicazioni per il proseguo dei lavori che potrebbero a breve condurre a novità importanti.