Il 24 aprile 2021 la Commissione europea ha pubblicato la sua bozza di regolamento sull’intelligenza artificiale che propone un quadro normativo del settore e ha come obiettivi principali di garantire che i sistemi di AI immessi sul mercato dell’Unione e utilizzati siano sicuri e rispettino la legislazione esistente sui diritti fondamentali e i valori europei. Nell’attesa di conoscere la posizione del Consiglio e del Parlamento europeo, che dovranno adottare questo regolamento, sono state pubblicate diverse opinioni di varie istituzioni e parti interessate dopo che la Commissione ha aperto a consultazione la sua bozza. Ecco la risposta del Center for Information Policy Leadership (CIPL) e dei Garanti privacy europei alla consultazione.
Regolamento europeo sull’AI: un approccio normativo orizzontale
Garantire la certezza del diritto per facilitare gli investimenti e l’innovazione nel settore dell’AI; migliorare la governance e l’effettiva applicazione della legislazione esistente sui diritti fondamentali e i requisiti di sicurezza applicabili ai sistemi di AI; e facilitare lo sviluppo di un mercato unico per applicazioni di AI legali, sicure e affidabili e prevenire la frammentazione del mercato.
Per conseguire tali obiettivi, la proposta di Regolamento presenta un approccio normativo orizzontale equilibrato e proporzionato che si limita ai requisiti minimi necessari per affrontare i rischi e i problemi legati all’AI, senza limitare o ostacolare indebitamente lo sviluppo tecnologico o altrimenti aumentare in modo sproporzionato il costo di immissione di soluzioni di AI sul mercato. La proposta ambisce quindi a stabilire un quadro giuridico solido e flessibile, cercando di mettere in atto un sistema normativo proporzionato incentrato su un approccio normativo ben definito basato sul rischio.
Così, il Regolamento propone una solida metodologia per definire i sistemi di AI “ad alto rischio” che pongono rischi significativi per la salute e la sicurezza o per i diritti fondamentali delle persone. Tali sistemi di AI dovranno soddisfare una serie di requisiti perché siano affidabili e seguire procedure di valutazione della conformità prima che tali sistemi possano essere immessi sul mercato dell’Unione.
Un cambio di passo della Commissione
Queste considerazioni presenti nella proposta di Regolamento dimostrano un cambiamento di passo nella narrativa della Commissione rispetto al Libro bianco sull’AI pubblicato nel 2020 nel quale, secondo alcuni, veniva anteposta la competitività globale alla tutela dei diritti fondamentali.
La proposta di Regolamento invece prevede il divieto di pratiche di AI considerate in violazione dei valori dell’Unione e dei diritti fondamentali tutelati ai sensi del diritto europeo. Il divieto, tuttavia, presenta delle scappatoie anche per quanto riguarda le tecnologie biometriche di sorveglianza.
Inoltre, è stato evidenziato che la maggior parte dei requisiti della proposta confida ingenuamente negli sviluppatori di intelligenza artificiale per implementare soluzioni tecniche a problemi sociali complessi. In questo modo, essa non esclude a sufficienza il rischio di sviluppo di una intelligenza artificiale che porti a una sorveglianza di massa o a importanti discriminazioni, attribuendone però la colpa agli sviluppatori, invece che alle istituzioni che utilizzano questi sistemi.[1]
Così, nell’attesa di conoscere la posizione del Consiglio e del parlamento europeo che dovranno adottare questo regolamento, sono state pubblicate diverse opinioni di varie istituzioni e parti interessate dopo che la Commissione ha aperto a consultazione la sua bozza.
Libro Bianco sull’AI della Commissione Europea
La risposta del Center for Information Policy Leadership (CIPL) alla consultazione
Sebbene la maggior parte delle raccomandazioni del CIPL siano riscontrate nella bozza di regolamento, esso ha ribadito – evidenziando alcune criticità della bozza di legislazione – nella sua risposta alla consultazione della Commissione la necessità di una legislazione flessibile affinché possa essere efficace nel proteggere i diritti fondamentali delle persone e allo stesso tempo gettare le basi per una nuova era nell’innovazione.
In via generale, il CIPL è dell’opinione che la proposta allo stato attuale non tiene sufficientemente conto di alcuni imperativi come consentire chiaramente alle organizzazioni di calibrare la conformità ai requisiti in base ai rischi e ai benefici del sistema di intelligenza artificiale.
Inoltre, il CIPL ritiene che i requisiti del regolamento per quanto riguarda l’uso di sistemi di intelligenza artificiale ad alto rischio dovrebbero essere più basati sui risultati al fine di evitare di ostacolare l’innovazione. Infatti, concentrandosi sui “risultati desiderati” piuttosto che sui “requisiti prescrittivi”, il regolamento aiuterebbe a raggiungere l’obiettivo di promuovere lo sviluppo e l’adozione dell’AI nel rispetto dei valori e dei diritti fondamentali dell’Unione europea.
Il regolamento potrebbe anche considerare nuovi meccanismi per promuovere, incentivare e premiare le migliori pratiche del settore e approcci responsabili allo sviluppo e all’utilizzo dell’AI. Tali “incentivi” potrebbero includere, ad esempio, il riconoscimento degli impegni di autoregolamentazione delle organizzazioni che definiscono pubblicamente i valori e i principi dell’AI che implementano insieme ai progressi rispetto ai benchmark, utilizzando la responsabilità dimostrata come “licenza per operare” consentendo alle organizzazioni responsabili e/o certificate maggiori opportunità di utilizzare e condividere i dati in modo responsabile o utilizzando la comprovata responsabilità dell’AI come criterio per i progetti di appalti pubblici.
Il CIPL nota ancora che la complessità dei meccanismi di supervisione e applicazione della legislazione proposti può comportare un’applicazione incoerente della legge sull’AI nell’UE. Ciò potrebbe creare incertezza per i sistemi formati e operativi a livello transfrontaliero e scoraggiare gli investimenti nell’AI a causa di possibili esiti normativi incerti e incoerenti. Un meccanismo che stabilisca un unico punto di contatto per le organizzazioni per ciascun sistema di AI sarebbe così in grado di portare maggiore chiarezza. Allo stesso tempo, le autorità nazionali di protezione dei dati dovrebbero mantenere la competenza generale sulle applicazioni di AI che comportano il trattamento di dati personali e/o che incidono sulla privacy delle persone e su altri diritti umani. In quanto tali, dovrebbero essere in una posizione di guida e l’unico punto di contatto per l’organizzazione in questione, ma con la capacità di collaborare con altre autorità ove necessario.
Infine, lo sviluppo dell’AI e degli standard dell’AI è stato il frutto della collaborazione tra molti attori diversi provenienti da imprese, università, organizzazioni di ricerca e altri ma anche tra paesi di tutto il mondo. È pertanto importante che l’UE continui a promuovere ulteriormente tale approccio collaborativo per sbloccare il pieno potenziale dell’AI. Questi standard, creati da esperti tecnici, consentono la comunanza e riducono la frammentazione sugli aspetti tecnici, la gestione della qualità, la governance e la gestione del rischio dell’AI. Sono progettati per essere flessibili e promuovere l’innovazione senza essere troppo prescrittivi, aiutando al contempo a raggiungere risultati in materia di trasparenza, privacy, sicurezza informatica, sicurezza e resilienza in un mercato globale.
Regolamento europeo sull’AI: l’opinione dei Garanti privacy europei
In un parere congiunto del 18 giugno 2021 sulla proposta di regolamento del Parlamento europeo e del Consiglio recante norme armonizzate sull’intelligenza artificiale, l’EDPB (che raggruppa i garanti per la protezione dei dati dei 27 stati membri dell’UE) e il Garante europeo per la protezione dei dati (EDPS), pur accogliendo con favore la volontà della Commissione europea di specificare gli usi vietati al fine di costruire un’AI etica e affidabile all’interno dell’UE, hanno segnalato la necessità di ampliare il campo di applicazione dei sistemi di AI vietati e di chiarirne la definizione.
Pertanto, dati i rischi estremamente elevati posti dall’identificazione biometrica a distanza delle persone negli spazi pubblici (riconoscimento del volto, dell’andatura, delle impronte digitali, della voce, ecc.), le autorità europee per la protezione dei dati propongono la revoca delle deroghe al divieto generale. Il parere raccomanda inoltre di vietare i sistemi biometrici utilizzati allo scopo di classificare gli individui in gruppi sulla base dell’etnia, del genere, dell’orientamento politico o sessuale percepiti o di altri motivi per i quali è vietata la discriminazione ai sensi dell’articolo 21 della Carta dei diritti fondamentali del Unione europea.
L’uso di sistemi di intelligenza artificiale per dedurre le emozioni di una persona fisica è considerato altamente indesiderabile e dovrebbe anche essere vietato in linea di principio (tranne in casi molto specifici, come determinati obiettivi di salute). Infine, i sistemi utilizzati per il punteggio sociale devono essere sistematicamente vietati. Le stesse preoccupazioni sono state espresse dal Senato della Repubblica Ceca in una risoluzione sulla proposta di regolamento trasmessa alla Commissione.
Le autorità per la protezione dei dati hanno inoltre notato che i sistemi di AI sono nella stragrande maggioranza dei casi chiamati a utilizzare dati personali, implicando così un problema di coordinamento del regolamento sull’intelligenza artificiale con il GDPR e la cd. direttiva “Polizia”. Hanno quindi indicato nel loro parere che la classificazione di un sistema di AI come “ad alto rischio” non significa che il suo utilizzo sia autorizzato e possa essere implementato in tutti i casi. Infatti, il rispetto degli obblighi di legge derivanti dalla normativa dell’Unione – anche in materia di protezione dei dati personali – deve essere un prerequisito per entrare nel mercato europeo come prodotto marchiato CE.
La governance del “Comitato Europeo di Intelligenza Artificiale” (CEIA)
Il parere chiede altresì che sia specificata la governance del “Comitato Europeo di Intelligenza Artificiale” (CEIA), sia per garantirne l’indipendenza ma anche per rafforzarne i poteri e consentirgli di esercitare un controllo reale, soprattutto nell’attuazione di sistemi di AI a livello europeo. In tale sistema, come anche proposto dal CIPL, le autorità per la protezione dei dati dovrebbero essere designate come autorità nazionali di controllo per l’intelligenza artificiale. In particolare, tale designazione faciliterebbe la corretta applicazione del futuro regolamento sull’AI e la costituzione di un ecosistema europeo di intelligenza artificiale favorevole all’innovazione.
Infine, oltre ai casi vietati, i garanti europei ritengono che la proposta di regolamento dovrebbe consentire di sostenere l’innovazione e la progettazione di sistemi di AI in linea con i valori e i principi europei. Il parere rileva così che spetterà al regolatore sapere come combinare i requisiti di protezione e una comprensione avanzata delle sfide tecnologiche dei fornitori di soluzioni al fine di offrire una visione equilibrata della regolamentazione.
Note
- EDRi, “EU’s AI proposal must go further to prevent surveillance and discrimination”, https://edri.org/our-work/eus-ai-proposal-must-go-further-to-prevent-surveillance-and-discrimination/. ↑
