Sull’onda d’innovazione e consapevolezza riassunti nelle parole del Presidente della Commissione europea Von Der Leyen “a Union that strives for more” , il 21 Aprile scorso la Commissione Europea ha pubblicato una proposta di Regolamento (“Proposta”) che pone le basi per affrontare i rischi associati all’utilizzo dell’intelligenza artificiale (“IA”).
La Proposta segue un vero e proprio piano di modernizzazione[1], con un approccio votato all’etica e al concetto di ricerca della fiducia nelle nuove tecnologie, e rappresenta un ulteriore tassello che andrà a comporre il mosaico tecnologico-giuridico dell’UE, le cui istituzioni sono consapevoli delle opportunità che l’IA offre, ma anche dei rischi e delle responsabilità che i fornitori di beni e servizi dovranno assumersi in tale contesto[2].
In particolare, se da una parte la Commissione promuove lo sviluppo dell’IA e lo sfruttamento dei vantaggi che ne derivano, dall’altra, essa mira a proteggere gli individui da potenziali rischi alla salute, alla sicurezza e ai diritti fondamentali. A tal fine, la Proposta individua i destinatari del futuro Regolamento, nei cittadini e nelle istituzioni UE, ma anche nei fornitori dei sistemi di IA, a prescindere dal loro luogo di stabilimento (in UE, ovvero extra-UE)[3]; un parallelismo, quest’ultimo, con il GDPR, che rimane una delle fonti della Proposta[4].
Alla luce di quanto sopra, la Proposta evidenzia i potenziali rischi scaturenti dalle possibili applicazioni dell’IA[5], che è definita come l’elemento che può influenzare gli ambienti con i quali i cittadini interagiscono[6]. Ne consegue che non tutte le applicazioni riconosciute generalmente dal pubblico come intelligenze artificiali, siano ricomprese all’interno della Proposta; lo sono, bensì, solo quelle che si attestano su una soglia di rischio sufficientemente critica. A tal fine, la Proposta identifica diversi livelli di rischio, dimostrando, ancora una volta, come l’UE resti fedele al principio di proporzionalità[7]:
- Rischio inaccettabile: include le applicazioni che possono “manipolare” i comportamenti umani. Ne è un esempio il c.d. social scoring[8].
- Rischio alto: sono i sistemi di IA che potrebbero rappresentare dei rischi per la sicurezza ed i diritti fondamentali degli individui (si pensi ai dispositivi medici connessi tramite sistemi IoT[9]).
- Rischio limitato: ossia quei sistemi che richiedono un certo grado di trasparenza da parte dei provider, tali da rendere l’utente consapevole circa la sua interazione con una IA (ad esempio, chatbot e deepfakes).
- Rischio minimo: queste IA non raggiungono una soglia di rischio tale da giustificare una loro limitazione, e sono escluse dall’applicazione della Proposta (ad esempio, filtri spam o videogame basati su sistemi di IA).
L’esclusione della categoria di IA a “rischio minimo” fa si che le applicazioni effettivamente regolamentate siano pressoché il 10% dei sistemi ad oggi presenti sul mercato[10]. Ne consegue che la Proposta non voglia rappresentare un freno per il progresso tecnologico, bensì una tutela nei casi potenzialmente rischiosi per i cittadini. Ne è una dimostrazione il fatto che, per i sistemi di IA ad alto rischio, allo stesso modo dei prodotti immessi sul mercato unico europeo, sia stata introdotta la marcatura CE, che impone la verifica di conformità del sistema di IA prima della sua immissione in commercio.
Punti di contatto con il Regolamento 679/2016/UE (“GDPR”)
Come già accennato, la Proposta appartiene al quadro di armonizzazione volto a regolamentare le nuove tecnologie in ambito UE. Alla luce di ciò, appare utile citare brevemente i punti di contatto con il GDPR, che è, ad oggi, il Regolamento maggiormente applicato nell’ambito tecnologico, IoT e, in generale, in tutti quei casi che prevedono il trattamento di dati personali per mezzo di IA.
In primo luogo, la Proposta e il GDPR sono entrambi permeati di concetti di natura generale, quali la protezione dei diritti fondamentali, l’applicazione dei principi di proporzionalità e l’approccio basato sul rischio[11]. Una tale impostazione fa si che il futuro Regolamento IA possa applicarsi ad una vasta gamma di situazioni differenti, anche non immaginate o immaginabili al momento della sua entrata in vigore.
In secondo luogo, e per quanto attiene alle IA ad alto rischio, uno dei temi che più di tutti ha avuto risonanza nell’ambito del rapporto fra dati personali e IA, risiede nell’ammissibilità dell’identificazione biometrica remota, in tempo reale, da parte delle forze dell’ordine. Questa tipologia di IA, è stata perimetrata in maniera stringente dalla Proposta, poiché in essa sono presenti sia rischi legati al benessere psico-fisico della persona, sia il trattamento di particolari categorie di dati personali.[12] Come spiega la dott.ssa Lucilla Sioli, direttore Intelligenza Artificiale e Digitalizzazione Industriale della Commissione Europea, l’identificazione biometrica remota e in tempo reale andrebbe permessa solo in specifiche situazioni, quando, cioè, si cerchi un criminale sulla base di una lista già disponibile, o un mandato d’arresto. Poiché, da una parte, un tale sistema è restrittivo della liberta personale, e dall’altra, l’IA non ha ancora raggiunto un grado di certezza sufficiente nell’identificazione degli individui sulla base dei dati biometrici, appare opportuno sottoporre questi sistemi alla marcatura CE di conformità. Il trattamento di dati biometrici, si ricorda, rientra nel novero delle particolari categorie di dati personali disciplinate dall’articolo 9 del GDPR, ed è vietato, fatte salve specifiche eccezioni (ex dell’Art. 9, paragrafo 2 GDPR). Fatta questa breve parentesi, risulta chiaro che l’applicazione del futuro Regolamento senza il GDPR potrebbe essere confusa e dare luogo a conflitti interpretativi.
Questa è solo una delle tante implicazioni derivanti dalla convergenza fra il GDPR e la Proposta. L’Avv. Guido Scorza, componente del Garante per la Protezione dei Dati Personali (“GPDP”), evidenzia la criticità che alcune applicazioni IA potrebbero avere per il GDPR. Per questo motivo, spiega, strumenti come la valutazione d’impatto sono importanti sia all’interno del GDPR, quanto per la corretta applicazione della Proposta. Non è un caso che il riconoscimento facciale sia già regolato nel GDPR e pienamente recepito. Ne è la prova il fatto che il GPDP ha di recente bloccato il sistema di riconoscimento biometrico in tempo reale denominato “siri real time”, per il Ministero dell’interno.
Risulta quindi evidente che, data la sovrapposizione di intenti tra il GDPR e la Proposta, piuttosto che costruire un secondo sistema di autorità a livello nazionale, di istituti e di metodi, potrebbe valutarsi l’ipotesi di estendere l’attuale rete di autorità di protezione di dati personali all’universo dei sistemi di IA.[13] Si pensi soprattutto al sistema sanzionatorio e di risk assessment di IA e GDPR, che sono, sotto molti aspetti, sovrapponibili.[14]
Conclusioni
Non è la prima volta che la Commissione traccia la via per il futuro della regolamentazione nel campo delle nuove tecnologie. Quando, nel 2018, il GDPR entrò in vigore, fu subito considerato un regolamento allo stato dell’arte in ambito data protection. Le possibilità e gli scenari che questa Proposta apre per i sistemi di IA, sono parimenti importanti, e arrivano in un momento storico che ha “goduto” di una vera e propria impennata di utilizzo di queste tecnologie.
[1] Vedi Communication from the Commission, Shaping Europe’s Digital Future, COM/2020/67 final e, Europe’s Digital Decade: digital targets for 2030 (https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/europes-digital-decade-digital-targets-2030_en).
[2] Ut supra 1, considerando (53).
[3] Ut supra 1, Articolo 2.
[4] Ut supra 1, explanatory memorandum, paragrafo 1.2.
[5] In generale, sono ricomprese nell’IA, come da Allegato 1 della Proposta, “(a) Machine learning approaches, including supervised, unsupervised and reinforcement learning, using a wide variety of methods including deep learning; (b) Logic- and knowledge-based approaches, including knowledge representation, inductive (logic) programming, knowledge bases, inference and deductive engines, (symbolic) reasoning and expert systems; (c) Statistical approaches, Bayesian estimation, search and optimization methods.”
[6] Ut supra 1, Articolo 3.
[7] https://ec.europa.eu/commission/presscorner/detail/en/IP_21_1682.
[8] Il c.d. social scoring è un metodo che assegna un punteggio all’individuo, valutandolo sulla base di fattori personali, come ad esempio, l’origine etnica, la ricchezza, i legami familiari, il livello d’istruzione.
[9] i.e. “Internet of Things”.
[10] Webinar “Il nuovo regolamento europeo sull’intelligenza artificiale: cosa prevede, cosa manca, cosa fare”, su https://www.wired.it/attualita/tech/2021/05/04/intelligenza-artificiale-regolamento-europeo/.
[11] Ut supra 1, paragrafo 3.5.
[12] Ut supra 1, considerando (18), (20), (21), (24), e Articolo 5, paragrafo 2.
[13] Ut supra 12.
[14] Ut supra 1, Articolo 71.