AI Act: prospettive per il DPO

Il 14 giugno il Parlamento dell’Unione Europea ha approvato l’AI Act (“Artificial Intelligence Act” o, tradotto, “legge sull'intelligenza artificiale”) introducendo alcuni importanti emendamenti, in attesa dei colloqui che definiranno il testo finale della legge. Si tratta, ora in via ufficiale, della prima forma di regolamentazione onnicomprensiva dei sistemi e delle applicazioni innovative dell’Intelligenza Artificiale. Quali novità porta l’approvazione della riforma? Quali prospettive per i DPO?

Premessa: perché un regolamento sull’Intelligenza Artificiale?

L’AI Act (“legge sull'intelligenza artificiale”) si inserisce nell’ambito della c.d. “Strategia digitale” europea, un programma di riforme mirate, presentato dalla Commissione, che mira a rafforzare la sovranità digitale dell’Unione Europea e a stabilire nuovi standard, in particolare in termini di: competenze digitali di base e competenze specifiche degli operatori delle TIC (SKILLS), infrastrutture digitali sicure e sostenibili (INFRASTRUCTURES), trasformazione digitale delle imprese (BUSINESS) e digitalizzazione dei servizi pubblici (GOVERNMENT).

La bussola indica il programma della politica UE da attuare entro il 2030

All’interno del pacchetto di riforme, la regolamentazione dell’intelligenza artificiale (IA) rappresenta un tassello fondamentale. Questo perché, se è vero che da un lato l’IA può portare benefici alle persone migliorando l’assistenza sanitaria, rendendo le automobili più sicure, consentendo servizi su misura, migliorando i processi produttivi, etc., dall’altro lato nasconde delle insidie da non sottovalutare, in grado di minacciare i diritti e le libertà fondamentali della popolazione. Il caso di Chat GPT è l’emblema di questa duplice connotazione dell’IA: raggiungere un compromesso che ne consenta l’utilizzo è possibile, ma solo se si trovano adeguate misure di salvaguardia (ne abbiamo parlato in questo articolo).

La legge sull’intelligenza artificiale dell’Unione Europea è stata sviluppata proprio con il duplice obiettivo di sfruttare al meglio il potenziale innovativo dei sistemi di IA, assicurando al contempo che i cittadini europei ne possano beneficiare certi che tali nuove tecnologie siano sviluppate e operanti in conformità ai valori, ai diritti fondamentali e ai principi dell'Unione.

Le novità del testo approvato

Come sappiamo, la proposta di legge risale ad aprile 2021. Il testo è stato consolidato dopo una fase di consultazione pubblica durata quasi sei mesi (da febbraio a giugno 2020) che ha portato ad affermare, ancora una volta, l’approccio basato sul rischio (risk-based approach), in grado di garantire un’applicazione ampia di obblighi mirati al singolo settore e al singolo caso. I sistemi di IA che possono essere utilizzati in diverse applicazioni, infatti, vengono analizzati e classificati in base al rischio che generano per gli utenti. I diversi livelli di rischio comportano una maggiore o minore regolamentazione (ne abbiamo parlato qui).

L’approvazione del testo dell’AI Act, lo scorso 14 giugno, ha portato all’introduzione di alcuni, importanti, emendamenti rispetto alla bozza del 2021.

Novità: IA ad alto rischio e divieti

Rispetto ai sistemi di IA ad alto rischio, gli eurodeputati hanno integrato i sistemi potenzialmente in grado di generare danni significativi alla salute, alla sicurezza e ai diritti fondamentali delle persone. Anche i sistemi utilizzati per influenzare gli elettori e l’esito delle elezioni, e i sistemi di raccomandazione utilizzati dalle piattaforme di social media, sono stati aggiunti alla lista ad alto rischio.

Inoltre, gli eurodeputati hanno ampliato l’elenco di pratiche di IA vietate, che ora comprendono quelle comportanti usi intrusivi e discriminatori dell’Intelligenza Artificiale, come ad esempio:

sistemi di identificazione biometrica remota "in tempo reale" in spazi accessibili al pubblico;
sistemi di identificazione biometrica a distanza "a posteriori", con l'unica eccezione delle forze dell'ordine per il perseguimento di reati gravi e solo previa autorizzazione giudiziaria;
sistemi di categorizzazione biometrica che utilizzano caratteristiche sensibili (ad esempio, sesso, razza, etnia, cittadinanza, religione, orientamento politico);
sistemi di polizia predittiva (basati su profili, ubicazione o comportamenti criminali passati);
sistemi di riconoscimento delle emozioni nelle forze dell'ordine, nella gestione delle frontiere, nei luoghi di lavoro e nelle istituzioni scolastiche; e
lo scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale (in violazione dei diritti umani e del diritto alla privacy).

Novità: riconoscimento facciale e IA

Fra i sistemi biometrici vietati, il ban assoluto alle tecnologie di riconoscimento facciale in tempo reale nei luoghi pubblici, ha generato un dibattito da attenzionare. Il testo approvato è molto stringente e non prevede eccezioni alla regola, che invece nella bozza precedente (art. 5 par. 1, lett. d)) erano previste per:

la ricerca mirata di potenziali vittime specifiche di reato, compresi i minori scomparsi;
la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l’incolumità fisica delle persone fisiche o di un attacco terroristico;
il rilevamento, la localizzazione, l’identificazione o l’azione penale nei confronti di un autore o un sospettato di un reato di cui all’articolo 2, paragrafo 2, della decisione quadro 2002/584/GAI del Consiglio.

Considerando che il tema, di grande interesse di governi e partiti politici, deve ancora passare alle negoziazioni delle istituzioni UE, tali eccezioni potrebbero tornare.

Novità: obblighi di trasparenza e peculiarità applicabili alla “Generative AI”

Il nuovo articolo 4bis, “Principi generali applicabili a tutti i sistemi di IA”, prevede che “i sistemi di IA sono sviluppati e utilizzati in modo da consentire un’adeguata tracciabilità e spiegabilità, rendendo gli esseri umani consapevoli del fatto di comunicare o interagire con un sistema di IA e informando debitamente gli utenti delle capacità e dei limiti di tale sistema di IA e le persone interessate dei loro diritti”.

In particolare, i sistemi di IA generativa, come ChatGPT, dovrebbero rispettare specifici requisiti di trasparenza:

rivelare che il contenuto è stato generato dall’IA;
facilitare la distinzione fra deep-fake e contenuti reali (“rendere noto in modo adeguato, tempestivo, chiaro e visibile che il contenuto è stato generato o manipolato artificialmente”);
progettare i modelli per evitare la generazione di contenuti illegali;
pubblicare riepiloghi dettagliati dei dati protetti da copyright utilizzati per l'addestramento.

Le informazioni da fornire devono essere rese alle persone fisiche “al più tardi al momento della prima interazione o esposizione”.

Novità: nuove forme di tutela

Alle forme di tutela delle persone fisiche, consistenti nelle sopracitate garanzie in termini di trasparenza, si aggiungono le seguenti:

gli eurodeputati intendono rafforzare il diritto dei cittadini di presentare reclami sui sistemi di IA e di ricevere spiegazioni sulle decisioni basate su sistemi di IA ad alto rischio che hanno un impatto significativo sui loro diritti fondamentali. Il nuovo articolo 84 bis specifica che “è essenziale che le persone fisiche e giuridiche o i gruppi di persone fisiche abbiano un accesso significativo a meccanismi di segnalazione e di ricorso e abbiano il diritto di accedere a mezzi di ricorso proporzionati ed efficaci. Essi dovrebbero poter segnalare le violazioni del presente regolamento alla propria autorità nazionale di controllo e avere il diritto di presentare un reclamo contro i fornitori o gli operatori di sistemi di IA”;
gli eurodeputati hanno anche riformato il ruolo dell'Ufficio dell’UE per l’IA (l’ex “Comitato”), che avrà il compito di monitorare l'attuazione del regolamento sull’IA. I compiti sono dettagliati all’interno del nuovo articolo 56 ter;
a livello nazionale, gli emendamenti ora impongono agli stati membri un termine di tre mesi, dall’entrata in vigore del Regolamento, per designare un’autorità nazionale di controllo e pubblicare i relativi dati di contatto;
Infine, la nuova legge promuove le cosiddette regulatory sandbox, o ambienti di vita reale, creati dalle autorità pubbliche per testare l’IA prima della sua diffusione (a garanzia di sicurezza e conformità).

Next steps. Il ruolo del DPO nella compliance

Dopo l’approvazione dell’AI Act da parte del Parlamento UE, attendiamo ora i colloqui con i Paesi membri in seno al Consiglio, che definiranno la forma finale della norma. L'obiettivo è quello di raggiungere un accordo entro la fine dell’anno. Una volta raggiunto l’accordo, il Regolamento entrerà in vigore il ventesimo giorno dopo la pubblicazione in Gazzetta Ufficiale e, stando alla bozza dell’atto (articolo 85), diverrà direttamente applicabile all’interno degli Stati membri 24 mesi dopo l’entrata in vigore (salvo alcune disposizioni che prevedono un termine di 3 e 12 mesi).

Massimo Pellegrino, partner di Intellera, società di consulenza specializzata, in un’intervista rilasciata a Il Sole 24 Ore, ha dichiarato che: “Dall’entrata in vigore ci sono due anni di grace period, che però alle aziende servono tutti per costruire i processi di compliance al regolamento”. Ricordiamo che l’applicazione della norma si estende non solo alle aziende che producono i sistemi di IA, ma anche a quelle che, questi sistemi, li usano. Tutti i DPO dovrebbero quindi verificare:

Se il titolare del trattamento dei dati produce o utilizza un sistema di IA;
Se il titolare ha classificato i sistemi utilizzati in base al rischio generato;
Se il titolare ha effettuato una valutazione di conformità;
Se il titolare è in grado di dimostrare la presenza di una valutazione di conformità e di rendere accessibile tutta la documentazione utile in caso di controlli da parte delle Autorità competenti;
Se il titolare ha pianificato le azioni concrete da intraprendere per l’adeguamento, con particolare attenzione rispetto agli obblighi di trasparenza algoritmica, di cybersecurity e di non discriminazione;
Se le informative utilizzate sono trasparenti e chiare e se includono meccanismi per consentire agli interessati di esercitare i propri diritti;
Etc.

Se ti interessa approfondire le conseguenze dell’AI Act su enti ed imprese, le prospettive in termini di compiti che ricadranno sui DPO, ti invitiamo ad iscriverti al Congresso annuale dell’Associazione. La giornata del 25 settembre è interamente dedicata al tema “Artificial Intelligence: LA RIVOLUZIONE TECNOLOGICA”.

Le iscrizioni sono aperte.

Fonti

Altre news

Come definire il termine di conservazione dei metadati? Come conciliare le esigenze di impresa con le indicazioni del Garante?

Metadati e tutela dei diritti degli individuiLa gestione dei metadati di posta elettronica può sembrare un tema di secondaria importanza, se non si [...]