Lo scorso 19 ottobre la presidenza ceca del Consiglio dell’UE ha diffuso un nuovo compromesso sulla proposta di Regolamento sull’Intelligenza Artificiale (c.d. AI Act), che costituirà la base per il testo definitivo che potrebbe essere approvato nel mese di novembre. Lo ha riferito Euractiv, rete di media specializzata nelle politiche dell’Unione Europea.
L’AI Act è una proposta di Regolamento Europeo sull’intelligenza artificiale (AI) che persegue l’ambizioso obiettivo di introdurre un quadro normativo armonizzato con riguardo a queste nuove tecnologie. L’intento delle Istituzioni UE è certamente quello di gettare le basi giuridiche necessarie per stimolare gli investimenti e l’innovazione nel campo dell’AI.
L’ambito applicativo della proposta riguarda tutti gli aspetti del ciclo di vita di un sistema di AI, riguardando infatti lo sviluppo, la vendita e l’immissione nel mercato di tali soluzioni.
La proposta di Regolamento, in particolare, suddivide i sistemi di intelligenza artificiale sulla base di tre macrocategorie di rischio:
- Pratiche (piuttosto che sistemi) che comportano un rischio inaccettabile, come, ad esempio il “punteggio sociale” assegnato dal Governo ai cittadini in Cina, le quali sono da considerarsi vietate;
- Sistemi di AI ad alto rischio, come uno strumento di scansione dei CV che classifica i candidati al lavoro, che sono soggette a requisiti legali specifici;
- Applicazioni non esplicitamente vietate o elencate come ad alto rischio, che sono in gran parte lasciate non regolamentate.
Le novità principali del nuovo testo di compromesso
In termini di portata applicativa, il nuovo testo chiarisce che il Regolamento non produrrà effetti per l’esercito, la difesa e la sicurezza nazionale, con riferimento a qualsiasi utilizzo di sistemi di AI in questi settori, e non più solamente con riguardo alla fase di immissione nel mercato.
Per i soggetti che utilizzano sistemi di AI per scopi non professionali, inoltre, è stato specificato che il Regolamento sarà applicabile solamente per quanto attiene agli obblighi di trasparenza.
Con riguardo all’identificazione biometrica, tema molto dibattuto dagli Stati membri, è stata reintrodotta la nozione di “remoto” (ritenuta precedentemente confusa e quindi rimossa dalla presidenza slovena del Consiglio UE). Il Regolamento sarebbe pertanto applicabile anche con riferimento alle tecnologie di identificazione biometrica, a condizione che il sistema di AI sia utilizzato a distanza e che l’identificazione avvenga senza il coinvolgimento attivo della persona.
La proposta di Regolamento, come anticipato, introduce una classificazione dei sistemi di AI in base al loro livello di rischio intrinseco: per i sistemi ad alto rischio, l’ultimo testo proposto aggiunge anche un nuovo obbligo di trasparenza, che richiede ai fornitori di sistemi di AI suscettibili di causare danni significativi di includere l’output atteso nelle istruzioni per l’uso, se del caso.
Con riferimento all’utilizzo di sistemi di AI da parte delle autorità pubbliche, è stato specificato che quando le stesse utilizzano sistemi ad alto rischio nell’applicazione della Legge, nella gestione dell’immigrazione, delle richieste di asilo e nel controllo delle frontiere e nelle infrastrutture critiche, si applicherà l’esenzione dalla registrazione nella banca dati dell’UE. Per l’uso di sistemi ad alto rischio in questi settori, gli Stati membri potrebbero decidere di nominare forze di polizia o autorità giudiziarie come autorità di sorveglianza del mercato. Il nuovo testo, inoltre, specifica che tali attività di vigilanza del mercato non dovranno pregiudicare l’indipendenza dell’attività dei tribunali nazionali.
Un altro tema di dibattito in seno al Consiglio dell’UE riguarda l’utilizzo delle c.d. sandbox normative, ovvero ambienti controllati in cui le aziende possono sperimentare soluzioni di AI sotto la supervisione di un’Autorità di controllo. Il nuovo testo prevede che le Autorità di Controllo saranno obbligate a fornire un “exit report” contenente i risultati principali delle sperimentazioni, che dovrà essere reso pubblico ove tutte le parti siano concordi.
Secondo la nuova formulazione, inoltre, l’AI Board, che riunirà i vari rappresentanti degli Stati membri, dovrà sostenere la vigilanza del mercato con particolar riferimento ai rischi di natura sistematica che possono derivare dai sistemi di AI. In un precedente compromesso, la presidenza del Consiglio UE aveva introdotto la possibilità di istituire un pool di esperti a supporto dell’AI Board, seguendo il modello dell’European Data Protection Board (EDPB). Il pool di esperti è diventato ora obbligatorio.
Da ultimo, con riguardo alle sanzioni, sono stati aggiunti ulteriori punti da considerare nel calcolo delle stesse, inclusi la natura intenzionale o colposa delle violazioni, i tentativi di mitigazione e la reiterazione delle stesse.
I punti di contatto con la normativa privacy: AI Act e GDPR
Alcune delle difficoltà connesse alla stesura dell’AI Act si legano alla gestione di alcuni adempimenti legati alla conformità alla normativa applicabile in materia di protezione dei dati personali, con specifico riferimento al Regolamento (UE) 2016/679 (GDPR).
Il GDPR, infatti, potrebbe risultare incompatibile con i trattamenti di dati effettuati mediante sistemi di intelligenza artificiale, in quanto appare difficile garantire il rispetto di alcuni principi fondamentali contenuti nell’art. 5 di tale Regolamento. Di seguito solo alcuni esempi di criticità:
- Principio di limitazione delle finalità del trattamento: con particolare riferimento ai sistemi di “intelligenza artificiale generica”, ovvero modelli di grandi dimensioni che possono essere adattati per eseguire vari compiti, appare più difficile garantire la conformità degli stessi alla Disciplina Privacy, considerato il vasto spettro di finalità del trattamento perseguibili mediante tali tecnologie, spesso non definibili a priori;
- Principio di trasparenza: in alcune occasioni può risultare molto complesso fornire all’interessato informazioni chiare ed esaustive in merito ai trattamenti dei propri dati personali. Il mercato di riferimento, infatti, registra una forte competitività tra i fornitori di soluzioni di intelligenza artificiale, i quali sono spesso riluttanti a condividere descrizioni di dettaglio sul funzionamento dei propri algoritmi;
- Principio di minimizzazione dei dati: i sistemi di AI sono spesso progettati per trattare una mole gigantesca di informazioni e, di conseguenza, risulta difficile per i Titolari del trattamento giustificare le esigenze operative di tali soluzioni in conformità a tale principio.
Ad ogni modo, alcune delle modifiche introdotte dal nuovo testo di compromesso sembrerebbero muoversi verso una maggiore considerazione delle disposizioni del GDPR, soprattutto con riferimento alle nuove disposizioni riguardanti il trattamento dei dati biometrici e i nuovi obblighi di trasparenza per i sistemi di AI ad alto rischio.
I prossimi passi
Il nuovo testo di compromesso, il quarto in totale, sarà discusso nell’ambito del Gruppo di lavoro sulle telecomunicazioni del Consiglio dell’UE. Ove non si presentino problematiche significative, dovrebbe ricevere l’approvazione del Comitato dei rappresentanti permanenti in data odierna e l’adozione finale da parte dei ministri dell’UE durante la riunione del Consiglio Telecom del 6 dicembre.