Normative europee

AI Act: focus sui sistemi di AI generativa e i diritti fondamentali

La versione votata dal Parlamento Europeo presenta alcune importanti novità rispetto al testo originariamente proposto, che scaturiscono dall’esigenza di fornire delle risposte ai temi divenuti centrali all’interno del dibattito sull’intelligenza artificiale, in parte rispondono alla necessità di elaborare un quadro normativo in linea con i principi cardine dell’Unione Europea, in particolare con il rispetto dei diritti fondamentali

Pubblicato il 27 Giu 2023

Laura Liguori

Partner di Portolano-Cavallo

Elena Mandarà

Associate di Portolano-Cavallo

Unione Europea AI

Lo scorso 14 giugno, il Parlamento Europeo ha approvato il nuovo testo dell’“Artificial Intelligence Act” (di seguito, “AI Act”), la proposta di regolamento presentata dalla Commissione Europea, che aspira a rappresentare la prima forma di regolamentazione dell’intelligenza artificiale (di seguito, “AI”).

La versione votata dal Parlamento Europeo presenta alcune importanti novità rispetto al testo originariamente proposto, che in parte scaturiscono dall’esigenza di fornire delle risposte ai temi divenuti centrali all’interno del dibattito sull’intelligenza artificiale, in parte rispondono alla necessità di elaborare un quadro normativo in linea con i principi cardine dell’Unione Europea, in particolare con il rispetto dei diritti fondamentali.

Dopo il voto da parte del Parlamento Europeo, si dovranno attendere i triloghi, che porteranno all’adozione del testo definitivo (auspicabilmente entro la fine dell’anno) e all’entrata in vigore del provvedimento, prevista nel termine di due anni dalla sua adozione.

Nuovi obblighi per i sistemi di AI generativa

Fra le novità più significative, va senz’altro annoverata l’introduzione di regole specifiche che trovano applicazione ai sistemi di AI generativa, categoria assente nel testo originario, come ad esempio ChatGPT di OpenAI e Bard di Google. Si tratta in primo luogo di obblighi di natura informativa, secondo i quali i fornitori di tali sistemi dovranno comunicare, fra le altre cose, il proprio nome e dati di contatto, ma anche rendere noto che il contenuto è stato generato da AI e quali fonti di dati sono state utilizzate per allenare l’algoritmo. Altre informazioni riguardano le caratteristiche proprie del modello, ivi inclusi i potenziali rischi e le misure adottate per mitigarli o, in alternativa, le ragioni per cui si ritiene che mitigarli non sia possibile. Inoltre, i modelli dovranno essere progettati in maniera tale da evitare che vengano generati contenuti illegali[1].

Nel caso in cui i modelli di AI generativa siano integrati all’interno di sistemi qualificati come “ad alto rischio”, si applicheranno altresì le regole previste per questi ultimi[2]. Si tratta uno degli aspetti considerati come una vittoria da parte dei fornitori di modelli di AI generativa, dal momento che, almeno inizialmente, era stata paventata l’ipotesi di qualificare in ogni caso gli stessi come sistemi ad alto rischio.

L’introduzione di queste nuove disposizioni è senz’altro conseguenza della grande attenzione che l’AI generativa ha attirato nell’ultimo periodo, specialmente a seguito dell’adozione di un provvedimento di limitazione del trattamento da parte del Garante italiano per la protezione dei dati personali (di seguito, “Garante”) contro OpenAI per ChatGPT.

Garante privacy ChatGPT

L’adozione di tale provvedimento è stata infatti seguita – come di recente rivendicato in un’intervista da parte di Agostino Ghiglia, membro del Collegio del Garante – dalla creazione di una task force europea da parte dello European Data Protection Board (di seguito, “EDPB”), sintomo della volontà di gestire il tema a livello europeo, evitando frammentazioni dovute all’azione distinta da parte degli Stati Membri.

L’urgenza di intervenire in maniera congiunta emerge anche dal fatto che si stia discutendo la possibilità di proporre l’entrata in vigore anticipata delle disposizioni applicabili ai modelli di AI generativa, emendamento del quale si discuterà il prossimo 18 luglio in occasione della seconda sessione del trilogo.

A tal proposito, è stato commentato che l’adeguamento alle nuove disposizioni non rappresenterebbe uno sforzo eccessivo per i fornitori dei sistemi di AI generativa, anche se molti raccomandano la necessità di prevedere delle esclusioni e/o limitazioni a favore delle PMI, per garantire una concorrenza leale sul mercato.

Le nuove pratiche vietate: il riconoscimento biometrico in tempo reale

Il nuovo testo dell’AI Act ha inoltre ampliato il novero delle pratiche vietate, includendovi, fra gli altri, il riconoscimento biometrico in tempo reale da parte delle forze dell’ordine. Come chiarito dal nuovo Considerando 18, infatti, l’utilizzo di tali sistemi comporterebbe un pregiudizio per la vita privata degli individui, esponendoli anche il rischio di discriminazioni e traducendosi in un potere incontrollato da parte dei soggetti a cui sarebbe consentito svolgere questo genere di controlli in spazi pubblici o accessibili al pubblico[3].

Il ricorso a sistemi di riconoscimento biometrico sarà dunque consentito soltanto ex post, salvo in casi espressamente previsti dalla legge, nei quali l’utilizzo è ritenuto strettamente necessario e sussiste un pubblico interesse, e, in ogni caso, previa autorizzazione da parte del giudice o di un’autorità amministrativa indipendente dello Stato Membro[4].

Si tratta di una delle disposizioni più in linea principi generali dell’Unione Europea, nonché alla volontà di promuovere lo sviluppo di un’AI etica che, tuttavia, è stata al centro di un forte scontro politico, sfociato nel voto contrario da parte del Partito Popolare Europeo all’emendamento proposto.

Il malcontento di alcune forze politiche verso la nuova disposizione è emerso soprattutto dalle dichiarazioni di alcuni esponenti del Governo francese, che sembrerebbe voler introdurre l’utilizzo di sistemi rientranti in questa categoria, nonostante l’UE si stia muovendo in direzione opposta.

Clearview AI ICO

In Italia è attualmente in vigore la moratoria adottata dal Garante nel 2021, e che resterà valida fino alla fine del 2023, secondo la quale l’utilizzo di sistemi di riconoscimento biometrico nei luoghi pubblici è vietato, salvo nel caso di autorizzazione da parte del Garante, laddove necessario a fini di indagine o per la repressione dei reati. Dall’entrata in vigore della moratoria, tuttavia, il Garante ha sempre fornito pareri negativi in tal senso, di fatto impedendo l’introduzione di tali sistemi[5].

Di recente, si è però espresso sul tema il ministro dell’Interno Piantedosi, manifestando la volontà di introdurre sistemi di riconoscimento facciale nelle stazioni, negli ospedali e nelle aree commerciali di Roma, Milano e Napoli, e che ha già avviato un dialogo con il Garante in tal senso[6].

È chiaro che, sebbene l’entrata in vigore dell’AI Act non sia immediata, gli Stati Membri dovrebbero tenere conto della strada intrapresa a livello europeo, quantomeno per evitare il rischio di frammentazione e ridurre le difficoltà di adeguamento alla normativa, senza contare l’importanza delle motivazioni poste alla base dei divieti previsti a livello europeo.

La valutazione d’impatto sui diritti fondamentali e la tutela dell’ambiente

Un’altra importante novità introdotta con il voto del Parlamento Europeo riguarda l’obbligo per gli sviluppatori di sistemi classificati come “ad alto rischio” di eseguire una valutazione d’impatto sui diritti fondamentali (Fundamental Rights Impact Assessment, “FRIA”). In altre parole, gli sviluppatori di sistemi ad alto rischio saranno tenuti, prima di immettere tali sistemi sul mercato, a valutare il loro impatto sui diritti fondamentali, mettendone in luce i potenziali rischi e le misure adottate per mitigarli. L’obbligo non si applica tuttavia alle PMI.

In particolare, gli sviluppatori dovranno comunicare lo svolgimento della FRIA all’autorità di controllo competente, coinvolgendo altresì gli stakeholder e rappresentanti dei soggetti o gruppi di soggetti che potrebbero subire un pregiudizio.

L’articolo 29 a) disciplina il contenuto minimo della FRIA, che dovrà riportare, fra le altre, indicazioni relative alle finalità e all’ambito geografico e temporale di utilizzo del sistema, alle categorie di soggetti che potrebbero subire un pregiudizio ed al ragionevole impatto sui diritti fondamentali, con specifico riguardo dei rischi per soggetti vulnerabili, alla conformità del sistema rispetto alla legge nazionale e dell’UE.

La disposizione prevede che la FRIA debba essere effettuata prima che il sistema AI venga utilizzato per la prima volta, lasciando allo sviluppatore la possibilità di effettuarne un’altra, laddove ritenga siano cambiate le circostanze rilevanti.

L’ultimo paragrafo dell’articolo 29 dispone che, nel caso in cui lo sviluppatore sia tenuto a svolgere una valutazione d’impatto preventiva (Data Protection Impact Assessment, di seguito “DPIA”) ai sensi dell’art. 35 del Regolamento UE 679/2016 (“GDPR”), la FRIA dovrà essere svolta congiuntamente a quest’ultima e i relativi risultati pubblicati come allegato alla stessa.

text-to-image

Un altro profilo rilevante è rappresentato dal fatto che si dovrà tenere conto anche dei potenziali effetti negativi sull’ambiente oltre che sui diritti umani. Questa previsione dimostra infatti la volontà dell’Unione Europea di proseguire in maniera coerente e decisa verso la realizzazione degli obiettivi sanciti dallo European Green Deal e che si riflettono in tutte le nuove proposte legislative, a partire dalla cosiddetta “Direttiva ESG”, ossia la Proposta di Direttiva 23 febbraio 2022 sulla corporate governance e i principi ESG, che intende introdurre il dovere per gli amministratori di tenere conto nelle proprie decisioni delle conseguenze in termine di sostenibilità nel breve, medio e lungo termine, ivi incluse le conseguenze sui cambiamenti climatici e l’ambiente.

In linea generale, nel testo dell’AI Act si fa più volte riferimento all’ambiente e alla necessità di garantire che i sistemi AI vengano sviluppati in maniera sostenibile, riconoscendo alla tutela dell’ambiente la medesima centralità riconosciuta ai diritti fondamentali. La tutela dell’ambiente è sicuramente un obiettivo importante e il suo perseguimento da parte dell’Unione Europea è una scelta del tutto condivisibile: tuttavia, potrebbero esserci difficoltà applicative dovute a differenze culturali in relazione a un concetto che non viene definito in maniera puntuale in questo atto normativo.

Note

  1. Articolo 28 a) e Allegato VIII, Sezione C delle modifiche adottate dal Parlamento Europeo il 14 giugno 2023 sull’Artificial Intelligence Act, disponibile qui (https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_EN.html).
  2. Articolo 28, paragrafo 2 delle modifiche adottate dal Parlamento Europeo il 14 giugno 2023 sull’Artificial Intelligence Act.
  3. Considerando 18 delle modifiche adottate dal Parlamento Europeo il 14 giugno 2023 sull’Artificial Intelligence Act
  4. Articolo 5, paragrafo 1, punto d d) delle modifiche adottate dal Parlamento Europeo il 14 giugno 2023 sull’Artificial Intelligence Act.
  5. Articolo 9, D.L. n. 139 del 2021 (c.d. “D.L. Capienze”)
  6. Il testo dell’intervista è disponibile al seguente link https://www.interno.gov.it/it/stampa-e-comunicazione/interventi-e-interviste/ministro-piantedosi-piu-polizia-nelle-stazioni

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Articoli correlati

Prossimo

Retail: come cambia la supply chain con l’AI