Tra gli argomenti più attuali al vaglio dell’Unione Europea c’è sicuramente l’intelligenza artificiale (AI). Si tratta di un campo che ha conosciuto un’enorme crescita negli ultimi anni e ha bisogno di essere regolamentato, anche per favorire la crescita stessa dello sviluppo della tecnologia. All’interno della Commissione Europea 14 Stati membri si sono fatti portavoce di proposte di leggi “soft”, mentre la Presidenza del Consiglio dell’Unione Europea crede sia fondamentale un rilancio economico di tutti i settori, di cui hanno bisogno tutti i paesi dell’UE, sfruttando il potenziale dell’AI. Probabilmente, un quadro normativo.
Durante l’annuale Privacy Forum 2020 che si è svolto a fine ottobre, il Garante europeo della protezione dei dati, Wojciech Wiewiórowski, ha dichiarato in merito che la soluzione non è creare una legge apposita per l’AI, in quanto ritiene che tutto ciò che ha a che fare con la privacy è già sotto il Regolamento generale per la protezione dei dati (GDPR) e dunque non ha bisogno di un’ulteriore regolamentazione ad hoc. D’accordo con lui anche il presidente dell’Autorità per la protezione dei dati portoghese, Filipa Calvão, per il fatto che, oltre a essere un’impresa ardua elaborare una legislazione sull’AI, questa comporterebbe anche rischi nella tutela dei diritti dei cittadini e non la garantirebbe come dovrebbe. Tecnologia e legge seguono percorsi a velocità totalmente differenti, dice infatti Calvão e che “La difficoltà riguarda principalmente lo sviluppo delle tecnologie dell’informazione e della comunicazione, in particolare nell’ultimo decennio. L’incapacità della legge di anticipare o di seguire la tecnologia in modo appropriato è il motivo per cui l’idea di una legislazione sull’AI potrebbe non essere la risposta perfetta a questo problema.”
Si va verso un quadro normativo
Più che una legge, l’Unione Europea dovrebbe orientarsi verso un quadro normativo che risponda a tre principi fondamentali: tutelare cittadini e società da eventuali impatti negativi che potrebbero sorgere a causa dell’AI, proteggerli da possibili danni dovuti dalle applicazioni AI a cui vanno abbinate misure di mitigazione e garantire che le stesse regole vengano rispettate da Stati membri e da istituzioni UE.
Non essendoci un quadro ufficiale, potrebbero essere le stesse organizzazioni che sviluppano e utilizzano l’AI a doversene occupare e come da ultima Global Privacy Assembly, le aziende dovrebbero attuare alcune norme per portarsi avanti, ovvero “valutare il potenziale impatto dei diritti umani prima dello sviluppo e l’uso di (AI). Verificare quindi l’affidabilità, la robustezza, l’accuratezza e la sicurezza dei dati in tale contesto (AI) prima di metterli in uso, identificando e valutando principalmente le distorsioni nel sistema e assicurando che si riesca a controllare quelle distorsioni, perché questo è il più grande pericolo che abbiamo; bisogna fornire spiegazioni chiare per le decisioni prese dai sistemi di AI, il monitoraggio delle prestazioni e fornire un audit quando un ente di controllo ne ha bisogno.
La Global Privacy Assembly
La Global Privacy Assembly, anche detta GPA, è nata quasi un anno fa, quando dal 15 novembre 2019 la Conferenza Internazionale delle Autorità per la Protezione dei Dati (ICDPPC) è stata convertita in un organismo permanente più strutturato e operativo, di cui fanno parte 124 autorità che si occupano di protezione dei dati personali di oltre 80 diversi Paesi del mondo. Il tema della conferenza, che si è svolta in Albania dal 21 al 24 ottobre 2019, è stato “Convergence and connectivity raising global data protection standards in the digital age”, quindi proprio standard di protezione dei dati nell’era digitale, e tra le linee tracciate a livello mondiale c’era anche “il riconoscimento della privacy come diritto fondamentale per il buon funzionamento delle democrazie, lotta sui social media ai messaggi inneggianti al terrorismo, più intensa cooperazione tra le Autorità che tutelano i dati personali e quelle che operano a tutela dei consumatori e della concorrenza, riduzione dell’errore umano nelle violazioni dei dati”. Tra le sei risoluzioni adottate, una è proprio dedicata al digitale, ossia “Risoluzione per supportare e facilitare la cooperazione tra Autorità di protezione dati e le competenti autorità per la tutela dei consumatori e della concorrenza, al fine di raggiungere standard di protezione dati chiari e globalmente elevati nell’economia digitale” .
Conclusioni
Il Vicepresidente del Consiglio Europeo per la Protezione dei Dati, Ventsislav Karadjov, ha dichiarato che gli enti di controllo potrebbero avere difficoltà per gli audit dell’AI; egli sostiene infatti che ”non dovremmo aspettarci che gli enti di controllo forniscano audit (AI) in una certa misura perché, per far sì che l’ente sia in grado di prendere una decisione obiettiva, deve sapere esattamente cosa sta succedendo nella scatola nera, e nella maggior parte dei casi, gli sviluppatori di software non lo possono spiegare”.
Al momento non sappiamo se sarà l’UE a strutturare un quadro normativo o se le organizzazioni faranno riferimento ai principi della GPA. L’AI potrebbe costituire per l’Europa una grande risorsa per avviare una nuova era tecnologica, ma il rischio che possa diventare strumento per scopi delittuosi è dietro l’angolo.
Calvão giustamente ribadisce che “Oggi, sappiamo che sulla base di profili target e probabilità, è possibile prevedere gli eventi futuri e futuri comportamenti individuali con un margine di errore relativamente piccolo […] L’impatto sulla privacy è abbastanza ovvio. C’è un potere per manipolare il comportamento individuale o controllare le loro vite, condizionare e limitare la propria libertà, e c’è ancora il rischio di discriminazione basata su errori e pregiudizi.”