Le attività svolte mediante sistemi di intelligenza artificiale sono così sofisticate che fanno sorgere una serie di quesiti ai quali l’attuale normativa in materia di protezione dei dati personali non è in grado di offrire risposte adeguate ed efficaci. Per esempio, se un sistema operasse in autoapprendimento – machine learning – il sistema stesso diventerebbe titolare del trattamento? Con proprie responsabilità? Risarcibili sulla base di quale patrimonio? Oppure sarà il produttore a vedersi attribuite le responsabilità? Oppure il progettista dell’algoritmo? Oppure l’assemblatore dell’hardware con il software? Oppure il manutentore dei sistemi di AI?
Queste sono solo alcune delle domande sul diritto da applicare alle nuove tecnologie.
Le definizioni di titolare e responsabile del trattamento dati secondo il GDPR
Nell’articolo pubblicato su Agenda Digitale si è affrontato il tema del regime sanzionatorio ex Regolamento 679/UE applicabile ai numerosi soggetti che entrano in gioco nei sistemi di intelligenza artificiale, come i fornitori di servizi di AI, i terzi destinatari dei dati e i fornitori dei sistemi di AI, e delle sanzioni amministrative applicabili alle loro organizzazioni, sanzioni che possono pregiudicare, in alcuni casi, la continuità aziendale.
Solitamente è semplice individuare il titolare del trattamento dei dati, secondo quanto indicato dall’art. 24 del GDPR o un eventuale responsabile del trattamento dei dati, con le attribuzioni ex art. 28 del GDPR; viceversa, l’inquadramento dei soggetti che esercitano attività strumentali ai servizi di intelligenza artificiale presenta, frequentemente, oggettive difficoltà. Di volta in volta è necessario svolgere un’attenta analisi delle specifiche attività di trattamento svolte da tali figure, in quanto, in alcune ipotesi, si potrebbe configurare la titolarità ex art. 24 del GDPR (Responsabilità del titolare del trattamento), in altre la contitolarità del trattamento ex art. 26 del GDPR (Contitolari del trattamento) oppure potrebbero essere loro attribuite le funzioni tipiche del Responsabile del trattamento ex art. 28 del GDPR (Responsabile del trattamento), a cui si ricollega un precipuo regime sanzionatorio, secondo quanto previsto dal D. Lgs. 196/2003, così come modificato dal D. Lgs. 101/2018 e dal Regolamento 2016/679 UE all’art. 84.
Il settore dell’intelligenza artificiale è sicuramente importante nello sviluppo futuro dell’odierna società globalizzata (pensiamo ai sistemi di intelligenza artificiale applicati per tutelare la nostra sicurezza che potrebbero anche essere usati per controllarci e limitare le nostre libertà). Tale rapido sviluppo deve essere accompagnato da una legislazione attenta sia al progresso tecnologico e scientifico che alle necessità di protezione e di esercizio dei diritti dell’interessato. Infatti, i danni che possono essere causati dai sistemi di intelligenza artificiale possono essere ingenti e avere una diffusione rapida e pervasiva. È quindi necessario poter individuare precisamente le responsabilità e indirizzare correttamente le pretese risarcitorie dei danneggiati. Oggi, in considerazione del vuoto normativo esistente, tutto ciò risulta assai complicato.
Ci soccorre la Direttiva 374/85/CE, relativa al ravvicinamento delle disposizioni legislative, regolamentari e amministrative degli stati membri in materia di responsabilità per danno da prodotti difettosi – recepita nel nostro Paese con il DPR 224/1988 (Attuazione della direttiva CEE n. 85/374 relativa al ravvicinamento delle disposizioni legislative, regolamentari e amministrative degli Stati membri in materia di responsabilità per danno da prodotti difettosi, ai sensi dell’art. 15 della legge 16 aprile 1987, n. 183 che ha mantenuto sostanzialmente invariato il testo dell’Art. 1 della Direttiva europea) modificato dal D. Lgs. 25/2001 (Attuazione della direttiva 1999/34/CE, che modifica la direttiva 85/374/CEE, in materia di responsabilità per danno da prodotti difettosi) – che recita all’Art. 1 «Il produttore è responsabile del danno causato da un difetto del suo prodotto.». Si tratta di una normativa datata e non adeguata alle tecnologie attuali, come avremo modo di dimostrare nel proseguo della nostra analisi. È del tutto evidente che l’inerzia legislativa, che finora ha accompagnato tale settore, e la giurisprudenza, dalla quale non emerge un concetto chiaro di Intelligenza Artificiale, non aiutano ad assorbire gli impatti provenienti dalle innovazioni tecnologiche e scientifiche.
Responsabilità e risarcimento del danno causato dalle macchine
I legislatori dovrebbero intervenire – e sono già in enorme ritardo – per regolare l’uso dell’intelligenza artificiale introdotta nei sistemi di machine learning; questo è quanto emerge dal rapporto annuale dell’AI Now Institute di New York il quale critica l’uso indiscriminato degli algoritmi predittivi, la trasparenza delle black box (dispositivi per geolocalizzazione autoveicoli), riconoscimento facciale, la mancanza di adeguate garanzie in settori come – tra gli altri – l’assistenza sanitaria e la giustizia penale, la selezione del personale e la security.
Ulteriori complicazioni, alla luce di un mondo sempre più globalizzato, sono rappresentate dalle spinte al sovranismo digitale provenienti principalmente da Cina e Russia che vorrebbero creare un internet nazionale controllato dallo Stato, dalle divergenti normative Usa e Ue laddove le prime tutelano meno i diritti personali a vantaggio del business as usual mentre le seconde cercano di bilanciare gli interessi degli individui (incominciando dai diritti indisponibili di quest’ultime) e gli affari e le compagnie private che, con sofisticati e segretissimi algoritmi, creano “bolle personali” per ciascuno di noi, monitorano e registrano le nostre attività, acquisiscono le nostre immagini e, tra l’altro, le danno in pasto alle macchine dotate di AI per consentirgli di “studiare”.
Ma torniamo alla questione della responsabilità e del risarcimento del danno.
L’ipotetico riconoscimento giuridico dei dispositivi con AI è un elemento importante per rivoluzionare il regime di responsabilità civile, ponendosi il problema della procedibilità nei confronti delle macchine dotate di intelligenza artificiale. Allo stato attuale della normativa, tale questione non si pone: infatti, il risarcimento del danno è sempre e comunque addebitabile a una persona fisica o giuridica, non avendo le macchine un’autonoma personalità giuridica, capacità di guadagno o un patrimonio aggredibile.
È pur vero, però, che le macchine che si avvalgono di sistemi di AI sono dotate, in alcuni casi, di un certo margine di imprevedibilità e questo fattore introduce un elemento di riflessione critica in termini di responsabilità civile. Questa peculiarità è dovuta principalmente ai meccanismi di machine learning di cui sono provviste tali macchine. Ma, come già precedentemente segnalato, il regime di responsabilità compatibile con il mondo dell’AI è solo quello della responsabilità per danni da prodotti difettosi. Infatti, entrambe le componenti dei dispositivi, quella del software e quella hardware, sono qualificabili come prodotti, i cui danni provocati sono riconducibili alla nozione di difetto cui fa cenno la citata Direttiva europea 1985/374/CE recepita dal DPR 224/1988 modificato dal D. Lgs. 25/2001. Per il mondo tech un’era geologica fa.
Ma la normativa per danni da prodotti difettosi, pur essendo oggi l’unica applicabile, non è stata promulgata per prodotti atipici e particolari come i dispositivi e le macchine con AI né, tanto meno per il machine learning, facendo emergere problematiche di compatibilità e funzionalità tra la norma e tali dispositivi.
Una considerazione che non possiamo trascurare è che qualsiasi tipo di attribuzione di responsabilità crei disincentivi al progresso e all’efficacia dei sistemi produttivi, ma che, al contempo, sia impossibile rinunciare ai meccanismi riparatori dell’attribuzione di responsabilità, senza i quali si produrrebbero esternalità negative rilevanti che graverebbero in larga parte – con la sola esclusione dei meccanismi di mercato – sui consumatori. Il meccanismo di prevenzione, cioè affidato al legislatore, e non al mercato (come invece avviene per la prevenzione generale), risulta pienamente compatibile sia con la funzione di riduzione dei costi di produzione, che con quella di giustizia correttiva che sta alla base dell’istituto di responsabilità civile.
Abbiamo quindi necessità di prevenzione specifica (norme) che, partendo da un’analisi approfondita della situazione tecnologica, consenta una corretta regolazione del settore dell’intelligenza artificiale. A tale meccanismo di deterrenza va tuttavia affiancato da un valido supporto normativo in senso più favorevole per i produttori, che devono vedersi, sì, gravati da oneri di sicurezza maggiori, ma allo stesso tempo poter avere la possibilità di sviluppare i proprio prodotti in un settore capital-digital-intensive e ad alta innovazione come quello dell’intelligenza artificiale.
La disciplina europea in materia di AI
Come già accennato, la disciplina europea in materia è obsoleta, risalendo alla Direttiva 374/85/CE recepita nel nostro Paese con il DPR 224/1988 modificato dal D. Lgs. 25/2001. Infatti, volendo applicare la Direttiva 374/85/CE ai sistemi di Intelligenza Artificiale emergerebbero problematiche fin dall’interpretazione dei termini e delle definizioni presenti nella stessa.
Il primo dubbio sorge subito all’art. 2, con la definizione di prodotto «Ai fini della presente direttiva, per « prodotto » si intende ogni bene mobile, ad eccezione dei prodotti agricoli naturali e dei prodotti della caccia, anche se forma parte di un altro bene mobile o immobile. Per «prodotti agricoli naturali» si intendono i prodotti del suolo, dell’allevamento e della pesca, ad esclusione dei prodotti che hanno subito una prima trasformazione. Per «prodotto» si intende anche l’elettricità.». Un sistema di intelligenza artificiale è un prodotto al quale la Direttiva 85/374/CE è applicabile? La Direttiva infatti si applica, come abbiamo visto, soltanto per danni causati da beni mobili, tangibili, nonché dall’energia elettrica, indipendentemente dal fatto che il prodotto sia distribuito come prodotto finito o come materia prima da sgrezzare o ancora come componente da incorporare in un altro bene, sia esso mobile o immobile.
I prodotti devono essere dunque contraddistinti da due caratteristiche, ossia la mobilità e la tangibilità: se per la prima caratteristica non abbiamo problemi interpretativi, per la seconda – suscettibile di concreti accertamenti, reale, evidente, palpabile; che si può toccare – le problematiche sono significative. Inoltre, in giurisprudenza prevale nelle motivazioni che il tipo di produzione del prodotto deve essere industriale mentre in dottrina, fino a ora, si propende per un’interpretazione più estesa del termine prodotto, indipendentemente dal modo di produzione dello stesso: industriale, artigianale o artistico.
Quindi, si pone il problema dell’applicabilità della Direttiva a prodotti intangibili, come i software, che formalmente non rientrano nel canone di tangibilità necessario per l’applicazione della Direttiva. Prodotti come i software si classificano come beni mobili, la cui tangibilità è misurabile solo dal livello in cui esso è incorporato nel bene mobile in cui opererà.
Si può quindi comprendere come sia complesso collocare prodotti caratterizzati dalla presenza al loro interno di elementi di intelligenza artificiale nell’alveo della definizione data all’art. 2 della Direttiva 374/1985/CE, prima di tutto perché tali prodotti, pur presentando i caratteri della mobilità, prerequisito per l’applicazione della Direttiva stessa, offrono una prospettiva come minimo ambigua dal punto di vista della tangibilità.
Dobbiamo quindi verificare se, e quanto, vi sia prevalenza dell’elemento immateriale e autonomo sull’attività cui è preposto il prodotto rispetto all’elemento materiale tangibile. L’autonomia del prodotto con IA è infatti la peculiarità che lo differenzia dalle restanti tipologie di prodotti. Vanno valutate la capacità del prodotto di operare in completa autonomia dalla propria parte formalmente immateriale e quanto il prodotto rimanga ancora tale dopo l’implementazione di un elemento di programmazione o dopo una fase di autoapprendimento, oppure si trasformi in qualcos’altro che elude l’applicabilità della Direttiva 374/1985/CE. È altresì evidente che, qualora la componente immateriale (software, AI) avesse o potesse prendere il sopravvento – e poi quanto? – sulle componenti materiali, rendendo il prodotto qualcosa di più di un bene mobile tangibile ma qualcosa di meno di un essere vivente dotato di coscienza, l’incompatibilità con la normativa vigente resterebbe tale in quanto essa è incompleta e non in grado di individuarne i gradi di autonomia.
Conclusioni
Trascurando quindi le questioni etiche e morali, dal punto di vista normativo la disciplina attuale non è un contesto legislativo idoneo a disciplinare l’attribuzione della responsabilità per danni in considerazione dell’evoluzione tecnologica raggiunta né a individuare le linee di sviluppo futuro. Sviluppo che, come abbiamo avuto modo di dire anche in altri articoli, sarà sempre molto più rapido degli adeguamenti legislativi lasciando vulnus normativi difficili da colmare in giurisprudenza.