intelligenza artificiale

Scorza: “La governance europea dell’AI: i nodi da sciogliere”

Così come la Commissione europea immagina la governance dell’intelligenza artificiale, nel regolamento che avanza molto lentamente, non può funzionare. Serve che la governance abbia indipendenza dal potere politico, senza duplicazioni di organismi e competenze che già esistono

18 Mar 2022
Guido Scorza

Autorità Garante Privacy

europa intelligenza artificiale

L’intelligenza artificiale è già da tempo nelle nostre vite e vi entra ogni giorno di più, in modo invisibile, impercettibile, trasparente.

La regolamentazione europea sull’intelligenza artificiale e, in particolare, quella contenuta nella proposta di Regolamento presentata poco meno di un anno fa dalla Commissione europea è in gestazione a Bruxelles, ancora lontana dall’entrare nel rettilineo finale.

Libro intelligenza artificiale, Alessandro Longo e Guido Scorza

I lunghi tempi della regolamentazione

Ma è una constatazione tanto amara, quanto scontata perché è noto che i tempi della regolamentazione sono sempre più difficilmente compatibili con quelli del progresso tecnologico il che produce il rischio – che, sfortunatamente, diventa con frequenza crescente realtà – che i mercati finiscano con il dettare le regole al posto dei Parlamenti e dei Governi.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software

E la differenza è, naturalmente, sostanziale perché le regole dei mercati sono dettate nell’interesse di pochi – di chi controlla i mercati – mentre le regole di Parlamenti e Governi nell’interesse di tutti o, almeno, auspicabilmente, nell’interesse dei più.

Difficile pensare che tanto non accada anche nel caso dell’intelligenza artificiale considerato che il Regolamento è ancora lontano dalla meta e, anche quando l’avrà raggiunta e sarà entrato in vigore, stando almeno a quanto attualmente previsto nella proposta, ci vorranno poi due anni perché diventi direttamente applicabile nei diversi Paesi membri.

I mercati non attenderanno

Difficile credere che i mercati attenderanno il 2024 o, magari, il 2025 per farsi regolamentare dalle nuove regole europee e non imporranno le loro prima di allora con gli strumenti di sempre: l’estrema usabilità dei servizi proposti a utenti e consumatori, l’innegabile comodità e gli straordinari vantaggi prodotti con il loro uso, l’azzeramento, o quasi, di qualsiasi spazio per la riflessione, la ponderazione, la scelta di consumo sull’effettiva opportunità di iniziare a usare questo o quel prodotto o servizio.

Cambiare il modo in cui adottiamo le regole

Prima o poi, forse, dovremo prendere atto del fatto che per governare il futuro – che è sempre più vicino al presente – più e prima di cambiare le regole, dobbiamo cambiare il modo in cui le adottiamo.

In caso contrario ci ritroveremo sistematicamente costretti a difendere la porta della democrazia, del libero mercato e dei diritti fondamentali presi in sempiterno contropiede dai mercati e dal progresso tecnologico.

Ma questa è una questione complessa, generale, valida ben al di là della proposta di disciplina europea sull’intelligenza artificiale che, anzi, bene ha fatto la Commissione europea a presentare anche per rivendicare un’eccezione cultural-giuridica preziosa come quella della prospettiva antropocentrica nella regolamentazione del progresso tecnologico.

Tra tante questioni di merito al centro della proposta di Regolamento europeo sull’intelligenza artificiale in relazione alle quali occorre riconoscere alla Commissione uno sforzo importante, non semplice e tutto sommato ben riuscito – al netto dei correttivi che potranno migliorare la proposta nel corso del suo iter – ce n’è una che merita, probabilmente, di essere discussa con maggiore attenzione perché prescinde dall’assetto che, nel merito, avrà la disciplina in questione.

Il nodo della governance dell’intelligenza artificiale

È quella della governance dell’intelligenza artificiale in Europa: chi e come dovrà governare l’applicazione delle nuove regole quali che esse siano e garantirne il rispetto?

Sul punto, come sta emergendo in questi mesi, la proposta di Regolamento è, forse, ancora, troppo ambigua e meno chiara di quanto è auspicabile che sia il Regolamento quando verrà alla luce.

Ci sono, infatti, alcuni nodi da sciogliere.

Come è già stato ricordato nel Parere congiunto del 18 giugno 2021 del Comitato delle autorità per la protezione dei dati personali europee (EDPB) e dal supervisor europeo per la privacy (EDPS) e come ha, di recente, ribadito il Garante per la protezione dei dati personali italiano nella memoria trasmessa lo scorso 9 marzo 2022 alla Camera dei Deputati, una delle basi giuridiche della proposta di Regolamento sull’intelligenza artificiale è l’art. 16 del Trattato sul funzionamento dell’Unione Europea il cui primo comma recita: “Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano”.

Non poteva e non potrebbe, d’altra parte, che essere così data l’ormai pacifica centralità dei dati – inclusi quelli personali – nell’addestramento, funzionamento e uso degli algoritmi di intelligenza artificiale.

Guai, peraltro, a dimenticare che proprio questo richiamo al diritto fondamentale alla privacy da’ corpo a quell’impostazione antropocentrica della nascitura disciplina europea della materia che ne costituisce una delle cifre distintive.

La conseguenza quasi sillogistica di tale constatazione è che il rispetto delle norme dettate con il Regolamento e di quelle in materia, appunto, di protezione dei dati personali da esso, direttamente e indirettamente richiamate, non può che essere – in forza di quanto disposto dallo stesso articolo 16 TFUE – affidato a autorità indipendenti.

Non c’è spazio, in questo contesto, per immaginare che almeno il rispetto delle vecchie e nuove regole in materia di intelligenza artificiale sia affidato a istituende agenzie o a Comitato variamente controllati o coordinati da soggetti di Governo europeo o nazionale.

Serve autorità indipendente: quale?

Il rispetto delle regole non può che essere affidato a un’autorità indipendente tanto dal potere politico che da quello economico.

Questo, naturalmente, non vuol dire che questa autorità debba essere anche affidataria di compiti diversi rispetto a quelli di vigilanza sul rispetto delle regole e, anzi, tali compiti – ma sul punto si dirà meglio oltre – è bene siano affidati a soggetti terzi rispetto all’autorità in questione che ben potranno essere emanazione degli Esecutivi europei e nazionali.

Chiarito quanto precede si tratta di capire quali possano essere le autorità indipendenti in questione.

Privacy

È un dato di fatto che, attualmente, in Europa, garantire rispetto delle disposizioni emanate sulla base dell’articolo 16 TFUE è compito delle Autorità di protezione dei dati personali nazionali anche attraverso il comitato europeo [EDPB] che ne garantisce il coordinamento e, per quanto di sua competenza rispetto alle Istituzioni europee del supervisor europeo [EDPS].

Sotto tale profilo, pertanto, a dispetto dell’ambiguità attualmente presente nella proposta di Regolamento (cfr. art. 59) sembra difficile ipotizzare che le Autorità nazionali di protezione dei dati personali possano non essere identificate quali Autorità nazionali di controllo anche in materia di intelligenza artificiale.

Tale conclusione, peraltro, appare suggerita anche dal buon senso.

Ad oggi, infatti, in attesa del varo della proposta di Regolamento, l’unica disciplina europea in materia, anche, di intelligenza artificiale è proprio il Regolamento generale sulla protezione dei dati personali del quale, peraltro, la proposta di Regolamento, eredita modello, approccio, metodo e numerosi istituti.

Nessun dubbio, dunque, che sin dal 2018, sono le Autorità di protezione dei dati personali che stanno operando, nei diversi Paesi dell’Unione, anche quali Autorità di vigilanza in materia di intelligenza artificiale sebbene nella limitata – per quanto ampia – prospettiva della protezione dei dati personali.

Non avrebbe alcun senso disperdere questo avviamento e questa esperienza all’indomani dell’entrata in vigore del Regolamento sull’intelligenza artificiale.

Senza dire che stante l’impossibilità di privare tali autorità della competenza loro già attribuita dal GDPR in materia, tra l’altro, di trattamenti di dati personali attraverso algoritmi e altri processi automatizzati, qualora si identificassero diverse autorità di controllo nazionale in materia si correrebbe il rischio di lasciare produttori, distributori e utilizzatori delle soluzioni di intelligenza artificiale in balia di una pluralità di organi di controllo e dell’ineliminabile rischio di giudicati contrastanti e continui conflitti di competenza e attribuzione.

Altre autorità

Ciò, naturalmente, non toglie che potrebbe aver senso – e, anzi, si tratta, forse, della soluzione preferibile – confermare la competenza, ciascuna per quanto di propria pertinenza, delle altre autorità indipendenti operanti nel nostro Paese e negli altri Paesi dell’Unione a continuare a occuparsi dell’impatto delle soluzioni di intelligenza artificiale, sui mercati, sulle comunicazioni, sulle energie e su tutti gli altri settori verticali già affidati alla loro vigilanza.

L’intelligenza artificiale, infatti, è destinata ad avere un impatto trasversale su una pluralità di ambiti della nostra società e sembra davvero difficile ipotizzare che una sola autorità di controllo possa avere al suo interno le competenze necessarie per vigilare, a tutto tondo, sul rispetto delle vecchie e nuove regole sotto il profilo della tutela della privacy, dei mercati, delle comunicazioni, dell’energia ecc.

Governance europea

C’è poi, tra i tanti, un altro nodo non meno importante dei precedenti da sciogliere per semplificare e rendere, forse, più efficace la governance europea dell’intelligenza artificiale.

È quello del “comitato europeo per l’intelligenza artificiale” che si vorrebbe istituire con l’articolo 56 della proposta di Regolamento.

Il comitato, come immaginato nella proposta di Regolamento, è un soggetto ibrido: metà organo di governo e metà coordinatore di autorità nazionali di controllo.

Perché così la governance non può funzionare

La sensazione è che così la governance della materia non possa funzionare.

Le autorità nazionali di controllo – a prescindere da quali siano – devono essere, come si è detto, necessariamente indipendenti anche – e, in materia di intelligenza artificiale, verrebbe da dire soprattutto – dal potere politico.

In questa prospettiva non appare una buona idea affidare il coordinamento di tali autorità a un comitato presieduto dalla Commissione europea perché tale circostanza, nonostante le migliori intenzioni, rischierebbe di pregiudicarne l’indipendenza.

Varrebbe, dunque, la pena, probabilmente, ripensare il comitato, rendendolo esclusivamente un organismo di coordinamento delle azioni di governo nel dominio dell’intelligenza artificiale e, quindi, prevedendo che ad esso non partecipino né le autorità nazionali di controllo, né il supervisor europeo per la privacy ma, semplicemente, rappresentanti dei diversi governi nazionali con competenze specifiche nel governo, a livello nazionale, delle cose dell’intelligenza artificiale.

Ciò, naturalmente, fermo restando che il supervisor europeo sulla privacy dovrebbe mantenere – ma, probabilmente gli competerebbe già a disciplina vigente – un ruolo specifico di controllo indipendente anche sull’operato del comitato.

Insomma, nella governance dell’intelligenza artificiale, è fondamentale che il compito di promuovere e governare, anche producendo e condividendo azioni di policy e best practice, resti distinto dal compito di vigilare sul rispetto delle regole e che i due compiti siano affidati a soggetti completamente autonomi l’uno dall’altro.

Una proposta di governance

Peraltro un comitato per il coordinamento delle autorità nazionali di controllo non è, probabilmente, neppure necessario in considerazione del fatto che, specie se queste autorità fossero, come si è suggerito sopra, le autorità nazionali di protezione dei dati personali, esse dispongono già del loro comitato europeo (EDPB) istituito dal Regolamento generale sulla protezione dei dati personali (GDPR) e, per la verità, analogamente, anche la più parte delle autorità indipendenti di settore diverse da quelle di protezione dei dati personali, salvo poche eccezioni, dispongono di analoghi organismi europei di coordinamento.

Ovviamente i nodi da sciogliere per disegnare una governance europea efficiente dell’intelligenza artificiale sono tanti di più e non è detto che quelle proposte qui sopra siano le uniche possibili soluzioni per sciogliere i nodi che stanno venendo al pettine ma le parole d’ordine per far bene sembrano dover essere: indipendenza, niente duplicazioni di organismi e competenze che già esistono, niente creazione di sovrastrutture non indispensabili, semplificazione e eliminazione di ogni possibile conflitto di attribuzione e competenza tra soggetti diversi che potrebbe tradursi in ostacoli, oneri inutili e rallentamenti all’azione delle imprese e delle amministrazioni che devono e dovranno cogliere nella misura maggiore possibile le straordinarie opportunità loro offerte dall’intelligenza artificiale.

WEBINAR
30 Giugno 2022 - 14:30
[WEBINAR] Data Governance Strategy: tu sei pronto?
CIO
IoT
@RIPRODUZIONE RISERVATA

Articolo 1 di 4