Regolamento Ue sull’intelligenza artificiale e Gdpr: accordi e disaccordi - Agenda Digitale

il confronto

Regolamento Ue sull’intelligenza artificiale e Gdpr: accordi e disaccordi

La Commissione Europea ha proposto al Parlamento e al Consiglio il Regolamento 2021/106 che delinea un quadro armonizzato sull’intelligenza artificiale, definita come un insieme di tecnologie, in rapida evoluzione, finalizzate ad ottimizzare il benessere sociale. Esistono punti di contatto con il GDPR?

21 Mag 2021
Rossella Bucca

Studio Previti Associazione professionale

Sabrina Salmeri

Studio Previti Associazione professionale

Foto di Gerd Altmann da Pixabay

Il 21 aprile 2021, giorno in cui la Ue ha presentato la proposta di regolamento sull’intelligenza artificiale, costituisce una data cruciale per il processo d’integrazione della tecnologia nella vita quotidiana dei singoli individui.

Intelligenza artificiale, la Ue cala il “poker”: tre chiavi di lettura per il nuovo Regolamento

L’obiettivo della fonte normativa in commento è contemperare gli indubbi vantaggi derivanti dall’impiego di sistemi di intelligenza artificiale – miglioramento nella fruizione dei servizi del cittadino, agevolazione dello sviluppo delle imprese, conferimento di maggiore efficienza ai servizi di interesse pubblico – con i risvolti negativi che potrebbero concretizzarsi, ove i primi venissero impiegati mediante un uso distorto o abusivo.

Naturalmente, l’interesse primario del legislatore comunitario è quello di favorire il progresso tecnologico sempre garantendo un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali degli individui.

La scelta del regolamento come fonte normativa – posto che l’obbligatorietà in tutti i suoi elementi è il carattere che distingue questa fonte dalla direttiva – dimostra come la voluntas sia quella di una armonizzazione della materia in senso forte, aspetto, questo, che si inquadra in un progetto di coordinamento più ampio che, de iure condito e de iure condendo, involge anche altre fonti normative. Si pensi, quindi, al GDPR o alla proposta del Regolamento ePrivacy.

Punti di contatto e di distacco con il GDPR

Materia pericolosa quella dell’intelligenza artificiale che, al pari delle attività di trattamento dei dati personali, importa la necessità di considerare i rischi alla stessa connessa.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Infatti, il GDPR mira a delimitare – nel rispetto del principio di accountability del titolare – i confini tra lecito e illecito delle attività che importano un trattamento dei dati personali; la proposta oggetto della presente disamina è parimenti volta a ridurre al minimo il rischio di discriminazione algoritmica su cui l’intelligenza artificiale, in effetti, si basa.

Potremmo, forse, parlare di risk based approach tanto nel primo quanto nel secondo caso laddove viene concretamente distinto un rischio inaccettabile, alto, basso o minimo.

In effetti, le analogie non riguardano solo gli aspetti correlati alla gestione del rischio. Ciò, infatti, è una conseguenza ovvia tutte le volte in cui il legislatore è chiamato a bilanciare diritti molto diversi per natura e per soggetti titolari. In questo senso già nell’explenatory memorandum della Proposta, si richiama il GDPR e – utilizzando uno dei criteri ordinatori tra fonti – si precisa che il Regolamento sull’AI non potrà pregiudicare il Regolamento sulla protezione dei dati ma, anzi, è volto proprio ad completarlo.

Del resto, i sistemi di artificial intelligence processano proprio dati personali. Si legga in questo senso il Considerando 41, a mente del quale “Il fatto che un sistema di IA sia classificato come ad alto rischio ai sensi del presente regolamento non dovrebbe essere interpretato come indicante che l’uso del sistema è necessariamente lecito in base ad altri atti del diritto dell’Unione o del diritto nazionale compatibile con il diritto dell’Unione, quali quelli sulla protezione dei dati personali, sull’uso di poligrafi e strumenti simili o altri sistemi per rilevare lo stato emotivo delle persone fisiche. Qualsiasi uso di questo tipo dovrebbe continuare a verificarsi esclusivamente nel rispetto dei requisiti applicabili derivanti dalla Carta e dagli atti applicabili di diritto derivato dell’Unione e dal diritto nazionale. Il presente regolamento non dovrebbe essere inteso come un fondamento giuridico per il trattamento di dati personali, comprese le categorie speciali di dati personali, se del caso”. Prescindere, quindi, da un coordinamento con il Regolamento sui dati personali sarebbe impossibile.

L’atteggiamento garantista e a tutela dell’individuo dell’Ue

La lettura ragionata e combinata delle disposizioni delle due fonti normative ci porta a un’ulteriore conclusione che chiarisce e delinea il sempre più forte atteggiamento garantista e a tutela dell’individuo dell’Unione europea. Nel GDPR, infatti, non esiste un elenco esplicito di trattamenti vietati: tutto è rimesso alla responsabilizzazione del titolare che, se fa male i propri conti, si espone a rischi sanzionatori e risarcitori che presuppongono una valutazione in concreto del trattamento posto in essere. Nel Regolamento sull’AI, invece, si vieta tassativamente l’impiego di specifiche tecniche che non potranno essere mai utilizzate. Si tratta di pratiche manipolatorie del comportamento dei soggetti, specie di quelli vulnerabili, quali bambini e persone con disabilità o modalità di sfruttamento delle informazioni su individui o gruppi di individui, utilizzati per eseguire il social scoring o per la sorveglianza di massa.

A ben osservare, si tratta, in parte, degli stessi trattamenti che, ai sensi dell’art. 35 del GDPR, sarebbero sottoposti a DPIA e, dunque, verosimilmente ammessi qualora la valutazione d’impatto avesse esito positivo. Ma chiaramente è diversa la ratio nonché la funzione degli istituti in commento.

Tuttavia, ci sono delle ipotesi in cui, ancorché si rientri in una delle tecnologie che in astratto sarebbero vietate, è possibile implementarle laddove siano finalizzate a prevenire specifiche fattispecie di reato quali sequestri di minori o loro scomparsa, attacchi terroristici o reati punibili con la misura della custodia cautelare restrittiva della libertà personale per un periodo massimo di tre anni. Di tutta evidenza, in questi casi, come il legislatore abbia ulteriormente bilanciato i diritti in gioco. L’essere, inteso nella sua individualità, cede il passo alla tutela della sicurezza pubblica e alla prevenzione di fattispecie criminose particolarmente gravi.

Un sistema di AI ad alto rischio che fa uso di tecniche algoritmiche che “auto-imparano” impone di tenere in considerazione la data governance. Anche in questo caso il richiamo al GDPR è ovvio e infatti, l’art. 10 dispone “Nella misura in cui è strettamente necessario per garantire il controllo degli errori sistematici, rilevamento e correzione in relazione ai sistemi di intelligenza artificiale ad alto rischio, i fornitori di tali sistemi possono trattare categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del regolamento (UE) 2016/679, all’articolo 10 della direttiva (UE) 2016/680 e all’articolo 10, paragrafo 1 del regolamento (UE) 2018/1725, fatte salve garanzie appropriate per i diritti e le libertà fondamentali delle persone diritti e delle libertà delle persone fisiche, comprese le limitazioni tecniche al riutilizzo e l’uso di misure all’avanguardia per la sicurezza e la tutela della vita privata, quali la pseudonimizzazione o la crittografia quando l’anonimizzazione può incidere significativamente sullo scopo perseguito”.

La Proposta, infine, attribuisce alla Commissione l’obbligo di controllare la Banca dati dell’Unione Europea, all’interno della quale dovranno essere inseriti i sistemi di intelligenza artificiale classificati “ad alto rischio”, (id.est: identificazione biometrica e categorizzazione delle persone fisiche; istruzione e formazione professionale; gestione dei lavoratori e accesso al lavoro autonomo), con la finalità di garantire trasparenza nei confronti degli utenti e facilitare l’operato di controllo della Commissione e degli Stati Membri. Ebbene, al pari di ciò che viene disciplinato all’interno del GDPR, sistemi di trasparenza nei confronti degli utenti e degli interessati sono specificamente previsti.

Conclusioni

Queste sono solo alcune considerazioni a caldo derivanti da una prima lettura combinata delle fonti in commento che possono solo anticipare un approfondimento ulteriore, meritevole di ogni opportuna riflessione anche da parte delle Autorità dei Paesi membri.

Per il momento, si coglie l’occasione per sottolineare la sempre maggiore inclinazione dell’Unione a considerare fondamentale, in una prospettiva antropocentrica, l’armonizzazione delle disposizioni che riguardano la regolamentazione degli aspetti tecnologici che importano effetti riflessi sull’individuo.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2