La rivoluzione dell’AI è già in corso, e l’UE è impegnata nella regolamentazione della tecnologia, attenta a supportarne lo sviluppo per coglierne le opportunità garantendo al contempo la tutela degli aspetti etici e di tutela della privacy legati all’Intelligenza artificiale.
A tal fine, il Parlamento europeo ha di recente approvato l’AI Act, una proposta legislativa che mira a regolamentare l’uso dell’AI e a garantire una sua implementazione responsabile. A parlarne è l’Avv. Valentina Frediani, founder & CEO Colin & Partners, esperta in diritto informatico e nuove tecnologie, in alcuni passaggi di un articolo pubblicato all’interno di IAgorà, spazio di Anitec-Assinform dedicato ad approfondire le opportunità offerte dall’Intelligenza Artificiale (qui l’articolo completo).
“Protagonista indiscussa della cronaca delle ultime settimane, l’AI sta dando non poco filo da torcere ad addetti ai lavori ed esperti del settore – dice l’Avv. Frediani -, impegnati a immaginarsi gli infiniti scenari prospettati e a prevederne l’impatto sulle nostre vite – non tanto in termini di device o applicazioni, quanto piuttosto sulla società – dal momento che algoritmi e chatbot orchestreranno la quotidianità di aziende e cittadini. Una premessa è fondamentale: l’AI non deve suscitare preoccupazioni rispetto al suo utilizzo. Recentemente si sono creati allarmismi a seguito del caso Chat GPT per cui il Garante era intervenuto con un provvedimento con effetto immediato a fine marzo dopo aver rilevato ‘la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, ma soprattutto l’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, allo scopo di ‘addestrare’ gli algoritmi sottesi al funzionamento della piattaforma. Come peraltro testimoniato dalle verifiche effettuate, le informazioni fornite da ChatGPT non sempre corrispondono al dato reale, determinando quindi un trattamento di dati personali inesatto’ “.
Il provvedimento del Garante che deve quindi fungere da punto di riferimento normativo, per cui le soluzioni devono essere sviluppate seguendo i principi del privacy by design, e nel rispetto dell’attuale Regolamento Europeo, come prosegue Frediani. “Enti ed aziende alle prese con sistemi di AI non devono commettere l’errore di ritenersi estranei rispetto agli obblighi normativi, dovendo rispondere a un preciso equilibrio tra dettami normativi, misure di sicurezza e aspetti etici, che a loro volta devono convivere con le esigenze di business. In questa cornice il principio guida di ogni sviluppo e trattamento deve essere quello del ‘fundamental-rights oriented‘, pilastro portante del GDPR. In questa prospettiva, il principio che traduce nel modo migliore questo approccio è proprio quello della privacy by design, enunciato nell’articolo 25 del GDPR, concepito per integrare l’elemento normativo e il rispetto del diritto fondamentale della protezione dei dati personali sin dalla fase di progettazione e sviluppo della tecnologia”.
Premesso quindi che le norme non devono ostacolare lo sviluppo tecnologico, parlando di AI molti timori e allarmismi nascono però anche per la paura che le soluzioni di AI possano sostituirsi agli esseri umani. Timore che nelle aziende frena l’adozione di sistemi di AI, rimanendo così legate a processi svolti in maniera tradizionale senza compiere il salto decisivo nell’evoluzione delle proprie infrastrutture, come rimarca Frediani. “Un’impasse a cui ci auguriamo ponga fine l’AI Act, la prima proposta legislativa che – dopo la sua prima bozza nell’aprile 2021 – ha appena ricevuto l’approvazione dal Parlamento europeo. Il regolamento entrerà in vigore il ventesimo giorno dopo la pubblicazione in Gazzetta Ufficiale e, secondo quanto recita la versione del testo approvata dal Parlamento, sarà applicabile direttamente negli Stati membri 24 mesi dopo la sua entrata in vigore (il Consiglio invece propone un periodo più lungo: 36 mesi). L’AI Act rappresenta il risultato di un acceso dibattito che ha visto schierate varie parti politiche, finalizzato alla creazione di una normativa condivisa e omogena che mira a regolamentare l’intelligenza artificiale rispetto alla sua potenzialità di causare danni. L’intento è quello di imporre obblighi più severi ai modelli di base che dovrebbero essere progettati e sviluppati in conformità non solo con il diritto dell’UE, ma anche con quelli cosiddetti ‘fondamentali’ “.
Centrale nel testo della nuova normativa è in particolare il concetto di ‘rischio’, che genera una precisa classificazione in base a una serie di elementi, e che nei casi più gravi porta all’impossibilità di utilizzo dello strumento di AI. “Sebbene l’Assessment assuma in questo contesto un’importanza decisiva trova ancora una certa difficoltà di applicazione, complici la mancanza di standard condivisi e, spesso, di esperti qualificati adeguatamente formati per certificare la solidità e la sicurezza dei modelli di AI rispetto al livello di rischio considerato accettabile – spiega infine Frediani -. È ancora aperto e caratterizzato da toni accesi il confronto tra addetti ai lavori ed esperti su quali siano le pratiche o le applicazioni da classificare ‘vietate’ poiché ritenute un rischio inaccettabile. Un rischio si definisce significativo quando ‘risultato della combinazione della sua gravità, intensità, probabilità di accadimento e durata dei suoi effetti, ed è la capacità di colpire un individuo, una pluralità di persone o di influenzare un determinato gruppo di persone’ “.
Secondo quanto definito dal regolamento, il concetto non pertiene quindi solo salute, sicurezza e diritti fondamentali, ma si estende anche ad ambiti ad alto rischio come quelli connessi a infrastrutture critiche tra cui le reti energetiche o quelle idriche ad esempio. Per chiarire incertezze e interpretazioni l’AI Act enuncia infine una serie di assiomi-cardine che da un lato hanno il compito di orientare gli operatori del settore, dall’altro quello di fissare un perimetro di azione rispetto alla legittimità delle varie operazioni.
