Le sfide dell'Intelligenza Artificiale: i cinque anni di GDPR ci hanno insegnato qualcosa?
GDPR , dalla sua entrata in vigore, ha determinato l'adozione di più di 1.700 provvedimenti nell'intera UE, 32 pronunce della Corte di Giustizia dell'Unione Europea e di più 4 miliardi di Euro di sanzioni amministrative
Il 25 maggio 2023 è stato festeggiato il quinto compleanno del Regolamento generale sulla protezione dei dati (GDPR), la normativa europea che ha rivoluzionato le modalità di protezione dei dati personali dei cittadini europei.
Le imprese che, all'inizio, hanno dovuto adeguarsi in fretta ai nuovi obblighi, devono ora quotidianamente confrontarsi con una normativa che impone una costante attenzione e un continuo adattamento dei propri processi di trattamento dei dati personali.
Il GDPR presuppone, infatti, un complicato sistema organizzativo e di sicurezza, basato su ruoli di responsabilità, complesse valutazioni di impatto e misure di gestione del rischio. In questi anni, il GDPR si è rivelato una legislazione viva e dinamica, che richiede una continua interpretazione e applicazione.
Lo dimostra il fatto che dalla sua entrata in vigore, ha determinato l'adozione di più di 1.700 provvedimenti nell'intera UE, 32 pronunce della Corte di Giustizia dell'Unione Europea e di più 4 miliardi di Euro di sanzioni amministrative.
Ciò che più rileva è che, a cinque anni di distanza, il GDPR può offrire degli spunti interessanti per affrontare un'altra importante sfida normativa di grande attualità: quella dell'intelligenza artificiale (IA).
L'IA rappresenta la nuova frontiera del digitale e dell'innovazione, ma pone anche importanti interrogativi etici, sociali e normativi.
Per questo, il 21 aprile 2021, la Commissione Europea ha annunciato una bozza di regolamento sull'IA, il quale rappresenta il primo tentativo al mondo di introdurre una normativa specifica, volta a regolarne lo sviluppo e l'impiego.
Come l'antesignano GDPR, la bozza di regolamento mira a garantire uno sviluppo sicuro ed affidabile dell'IA in Europa, nel pieno rispetto dei valori e dei diritti fondamentali dei cittadini europei. In particolare, la bozza di regolamento IA vieta o impone sostanziali limitazioni a quelle applicazioni IA suscettibili di mettere a repentaglio i diritti fondamentali, come, ad esempio, le tecnologie in grado di manipolare o discriminare persone.
La bozza di regolamento IA replica, inoltre, alcuni elementi cardine che hanno fatto il successo del GDPR – primo fra tutti l'adozione di un ventaglio di principi generali che assicurino una normativa ad ampio respiro e sempre attuale, senza distinzioni di carattere settoriale. Vengono qui reiterati i principi di responsabilità, trasparenza e sicurezza, seppur in una differente declinazione. Altri principi sono invece enucleati in modo più dettagliato proprio in virtù degli specifici meccanismi IA, come quello di non discriminazione e di intervento e sorveglianza umana sul funzionamento della tecnologia.
La bozza di regolamento presenta anche delle differenze e specificità. Si prevede una classificazione dei sistemi di IA in base al rischio che questi comportano per i diritti e le libertà delle persone, con obblighi differenziati a seconda del livello di rischio in cui si inscrive il relativo sistema.
Nel tentativo di continuare nel proprio ruolo di pioniera dei diritti fondamentali nel mondo digitale, l'Unione Europea intende reiterare nel regolamento IA anche il tanto discusso meccanismo di extraterritorialità, già introdotto con il GDPR, e che ha rappresentato una delle sue caratteristiche più ambiziose e discusse. Se, da un lato, proprio tale meccanismo ha determinato che il GDPR assurgesse a modello per numerose altre giurisdizioni; dall'altro lato ha creato non poche difficoltà interpretative e applicative. Si pensi, ad esempio, alla doppia invalidazione degli accordi internazionali con gli Stati Uniti per il trasferimento dei dati personali (il Safe Harbor prima e il Privacy Shield dopo) e alla persistente assenza di un meccanismo certo e sicuro per il trasferimento dei dati oltreoceano.
Ebbene, il meccanismo dell'extraterritorialità torna a far capolino anche con il regolamento IA, il quale si applicherà non solo ai fornitori e agli utenti di sistemi di IA stabiliti nell'UE, ma anche a quelli che forniscono o utilizzano sistemi IA idonei a produrre effetti nell'UE, pur trovandosene al di fuori.
La bozza di regolamento riprende anche un complesso sistema di governance e supervisione, ripartito, come nel caso del GDPR, fra autorità nazionali, cui andrà il compito di applicare e monitorare le norme, e organi europei per un coordinamento a livello sovranazionale.
Da ultimo – non certo per importanza – viene previsto un importante apparato sanzionatorio, in grado di porre di nuovo le prescrizioni europee all'attenzione mondiale. Il regolamento introduce sanzioni amministrative pecuniarie fino ad un massimo del 6% del fatturato annuo globale per le violazioni più gravi, come ad esempio la fornitura o l'uso di applicazioni IA proibite o la mancata conformità delle applicazioni ad alto rischio.Il regolamento IA, che potrebbe essere approvato nella sua versione definitiva di qui a pochi mesi, rappresenta una proposta ambiziosa, pronta a replicare il successo del GDPR nel creare uno spazio giuridico europeo per lo sviluppo della tecnologia in senso etico e responsabile e nel proiettare tale spazio oltre i confini europei.
Tanti rimangono tuttavia i punti aperti e le sfide che questo regolamento è chiamato ad affrontare. Tra questi, le problematicità inerenti la definizione e delimitazione del concetto stesso di intelligenza artificiale. Il regolamento IA dovrà infatti essere in grado di comprendere e regolare in modo efficace una tecnologia ancora in divenire, molto complessa e spesso opaca, dall'enorme impatto sociale.
Se il regolamento IA vorrà far tesoro delle lezioni imparate con il GDPR, dovrà essere in grado trovare il giusto equilibrio tra elasticità e vaghezza dei concetti, innovazione e regolamentazione, flessibilità degli obblighi e rigore delle sanzioni, il tutto da coniugare in un panorama articolato ed eterogeneo, fatto di complicate legislazioni nazionali, europee ed internazionali.
Il regolamento IA rappresenta quindi un'opportunità unica per il legislatore europeo. Se riuscirà a concretizzare i suoi obiettivi di garantire il rispetto dei diritti fondamentali, la sicurezza e la fiducia dei cittadini verso questa tecnologia, l'Europa potrà consolidare il proprio ruolo di leader globale per lo sviluppo e impiego di una IA etica, affidabile e sostenibile. Se invece il regolamento dovesse rivelarsi troppo complesso, burocratico o vago, rischierebbe addirittura di compromettere – rispetto ad altri mercati – le intrinseche potenzialità dell'IA in termini di innovazione e competitività.
La posta in gioco è troppo alta perché il dialogo e il confronto rimanga all'interno delle istituzioni ed è quindi necessario che esso continui ad andare di pari passo con il coinvolgimento attivo di tutti gli stakeholders interessati, ovvero i produttori di IA, le imprese, gli esperti e la società civile, al fine di definire e perfezionare una legislazione destinata a fare da caposaldo nel settore normativo digitale europeo negli anni a venire.
* a cura di Giorgia Giorgetti counsel ed Elena Cirotti, associate di Allen & Overy
-U57014522851VLn-735x735@IlSole24Ore-Web.jpg?r=86x86)
