Nuova responsabilità civile e sistemi di intelligenza artificiale
Il concetto di intelligenza artificiale fa riferimento a quel settore dell'informatica che si dedica alla creazione di sistemi in grado di riprodurre il funzionamento di alcune capacità della mente umana o dell'intero pensiero umano
Le nuove logiche algoritmiche legate ai sistemi di intelligenza artificiale, con le fisiologiche correlazioni all'ambito dalla data protection, richiedono innovazioni normative riguardanti la responsabilità civile in capo ai soggetti coinvolti nel processo di gestione e governance dei dati.
Il Garante privacy italiano ha recentemente valorizzato le raccomandazioni, vertenti su tale tema, che il Comitato europeo per la protezione dei dati personali (EDPB) ha inviato alla Commissione Europea riguardanti l'Artificial Intelligence Act (AI Act).
Anche richiamandosi al parere congiunto n. 5/2021 che EDPB e EDPS (Garante europeo della protezione dei dati) hanno adottato sull'AI Act, il Board, il 22 febbraio scorso, è nuovamente intervenuto nell'iter di approvazione del nuovo Regolamento sull'intelligenza artificiale, pubblicato dalla Commissione Europea il 21 aprile 2021, attraverso una lettera vertente su specifici aspetti riguardanti il regime di responsabilità per gli eventuali danni causati dai sistemi di AI.
Il concetto di intelligenza artificiale fa riferimento a quel settore dell'informatica che si dedica alla creazione di sistemi in grado di riprodurre il funzionamento di alcune capacità della mente umana o dell'intero pensiero umano.
Si ricorda che la proposta di Regolamento sull'AI è il frutto di lungo dibattito europeo sulla necessità di costruire un mercato Ue dell'IA affidabile, sicuro e rispettoso dei diritti e delle libertà fondamentali degli individui. L'obiettivo è quello di creare una normazione armonizzata in materia di intelligenza artificiale applicabile a tutti gli Stati appartenenti all'Unione europea.
Facendo un sintetico focus sulla proposta di Regolamento, occorre dire che essa classifica i prodotti tecnologici, che utilizzano completamente o parzialmente il software di AI, in base al rischio di impatto negativo su diritti fondamentali quali la dignità umana, la libertà, l'uguaglianza, la democrazia, il diritto alla non discriminazione, la protezione dei dati e, in particolare, la salute e la sicurezza.
Applicando pertanto un approccio basato sulla valutazione del rischio, più il sistema si dimostra incline a mettere in pericolo questi diritti, più stringenti sono le misure adottate per eliminare o mitigare l'impatto negativo sui diritti fondamentali, fino a vietare quei prodotti che sono completamente incompatibili con i diritti e le libertà. In questo modo, l'AI Act classifica i sistemi di AI in diversi livelli: applicazioni vietate perché implicano rischi insopportabili per i diritti e le libertà fondamentali; applicazioni ad alto rischio che non sono proibite ma vanno sottoposte a specifiche condizioni di garanzia atte a gestire i rischi; applicazioni a rischio limitato e altre applicazioni a rischio trascurabile.
Naturalmente il mondo dell'intelligenza artificiale è strettamente connesso all'ambito della data protection, in quanto le tecniche di AI si "nutrono", "vivono" e si implementano sulla base di dati. Molto spesso si tratta di dati personali, pertanto, fisiologicamente, la proposta di Regolamento europeo sull'IA ha molti punti di contatto con il GDPR (Regolamento Ue 2016/679 in tema di trattamento e protezione dei dati personali).
Andando nello specifico delle raccomandazioni poste dall'EDPB, i Garanti europei hanno da un lato manifestato soddisfazione per la volontà di adeguare le norme in materia di responsabilità civile nell'era digitale correlate all'utilizzo dell'AI, ma parallelamente hanno sottolineato la necessità di chiarire i ruoli dei produttori e dei fornitori di sistemi di intelligenza artificiale utilizzati per incrementare la sicurezza dei dati personali, così da consentire una corretta attribuzione di responsabilità sia in termini di protezione dei dati sia in termini di responsabilità civile.
In particolare, sotto il profilo della responsabilità per i danni derivanti da prodotti difettosi di intelligenza artificiale risulta necessario promuovere un efficiente quadro di responsabilità che non può prescindere da una disciplina giuridica caratterizzata da una stretta interazione con la normativa esistente, come il GDPR appunto. Al riguardo, l'art. 82, GDPR, dedicato al diritto al risarcimento e responsabilità, prevede che chiunque subisca un danno materiale o immateriale causato da una violazione della normativa privacy ha il diritto di ottenere il risarcimento del danno, a seconda dei casi, dal titolare del trattamento o dal responsabile del trattamento.
Dunque, nell'ambito del regime di responsabilità civilistica per danni causati dalla violazione delle norme data protection, la raccomandazione dell'EDPB mira a rafforzare il regime di responsabilità dei fornitori dei sistemi di AI per garantire in primis che titolari e responsabili del trattamento dei dati personali possano far efficacemente affidamento sulle competenze, in particolar modo di cyber sicurezza, e sulle garanzie offerte da tali outsourcer. Quindi, nella prospettiva posta dal Bord, ruolo e responsabilità dei fornitori dei sistemi di AI vanno definiti con precisione dall'AI Act.
La lettera inviata dall'EDPB evidenzia, inoltre, l'opportunità di assicurare agli utenti la trasparenza riguardo all'impiego di sistemi di AI attraverso idonee informazioni sui meccanismi di elaborazione dei dati. In particolare, sempre sul versante dell'eventuale responsabilità civile per danni causata da malfunzionamento dei sistemi di AI, nel caso in cui l'onere della prova fosse in capo all'utilizzatore, quest'ultimo potrebbe non essere a conoscenza delle logiche algoritmiche sottese allo strumento di AI. Nella maggior parte dei casi, secondo il Board, questa situazione di "inconsapevolezza" porterebbe l'utente ad essere sprovvisto degli strumenti conoscitivi indispensabili a dimostrare l'eventuale responsabilità del fornitore del sistema.
I Garanti ricordano comunque che, poiché non sempre risulta possibile illustrare in modo chiaro ed esaustivo il funzionamento di sistemi di AI, vi è la necessità di progettare questi sistemi in modo conforme ai principi di protezione dati, verificando costantemente la qualità dei dati e dei processi di elaborazione. A tale riguardo, il Board ricorda il sempre più diffuso rischio di attacchi informatici, nonché la valorizzazione del profilo della supervisione umana sui sistemi.
In tale ottica, per il Comitato europeo per la protezione dei dati personali è essenziale la valutazione preliminare della qualità dei dati utilizzati dagli algoritmi.
Infatti, la mancanza di accuratezza nell'attività di raccolta, gestione e conservazione dei dati o la scarsa attenzione alla correttezza dei dati che implementano le decisioni algoritmiche (in violazione peraltro del principio di esattezza dei dati ex art. 5, par. 1, lett. d, GDPR) potrebbero tradursi in violazione dei diritti e delle libertà degli individui, nonché in danni o perdite economiche. In altri termini, per creare un ambiente tecnologico affidabile e limitare gli effetti negativi di decisioni errate, la misurabilità del grado di equità e causalità delle decisioni algoritmiche dovrebbe costituire un pilastro delle nuove regole.
L'EDPB sottolinea, infine, che la nuova normativa sulla responsabilità civile dovrà essere efficace come legislazione a sé stante e non ricalcare semplicemente gli obblighi previsti dal futuro AI Act.
*a cura di Elisa Chizzola
Liste elettorali, la Consulta deciderà sull’uso della firma digitale per i disabili
di Francesco Machina Grifeo
