La UE vara AI Act, conformità con normativa privacy e diritto d'autore i nodi ancora irrisolti
L'approvazione potrebbe avere un impatto notevole sul posizionamento della UE nel mondo della tecnologia per i prossimi anni
Dopo le tensioni degli ultimi giorni, il Parlamento europeo ha votato a favore dell'approvazione dell'AI Act, la prima normativa al mondo sull'intelligenza artificiale.
I temi principali che hanno messo a rischio il voto riguardavano l'uso dell'identificazione biometrica a distanza in tempo reale su cui si è raggiunto un compromesso consentendola solo ex post con autorizzazione giudiziaria.
Allo stesso modo, nelle ultime settimane si sono avvicendate diverse versioni dell'AI Act rispetto al regime applicabile ai sistemi di intelligenza artificiale generativa e i c.d. foundation model, come ChatGPT o Google Bard.
Si è raggiunto un compromesso introducendo obblighi di informazioni da divulgare alla catena di valore i.e., per esempio alle aziende che tramite API sfruttano questa tecnologia nella propria operatività, di trasparenza sui set di dati utilizzati per l'addestramento dell'intelligenza artificiale, anche per consentire un controllo da parte dei titolari dei diritti sugli stessi e di valutazione di conformità che però non deve essere fatta da un terzo, come previsto invece per i sistemi di IA ad alto rischio.
Rispetto all'ammontare delle sanzioni, è stato previsto che potranno arrivare fino al 7% del fatturato del soggetto che commette la violazione, a seconda del tipo di violazione, riproducendo l'approccio sul calcolo delle sanzioni che si è consolidato dopo il GDPR.
Una questione controversa, e al momento irrisolta, riguarda il modo in cui i sistemi di intelligenza artificiale generativa possano convivere con le normative sul trattamento dei dati personali e in materia di diritto d'autore.
Nessuna eccezione di rilievo è stata introdotta all'applicabilità di queste discipline, prevendendo solo un regime speciale rispetto alla normativa del GDPR nel caso in cui sia necessario correggere i c.d. bias . Non è un problema da poco se si considera che il lancio di Google Bard nell'Unione europea sembrerebbe essere stato ritardato proprio per i problemi derivanti dalla conformità con normativa privacy.
Il provvedimento del Garante contro ChatGPT potrebbe essere interpretato nel senso che qualora i sistemi di AI si conformino agli impegni assunti da Open AI potrebbero essere considerati conformi al GDPR. Tuttavia, senza una posizione unitaria da parte dei Garanti europei c'è il rischio di posizioni incoerenti.
Allo stesso modo, non c'è nessun collegamento nell'AI Act alla normativa di cui alla Direttiva Copyright e in particolare alla applicabilità della "text and data mining exemption" nel training dei sistemi di AI che, sebbene nei limiti della portata dell'eccezione, avrebbe potuto chiarire la possibilità per gli sviluppatori di farne affidamento. Questo avrebbe potuto limitare il rischio di contenzioni per violazione del copyright che stanno già emergendo numerosi negli Stati Uniti.
Se dovessimo attendere almeno altri due anni per testare per la prima volta la normativa dell'AI Act questo potrebbe danneggiare tutto il mercato comunitario perché mancherebbe la certezza del diritto che è alla base degli investimenti.
L'Unione europea sta cercando di trovare una soluzione a questo problema con il Codice di Condotta sull'IA che, una volta finalizzato, sarà sottoposto ai leader del G7 come proposta comune globale di disciplina dell'intelligenza artificiale, e le aziende saranno incoraggiate a impegnarsi a rispettarlo volontariamente.
L'obiettivo è avere regole che possano essere immediatamente applicate e che abbiano una portata transnazionale.
Nella stessa direzione va l'AI Pact che consiste nell'impegno delle imprese a rispettare volontariamente le previsioni dell'AI Act prima che diventi vincolante.
Queste due iniziative, insieme al voto del Parlamento europeo, dimostrano l'intenzione dell'UE di rendere l'Unione europea leader nella regolamentazione dell'IA a livello globale, prima degli Stati Uniti e della Cina. L'Unione europea confida nel cosiddetto "effetto Bruxelles", già avvenuto con normative come il GDPR che poi è stato – con diverse tempistiche – il modello da emulare per altre regolamentazioni nazionali sulla privacy.
Se questo effettivamente avvenisse, le aziende comunitarie potrebbero rendere una limitazione normativa potenzialmente discriminatoria, come quella imposta dall'AI Act, un vantaggio competitivo perché tutte le aziende sarebbero interessate a sfruttare una tecnologia già conforme con la normativa locale. Questo è in linea con la strategia dell'UE di creare dei Champion europei della tecnologia.
È ancora presto per dire se il tentativo del legislatore europeo avrà successo. I politici si sono affrettati ad adottare regolamenti in grado di disciplinare l'intelligenza artificiale, ma l'AI Act ha avuto già una gestazione di oltre due anni e non è stato ancora approvato definitivamente.
I negoziati proseguiranno tra il Parlamento europeo, la Commissione e il Consiglio, con un accordo finale atteso entro la fine dell'anno, prima delle nuove elezioni europee. Sarebbe infatti una vera sconfitta per le autorità europee qualora la legislatura europea si concludesse senza una approvazione definitiva.
In questo contesto, le aziende stanno accelerando l'adozione di soluzioni di intelligenza artificiale visti i notevoli benefici operativi che possono assicurare. Tuttavia, non possono permettersi di non conformarsi con la versione dell'AI Act votata dal Parlamento UE insieme con quantomeno la normativa sul copyright, in materia di privacy e gli standard internazionali riconosciuti.
Non c'è dubbio che il voto del Parlamento europeo debba essere accolto con favore, ma i prossimi mesi saranno decisivi per comprendere del tutto la sua portata.
_____
*A cura di Giulio Coraggio, partner DLA Piper
