Il fenomeno dell’intelligenza artificiale rappresenta un’assoluta priorità nell’agenda legislativa globale. Ancora una volta, tuttavia, il primato regolatorio è dell’Unione europea, che a giugno 2024 ha approvato il Regolamento IA (n. 1689/2024), per giudizio unanime la prima disciplina organica in materia.
I requisiti e divieti posti dal Regolamento sono uniformi in tutto il territorio dell’Unione e ineriscono, essenzialmente, all’affidabilità (trustworthiness) della tecnologia. Tale anima del regolamento riflette un product safety approach e, non a caso, si intreccia, in larga parte, con la disciplina europea in materia di sicurezza dei prodotti (come osservato criticamente nel post di Lucrezia Magli per questo Osservatorio).
Al contempo, la protezione dei valori europei rappresenta una dichiarata finalità dell’AI Act, che intende coniugare il carattere dell’affidabilità con quello dell’“antropocentrismo” della tecnologia, al fine di assicurare che l’IA sia rispettosa dei diritti fondamentali (rights based appraoch).
Tra questi, quello alla protezione dei dati personali assume, senza dubbio, un rilievo centrale, come riconosciuto dall’Independent High-Level Expert Group on Artificial Intelligence nominato dalla Commissione europea, dall’OECD e, da ultimo, dalle Autorità di protezione dei dati personali del G7.
Coerentemente con la descritta impostazione rights based, il Regolamento non pregiudica la normativa europea di protezione dei dati personali, composta, oltre che dal GDPR, dal Regolamento (UE) 2018/1725 sul trattamento di dati personali da parte di istituzioni o organismi europei e dalla Direttiva (UE) 2016/680 sulla protezione dei dati personali delle persone coinvolte in procedimenti penali.
Il Capo VII del Regolamento IA è dedicato alla “Governance” (già esaminata, anche nei suoi riflessi di diritto interno, nel post di Andrea Renzi per questo Osservatorio).
Si prevede, in primo luogo, l’istituzione dell’Ufficio AI presso la Commissione. L’Ufficio ha principalmente funzioni di supporto e consulenza, ma assume anche compiti di vigilanza diretta in riferimento ai modelli di IA per finalità generali (general purpose artificial intelligence – GPAI). Al di fuori di questa ipotesi, il Regolamento prevede l’integrale decentramento, invece, dell’attività di enforcement sugli Stati membri. Si prevede, poi, l’istituzione di un Consiglio europeo per l’intelligenza artificiale, che fornisce consulenza e assistenza alla Commissione e agli Stati membri. Esso è composto di un rappresentante per Stato membro e vi partecipano, senza diritto di voto, l’Ufficio IA e il Garante europeo dei dati personali (EDPS). Chiudono il cerchio il Forum consultivo, che raccoglie una selezione equilibrata di stakeholder, e i Gruppi di esperti scientifici indipendenti, entrambi volti a favorire l’ingresso di conoscenze e competenze, ma anche di interessi privati e sociali.
Per quanto concerne la governance nazionale, si prevede che ciascuno Stato membro istituisca o designi come autorità competenti almeno un’Autorità di notifica e un’Autorità di vigilanza del mercato. Tali autorità esercitano i loro poteri in modo indipendente, imparziale e obiettivo. Sussiste una sola riserva esplicita di competenza ed è in favore dell’Autorità di protezione dei dati personali, in relazione a sistemi di IA ad alto rischio che contemplino l’utilizzo di tecniche biometriche e siano utilizzati a fini di attività di contrasto, gestione delle frontiere, giustizia e democrazia. Inoltre, il Regolamento sottolinea che l’Autorità di vigilanza, se differente da quella di protezione di diritti fondamentali, deve stabilire un effettivo coordinamento con quest’ultima.
L’ampia formulazione del Regolamento IA ha aperto un dibattito, tuttora in corso, su quale debba essere la governance nazionale dell’intelligenza artificiale più desiderabile.
Secondo quanto illustrato dall’Autorità europea per la protezione dei dati personali (EDPB), risponderebbe ai criteri di razionalità e semplificazione la scelta degli Stati membri di designare quali Autorità competenti le Autorità di protezione dei dati personali. Nella precedente Segnalazione al Parlamento e al Governo, il GPDP aveva altresì evidenziato come la sua investitura, in vece di agenzie riconducibili all’Esecutivo, assicurerebbe i criteri di indipendenza richiesti dal Regolamento, oltre ad apparire più razionale, atteso che il Garante è l’unico soggetto nei cui confronti il Regolamento IA pone una “riserva di competenza”. Inoltre, l’individuazione del Garante come Autorità di vigilanza ridurrebbe al minimo il rischio di “conflitti di competenza e duplicazione ingiustificata degli oneri amministrativi per soggetti pubblici e privati”. Da ultimo, le ragioni di un più diretto coinvolgimento delle Autorità di protezione dei dati personali nella governance dell’IA sono state ribadite anche nel corso del citato G7.
Le unanimi voci provenienti dal mondo allargato della privacy, per quanto condivisibili e lineari, devono però fare i conti con una realtà più complessa.
Come visto, il Regolamento IA si compone di due anime (product safety approach e rights based approach). Le preoccupazioni in ordine alla competitività del mercato europeo emergono da numerosi documenti ufficiali e dall’emblematica iniziativa delle AI facotries, mentre una chiara testimonianza dell’approccio antropocentrico è offerta dal vigoroso intervento del Garante italiano contro OpenAI del 2 novembre scorso, comunicato al pubblico il successivo 20 dicembre. Le due anime del Regolamento seguono, tendenzialmente, una linea di convergenza: un’IA è sicura se rispetta i diritti fondamentali. Ma, come osservato in alcuni commenti, in caso di AI hallucinations la rigida e formalistica applicazione del GDPR potrebbe apparire sproporzionata, in quanto non necessariamente dei divieti secchi contribuirebbero ad accrescere l’accuratezza degli output restituiti dall’AI. Il bilanciamento è delicato e in talune circostanze le strade potrebbero divaricarsi.
Un ulteriore fattore di complessità sta nel fatto che un determinato utilizzo dell’IA potrebbe pregiudicare un diritto fondamentale (ad esempio, la privacy) e, al contempo, favorire la migliore realizzazione di un altro diritto (come il diritto d’autore). Il recente avvertimento indirizzato dal GPDP a OpenAI e GEDI, ad esempio, ha ad oggetto un accordo tra l’editore – legittimato a sfruttare economicamente i diritti d’autore ceduti dalle proprie firme – e uno sviluppatore di sistemi di IA generativa che utilizzano large language models (LLM). Ancorché l’accordo immaginato sarebbe di mutuo interesse per le parti, esso – si legge nel provvedimento del Garante – potrebbe sollevare criticità in punto di trattamento di dati personali di soggetti estranei all’accordo.
Alla luce della molteplicità degli interessi in gioco, portare tutti (o larga parte de)i poteri di enforcement dell’AI ACT a Piazza Venezia potrebbe avere una logica, ma non è scontato.
In questo contesto, il 20 maggio 2024 il Governo ha sottoposto all’iter di approvazione parlamentare il disegno di legge n. 1146, rubricato “Disposizioni e delega al Governo in materia di intelligenza artificiale”. In punto di governance, l’art. 18 del d.d.l. dispone che l’Agenzia per l’Italia digitale (AgID) è responsabile della promozione dell’innovazione e dello sviluppo dell’intelligenza artificiale e assume le funzioni e i compiti in materia di notifica, mentre l’Agenzia per la cybersicurezza nazionale (ACN) è responsabile per la promozione e lo sviluppo dell’intelligenza artificiale relativamente ai profili di cybersicurezza, nonché per la vigilanza, ivi incluse le attività ispettive e sanzionatorie, dei sistemi di IA. È inoltre istituito presso la Presidenza del Consiglio dei ministri un Comitato di coordinamento, composto dai direttori generali dell’AgID e dell’ACN e dal capo del Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri. Il Comitato ha il compito di assicurare il coordinamento e la collaborazione tra le Autorità nazionali per l’intelligenza artificiale e le altre pubbliche amministrazioni e autorità indipendenti. Infine, restano ferme le competenze, i compiti e i poteri del Garante per la protezione dei dati personali.
Nel “Parere su uno schema di disegno di legge recante disposizioni e deleghe in materia di intelligenza artificiale”, il Garante ha espresso un giudizio favorevole sul d.d.l., formulando tuttavia una serie di rilievi. Tra le altre cose, il Garante ha chiesto di essere inserito tra i soggetti abilitati a esprimersi sulla Strategia nazionale per l’intelligenza artificiale. Inoltre, il Garante ha segnalato l’utilità di un suo coinvolgimento permanente nel Comitato di coordinamento e ha suggerito di prevedere che AgID e ACN trasmettano allo stesso “gli atti dei procedimenti in relazione ai quali emergano profili suscettibili di rilevare in termini di protezione dati, richiedendo altresì il parere dell’Autorità rispetto a fattispecie, al loro esame, che coinvolgano aspetti di protezione dei dati”, a condizione di reciprocità.
Più duro, apparentemente, è stato il parere circostanziato (C(2024) 7814) rilasciato dalla Commissione europea lo scorso 5 novembre, ai sensi della direttiva (UE) 2015/1535. Dalla sintesi prodotta nei resoconti parlamentari si apprende che, secondo la Commissione, le autorità designate per l’IA devono possedere lo stesso livello di indipendenza previsto dalla direttiva (UE) 2016/680 per le autorità preposte alla protezione dei dati nelle attività delle forze dell’ordine, nella gestione delle migrazioni e controllo delle frontiere, nell’amministrazione della giustizia e nei processi democratici. Attributi che potrebbero mancare, evidentemente, nell’AGId e nell’ACN.
Anche in quest’ottica è stata proposta, in un emendamento, l’istituzione di una Autorità per l’intelligenza artificiale e le neurotecnologie.
Quale sviluppo dell’iter legislativo ci si deve attendere, dunque?
Questo è un post sull’IA, ma chi scrive non possiede capacità predittive. Ci si limiterà, dunque, ad alcuni rilievi obiettivi, validi allo stato dell’arte.
Anzitutto, la scelta di affidare alcune funzioni (notifica e/o vigilanza) ad agenzie governative, condivisibile o meno, non sembra essere un tabù neanche in altri ordinamenti europei. Ad esempio, Paesi come la Danimarca e la Spagna risultano essersi mossi in questa direzione.
Per quanto concerne la maggior procedimentalizzazione del coordinamento inter-istituzionale, invece, in aggiunta a quanto suggerito dal GPDP potrebbe essere utile enucleare un vero e proprio dovere giuridico dell’ACN di supporto tecnologico – quantomeno nella forma, descritta nel Regolamento, della “organizza[zione di] una prova del sistema di IA ad alto rischio mediante mezzi tecnici” – verso il Garante e altre Autorità indipendenti. Se si considera che le competenze delle Authorities restano impregiudicate per tutte le tipologie di IA, non solo quelle ad alto rischio, si potrebbe inoltre immaginare la possibilità per il Garante (e le altre Autorità indipendenti) di inviare richieste motivate aventi ad oggetto anche sistemi di IA non sottoposti alla vigilanza dell’ACN.
Una seconda osservazione, di carattere più generale, attiene alla questione metodologica dei livelli e delle sedi del coordinamento istituzionale. Si è visto che il Regolamento IA ha un contenuto eterogeneo e, come tale, abbisogna tanto di indirizzo politico quanto di vigilanza indipendente. I due momenti, però, dovrebbero restare quanto più possibile scissi. Correlativamente, separati dovrebbero essere anche i circuiti istituzionali che li hanno in carico. La designazione di due agenzie governative non depone in questo favore. Significativamente, nell’attuale formulazione dell’art. 18 d.d.l. n. 1146 l’AgID e l’ACN sono investite tanto di compiti di “promozione dell’innovazione e dello sviluppo dell’intelligenza artificiale” quanto di compiti (tecnici) di, rispettivamente, notifica e vigilanza. Proprio in ragione di questa indebita commistione i diversi interessi pubblici in gioco dovrebbero essere oggetto di una netta separazione (almeno) quando vengono in gioco diritti fondamentali. Se ne possono trarre due corollari: mentre non appare necessario, né forse desiderabile, coinvolgere il Garante della privacy nella messa a punto della Strategia nazionale sull’IA, trattandosi di attività, per l’appunto, di indirizzo politico, per ragioni eguali e contrarie non sembra sufficiente aggiungere il Garante alla platea di soggetti abilitati a sedere nel Comitato di coordinamento. Qui l’operazione dovrebbe essere, forse, più radicale, nel senso che i Dicasteri dovrebbero essere espunti dal consesso e le mura del confronto non dovrebbero essere quelle di Palazzo Chigi. Non appare conducente, cioè, incardinare presso la sede governativa il coordinamento, perché coordinamento significa anche dialettica. E il sottoporre a stretta osservazione governativa l’agire interistituzionale di due Agenzie che, come osservato nel parere della Commissione, non sono Autorità indipendenti, potrebbe determinare la caduta dell’impalcatura, già in sé scricchiolante, della governance nazionale tratteggiata nel d.d.l. In definitiva, il coordinamento dei supervisori dovrebbe aver luogo in campo neutro e coinvolgere solo le Agenzie designate in materia di IA e le Autorità indipendenti maggiormente toccate dal fenomeno, tra le quali rientra, a pieno titolo, il Garante privacy. Ciò, peraltro, in linea con lo schema che si sta seguendo ai fini dell’attuazione del Digital Services Act (art. 15, co. 2 D.L. n. 123/2023) e del Digital Governance Act (art. 2, co. 2 d. lgs. n. 144/2024). In mancanza di modifiche normative in questo senso, il coordinamento tecnico dovrà essere assicurato su basi volontarie, come nell’esperienza britannica del Digital Regulation Cooperation Forum (DRCF).
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0