Questo post fa parte del punto di vista dell’Osservatorio sull’AI Act
L’approccio human-rights-by-design e risk-based adottato dall’Unione europea nella definizione delle regole per l’intelligenza artificiale promette la costruzione di un quadro normativo fondato sui valori europei. Accanto alle misure di tutela e garanzie per gli utenti, il Regolamento delinea un ecosistema di eccellenza e di fiducia per le imprese, ponendo al centro la trasparenza, la sicurezza e il controllo nell’impiego di strumenti di IA. Gli interventi messi in atto potrebbero tuttavia non essere sufficienti ad assicurare un’adeguata protezione dei diritti umani, che sembrano irrimediabilmente compromessi dall’interesse prevalente alla regolazione e sicurezza dei sistemi di IA.
Il Regolamento sull’intelligenza artificiale mira a istituire un quadro etico e giuridico omogeneo per lo sviluppo di sistemi di IA all’interno dell’Unione europea, consentendo la diffusione di tecnologie conformi ai valori fondamentali di cui la stessa si fa portatrice.
Come riportato anche all’interno del primo considerando, il Regolamento n. 2024/1689 intende infatti promuovere l’impiego di un’intelligenza artificiale antropocentrica e affidabile, garantendo al contempo un livello elevato di protezione della salute, della sicurezza e dei diritti sanciti dalla Carta dei diritti fondamentali dell’Unione europea, compresi la democrazia, lo Stato di diritto e la protezione dell’ambiente.
Il bilanciamento tra la necessaria innovazione e la tutela dei diritti fondamentali dei cittadini ed utenti europei rappresenta pertanto la sfida più importante cui l’Unione ha dovuto far fronte nella definizione delle regole per le tecnologie in questione, rispetto alle quali, si ricorda, essa appare impreparata sotto un profilo prettamente tecnico-informatico, soprattutto se paragonata alla potenza tecnologica cinese o a quella americana (sulla collaborazione inglese-americana per la costituzione di un sistema comune di regolazione dell’intelligenza artificiale si veda M. B. Armiento, Regolare l’intelligenza artificiale a livello globale: dopo l’Europa, è la volta di Stati Uniti e Regno Unito? in questo Osservatorio).
Le scelte attuate dal Regolamento appaiono quindi orientate al human-rights-by-design approach, e dunque indirizzate allo sviluppo di sistemi di IA responsabili con al centro l’uomo ed il rispetto dei suoi diritti fondamentali. In questo senso, tra le varie misure predisposte e i meccanismi di tutela messi in atto, il Regolamento adotta la classificazione degli strumenti di IA basandosi sui rischi che possono derivare dal loro utilizzo, individuando le pratiche di IA inaccettabili e da vietare (art. 5) e stabilendo i requisiti per i sistemi di IA ad alto rischio, gli obblighi per gli operatori pertinenti e, non da ultimo, i doveri di trasparenza e controllo.
L’introduzione di oneri differenziati a seconda della pericolosità dei sistemi, secondo un canone di proporzionalità, nonché l’esclusione immediata di alcune categorie di strumenti, d’altra parte, appare assolutamente coerente alla creazione di un quadro di IA affidabile così come era già stato auspicato dall’High-Level Expert Group della Commissione europea, che all’interno delle raccomandazioni del 2019 aveva elaborato sette principi etici (ossia intervento e sorveglianza umani; robustezza tecnica e sicurezza; vita privata e governance dei dati; trasparenza; diversità, non discriminazione ed equità; benessere sociale e ambientale; responsabilità) che, benché non vincolanti, vengono richiamati anche all’interno del Regolamento come criteri orientativi per la disciplina dei sistemi di IA (e di cui parla anche M. Cardone, La Strategia nazionale sull’Intelligenza artificiale e le prossime sfide dell’Italia, all’interno di questo Osservatorio).
La tutela degli utenti può essere poi apprezzata con riferimento alla scelta di esplicitare il diritto di presentare un reclamo avverso l’utilizzo dei sistemi di intelligenza artificiale, posto che, come ricordato all’interno del considerando n. 170 del Regolamento, sia il diritto dell’Unione che quello nazionale prevedono già mezzi di ricorso efficaci per le persone fisiche e giuridiche sui cui diritti e sulle cui libertà incide negativamente l’uso dei sistemi di IA. Fatti salvi tali mezzi di ricorso, il Regolamento dispone quindi all’art. 85 che qualsiasi persona fisica o giuridica che abbia motivo di ritenere che vi sia stata una violazione del Regolamento ha il diritto di presentare un reclamo alla pertinente autorità di vigilanza del mercato.
Insieme al diritto di reclamo, la tutela degli utenti deve essere considerata anche con riferimento all’articolo immediatamente successivo, che prevede la possibilità di ottenere una spiegazione dei singoli processi decisionali quando la statuizione finale adottata da un deployer (utilizzatore) si basi principalmente sugli output di determinati sistemi di IA ad alto rischio e qualora tale decisione produca effetti giuridici o incida, in modo analogo, significativamente su tali persone, in un modo che esse ritengano avere un impatto negativo sulla loro salute, sicurezza o sui loro diritti fondamentali (art. 86). Tale spiegazione, come chiarito dal Regolamento, dovrebbe essere chiara e significativa, al fine di fornire alle persone interessate una solida base per valutare come meglio esercitare i propri diritti e garantire la piena trasparenza dell’utilizzo degli strumenti di IA.
Il medesimo intento di protezione può essere apprezzato, inoltre, con riferimento alla previsione del consenso informato come requisito determinante per la sperimentazione di sistemi di IA ad alto rischio in condizioni reali al di fuori degli spazi di sperimentazione normativa (previsto all’art. 60), nonché con riferimento agli obblighi di sorveglianza umana imposta per i sistemi di IA ad alto rischio, conformemente al principio del c.d. human in the loop (art. 14).
In questo senso, il Regolamento predispone un’ampia serie di rinvii e riferimenti alla Carta dei diritti fondamentali dell’Unione europea e al GDPR, incastrando le proprie disposizioni in un quadro normativo complesso. L’AI Act prevede infatti che il diritto alla protezione dei dati personali debba essere garantito durante l’intero ciclo di vita dei sistemi di AI e richiama quindi alcuni principi fondamentali e norme specifiche sanciti dal GDPR, come ad esempio i principi di minimizzazione e di privacy by design e by default, l’anonimizzazione dei dati, la cifratura e l’uso di tecnologie che consentano di inserire algoritmi nei dati e di addestrare i sistemi di AI senza trasmissione dei dati.
Vieppiù. Nella panoramica di misure approntate per la tutela dei diritti non si può non citare la previsione all’interno dell’AI Act di una nuova valutazione di impatto incentrata sui diritti fondamentali che si va ad aggiungere, nel caso dei sistemi di AI ad alto rischio, a quella prevista all’interno dell’art. 35 GDPR (obbligatoria per i trattamenti di dati personali che presentano rischi elevati per i diritti e le libertà delle persone fisiche). Nel caso di sistemi ad alto rischio, l’AI Act impone infatti ai deployer di svolgere un’ulteriore valutazione d’impatto sul rispetto dei diritti fondamentali (la c.d. FRIA, Fundamental Rights Impact Assessment), finalizzata alla ponderazione degli effetti che un sistema di AI può avere sui diritti fondamentali delle persone e all’individuazione delle misure da adottare al concretizzarsi di tali rischi.
L’inserimento di tale valutazione (prevista all’art. 27 del Regolamento) rappresenta di sicuro l’innovazione più interessante con riferimento alla tutela dei diritti fondamentali ed è il risultato dell’intervento del Parlamento europeo sulla proposta normativa elaborata da parte della Commissione europea, ritenuta non sufficientemente attrezzata sotto il profilo della tutela dei diritti fondamentali e necessitante, pertanto, di ulteriori strumenti di protezione (tra cui, altresì, il diritto alla spiegazione, anch’esso inizialmente non contemplato nella versione proposta dalla Commissione europea e inserito successivamente).
Il quadro complessivo delle misure approntate dal Regolamento per la tutela dei diritti coinvolti appare dunque quello di una normativa cauta e lungimirante, che cerca di inglobare all’interno delle disposizioni i principi e valori etici dell’ordinamento europeo, in modo da creare un ecosistema di eccellenza e di fiducia conforme a quanto auspicato nel Libro Bianco sull’intelligenza artificiale del 2020, senza tuttavia sacrificare la regolamentazione per la sicurezza dei prodotti di IA, che rappresenta, ad ogni modo, l’obiettivo primario della normativa. In questo senso, la progettazione di modelli per identificare e valutare i potenziali rischi per i diritti fondamentali rimane quindi la sfida più importante per l’Unione europea e per gli Stati membri, così come ribadito anche dalle Autorità garanti per la protezione dei dati personali nella scorsa edizione del G7-2024 dei Garanti privacy, che all’interno della Dichiarazione sul ruolo delle autorità di protezione dei dati nel promuovere un’IA affidabile hanno riaffermato la funzione centrale che ricoprirà in questo frangente la collaborazione tra le autorità nazionali.
Le misure attuate dal Regolamento, per quanto orientate alla tutela dei diritti umani, lasciano tuttavia perplessi molti commentatori. Lo dimostra, tra le altre, la dichiarazione firmata da Access Now per quanto concerne il problema della migrazione e la tutela dei diritti dei migranti, su cui l’AI Act appare assolutamente carente (sull’impiego di strumenti di IA per il controllo di flussi migratori si veda A. Pincini, Controllo delle frontiere: scende in campo l’Intelligenza Artificiale).
In generale, molte paure riguardano la scelta di adoperare la tutela dei diritti umani come un vero e proprio criterio per la previsione di obblighi più stringenti. In questo senso, secondo la logica risk based prima richiamata, la protezione dei diritti fondamentali all’interno del Regolamento sembra seguire gli stessi metodi di valutazione del rischio utilizzati per la sicurezza dei prodotti (con tutte le storture che ne derivano) piuttosto che rappresentare un limite invalicabile per l’impiego di strumenti potenzialmente nocivi di IA.
L’ottica della c.d. “accettabilità del rischio” che pare permeare la struttura dell’AI Act si discosta decisamente dalle aspirazioni e dall’impostazione perseguita dal resto delle normative europee e, in particolare, dal GDPR, all’interno del quale i diritti fondamentali ricoprono una posizione centrale e un rischio elevato rappresenta un ostacolo non superabile per l’adozione di prodotti o trattamenti, salvo non sussistano ragioni ed interessi prevalenti.
Occorre infatti sottolineare che, se nel settore della sicurezza dei prodotti di intelligenza artificiale il rischio può essere quantificato mediante calcoli matematici, non è possibile ricavare un numero rappresentativo del pericolo e del sacrificio imposto nel campo dei diritti umani. Sarà dunque lo strumento della FRIA a limitare i danni e a tentare di porre rimedio agli scenari negativi che tale impostazione potrebbe determinare.
Un altro timore concerne poi la formulazione di molte disposizioni che riguardano i sistemi di IA ad alto rischio, ritenuta troppo ampia e astratta, soprattutto se paragonata alla sintassi e al lessico adoperati nella stesura del GDPR. Tale vaghezza nella definizione delle fattispecie lascia certo presumere l’incapacità del Regolamento di limitare, in concreto, l’utilizzo di tecnologie pericolose per i diritti umani.
Da ultimo, non si possono ignorare le parole di Mher Hakobyan, consulente di Amnesty International su intelligenza artificiale e diritti umani, il quale ha dichiarato: “L’AI Act offre garanzie limitate alle persone che ne sono maggiormente colpite e alle comunità marginalizzate; non vieta l’utilizzo e l’esportazione di tecnologie di intelligenza artificiale pericolose e non garantisce protezione a migranti, rifugiati e richiedenti asilo. Mancano, inoltre, disposizioni adeguate in tema di responsabilità e trasparenza, che probabilmente esacerberanno le violazioni dei diritti umani”.
Il Regolamento per l’intelligenza artificiale, nonostante le modifiche introdotte a opera del Parlamento europeo, appare quindi ancora lontano dagli obiettivi di tutela tanto fermamente annunciati, proponendo uno standard normativo globale che, sebbene riconosca in astratto un ruolo centrale alla tutela dei diritti fondamentali, sembra non riuscire a proteggere in concreto i diritti degli utenti, finendo per colpire ancora più duramente le categorie già svantaggiate e maggiormente esposte.
Nel bilanciamento prima richiamato tra innovazione, regolazione, sicurezza da una parte e protezione dei diritti umani dall’altra, l’attuale formulazione dell’AI Act risulta quindi propendere verso la valorizzazione delle tecnologie piuttosto che verso gli obiettivi di tutela. È ciò, come sostenuto da diverse voci, può essere attribuito a un errore, originario, di design delle disposizioni, piuttosto che a una scelta consapevole di regolazione dei sistemi di IA.
immagine presa da Qwant, dominio pubblico
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0
