Le considerazioni del Garante in merito alla proposta di regolamento UE sull’intelligenza artificiale

Lo scorso 9 marzo, il Garante per la protezione dei dati personali ha illustrato, dinanzi alle Commissioni IX e X della Camera dei deputati, una Memoria sulla proposta di Regolamento della Commissione europea sulla intelligenza artificiale.

>> Clicca QUI per scaricare il testo

Innanzitutto, il Garante ha ricordato che per Intelligenza Artificiale (IA) si intende l’abilità di una macchina di mostrare capacità umane quali il ragionamento, l’apprendimento, la pianificazione e la creatività e che essa è diventata di centrale importanza per l’UE.

I sistemi di IA sono capaci di adattare il proprio comportamento, analizzando gli effetti delle azioni precedentemente compiute e lavorando in autonomia.

La Commissione europea ha presentato, nell’aprile 2021, la proposta di regolamento che stabilisce norme armonizzate in materia di intelligenza artificiale (IA) e che reca modifiche ad alcuni atti legislativi dell’Unione, con l’obiettivo primario di istituire un quadro di riferimento volto a normare il mercato nell’Unione Europea dell’IA.

Infatti, nel primo considerando della suddetta proposta è riportato che il regolamento intende migliorare il funzionamento del mercato interno definendo un quadro giuridico uniforme, in particolare per lo sviluppo, la commercializzazione e l’uso dell’intelligenza artificiale, conformemente ai valori dell’Unione.

Ciò premesso, il Garante per la protezione dei dati personali nella propria Memoria si è focalizzato principalmente sulle linee di convergenza tra IA e protezione e trattamento dei dati personali.

Innanzitutto il Garante ha osservato che l’unica normativa, al momento, vigente in materia di IA è proprio quella dettata in materia di protezione di dati personali, ossia il GDPR. Le due materie, infatti, presentano notevoli e numerosi punti di convergenza dai quali non è possibile prescindere e il fulcro di tale relazione risiede nel contributo che i dati (e quindi il loro trattamento) forniscono per alimentare i sistemi di IA in vista del loro apprendimento automatico.

1. Regolamento sull’IA e GDPR

Posto, quindi, che i dati sono alla base dei sistemi di Intelligenza Artificiale, il Garante ha osservato come il GDPR, all’art. 22, disciplini proprio il trattamento automatizzato dei dati personali. Tale norma, infatti, riconosce il diritto dell’interessato a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato dei dati, che produca effetti giuridici che lo riguardano o che comunque incida significativamente sulla sua persona.

In altre parole, l’art. 22 ribadisce che l’interessato ha diritto di non essere sottoposto a una decisione basata esclusivamente sul trattamento automatizzato dei propri dati personali, compresa la profilazione, che, ai sensi dell’art. 4 del GDPR, produce effetti giuridici che riguardano l’interessato o che incide allo stesso modo sulla sua persona in modo significativo.

L’Autorità ha precisato, poi, che al suddetto art. 22 GDPR, corrisponde, per il settore di polizia e giustizia penale, l’art. 11  della direttiva 2016/680 (rubricato “processo automatizzato relativo alle persone fisiche”), la quale introduce la regolamentazione delle protezione delle persone fisiche con riferimento al trattamento dei dati da parte delle autorità a fini di prevenzione, investigazione e repressione di reati.

Rispetto al processo decisionale automatizzato, la disciplina di protezione dei dati personali ha quindi sancito il c.d. diritto alla spiegazione, alla revisione umana della decisione automatizzata e il divieto di discriminazione.

2. Lo schema di regolamento

L’Autorità ha evidenziato come il progetto di Regolamento europeo sull’AI prevede delle soluzioni che mettono l’uomo e la sua persona al centro della regolamentazione per tutelarlo dai rischi connessi all’uso dell’AI, quali, ad esempio: l’imposizione di doveri di trasparenza verso gli utenti; il criterio di localizzazione dei destinatari dell’offerta produttiva, quale parametro di applicazione della normativa; la comunicazione obbligatoria degli incidenti potenzialmente pregiudizievoli e non solo.

Il Garante ha altresì sottolineato, a tal proposito, che la classificazione dei divieti e dei gradi di rischiosità delle applicazioni di IA rievoca parametri previsti dalla disciplina di protezione dati.

In particolare, nella proposta di Regolamento viene previsto: il divieto di fare ricorso a sistemi d’IA correlati a tecniche subliminali idonee a condizionare il comportamento altrui o a sfruttare le vulnerabilità dei gruppi sociali; il divieto di fare ricorso a sistemi di social scooring fondati sul monitoraggio delle condotte individuali o all’identificazione biometrica per finalità di contrasto alla criminalità, salva la necessità per esigenze pubblicistiche imperative specificamente enunciate, con l’autorizzazione preventiva rilasciata da un’autorità giudiziaria o amministrativa dello Stato coinvolto.

Ciò detto, nell’analisi dello schema di Regolamento, il Garante ha osservato che le scelte operate sono più che meritevoli; ma che, tuttavia, alcune di esse necessitano di ulteriori miglioramenti.

In particolare, il Garante ha auspicato, che il legislatore europeo possa prevedere un più puntuale sistema di certificazione della disciplina di protezione dei dati, “coinvolgendo maggiormente le relative Autorità nella redazione di norme armonizzate e chiarendo se la protezione dei dati personali debba essere considerata uno dei requisiti nell’ambito dei codici di condotta”.

Sul punto, il Garante ha osservato che sarebbe auspicabile una clausola di salvaguardia in favore della di disciplina di protezione dei dati allo scopo sia di garantire una coerente applicazione, sia di evitare antinomie tra i due plessi normativi.

In merito alla governance, così come progettata nello schema di regolamento, il garante ha osservato che i soggetti indicati quali titolari di competenza di supervisione non sono circoscritti alle autorità amministrative indipendenti.

Secondo l’Autorità, invece dovrebbe essere riconosciuta indipendenza al Comitato europeo per l’Intelligenza Artificiale, ridimensionando il ruolo previsto della Commissione, compresa la previsione del potere di agire d’ufficio di quest’ultima.

Dunque, sarebbe auspicabile una diversa configurazione a livello di governance che possa caratterizzarsi per maggiore ed effettiva indipendenza e necessario coinvolgimento, quando competente, dell’Autorità di protezione dei dati. In tale contesto, il garante ha osservato che dovrebbero essere seguite le soluzioni proposte dall’Edps (European Data Protectetion Supervisor) e dall’Edpb (Eurpean data Protection Board) le quali propendono per l’individuazione, nell’Autorità di protezione dei dati, delle autorità di controllo per l’IA.

Secondo queste due istituzioni, infatti, la “designazione delle autorità per la protezione dei dati come autorità nazionali di controllo assicurerebbe un approccio normativo più armonizzato e contribuirebbe all’adozione di un’interpretazione coerente delle disposizioni in materia di trattamento dei dati nonché a evitare contraddizioni nella loro applicazione nei diversi Stati membri”.

Dunque, il monito principale del Granate è quasi interamente condensato su questo punto, ossia sulla necessaria ed auspicabile individuazione dell’autorità di controllo, ai fini dello schema di regolamento oggetto di commento, nel Garante stesso, considerata anche la notevole e passata esperienza in materia.

Secondo il nostro Garante, infatti, le Autorità nazionali possiedono già requisiti essenziali quali la competenza e la indipendenza necessaria per a garantire attuazione al regolamento in materia di AI proposto dalla Commissione Europea.

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento