Con l’aumento dell’utilizzo dell’intelligenza artificiale e dei processi decisionali automatizzati nell’ambito del settore pubblico, prosegue il lavoro delle istituzioni volto ad aumentare la fiducia nel modo in cui la tecnologia viene utilizzata nei vari contesti. A poco meno di un mese dalla proposta di Regolamento UE sull’intelligenza artificiale pubblicata il 21 aprile dalla Commissione europea, è adesso il Governo del Regno Unito a intervenire sulla materia con una nuova guida pubblicata il 13 maggio sul proprio sito.
Intelligenza artificiale nella PA, l’Italia prova a recuperare terreno: il punto
Col termine processo decisionale automatizzato si fa riferimento sia alle sole decisioni automatizzate senza nessun giudizio umano, sia al processo decisionale automatizzato che assiste il giudizio umano.
Esistono diversi requisiti legali per le due forme di processo decisionale automatizzato da parte dei soggetti pubblici, i quali intervengono per prevenire i rischi e mitigare le conseguenze di un utilizzo errato. In particolare, prevalgono le considerazioni relative all’etica e alla trasparenza che, peraltro, rappresentano lo scoglio principale per una piena fiducia in questi strumenti.
L’ultimo contributo del Governo britannico si muove in questa direzione, e va a collocarsi in un contesto internazionale che nel corso degli anni ha visto un arricchimento costante di interventi in materia, e che merita di essere analizzato, seppur senza pretese di completezza, nelle sue manifestazioni più significative.
Il provvedimento del Governo UK
Sviluppato in collaborazione dal Cabinet Office, dal Central Digital and Data Office e dall’Office for Artificial Intelligence, l’Ethics, Transparency and Accountability Framework for Automated Decision-Making è pensato per migliorare l’alfabetizzazione generale all’interno del governo sull’uso di decisioni automatizzate o algoritmiche, ed è destinato all’uso da parte di tutti i dipendenti pubblici. Il quadro si applica sia alle decisioni esclusivamente automatizzate, sia al processo decisionale assistito automatizzato e dovrebbe essere utilizzato per adottare le migliori pratiche in ciascuno di essi.
Il provvedimento è composto da sette principi fondamentali che rappresentano alcuni obiettivi essenziali quali l’effettuazione di test sul sistema per evitare conseguenze indesiderate, fornire servizi equi per tutti gli utenti e i cittadini, avere chiarezza su chi è responsabile del funzionamento del sistema e gestire i dati in modo sicuro così da proteggere i cittadini. Ad ogni obiettivo considerato, corrispondono dei passaggi pratici su come raggiungerli.
Ad esempio, quando si testa il sistema per esiti non previsti, il framework raccomanda alle organizzazioni di adottare il cosiddetto “test del team rosso“, che parte dal presupposto che “tutti i sistemi di algoritmi sono in grado di infliggere un certo grado di danno”.
Il quadro sottolinea inoltre la necessità che le organizzazioni conducano valutazioni di impatto sulla protezione dei dati e sull’uguaglianza, necessarie per la conformità alla legislazione del Regno Unito. Raccomanda inoltre di utilizzare il framework insieme alle linee guida esistenti come la National Data Strategy e il Data Ethics Framework ; quest’ultimo, peraltro, rilasciato in una versione aggiornata nel settembre 2020 da parte del Government Digital Service dopo aver scoperto che c’era poca consapevolezza, in tutto il governo, della versione precedente.
Altri principi del provvedimento includono misure e suggerimenti per aiutare i cittadini e gli utenti a comprendere l’impatto dei sistemi su di loro, garantire il rispetto della legge e costruire qualcosa che sia a prova di futuro. Come esplicitato nella guida stessa, “ai sensi della legge sulla protezione dei dati, per i processi completamente automatizzati, è necessario fornire alle persone informazioni specifiche sul processo. I proprietari dei processi devono introdurre modi semplici per le persone interessate per richiedere l’intervento umano o contestare una decisione”.
Quando i sistemi automatizzati o algoritmici assistono una decisione presa da un funzionario responsabile, invece, occorre che lo stesso sia in grado di spiegare come il sistema ha raggiunto tale decisione o la decisione suggerita.
Un elemento da notare è che il quadro riconosce esplicitamente che “gli algoritmi non sono la soluzione a tutti i problemi politici” e che le autorità pubbliche dovrebbero considerare se l’utilizzo di un sistema automatizzato sia appropriato nei loro contesti specifici prima di procedere con la loro implementazione. In effetti, sostiene il Governo britannico, il controllo dovrebbe essere applicato a tutti i processi decisionali automatizzati e algoritmici, ma non solo, tali processi non dovrebbero essere la soluzione ideale per risolvere i problemi più complessi e difficili a causa dell’alto rischio ad essi associato, pur con la precisazione che i rischi associati ai sistemi decisionali automatizzati dipendono fortemente dalle aree politiche e dal contesto in cui vengono utilizzati.
Per questo è indispensabile un’approfondita valutazione del rischio, esplorando tutte le opzioni fino alla certezza che il risultato desiderato possa essere raggiunto al meglio (solo) attraverso un sistema decisionale automatizzato o algoritmico, nel segno di una prudenza che da molti è stata apprezzata.
Il precedente europeo: le linee guida del WP29
Nell’ottobre del 2017 il Gruppo di lavoro Articolo 29 pubblicava le “Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679”, ossia le Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione, le quali intervenivano ad interpretare ed applicare l’art. 22 del GDPR, il quale disciplina proprio tali procedimenti. Tale articolo vieta (con eccezioni) qualsiasi decisione basata esclusivamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che riguardano l’interessato. Questo diritto è stato trasferito al GDPR dalla Direttiva sulla protezione dei dati del 1995 (articoli 12 e 15), e a sua volta preso in prestito dalla prima legge francese sulla protezione dei dati.
L’intento della disposizione del 1995 era di rispondere ai timori, nei primi giorni della digitalizzazione, che decisioni automatizzate, e quindi potenzialmente imperscrutabili e insindacabili, potessero pregiudicare l’accesso a strutture importanti come il credito, l’alloggio o le assicurazioni. In pratica, il provvedimento era poco conosciuto e largamente inutilizzato. Tuttavia, da quando è stato migrato all’articolo 22 del GDPR con poche modifiche sostanziali, il diritto è diventato oggetto di molta attenzione accademica per la sua possibile utilità nel frenare il potere di algoritmi di machine learning complessi, opachi e spesso invisibili, che comunemente ora prendono o, più di frequente, supportano decisioni di enorme importanza per i cittadini e i consumatori nei domini del settore pubblico e privato come la giustizia penale, il welfare o la tassazione. In questo quadro l’art. 22 del GDPR si pone come norma cardine per valutare la legittimità di una gran parte delle applicazioni della ricerca in materia di AI e delle tecniche di Data analysis.
Tuttavia, non è un articolo semplice da interpretare, essendo corredato da eccezioni e articolazioni, il che risulta chiaramente anche dalle linee guida del Gruppo Articolo 29 oltre che dalla lettura dell’articolo stesso. Il diritto a non subire un processo decisionale automatizzato è escluso se la decisione è necessaria per un contratto, se è autorizzata dal diritto dello Stato membro o se è basata su un consenso esplicito. Se si applicano la prima o la terza eccezione, devono essere messe in atto garanzie minime esplicitamente prescritte. Inoltre, se la decisione si basa su categorie particolari di dati personali (definiti nell’articolo 9 del GDPR e comprendenti dati sensibili come salute, razza e religione), il processo decisionale automatizzato è consentito solo sulla base di un consenso esplicito o un interesse pubblico sostanziale e, ancora una volta, devono essere messe in atto garanzie adeguate.
Le linee guida, quindi, contengono importanti chiarimenti sulla materia – ivi compresa una serie di definizioni essenziali – non solo alla luce dell’art. 22 GDPR sui processi decisionali automatizzati, ma dell’intero Regolamento, con quello che potremmo definire come il primo approccio europeo ad una regolamentazione delle decisioni basate sull’intelligenza artificiale. Un orientamento, quello europeo, che anche oggi si conferma fondato su una visione antropocentrica, che considera le nuove tecnologie come un mezzo al servizio del benessere dell’uomo. Tale approccio, già chiaro nelle Linee guida del 2017, si è delineato in maniera ancor più limpida nella proposta di Regolamento presentata ad aprile 2021.
Il panorama internazionale: il recente esempio canadese
Lo sviluppo dell’intelligenza artificiale e la produzione normativa volta ad accompagnare tale sviluppo sono ormai di attualità in tutto il contesto internazionale. Quella della ricerca sulle nuove tecnologie rappresenta oggi una delle principali competizioni da cui pendono gli equilibri mondiali sotto il profilo politico ed economico, coinvolgendo non solo le élite di cui spesso si parla quando si affronta la materia, ma anche paesi spesso rimasti in sordina.
Uno tra questi è il Canada, che nonostante l’ombra dei vicini statunitensi, vanta la terza concentrazione di esperti di intelligenza artificiale al mondo, posizionandosi così all’avanguardia nella ricerca e nello sviluppo delle tecnologie. Nel 2019, lo Stato canadese dell’Alberta ha annunciato un piano di investimenti da 100 milioni di dollari canadesi in 5 anni proprio nel settore dell’intelligenza artificiale. Il governo centrale, d’altronde, aveva già lanciato nel 2017 un programma di sviluppo denominato Pan-Canadian Artificial Intelligence Strategy, investendo 125 milioni di dollari canadesi per stimolare e sostenere la comunità di ricerca nazionale nel campo dell’intelligenza artificiale. Ancora, il tema è stato selezionato dal Governo come uno dei 5 temi principali della Innovation Superclusters Initiative.
Sul piano normativo, ad oggi in Canada ci sono due atti alla base della materia, che sono il Digital Charter Implementation Act e la Directive on Automated Decision-making, entrambi molto recenti. Il primo atto ha prodotto una significativa revisione del regime legislativo sulla privacy del paese, sostituendo la legge sulla protezione delle informazioni personali e sui documenti elettronici con due nuove leggi, una delle quali istituisce il Tribunale per le informazioni personali e la protezione dei dati (PIPTD), competente a rendere decisioni scritte, definitive e vincolanti, soggette solo a revisione giudiziaria ai sensi del Federal Courts Act.
La legge ha anche lo scopo di guidare l’azione futura del legislatore sulla base di alcuni principi cardine quali la necessità di un consenso informato, il diritto alla portabilità dei dati e il diritto alla revoca del consenso, oltre all’obbligo per le aziende di rispettare determinati requisiti di trasparenza.
La Directive on Automated Decision-making, invece, ha come scopo che i sistemi decisionali automatizzati siano implementati in modo da ridurre i rischi per i canadesi e le istituzioni federali e portare a decisioni più efficienti, accurate, coerenti e interpretabili prese ai sensi della legge canadese.
Peraltro, la direttiva si propone di raggiungere determinati risultati attesi: che le decisioni prese dai dipartimenti del governo federale siano basate sui dati, compiute in modo responsabile e conforme all’equità procedurale e ai requisiti del giusto processo, che vengano valutati gli impatti degli algoritmi sulle decisioni amministrative e gli esiti negativi vengano ridotti, quando riscontrati, e infine che i dati e le informazioni sull’uso dei sistemi decisionali automatizzati nelle istituzioni federali siano resi disponibili al pubblico. A rimanere esclusi dall’applicazione della direttiva sono però i sistemi di sicurezza nazionale, oltre ai sistemi decisionali automatizzati sviluppati o acquisiti prima del primo aprile 2021.
Conclusioni
A rendere particolarmente interessante il fatto che sia proprio britannico l’ultimo intervento in materia di processi decisionali basati sull’intelligenza artificiale, sono anche alcuni fatti apparsi sulla cronaca internazionale. Lo scorso agosto, infatti, in Gran Bretagna, la protesta degli studenti ha portato alle dimissioni del Ministro dell’istruzione dopo il tentativo del governo di utilizzare un algoritmo in sostituzione degli esami pubblici che non si erano potuti svolgere a causa della pandemia. Molti studenti sono stati ingiustamente declassati dalla prima qualifica che era necessaria per chiedere l’ingresso nelle migliori università. Questo a causa di errori nell’algoritmo che non rifletteva il livello di conoscenza, abilità e comprensione degli studenti esaminati. L’avvenimento ha aperto un dibattito, nel Parlamento inglese, sugli standard costituzionali da rispettare nell’utilizzo dell’intelligenza artificiale nel settore pubblico e, con ogni probabilità, è stato un efficace input verso la nuova guida sui processi decisionali automatizzati.
A ogni modo, se non è un intervento risolutore, può quantomeno essere un’iniziativa di accrescimento della competitività. In effetti, il mondo sta correndo e le potenze mondiali stanno investendo. L’Europa sta cercando di farlo in modo compatto, Cina e Stati Uniti lo stanno facendo da molti anni con approcci opposti, e poi ci sono le presunte outsider capitanate dal Canada che non gode della fama del Vecchio continente, della Repubblica popolare e degli USA, ma non ha niente da invidiare loro. Evidentemente anche il Regno Unito ha preso atto delle necessità evidenti di regolare queste forme di intelligenza artificiale che si collocano peraltro nei processi di digitalizzazione delle amministrazioni pubbliche cui stanno mirando molti Paesi, tra la volontà di non rimanere indietro e la necessità di non ripetere errori che minino la fiducia e accrescano la diffidenza, poiché attraverso questo equilibrio passano gli investimenti privati necessari per supportare le iniziative pubbliche.