Alla fine di aprile del 2023, il Parlamento UE ha raggiunto un accordo politico provvisorio sulla proposta della Commissione UE di un Regolamento che stabilisce regole armonizzate sull’intelligenza artificiale (“AI Act”). Attualmente, è in corso la negoziazione con il Consiglio d’Europa sul testo definitivo. È probabile che l’AI Act venga emanato entro fine 2023; comunque, prima delle prossime elezioni europee (primavera 2024).
I paesi si trovano dunque a dover scegliere se creare un’autorità di controllo per l’AI ad hoc o se affidare le relative funzioni e le responsabilità ad un’autorità indipendente già esistente.
Un’autorità nazionale competente per l’IA
A livello nazionale, gli Stati membri dovranno designare una o più autorità nazionali competenti e, tra queste, l’autorità nazionale incaricata di sorvegliare l’applicazione dell’AI Act e di istituire spazi di sperimentazione normativa per agevolare lo sviluppo e le prove di sistemi di IA innovativi prima che tali sistemi siano immessi sul mercato o altrimenti messi in servizio.
Qualora motivi organizzativi e amministrativi lo giustifichino, uno Stato può designare più di un’autorità. Inoltre, ogni Stato potrà – se preferisce – affidare la funzione di controllo ad un’autorità indipendente già operante per altra materia; l’importante è che essa abbia competenze tecnologiche e risorse umane e finanziarie sufficienti.
Secondo l’art. 59 dell’AI Act, le autorità nazionali competenti dovranno disporre di sufficiente personale permanentemente disponibile, le cui competenze e conoscenze comprendono una comprensione approfondita delle tecnologie, dei dati e del calcolo dei dati di intelligenza artificiale, dei diritti fondamentali, dei rischi per la salute e la sicurezza e una conoscenza delle norme e dei requisiti giuridici esistenti.
L’istituzione di un comitato europeo per l’intelligenza artificiale
A livello di Unione Europea, l’AI Act prevede l’istituzione di un comitato europeo per l’intelligenza artificiale, presieduto dalla Commissione UE e composto appunto dai vertici delle autorità nazionali di controllo (in rappresentanza dei singoli Stati) e dal Garante europeo della protezione dei dati. Il comitato avrà il compito di facilitare un’attuazione agevole, efficace e armonizzata del Regolamento, di favorire la cooperazione tra le autorità nazionali di controllo e la Commissione e di dare consulenza alla Commissione UE.
Autorità di controllo per l’IA: i pareri di EDPB e GEPD
Ora che l’iter dell’AI Act è a buon punto, è tempo di riflettere sulla scelta che l’Italia avrà davanti, cioè se creare un’autorità di controllo per l’AI ad hoc o se affidare le relative funzioni e le responsabilità ad un’autorità indipendente già esistente, come è avvenuto per esempio nel 2005 – quando l’Autorità Garante della concorrenza e del mercato è stata scelta quale autorità competente per l’applicazione della normativa in materia di pratiche commerciali scorrette verso i consumatori – oppure poche settimane fa, quando l’Autorità per le Garanzie nelle comunicazioni è stata scelta quale autorità competente per l’applicazione del DSA.
Nel parere congiunto 5/2021, il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (GEPD) hanno raccomandato l’affidamento della funzione e delle responsabilità di autorità di controllo in materia di IA alle autorità nazionali competenti per la protezione dei dati.
Secondo l’EDPB e il GEPD, esse stanno già applicando il GDPR per quanto riguarda i sistemi di IA che interessano i dati personali; perciò, dispongono già, in una certa misura, di conoscenze in materia di tecnologie basate sull’IA, di dati e di sistemi di elaborazione degli stessi nonché di diritti fondamentali, e di competenze nella valutazione dei rischi che le nuove tecnologie comportano per questi diritti fondamentali. Inoltre, se i sistemi di IA si basano sul trattamento di dati personali o li trattano, le disposizioni dell’AI Act sono direttamente interconnesse con il quadro giuridico per la protezione dei dati. La designazione delle autorità per la protezione dei dati come autorità nazionali di controllo assicurerebbe un approccio normativo più armonizzato, favorirebbe un’interpretazione coerente delle disposizioni in materia di trattamento dei dati ed eviterebbe contraddizioni nella loro applicazione nei diversi Stati membri. Inoltre, le parti interessate della catena di valore dell’IA trarrebbero beneficio dall’esistenza di un punto di contatto unico per tutte le operazioni di trattamento dei dati personali che rientrano nell’ambito di applicazione dell’AI Act, oltre che dalla limitazione delle interazioni tra due differenti organismi di regolamentazione dei trattamenti che sono sottoposti alla proposta e al GDPR.
Garante privacy o autorità ad hoc?
Fra i giuristi, alcuni preferirebbero che l’Italia si dotasse di un’autorità ad hoc, giacché questa avrebbe un approccio olistico alla materia, mentre un’Autorità già esistente (compreso il Garante per la protezione dei dati personali) potrebbe essere indotta a dare la priorità agli aspetti dell’intelligenza artificiale rientranti nel suo tradizionale perimetro di intervento. Secondo quest’opinione, essendo l’intelligenza artificiale tema trasversale, è normale che di essa finiscano con l’occuparsi anche – per le loro competenze – altre autorità indipendenti (l’AGCM, il Garante per la protezione dei dati, ecc.); tuttavia, è auspicabile un’autorità che conosca e gestisca il tema a tutto tondo. Essi ritengono che un buon modello da seguire sia la Spagna, che ha recentemente istituito un’agenzia dedicata interamente alla supervisione dell’intelligenza artificiale (AESIA).
Va detto, però, che in altri Stati membri dell’Unione Europea si stanno affermando orientamenti di segno opposto. Per esempio, in Francia, il Consiglio di Stato nel 2022 ha pubblicato uno studio in cui raccomanda una trasformazione profonda del CNIL (autorità nazionale di controllo in materia di protezione dei dati personali) in un organo con poteri di regolamentazione e sorveglianza anche sui sistemi di IA, in particolare pubblica. Obiettivo: incarnare e interiorizzare la duplice sfida della tutela dei diritti e delle libertà fondamentali, da un lato, e dell’innovazione e della performance pubblica, dall’altro.
A mio avviso, le ragioni che militano per la designazione del Garante come autorità di controllo ai sensi dell’AI Act sono prevalenti. Esse sono da un lato di natura sostanziale, dall’altro, di natura organizzativa.
La connessione tra protezione dei dati personali e disciplina dell’intelligenza artificiale
Su un piano sostanziale, fra protezione dei dati personali e disciplina dell’intelligenza artificiale c’è una connessione profonda, che risiede nel comune orientamento al mercato unico digitale e nell’avere la persona (coi suoi diritti personalissimi e la sua dignità) come baricentro della regolamentazione. La centralità della protezione dei dati personali è riconosciuta da numerose norme dell’AI Act.
Fra le pratiche di intelligenza artificiale vietate dall’AI Act, ben due sono profondamente in sintonia con l’ecosistema di principi del GDPR: il divieto di attribuzione di un punteggio sociale basato sull’intelligenza artificiale per finalità generali da parte di autorità pubbliche ed il divieto di ricorso a sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico a fini di attività di contrasto, fatta salva l’applicazione di talune eccezioni limitate.
Inoltre, la portata dell’impatto negativo del sistema di intelligenza artificiale sul rispetto della vita privata e sulla protezione dei dati personali è di particolare rilevanza ai fini della classificazione di un sistema di IA tra quelli ad alto rischio.
Secondo l’art. 10 dell’AI Act, i fornitori di sistemi di IA ad alto rischio che usano tecniche che prevedono l’uso di dati per l’addestramento di modelli possono trattare categorie particolari di dati personali solo nella misura in cui ciò sia strettamente necessario al fine di garantire il monitoraggio, il rilevamento e la correzione delle distorsioni.
In base all’art. 53 dell’AI Act, gli Stati membri garantiscono che, nella misura in cui i sistemi di IA innovativi comportano il trattamento di dati personali o rientrano altrimenti nell’ambito di competenza di altre autorità nazionali o autorità competenti che forniscono o sostengono l’accesso ai dati, le autorità nazionali per la protezione dei dati e tali altre autorità nazionali siano associate al funzionamento dello spazio di sperimentazione normativa per l’IA.
L’art. 54 dell’AI Act disciplina l’ulteriore trattamento dei dati personali per lo sviluppo nello spazio di sperimentazione normativa per l’intelligenza artificiale di determinati sistemi di IA nell’interesse pubblico, definendo però precise condizioni.
I provvedimenti del Garante privacy in materia di IA
Rilevante è la quantità di provvedimenti in cui il Garante si è occupato di intelligenza artificiale. Forse, i più noti sono quelli recenti nei confronti di OpenAI, relativi al trattamento di dati personali per l’addestramento degli algoritmi strumentali all’erogazione del servizio ChatGPT e la tutela degli utenti del servizio stesso (quello del 30 marzo 2023, di limitazione provvisoria del trattamento dei dati personali degli interessati stabiliti nel territorio italiano, e quello dell’11 aprile 2023, in cui la limitazione è stata superata alla luce dei chiarimenti avuti e della disponibilità mostrata da OpenAI, prevedendo però una serie di vincoli e di misure).
Tuttavia, prima del 2023, ci sono stati molti altri provvedimenti sul tema. Per esempio, quello del 21 dicembre 2017 relativo all’installazione di apparati promozionali del tipo “digital signage” presso una stazione ferroviaria, dove vietava un sistema di lettura biometrica che, montato su totem pubblicitari, registrava sesso, range di età, distanza dal monitor e tempo di permanenza dinanzi ad esso di coloro che si fermavano a osservare, calcolandone la fascia d’età, il sesso, il grado di attenzione e l’espressione facciale; oppure quello del 22 luglio 2021 nei confronti di Deliveroo Italia, sanzionata per aver trattato in modo illecito i dati personali dei rider nell’ambito dell’uso dell’intelligenza artificiale per l’assegnazione dei turni.
C’è stata anche un’attività di sensibilizzazione attraverso vademecum, come “Deepfake. Il falso che ti ruba la faccia (e la privacy)” e “Assistenti digitali (smartassistant). I consigli del Garante per un uso a prova di privacy”.
Su un piano organizzativo, non è affatto secondario che il Garante sia già dotato da tempo di un Dipartimento intelligenza artificiale, che potrebbe costituire il nucleo originario di una struttura più articolata e attrezzata. Considerate la complessità della macchina organizzativa delle Autorità indipendenti e la necessità che alle competenze si affianchino esperienze sul campo, la scelta del Garante come l’autorità incaricata di sorvegliare l’applicazione dell’AI Act e di istituire spazi di sperimentazione normativa per agevolare lo sviluppo e le prove di sistemi di IA innovativi prima che tali sistemi siano immessi sul mercato o altrimenti messi in servizio.
Conclusioni
Resta da fugare il dubbio che l’eventuale designazione del Garante porti l’Italia ad avere un’autorità competente ai sensi dell’AI Act che sorveglia il fenomeno dell’intelligenza artificiale e ne orienta lo sviluppo attraverso la lente della privacy. Per farlo, mi pare che l’argomento migliore ci venga dalla storia: da quasi 20 anni l’AGCM si occupa di pratiche commerciali scorrette nei confronti dei consumatori senza limitarsi all’angolo visuale della tutela della concorrenza, anzi svolgendo su vari fronti (come l’educazione dei consumatori e l’ascolto delle loro segnalazioni) un ruolo del tutto inedito rispetto alla sua identità originaria. Il Garante saprebbe fare lo stesso per l’intelligenza artificiale.