fria

AI ACT: cos’è la Valutazione d’Impatto sui Diritti Fondamentali, chi deve farla e come

Home Cultura e società digitali
Indirizzo copiato

Le recenti negoziazioni tra Commissione europea, Consiglio e Parlamento sull’AI Act hanno portato all’introduzione di un nuovo adempimento: la Valutazione dell’Impatto sui Diritti Fondamentali, o Fundamental Rights Impact Assessment (FRIA). Vediamo di cosa si tratta, chi sono i soggetti tenuti a svolgerla e cosa dovrebbe includere

Pubblicato il 19 dic 2023
Marco Guarna

A.I. Law specialist, DLA Piper

Tommaso Ricci

Avvocato, Data Protection & LegalTech Specialist presso DLA Piper

intelligenza artificiale ai act

Dopo tre giorni di negoziati intensi la Commissione Europea, il Consiglio dell’Unione Europea e il Parlamento Europeo, lo scorso 8 dicembre 2023, hanno raggiunto l’accordo politico sul testo del Regolamento Europeo sull’Intelligenza Artificiale (meglio noto come EU A.I. Act).

Tra gli emendamenti aggiunti al testo inizialmente proposto dalla Commissione è stato introdotto, al ricorrere di determinate circostanze, l’obbligo di svolgere una valutazione di impatto sui diritti fondamentali. Di seguito analizzeremo le fonti esistenti per scoprire chi sono i soggetti tenuti a svolgere questa valutazione e cosa dovrebbe includere.

Tutela dei diritti umani, il giusto approccio nell’uso dell’IA e dei processi decisionali automatizzati

Le recenti aggiunte all’A.I. Act

Il Regolamento sull’A.I. mira ad introdurre un quadro legislativo innovativo con un approccio comprensivo e basato sul rischio per proteggere la sicurezza e i diritti fondamentali delle persone che interagiscono con i sistemi di A.I., estendendo il suo impatto anche oltre i confini dell’UE.

Le recenti modifiche proposte al Regolamento durante le negoziazioni mirano, tra l’altro, a stabilire regole rigorose per i sistemi di A.I. ad alto rischio, prevedendo requisiti di sicurezza, trasparenza e accountability a tutela di coloro che sono influenzati da queste tecnologie avanzate.

Anche se il testo ufficiale non è ancora stato divulgato, l’entrata in vigore del Regolamento è imminente. Prima della sua pubblicazione ufficiale nella Gazzetta dell’Unione europea il testo subirà revisioni tecniche, giuridiche e linguistiche nei prossimi mesi, tenendo conto dell’accordo politico raggiunto sul merito. Nell’attesa del testo definitivo la Commissione Europea ha aggiornato le proprie FAQ sull’A.I. Act, rivelando alcuni contenuti chiave che saranno introdotti nel testo finale. Significativamente, le recenti negoziazioni hanno portato all’introduzione, su proposta del Parlamento, di un nuovo adempimento: la Valutazione dell’Impatto sui Diritti Fondamentali, o Fundamental Rights Impact Assessment (FRIA).

La posizione del Consiglio: sistemi di gestione del rischio con focus sui diritti fondamentali

Nella versione dell’A.I. Act proposta il 6 Dicembre 2022 dal Consiglio dell’UE, è stata introdotta per la prima volta all’articolo 9, comma 2, lettera a, una specificazione in merito al sistema di gestione del rischio inizialmente proposto dalla Commissione UE.

Il Consiglio aveva difatti previsto che i fornitori di sistemi di A.I. ad alto rischio dovessero implementare un sistema di gestione del rischio che, alla luce dello scopo del sistema di A.I. ad alto rischio, contenesse una fase di identificazione e analisi dei rischi noti, possibili e prevedibili con conseguenze sulla salute, sulla sicurezza e sui diritti fondamentali degli individui. Sebbene la versione proposta dal Consiglio non prevedesse specificamente un obbligo di svolgere un FRIA, tuttavia includeva già un riferimento alla gestione del rischio dell’A.I. focalizzata sui diritti fondamentali, tuttavia circoscritta ai rischi specifici ragionevolmente mitigabili o eliminabili attraverso lo sviluppo o la progettazione del sistema di intelligenza artificiale ad alto rischio, o la fornitura di informazioni tecniche adeguate. Questa posizione è stata successivamente estesa ed articolata dal Parlamento.

La posizione del Parlamento: introduzione del FRIA

Il 14 Giugno 2023, il Parlamento europeo ha approvato la propria proposta dell’A.I. Act. Questa versione mantiene il sistema di gestione di rischio previsto all’articolo 9, che si concentra sull’identificazione e l’analisi dei rischi e introduce, all’articolo 29, il nuovo obbligo per gli implementatori (deployer) di sistemi di A.I. ad alto rischio (cioè chi si occupa di portare a termine l’implementazione del sistema di A.I.), di condurre una valutazione di impatto sui diritti fondamentali. Questa valutazione mira a calcolare gli effetti che un sistema di A.I. può avere sui diritti fondamentali delle persone potenzialmente impattate dal sistema. Secondo il Parlamento l’implementatore sarebbe il soggetto più adeguato per condurre tale valutazione in quanto ha una conoscenza più dettagliata e approfondita dell’utilizzo specifico del sistema di A.I. ad alto rischio e una capacità di identificare i rischi più rilevanti che potrebbero non essere stati previsti durante la fase di sviluppo del sistema.

L’Articolo 29a dell’A.I. Act nella versione del Parlamento stabilisce stringenti protocolli per l’integrazione responsabile di sistemi di A.I. ad alto rischio, ponendo particolare attenzione al rispetto dei diritti fondamentali:

  • prima di implementare tali sistemi, gli attori responsabili devono condurre una valutazione d’impatto completa, delineando chiaramente il fine d’uso, l’ambito temporale e geografico, e le categorie di individui coinvolte;
  • deve inoltre esserne verificata la conformità con la legislazione nazionale ed europea in materia di diritti fondamentali. Inoltre, la valutazione deve anticipare e gestire i rischi, considerando gli impatti prevedibili sui diritti fondamentali, i possibili danni alle persone emarginate o ai gruppi vulnerabili, e gli effetti negativi sull’ambiente;
  • un piano dettagliato per mitigare i danni e gli impatti negativi deve essere elaborato e reso pubblico, sottolineando la necessità di responsabilità e trasparenza;

Inoltre se durante l’uso del sistema si rilevano cambiamenti significativi del sistema, l’implementatore è tenuto a condurre una nuova valutazione d’impatto. La collaborazione con le autorità nazionali, organizzazioni di pari opportunità, agenzie di tutela dei consumatori e altri portatori d’interesse viene considerata essenziale durante il processo di valutazione. Per promuovere la trasparenza, viene infine richiesta la pubblicazione di una sintesi dei risultati della valutazione.

Posizione del Trilogo: gli elementi essenziali del FRIA

Come anticipato, secondo le FAQ sull’A.I. Act ed in base alle dichiarazioni pubbliche dei rappresentanti delle istituzioni europee, l’accordo raggiunto durante la sessione di trilogo del 6-8 dicembre 2023 dai co-legislatori europei mantiene l’impostazione del Parlamento ed introduce l’obbligo di condurre una valutazione d’impatto sui diritti fondamentali per alcuni soggetti che impiegano sistemi di A.I. ad alto rischio. Quest’obbligo si applica ai deployer sia in caso di enti di diritto pubblico che in caso di operatori privati che forniscono servizi pubblici, nonché agli operatori che forniscono sistemi ad alto rischio. Questi soggetti sono tenuti a eseguire una valutazione dell’impatto sui diritti fondamentali e a riferirne i risultati all’autorità nazionale (che sarà nominata dai singoli Stati a seguito della pubblicazione del Regolamento).

L’obiettivo di questa valutazione comprende diversi elementi chiave:

  • Descrizione del processo di implementazione: la valutazione deve includere una descrizione dettagliata del processo in cui verrà utilizzato il sistema di A.I. ad alto rischio.
  • Tempo di utilizzo e frequenza: le organizzazioni devono specificare la durata e la frequenza di utilizzo prevista del sistema di A.I. ad alto rischio.
  • Categorie di persone o gruppi interessati: la valutazione deve identificare le categorie di persone fisiche e gruppi che potrebbero essere interessati dall’uso del sistema di A.I. nel contesto specifico.
  • Rischi specifici di danno: è obbligatorio descrivere i rischi specifici di danno che possono avere un impatto sulle categorie di persone o gruppi identificati.
  • Misure di supervisione umana: i responsabili dell’implementazione devono descrivere in dettaglio l’attuazione di misure di supervisione umana per monitorare il sistema di A.I..
  • Misure di rimedio alla concretizzazione del rischio: si devono delineare le misure di mitigazione e rimedio da adottare nel caso in cui i rischi identificati si concretizzino.

È importante notare che se il deployer ha già adempiuto a questi obblighi attraverso una valutazione d’impatto sulla protezione dei dati, la valutazione d’impatto sui diritti fondamentali deve essere condotta insieme a quella sulla protezione dei dati. Questo approccio integrato garantisce una valutazione approfondita delle implicazioni dell’impiego di sistemi di A.I. ad alto rischio, dando priorità alla protezione dei diritti fondamentali e alla sicurezza dei dati.

Esempi di FRIA

Lo svolgimento di valutazioni d’impatto è un adempimento previsto da diversi regolamenti europei, tra cui ad esempio il GDPR che prevede all’articolo 35 la necessità in capo al titolare del trattamento di svolgere una valutazione d’impatto sulla protezione dei dati quando il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Tali valutazioni servono in generale per consentire di anticipare e mitigare potenziali danni, garantendo una proattiva tutela dei diritti e delle libertà individuali, nonché per assicurare che le misure di protezione siano considerate e ove possibile integrate efficacemente nei processi di sviluppo.

Non sorprende dunque che da diversi fronti sia stata esercitata pressione a favore dell’introduzione del FRIA nell’A.I. Act.

Il primo documento rilevante che ha promosso l’introduzione del FRIA è “A Civil Society Statement“, pubblicato il 30 novembre 2021 e firmato da associazioni come Algorithm Watch, AccessNow, Anec e altre, formalmente riconosciute come ONG, sponsorizzate anche da enti governativi e aziende private, e dirette da consigli direttivi che annoverano giornalisti, professori, avvocati e rappresentanti di startup. Il documento raccomanda fortemente l’introduzione dell’obbligo per chi impiega sistemi di A.I. ad alto rischio di condurre una valutazione di impatto sui diritti fondamentali prima di adottare qualsiasi sistema di A.I. ad alto rischio per qualsiasi utilizzo.

Il secondo documento da considerare è stato pubblicato il 14 luglio 2023 dall’associazione ALLA.I., un’organizzazione indipendente con membri del consiglio di amministrazione provenienti da OCSE, Commissione Europea, Consiglio d’Europa ed enti governativi olandesi. Tale documento prende in considerazione il FRIA come introdotto nell’ultima versione dell’A.I. Act del Parlamento e suggerisce che, oltre alla “non discriminazione” e alla “privacy”, praticamente tutti i diritti fondamentali potrebbero essere colpiti dai sistemi di A.I., o in alternativa, molte applicazioni di A.I. già in uso potrebbero esacerbare e amplificare l’impatto su scala, ampliando la portata a fette più ampie della società. In particolare, i sistemi di A.I. potrebbero avere un effetto negativo su diritti fondamentali quali:

  • Dignità e integrità umana, attraverso il controllo, la manipolazione e l’inganno degli individui;
  • Libertà dell’individuo, attraverso la sorveglianza (anche di massa) guidata dall’A.I. tramite il riconoscimento facciale, che può portare al c.d. effetto “Grande Fratello”, o il riconoscimento di microespressioni della nostra personalità tramite la voce, la frequenza cardiaca, la temperatura corporea che potrebbero essere utilizzati per prevedere il comportamento o le emozioni delle persone. Questi sistemi di monitoraggio potrebbero avere un impatto sull’integrità delle persone se adottate in contesti come le scuole, nelle assunzioni e nelle attività delle forze dell’ordine.
  • Uguaglianza e solidarietà, attraverso la possibilità di amplificare o perpetuare pregiudizi discriminatori e inaccettabili, quando un sistema di A.I. basato sui dati è difficile da spiegare e i ragionamenti che hanno determinato un risultato non sono rintracciabili.
  • Giustizia, attraverso il perpetuarsi di pregiudizi esistenti in situazioni in cui è in gioco la libertà fisica o la sicurezza personale, come nel caso della polizia predittiva. Inoltre, quando un sistema di A.I. viene utilizzato per la previsione del rischio di recidiva, può avere esiti distorti che mettono a rischio il diritto alla non discriminazione, determinando ulteriori difficoltà quando il sistema adotta ragionamenti non ripercorribili e di difficile comprensione.
  • Democrazia, attraverso i sistemi di raccomandazione che determinano i contenuti mostrati agli utenti sulle piattaforme online, che aumentano la diffusione di deepfake e disinformazione, che possono deteriorare il livello di veridicità e credibilità dei media e del discorso democratico, in particolare con l’attuale facilità di accesso ai sistemi di A.I. generativi.
  • Stato di diritto, quando l’eventuale mancanza di moderazione nell’uso dei sistemi di A.I., con l’obiettivo di aumentare l’efficienza di un’istituzione, determina un’erosione della legittimità procedurale e della fiducia nelle istituzioni e nelle autorità democratiche.
  • L’ambiente, attraverso l’intenso consumo di energia richiesto durante le fasi di formazione e di funzionamento della maggior parte dei sistemi di A.I., in particolare per la GPAI.

Il documento conclude ricordando che i requisiti per la realizzazione di una FRIA devono riguardare sia i fornitori che gli implementatori, poiché un impatto sui diritti fondamentali potrebbe verificarsi sia nella fase di sviluppo che in quella operativa.

Come prepararsi a gestire lo svolgimento dei FRIA: metodologia multifase

In attesa del testo finale le aziende possono prepararsi adeguatamente all’entrata in vigore dell’A.I. Act predisponendo la raccolta di quelle informazioni che potranno essere utili per lo svolgimento del FRIA in modo da ottimizzare gli sforzi e utilizzare al meglio quanto già mappato durante il processo di DPIA nel caso di sistemi di A.I. che comportano trattamenti di dati personali potenzialmente rischiosi.

Senza pretesa di esaustività e completezza, di seguito si propone una metodologia multifase di valutazione d’impatto, che include alcuni elementi essenziali per svolgere un FRIA:

  • Identificazione del perimetro: inizialmente si identificano l’ambito geografico e l’ecosistema di implementazione del sistema di A.I. (Cosa); viene poi fornita una descrizione dettagliata del sistema, coprendo la sua natura tecnica intrinseca, input, output e procedure di gestione dei dati con un focus sull’accessibilità, spiegabilità e potenziali alterazioni ai diritti fondamentali attraverso vari input e flussi di dati (Come); viene delineato il contesto in cui opera il sistema, identificando le principali parti interessate, categorie di individui coinvolti e rivolgendo speciale attenzione ai gruppi vulnerabili, analizzando la relazione tra utenti e coloro che sono impattati dal sistema, insieme alla maturità tecnologica e alle implicazioni etiche del sistema (Chi); viene definito lo scopo inteso e gli obiettivi del sistema A.I., valutando l’allineamento del sistema con gli obiettivi dell’organizzazione e gli effetti previsti su individui, organizzazione e società, assicurando che il sistema sia essenziale per raggiungere questi obiettivi (Perché); viene delineata la durata operativa prevista del sistema, considerando potenziali cambiamenti nella tecnologia, nella normativa legale e nelle condizioni di mercato, valutando i criteri per cambiamenti significativi nel sistema e il loro impatto sulla durata di vita prevista del sistema (Quando).
  • Verifica del quadro legale rilevante: si identificano i requisiti normativi applicabili all’implementazione e uso del sistema tenendo conto del perimetro definito (es. obblighi di non discriminazione, della protezione ambientale, degli standard di salute e sicurezza); vengono individuate le previsioni normative che si applicano in concreto e si verifica la conformità con la legislazione dell’UE e nazionale relativa ai diritti fondamentali, con particolare attenzione all’impatto sui gruppi vulnerabili; si identificano i diritti fondamentali che sono in gioco nel contesto dell’implementazione e uso del sistema tenendo conto che ogni cittadino dell’UE gode di un insieme di diritti fondamentali tutelati dallo stato di diritto e sanciti sia nei Trattati dell’UE che nella Carta dei Diritti Fondamentali, tutti saldamente radicati in valori quali l’uguaglianza, la non discriminazione, l’inclusione, la dignità umana, la libertà e la democrazia.
  • Identificazione dell’impatto e della gravità: si valuta la serietà dell’impatto potenziale del sistema A.I. sui diritti fondamentali delle categorie di soggetti che possono essere impattati direttamente o indirettamente, valutando la gravità e la probabilità di impatto a seconda delle diverse categorie di soggetti coinvolti, specialmente quelli vulnerabili.
  • Mitigazione dei rischi identificati: in baseai rischi individuati e al relativo impattosi descrivono le misure di rimozione dei rischi implementate e si formulano strategie per mitigare i rischi residui ai diritti fondamentali identificati, considerando gli impatti variabili sui diversi gruppi e assicurando una riduzione complessiva del rischio.
  • Monitoraggio dei rischi e delle mitigazioni: vengono impostati indicatori di rischio significativi, metriche e soglie di sicurezza relative all’impatto del sistema A.I. sui diritti fondamentali; viene mantenuta la supervisione continua dei controlli e delle misure di mitigazione, con un focus sulle misure di supervisione umana e sui processi strutturati di reclami e segnalazioni; si stabilisce una cadenza minima di aggiornamento della valutazione e si tiene conto degli episodi di cambiamento significativi del perimetro o dei diritti impattati che possono rendere necessario un aggiornamento.

Una metodologia di FRIA efficace dovrà poi collegarsi in maniera olistica con i processi di gestione dei rischi adottati internamente e consentire l’integrazione sinergica con la metodologia di DPIA nei casi di applicazione congiunta.

Conclusioni

Lo sviluppo di sistemi di A.I. richiede in taluni casi investimenti di risorse ingenti distribuite su lunghe finestre temporali. La possibilità di effettuare interventi di mitigazione post sviluppo o post rilascio sul mercato può rivelarsi estremamente costosa o addirittura tecnicamente difficoltosa in certe circostanze (ad. esempio a seguito del completamento del training di un modello di A.I.) per cui anticipare lo svolgimento di tali valutazioni d’impatto nella fase di progettazione e prototipazione dei sistemi di A.I. può contribuire significativamente a realizzare o integrare soluzioni di A.I. che rispettino i diritti fondamentali degli individui e che siano conformi con i requisiti di legge.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • Telemarketing, così l'Italia può bloccare il “Cli spoofing”: l'esempio di altri Paesi

    18 Mar 2024

    di Eugenio Prosperetti

    Condividi

  • la guida

    ERP, ecco come supporta la supply chain e come scegliere il giusto software

    12 Mar 2024

    di Federica Maria Rita Livelli

    Condividi

  • il fenomeno

    Medici in fuga dall’Italia? Il digitale soluzione sostenibile

    14 Dic 2023

    di Giuliano Pozza

    Condividi

Prossimo

Telemarketing, così l'Italia può bloccare il “Cli spoofing”: l'esempio di altri Paesi

Articolo 1 di 4