Lo scorso 9 settembre, Mario Draghi ha presentato il proprio rapporto sul futuro della competitività europea. L’ex presidente della BCE ha delineato una strategia industriale ambiziosa, che prevede investimenti massicci e persino l’introduzione di un nuovo debito comune per supportare l’industria e la difesa del continente.
In questo contesto, il rapporto di Draghi delinea quelli che possono costituire i principali ostacoli all’innovazione e alla competitività dell’Unione Europea. In merito, non si risparmiano critiche all’approccio normativo dell’UE, in particolare per quanto riguarda la regolamentazione delle nuove tecnologie.
Il report punta il dito contro la frammentazione normativa, citando espressamente come esempi le sovrapposizioni tra GDPR e AI Act, sottolineando come essa possa porsi quale freno per l’innovazione, soprattutto per le piccole e medie imprese.
Il report evidenzia come l’Unione abbia più di 100 normative specifiche nel settore digitale, e oltre 270 autorità di regolamentazione, delineando un approccio complessivo eccessivamente cautelativo, che rischia di soffocare lo sviluppo tecnologico.
L’impatto sulle PMI della frammentazione del quadro regolatorio
Il vero nodo della questione, secondo Draghi, sono infatti le sfide che le PMI sono chiamate ad affrontare in questo quadro regolatorio frammentato. Il report individua tre ostacoli principali:
- L’accumulo e i frequenti cambiamenti delle normative UE, che creano sovrapposizioni e incongruenze;
- La trasposizione nazionale delle norme europee, che aggiunge ulteriore complessità. Ogni Stato membro tende ad appesantire o indirizzare l’interpretazione della normativa UE, contribuendo a una significativa frammentazione del mercato (il GDPR rappresenta secondo Draghi un esempio lampante di tutto ciò e la sua implementazione disomogenea avrebbe in parte compromesso gli obiettivi digitali dell’Unione);
- L’impatto sproporzionato della regolamentazione sulle PMI e sulle imprese di medie dimensioni rispetto alle grandi aziende.
Draghi sottolinea come l’UE manchi di strumenti adeguati di valutazione di questi costi indiretti e che, in sostanza, l’Europa deve trovare un equilibrio tra regolamentazione e innovazione, senza soffocare le piccole realtà imprenditoriali che sono il cuore pulsante dell’economia continentale.
L’applicazione del GDPR all’intelligenza artificiale. Le sfide interpretative
Le difficoltà interpretative, soprattutto per quanto riguarda l’intersezione tra GDPR e intelligenza artificiale, sono in realtà qualcosa di noto alle istituzioni unionali. Un dettagliato studio pubblicato dall’European Parliament Research Service (EPRS) e intitolato “The impact of the General Data Protection Regulation (GDPR) on artificial intelligence” ha proprio evidenziato le problematiche che sorgono dall’incontro di queste due discipline.
Possono farsi alcuni esempi, rimandando per un esame più approfondito direttamente allo studio, che si compone di 100 pagine.
I nodi su base giuridica e trasparenza
Anzitutto, la possibilità di utilizzare la medesima base giuridica per finalità diverse ma “compatibili” (cosa che allo stato il GDPR permette) diventa una questione particolarmente complessa nel dinamico campo dell’IA, nell’ambito del quale i dati possono essere riutilizzati per finalità non immaginabili al momento della loro prima condivisione. Ciò si collega inevitabilmente al tema della trasparenza, ovvero all’aspettativa che i soggetti interessati nutrono rispetto a un potenziale uso nell’ambito dell’addestramento di modelli di IA. Ma la trasparenza rileva anche, ad esempio, in relazione alle decisioni automatizzate.
Nel caso di processi di IA complessi, si pone un conflitto tra la necessità di fornire informazioni concise e comprensibili, da un lato, e assicurare effettiva trasparenza e conoscibilità rispetto a modelli particolarmente complessi. Ancora, sotto un altro profilo, la soddisfazione dei requisiti di specificità, granularità e libera manifestazione del consenso – ove necessario per il trattamento specifico – possono porre problemi di attuazione pratica nel campo dell’IA, talvolta anche al punto di inficiare l’esperienza d’uso.
Per questi motivi, il rapporto dell’EPRS raccomanda alle autorità competenti, in particolare quelle preposte alla protezione dei dati, di emettere linee guida, fornire chiarimenti sull’interpretazione delle disposizioni del GDPR in relazione a tale nuovo fenomeno. Questo approccio, tuttavia, rischia di perpetuare proprio le criticità evidenziate da Draghi, posto che lasciare l’interpretazione e l’applicazione di tale intersezione tra GDPR e AI Act alle autorità porta con sé il rischio che si venga a creare un mosaico disomogeneo e potenzialmente confuso, esattamente come è già avvenuto nelle fasi di adeguamento nazionale del GDPR nei vari Paesi membri.
La base giuridica per l’addestramento dell’IA generativa e per il relativo uso
Uno degli aspetti cruciali dell’intersezione tra normativa in materia di protezione dei dati personali e IA, specialmente generativa, riguarda l’individuazione della corretta base giuridica per l’addestramento dei modelli. Deve anzitutto apprezzarsi come il report valorizzi, a questo proposito, la base giuridica del legittimo interesse (art. 6, par. 1, let. f GDPR), sottolineando come la via del consenso appaia difficilmente praticabile nel contesto in cui si versa. Tuttavia, pur aprendo al ricorso al legittimo interesse, il report suggerisce l’adozione di rafforzate misure di sicurezza come pseudonimizzazione e anonimizzazione, volte a ribilanciare il rapporto di forza e di interessi tra titolare e interessati.
Diversamente, il report parteggia per la necessità di acquisizione per l’utilizzo di dati nell’ambito di trattamenti capaci di trarre decisioni sugli interessati. In questi casi, secondo il centro studi, l’interesse dell’interessato dovrebbe assumere priorità, con la conseguente non applicabilità della base giuridica del legittimo interesse e dunque applicazione della base del consenso. Ed è proprio in questo ambito che potremmo assistere a una divergenza significativa tra gli Stati membri, stante la carenza di indicazioni chiare da parte del Comitato europeo per la protezione dei dati.
Ora che la strada del legittimo interesse sembra essere spianata per l’addestramento, almeno per i modelli generativi di tipo testuale, è sui successivi usi e strumenti dell’IA che potrebbero scontrarsi le autorità nazionali nell’immediato futuro.
Conclusioni
In definitiva, questa potenziale disparità di interpretazione e applicazione del GDPR nell’ambito dei casi d’uso concreti dell’IA rischia di amplificare proprio quelle problematiche che Draghi ha evidenziato nel suo rapporto, creando un ambiente normativo che, paradossalmente, potrebbe frenare anziché favorire l’innovazione nel campo dell’IA in Europa, compromettendo la competitività dell’Unione nel suo complesso sulla scena globale.
Staremo a vedere.
