Legislazione

Ai Act alle battute finali: novità, nodi e prossimi step



Indirizzo copiato

L’AI Act, dopo aver ottenuto l’approvazione del COREPER e delle commissioni LIBE e IMCO del Parlamento Ue si avvia verso l’adozione finale. Il regolamento mira a proteggere salute, sicurezza e diritti fondamentali e introduce divieti specifici e salvaguardie. Le aziende, intanto lavorano per implementare soluzioni conformi al testo attualmente disponibile

Pubblicato il 23 feb 2024

Giacomo Borgognone

Avvocato Legal Consultant P4I – Partners4Innovation

Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)



L’intelligenza artificiale ci deve una spiegazione

Dopo l’approvazione da parte del Comitato dei rappresentanti permanenti (COREPER) il 2 febbraio, il testo del Regolamento sull’intelligenza artificiale (“AI Act” o “Regolamento”) ha ottenuto l’ok anche dalla commissione per il mercato interno e la protezione dei consumatori (IMCO) e dalla commissione per le libertà civili, la giustizia e gli affari interni (LIBE) del Parlamento europeo il 13 febbraio. Il via libera di queste due Commissioni apre la strada alla finalizzazione dell’iter di approvazione: l’ultimo step è previsto ad aprile con la votazione del Parlamento in sessione plenaria e la successiva approvazione del Consiglio.

Il percorso che ha portato fin qui

Il percorso che ha portato all’esito positivo della votazione è stato complesso e ci sono stati dei momenti in cui le trattative hanno subito una battuta d’arresto, fino all’accordo politico di dicembre 2023. Quest’ultimo è stato il frutto di un laborioso processo di mediazione tra le divergenti prospettive degli Stati membri riguardo ai modelli fondamentali dell’intelligenza artificiale (“AI”) e alle delicate questioni di sicurezza.

Quello che emerge dalla versione del testo dell’AI Act che è stata resa pubblica è che sono stati salvaguardati i diritti e le libertà delle persone.

Le principali novità del compromesso

Tra le principali novità del compromesso si evidenziano:

  • l’articolo 1, paragrafo 1, che mira a garantire la protezione della salute, della sicurezza e dei diritti fondamentali, in linea con la Carta dei diritti fondamentali dell’Unione Europea, pur limitando i riferimenti ai rischi specifici solo a questi ambiti;
  • l’esclusione della sicurezza nazionale dall’ambito di applicazione del Regolamento;
  • la definizione di sistema di intelligenza artificiale che è stata modificata per allinearla alla definizione fornita dall’OCSE ed esclude i sistemi software tradizionali più semplici o gli approcci di programmazione che si basano su regole definite unicamente da persone fisiche per eseguire automaticamente delle operazioni;
  • il divieto di alcune pratiche di AI tra cui: l’identificazione biometrica in tempo reale da parte delle autorità di contrasto in spazi accessibili al pubblico (con alcune eccezioni elencate nell’articolo 5, paragrafo 1, lettera d); lo scraping non mirato di immagini facciali allo scopo di creare o espandere database di riconoscimento facciale; il riconoscimento delle emozioni sul posto di lavoro e negli istituti scolastici; la categorizzazione biometrica basata su opinioni o caratteristiche specifiche, nonché l’utilizzo di sistemi di polizia predittiva che operino basandosi esclusivamente sulla profilazione di una persona fisica o sulla valutazione dei tratti e delle caratteristiche della sua personalità (in alcuni casi, tuttavia, ci sono delle eccezioni a tale divieto);
  • l’inserimento di altri sistemi di categorizzazione biometrica, di sistemi di riconoscimento delle emozioni e di sistemi di identificazione biometrica a distanza nell’Allegato III (Elenco dei sistemi di IA ad alto rischio);
  • l’introduzione delle salvaguardie di cui all’art. 29 dell’AI Act per l’uso di sistemi di identificazione biometrica da remoto;
  • l’inserimento, all’Articolo 29a, dell’obbligo per alcuni deployer di effettuare una valutazione dell’impatto sui diritti fondamentali, seppur semplificata rispetto a quella proposta dal Parlamento europeo, con una limitazione dell’ambito soggettivo e oggettivo;
  • la previsione della predisposizione da parte dell’AI office di un modello di questionario per lo svolgimento della FRIA;
  • la previsione di casi in cui è possibile fare dei test sui sistemi di AI ad alto rischio in condizioni reali al di fuori delle sandboxes. In ogni caso, sono state previste delle salvaguardie per questo tipo di sperimentazione tra cui, ad esempio, l’approvazione da parte dell’autorità di vigilanza del mercato e il diritto per le persone interessate di richiedere la cancellazione dei loro dati dopo la sperimentazione;
  • l’introduzione di una disciplina specifica per i modelli di AI per scopi generali (GPAI) agli articoli da 52a a 52e, i quali introducono obblighi per tutti i modelli GPAI, che includono ad esempio, l’aggiornamento e la messa a disposizione, su richiesta, della documentazione tecnica all’Ufficio AI e alle autorità nazionali competenti;
  • l’introduzione di criteri per individuare i sistemi di AI che presentano dei rischi sistemici, nonché degli obblighi specifici per gli stessi;
  • l’introduzione di un termine dilatorio di quattro anni per consentire, nel caso di sistemi di intelligenza artificiale ad alto rischio destinati ad essere utilizzati dalle autorità pubbliche che sono già immessi sul mercato o in servizio, ai fornitori e ai deployers di adottare le misure necessarie per conformarsi ai requisiti del Regolamento.

Punti aperti ed elementi cui prestare attenzione

Il testo finale dell’AI Act introduce sicuramente degli importanti elementi di chiarezza e dei punti di riferimento per tutti gli attori che si trovano a confrontarsi con i modelli e i sistemi di AI; restano, tuttavia, importanti punti aperti in relazione ai diversi ambiti che sono toccati, direttamente o indirettamente, dall’uso dell’AI.

La protezione dei dati personali

Primo tra tutti la protezione dei dati personali. Sul punto, due questioni che ad oggi non vedono una soluzione certa riguardano la trasparenza e la base giuridica per la raccolta di dati personali tramite il webscraping.

La trasparenza

Per quanto attiene alla trasparenza, è importante comprendere in quali termini la stessa debba essere intesa. Infatti, sarà fondamentale definire non solo quali informazioni debbano essere messe a disposizione dell’interessato ma anche fino a che livello può spingersi la capacità dell’interessato di comprendere tali informazioni. Questo include una riflessione su come garantire trasparenza rispetto agli algoritmi, e quindi di come debba essere consentito l’accesso degli interessati in relazione alle logiche decisionali sottostanti.

La base giuridica per la raccolta dei dati

Passando poi al tema della base giuridica per la raccolta dei dati necessari ad addestrare i sistemi di AI, sarà utile comprendere l’orientamento delle Autorità posta la non adattabilità della condizione di liceità del consenso a grandi moli di dati, soprattutto per l’addestramento degli stessi algoritmi. Un utile spunto deriva dall’Information Commissioner’s Office (“ICO”) che, nell’indagine conoscitiva sulla base legale per il web scraping per addestrare modelli di intelligenza artificiale generativa, fa emergere che ricorrere all’interesse legittimo presuppone alcune valutazioni molto puntuali.

Le questioni sopra citate rappresentano soltanto due delle problematiche fondamentali che i diversi attori coinvolti dovranno attentamente valutare.

Lo svolgimento della Fria

Altresì si dovrà prestare molta attenzione allo svolgimento della Fria, richiesta dall’AI Act, e al coordinamento della stessa con una eventuale DPIA già svolta ai sensi dell’art. 35 del GDPR. Infatti, è lo stesso AI Act a disporre che nel caso in cui uno degli obblighi previsti dall’art. 29a sia già stato soddisfatto attraverso una DPIA, la Fria deve essere condotta congiuntamente alla DPIA.

I prossimi passi verso l’AI Act

Una volta che si concluderà il procedimento legislativo, l’AI Act diventerà applicabile secondo le tempistiche individuate all’art. 85 dello stesso. In generale il regolamento diventerà applicabile dopo 24 mesi dall’approvazione.

Per alcune disposizioni, tuttavia, i termini sono diversi e sono i seguenti:

  • 6 mesi per le pratiche di AI vietate;
  • 12 mesi per le disposizioni relative alle autorità di notifica e agli organismi notificati, alla governance, ai modelli di AI per scopi generali, alla riservatezza e alle sanzioni;
  • 36 mesi per i sistemi di AI ad alto rischio di cui all’articolo 6, paragrafo 1 dell’AI Act.

Inoltre, sono previsti termini diversi per alcuni sistemi di AI già immessi sul mercato o messi in servizio; in particolare:

  • ogni modello GPAI immesso sul mercato prima dell’entrata in vigore delle disposizioni relative ai modelli GPAI (12 mesi dopo l’entrata in vigore) avrà 24 mesi di tempo dalla data di entrata in vigore di tali disposizioni (3 anni in totale) per essere reso conforme (indipendentemente dal fatto che vi sia o meno una modifica sostanziale);
  • i sistemi di AI che sono componenti dei sistemi IT su larga scala istituiti dagli atti giuridici elencati nell’allegato IX e che sono stati immessi sul mercato o messi in servizio prima di 12 mesi dalla data di applicazione dell’AI Act sono resi conformi al presente regolamento entro la fine del 2030.

Conclusioni

Grazie al lavoro delle istituzioni europee, il testo dell’AI Act, se da una parte tiene in considerazione la necessità di favorire l’innovazione tecnologia e lo sviluppo dei sistemi di AI, dall’altra mantiene il focus sulla protezione dei diritti fondamentali e delle libertà delle persone soggette agli stessi sistemi di AI.

Alla luce del dettato normativo, in attesa che lo stesso diventi applicabile, le aziende stanno già lavorando per implementare soluzioni che tengano in considerazione il testo attualmente disponibile e, nel farlo, trovano spesso delle difficoltà dovute alla complessità degli aspetti da considerare. Pertanto, è di fondamentale importanza iniziare a implementare i sistemi di AI non solo in ottica dell’approvazione finale del testo ma anche nel rispetto della normativa vigente tra cui, ad esempio, la protezione dei dati personali e la tutela della proprietà intellettuale.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati