L’approccio basato sul rischio si fonda essenzialmente sull’istituzione di un quadro normativo ove obblighi e doveri vengono graduati e adattati al concreto rischio connesso alle attività attuate dalle parti: viene pertanto superata la logica binaria dell’adempimento per realizzare una forma di “compliance 2.0”, ove gli obblighi sono cuciti direttamente addosso ai destinatari della regolazione.
L’intelligenza artificiale made in Ue è davvero “umano-centrica”? I conflitti della proposta
L’avvento del risk-based approach
Il ventunesimo secolo ha visto un notevole incremento del ricorso al “risk-based approach” nella maggioranza dei sistemi giuridici occidentali, quale risposta all’emersione di quella che Beck definiva, già negli anni ’80, una “società del rischio”.
Il modello dell’approccio basato sul rischio è stato ben presto adottato dalla stessa Unione Europea, con riferimento inizialmente al diritto dell’ambiente e alla tutela della salute umana per poi approdare, successivamente, alla regolazione delle tecnologie digitali.
A partire dalla pubblicazione della Strategia per il mercato unico digitale in Europa, le istituzioni dell’Unione hanno infatti fatto un ricorso sempre maggiore allo strumento del rischio per incentivare una maggiore assunzione di responsabilità (accountability) da parte degli attori, pubblici e privati, per i potenziali effetti collaterali legati all’utilizzo di tali tecnologie e al processamento di dati personali.
La modalità più tipica del risk-based approach prevede che la valutazione del rischio e l’individuazione delle misure di mitigazione adeguate siano condotte direttamente dai soggetti destinatari della regolazione.
GDPR e accountability
Tale modello regolatorio caratterizza in particolare il GDPR. Il Regolamento, come è noto, è nel suo complesso informato dal principio di accountability, delineato esplicitamente all’interno dell’art. 5(2). Tale principio è declinato in pratica anche attraverso il ricorso a un sistema regolativo basato sul rischio, in base al quale titolare e responsabile del trattamento sono tenuti a predisporre le misure tecnico-organizzative necessarie ad assicurare che il GDPR stesso venga rispettato.
Come emerge, in particolare, dagli artt. 24 e 25, laddove essi non siano in grado di provare la predisposizione di tali misure, saranno soggetti a responsabilità per i danni prodotti a carico degli interessati. Di conseguenza, titolare e responsabile dovranno operare una valutazione di impatto delle loro attività e, sulla base di tale valutazione, elaborare la strategia migliore per ridurre i rischi di violazione dei diritti alla riservatezza e protezione dei dati dei soggetti interessati.
L’approccio basato sul rischio nel Digital Services Act
La più recente proposta di regolamento comunemente nota come Digital Services Act (DSA) contiene anch’essa un approccio alla regolazione dei fornitori di servizi di intermediazione che si fonda anche sulla categoria del rischio.
Il DSA, infatti, individua quattro regimi giuridici differenti:
- Un primo insieme di norme di base è applicabile a tutti i fornitori di servizi di intermediazione, ivi inclusi i mere-conduit provider e i caching provider;
- il secondo livello si riferisce ai soli fornitori di servizi di hosting, ovverosia a quei provider che ospitino determinati contenuti su richiesta degli utenti;
- il terzo livello è relativo alle piattaforme online, le quali si distinguono per il fatto che non si limitano a ospitare i contenuti, ma li diffondono altresì tra il pubblico;
- infine, il quarto livello è quello delle piattaforme online “di grandi dimensioni” (VLOP), identificabili attraverso criteri numerici, nonché, a seguito della modifica apportata dal Parlamento Europeo in prima lettura, dei motori di ricerca “di grandi dimensioni”.
Se nel GDPR vi è una delega secondo un modello bottom-up, dei doveri di valutazione e mitigazione dei rischi associati al trattamento dei dati, il DSA si discosta da tale sistema, individuando i criteri oggettivi di classificazione dei provider.
In altre parole, una prima operazione di risk assessment viene operata direttamente da parte del legislatore euro-unitario: un rilevante elemento, questo, di distinzione rispetto al regime del GDPR.
Tuttavia, questo passaggio da una logica bottom-up a una logica top-down non è ancora completo all’interno del DSA, dove un certo margine di discrezionalità è ancora riservato ai destinatari del regolamento.
Esempio lampante di ciò è la previsione, all’interno degli artt. 26 e 27, di un sistema di valutazione e mitigazione dei rischi sistemici connessi ai servizi offerti dalle piattaforme online e dai motori di ricerca di grandi dimensioni.
L’approccio basato sul rischio nell’AI Act
Nell’AI Act, il passaggio da un modello bottom-up a un modello top-down è, invece, più marcato. Anche in questo caso, la proposta di regolamento prevede quattro categorie di rischio per i sistemi di intelligenza artificiale:
- sistemi a rischio inaccettabile;
- sistemi ad alto rischio;
- sistemi a rischio limitato;
- sistemi a rischio minimo.
Nel caso dell’AI Act, l’individuazione delle categorie di rischio e la predisposizione di meccanismi di mitigazione del rischio sono attività che non sono più affidate in alcun modo alla discrezione e alla valutazione dei destinatari del regolamento.
Al contrario, l’ascrizione all’uno o all’altro livello avviene sulla base di un automatismo imposto dall’alto (top-down), così come è regolata dall’alto la disciplina dei livelli stessi.
Sebbene la Commissione sostenga, nell’Explanatory Memorandum della proposta, di aver incentrato il testo dell’AI Act «su un approccio normativo ben definito basato sul rischio che non crea restrizioni inutili al commercio», vi è chi ha posto in dubbio la sussistenza effettiva di un vero e proprio risk-based approach.
Conclusioni
A fronte di tali rilievi, appare quanto meno essenziale interrogarsi in merito alla linearità dell’approccio normativo adottato dalla Commissione nella proposta sull’AI Act e, più ampiamente, nella regolazione delle tecnologie digitali in genere.
Invero, l’apparente incoerenza tra le diverse forme di risk-based approach pone non pochi dubbi sull’uniformità sistematica del diritto dell’Unione Europea in ambito digitale. Ciò potrebbe, tra l’altro, rappresentare un ostacolo per lo sviluppo di un mercato tecnologico competitivo all’interno del Vecchio Continente.
Nonostante ciò, sembra tuttavia potersi individuare quanto meno un elemento caratterizzante i tre documenti legislativi descritti. Tutti e tre mirano infatti a realizzare, attraverso il concetto di “rischio”, un bilanciamento tra gli interessi in gioco: da un lato, l’interesse, di matrice economica, all’innovazione e allo sviluppo di un mercato unico digitale competitivo sul piano internazionale; dall’altro lato, l’interesse, sovente opposto, alla tutela dei valori democratici e dei diritti e delle libertà fondamentali degli individui.
Il rischio funge, in altre, parole, da proxy per un’attività, quella del bilanciamento, strettamente connessa a una dimensione costituzionale improntata alla proporzionalità. La proporzionalità rappresenta pertanto, e deve continuare a rappresentare, il trait d’union e la cifra caratterizzante delle politiche digitali dell’Unione Europea.
