Le discussioni sulla proposta di regolamento sull’AI della Commissione Europea, l’Artificial Intelligence Act (AIA) continuano e, nel mentre, si parla anche della EU Platform Workers Directive e di tutto il pacchetto di norme con cui l’Ue vuole disciplinare l’ecosistema digitale.
Un grosso quadro normativo che si sta delineando e che, a nostro parere, ha la privacy e la protezione dei dati, ancora una volta, come filo conduttore. Infatti, se andiamo a definire la protezione dei dati come quell’insieme di attività volta a colmare il gap di potere tra l’individuo e tutta la pletora di organizzazioni e meccanismi che collezionano dati, diviene chiaro che la protezione dei dati è effettivamente terreno comune che oggi giorno interseca un numero sempre maggiore di discipline, incluso l’antitrust e la competizione, come già abbiamo avuto modo di analizzare.[1]
Privacy e competizione, qual è il fil rouge? Le sfide per Autorità e Governi
Proveremo perciò a concentrarci proprio sulla interrelazione tra l’AI Act, la nuova Platform Workers Directive e il GDPR come terreno unificante, e a esplorare sia le potenzialità e i rischi che questo comporta.
Temi che, tra l’altro, sono stati al centro delle discussioni alla Computers, Privacy and Data Protection (CPDP) conference a Bruxelles, dove l’attenzione si è concentrata, in particolar modo, sull‘utilizzo dell’intelligenza artificiale nell’ambito lavorativo. Gli usi legati alla valutazione della performance o alla selezione del personale sono infatti tra gli ambiti sempre più problematici, con profondo impatto sulla vita delle persone e sul loro accesso – e successo – al lavoro.
L’AI Act e l’intelligenza artificiale applicata al lavoro
Cosa dice l’EU AI Act su questo fronte? Prodotti IA applicati al mondo lavorativo e relazioni con il personale rientrano nella categoria “alto rischio”, la quale comporta una serie di obblighi a cui un’organizzazione deve aderire per poter sviluppare e/o usare tali prodotti. Tali obblighi includono lo stabilire tutele contro varie tipologie di bias nei data set, usando pratiche stabilite di gestione e governance dei dati, volte a garantire la verifica e la tracciabilità degli output e risultati nel corso della vita del sistema IA e incorporando disposizioni su livelli ritenuti adeguati di trasparenza e comprensibilità per gli utenti dei sistemi – comportando dunque un appropriato livello di supervisione individuale (human oversight) sul sistema IA.
Dal momento in cui il sistema IA considerato di alto rischio viene prodotto, l’AI Act impone lo svolgimento di una valutazione, interna, di conformità ex-ante. In altre parole, i sistemi IA – a prescindere dal loro essere prodotti o servizi – quando applicati a settori di alto rischio, devono conformarsi agli obblighi del regolamento prima di poter essere venduti e utilizzati nel mercato europeo.
È inoltre importante ricordare come il prodotto deve arrivare dal fornitore all’utente, che ricordiamo non è l’utente finale ma l’organizzazione che compra il prodotto IA per usarlo con una documentazione tecnica, che include documentazione riguardante l’architettura, il design, e specificazioni dell’algoritmo e del modello. Infine, da puntualizzare che la maggior parte degli obblighi della normativa cadranno sull’ente che introduce il sistema sul mercato (il ‘fornitore’), il quale può essere il terzo fornitore o l’azienda stessa che sviluppa l’IA.
La Platform Workers Directive e la trasparenza algoritmica
Nel mentre, a dicembre è stata presentata un’altra proposta normativa – la Platform Workers Directive – che introduce elementi importanti, incluso la trasparenza algoritmica.[2]
Nello specifico, la direttiva (articolo 12) richiederà alle piattaforme di pubblicare regolarmente informazioni relative ai termini e condizioni di impiego dei propri lavoratori, informazioni che poi potranno essere ampliate su richiesta di autorità pubbliche e i sindacati in rappresentanza dei lavoratori. Per maggiore trasparenza, a specifici enti pubblici verrà attribuita l’autorità di richiedere ed ottenere dalle platforms materiale di supporto alle informazioni fornite. (articolo 16).
Tutto ciò prevede di aumentare il controllo e la revisione delle attività di queste piattaforme.[3]
La normativa GDPR
Negli ultimi anni la normativa sulla privacy ha avuto un’importanza straordinaria nella protezione dei dati anche in ambito professionale.[4] Non c’è da meravigliarsi, perché questioni legate alla trasparenza o al data accuracy – capisaldi della normativa sulla protezione dei dati – hanno un impatto profondo nei sistemi AI. Ad esempio, l’anno scorso in Italia, la Cassazione riprese il GDPR con un principio semplice, e cioè che “quando si chiede a una persona il consenso a trattare i propri dati personali perché siano dati in pasto a un algoritmo al fine di pervenire a una decisione automatizzata capace di incidere sui propri diritti, il consenso non è valido se la persona non è adeguatamente informata delle logiche alla base dell’algoritmo”[5].
Non c’è dubbio che quando un sistema IA viene nutrito con dati personali, il GDPR abbia un ruolo essenziale. In un certo qual modo, si potrebbe asserire che l’AI Act vada un passo avanti rispetto al GDPR, nel senso che si applica ai prodotti IA che sono di alto rischio (per l’impatto sui diritti fondamentali) anche qualora questi prodotti non utilizzino dati personali.
Gli standard, i veri king maker
In tutto questo quadro, si inseriscono gli standard. Considerati, non a torto, i veri king maker dell’AI Act[6], gli standard saranno sviluppati congiuntamente dall’European Committee for Standardisation (CEN), l’European Committee for Electrotechnical Standardisation (CENELEC), e l’European Telecommunications Standards Institute (ETSI). Le tre organizzazioni dovranno fornire aggiornamenti dettagliati alla Commissione Europea ogni sei mesi.
La normativa europea prevede un coinvolgimento pubblico nella definizione di questi standard – ma questo è senza dubbio un terreno altamente complesso. È noto, infatti, come sia proprio il terreno degli standard, quello su cui si giocano battaglie complesse a livello globale, specialmente tra Cina e Stati Uniti, e non c’è dubbio alcuno che siano proprio gli standard l’elemento fondamentale dal punto di vista economico, garantendo di fatto l’accesso al mercato.
E dal momento che gli harmonized standards hanno un “binding legal effects that are close to those of legal norms, the regulatory mechanism empowering ESOs to develop harmonized standards can be indeed described as a delegation of rulemaking power”[7]. Questo punto è essenziale e preoccupante insieme: chi definisce gli standard di accountability di questo processo?
Conclusioni
L’IA usata nei contesti professionali è indubbiamente all’intersezione di diverse discipline, e dunque non semplice da regolamentare. Non c’è da sorprendersi che Valerio De Stefano e Antonio Aloisi, autori del recente “Il tuo capo è un algoritmo”[8], siano profondamente scettici che la norma europea possa tutelare i lavoratori.
In effetti, rimangono questioni sostanziali, che vanno al di là dell’ambito lavorativo, e che vorremmo porre qui:
- Primo, gli standard sono indubbiamente fondamentali ma non sono certamente neutri dal momento che sono elaborati da individui e nell’ambito di questioni geopolitiche di enorme rilevanza. Un processo collettivo di partecipazione sociale e politica, per quanto auspicabile e necessario, rimane altamente difficile da attuare e, soprattutto valutare. Quindi: come ci assicuriamo che l’adesione a standards – che presumibilmente non avranno come oggetto le questioni di impatto sociale dell’IA – non diventi un modo per delegittimare gli obiettivi della stessa normativa europea? In altre parole, potremmo trovarci prodotti che pur essendo in piena conformità con gli standards, hanno un impatto (negativo) su quei valori fondamentali che l’EU AI Act si prefigge di tutelare?
- Secondo, si potrebbe dire che – anche qualora il punto sopra dovesse avverarsi- la normativa sulla privacy e la data protection rimarrebbe comunque applicabile a tutelare gli individui. Ma, come abbiamo detto precedentemente, l’AI Act in un certo qual modo estende la normativa privacy dal momento che molti sistemi di IA, pur non usando dati personali, hanno comunque un effetto sulle persone.
- E infine, alla luce dei due punti precedenti, non abbiamo forse bisogno di un super-body in grado di mettere insieme tutti questi diversi aspetti, dalla privacy, all’employment passando per le altre discipline coinvolte? Il rischio, a nostro parere, e che la privacy, invece di restare il filo conduttore tra tutta la normativa che disciplina il digitale, resti l’unica speranza per un’intelligenza artificiale etica e responsabile.
Note
- Bartoletti I., Lucchini, L. (21 Febbraio 2022), “Privacy e competizione, qual è il fil rouge? Le sfide per Autorità e governi”, Agenda Digitale, https://www.agendadigitale.eu/sicurezza/privacy/privacy-e-competizione-qual-e-il-fil-rouge-le-sfide-per-autorita-e-governi/ ↑
- Commissione Europea (9 Dicembre 2021), “Proposal for a Directive of the European Parliament and of the Council on improving working conditions in platform work”, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2021:762:FIN ↑
- Kelly-Lyth, A., Adams -Prassl, J. (14 Dicembre 2021), “The EU’s Proposed Platform Work Directive”, Verfassungsblog, https://verfassungsblog.de/work-directive/ ↑
- Barros Vale, S., Fortuna, G. (17 Maggio 2022), “FPF Report: Automated Decision-making under the GDPR – A comprehensive case-law analysis”, Future Privacy Forum, https://fpf.org/blog/fpf-report-automated-decision-making-under-the-gdpr-a-comprehensive-case-law-analysis/ ↑
- Scorza, G, Agenda Digitale, https://www.agendadigitale.eu/sicurezza/privacy/lalgoritmo-deve-essere-trasparente-la-cassazione-rilancia-il-gdpr/ ↑
- Ebers, Martin, Standardizing AI – The Case of the European Commission’s Proposal for an Artificial Intelligence Act (August 6, 2021). The Cambridge Handbook of Artificial Intelligence: Global Perspectives on Law and Ethics, http://dx.doi.org/10.2139/ssrn.3900378 ↑
- Idem ↑
- Il nuovo regolamento UE sull’intelligenza artificiale e i lavoratori, Il Mulino, Maggio 2022, https://www.laterza.it/scheda-libro/?isbn=9788858141298 ↑
