lo scenario europeo

IA e tutela dei diritti: il DDL italiano e le altre iniziative Ue

Home Mercati digitali
Indirizzo copiato

Le istituzioni a livello globale e nazionale stanno aumentando i loro sforzi per delineare un quadro di riferimento per lo sviluppo e l’uso responsabile dei sistemi di intelligenza artificiale. Dalla Commissione Ue all’ICO britannico, passando per l’autorità francese CNIL e il DDL italiano, le iniziative più recenti

Pubblicato il 26 apr 2024
Giacomo Borgognone

Avvocato Legal Consultant P4I – Partners4Innovation

Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)

Digital,Transformation,Concept.,Binary,Code.,Ai,(artificial,Intelligence).

Mentre l’Europa si avvicina alla conclusione dell’iter legislativo e alla pubblicazione dell’AI Act sulla Gazzetta ufficiale e l’Italia approva il DDL per regolamentare l’utilizzo della tecnologia in conformità con le norme Ue, è interessante esaminare il panorama attuale delle politiche e delle iniziative che stanno plasmando l’approccio del continente verso un uso responsabile e sicuro dell’IA, con particolare riguardo ai sistemi di IA generativa e all’utilizzo di dati personali.

AI, il mondo la vuole responsabile: ecco tutti i lavori in corso

Di seguito viene offerta una panoramica di alcune recenti iniziative, delle Istituzioni e delle Autorità di protezione dei dati personali, le quali mirano a fornire indicazioni per guidare il cammino verso un futuro in cui l’IA possa essere sfruttata al massimo delle sue potenzialità, garantendo al contempo la sicurezza e i diritti delle persone.

Le linee guida della Commissione Ue sull’uso responsabile della GenAI nella ricerca

A fine marzo 2024, la Commissione Europea ha pubblicato delle linee guida sull’uso responsabile dell’IA generativa nella ricerca[1] al fine di portare ordine in un contesto in cui proliferano linee guida e raccomandazioni.

La Commissione evidenzia fin da subito alcuni rischi che possono derivare dall’utilizzo dell’IA, quali la produzione su larga scala di disinformazione e altri utilizzi non etici con significative conseguenze sociali; alcuni dei rischi sono dovuti alle limitazioni tecniche dello strumento di IA utilizzato mentre altri sono legati all’uso (intenzionale o non) dello stesso. Oltre ai rischi, tuttavia, viene sottolineato che l’ambito della ricerca è uno dei settori che potrebbe trarre maggior beneficio dall’intelligenza artificiale generativa in quanto quest’ultima ha un grande potenziale di accelerare la scoperta scientifica e migliorare l’efficacia e la velocità dei processi di ricerca e verifica. Tra gli esempi positivi di uso degli strumenti di IA da parte dei ricercatori, il documento richiama il supporto nella produzione di testi in più lingue e la generazione di riassunti di testi presi da diverse fonti.

Le linee guida della Commissione si fondano su framework già esistenti, quali il “codice di condotta europeo per l’integrità della ricerca” e le “Linee guida etiche per un’IA affidabile”, e si rivolgono ai ricercatori, alle organizzazioni di ricerca e alle organizzazioni che finanziano la ricerca.

Le raccomandazioni della Commissione

In particolare, secondo la Commissione:

  • i ricercatori dovrebbero: adottare i principi fondamentali dell’integrità della ricerca, utilizzare l’IA generativa in modo trasparente mantenendo la responsabilità sull’output; utilizzare l’IA generativa preservando la privacy, la confidenzialità e i diritti di proprietà intellettuale, sia nella fase di input che nella generazione degli output; mantenere un approccio critico nell’uso dell’IA generativa; astenersi dall’utilizzo di strumenti di IA generativa in attività sensibili come, ad esempio, le peer review;
  • le organizzazioni di ricerca dovrebbero: favorire un approccio critico all’uso dell’IA generativa e monitorare attivamente lo sviluppo e l’utilizzo degli strumenti di IA; tenere in considerazione le linee guida della Commissione, adattandole o ampliandole quando necessario; implementare i propri strumenti di IA generativa tenendo in considerazione la protezione dei dati personali e la riservatezza;
  • le organizzazioni che finanziano la ricerca dovrebbero: sostenere l’uso responsabile dell’IA generativa nella ricerca; utilizzare l’IA generativa in modo trasparente, garantendo riservatezza e correttezza.

La consultazione ICO sull’esattezza dei dati di addestramento e dell’output dei modelli di GenIA

Nel corso del 2024, l’Information Commissioner’s Office (ICO) ha avviato delle consultazioni pubbliche relative a tematiche sulla protezione dei dati personali in relazione all’utilizzo di sistemi e modelli di IA. A seguito delle consultazioni pubbliche sulla “base giuridica per il web scraping per addestrare i modelli di IA generativa” e “limitazione della finalità nel ciclo di vita dell’IA generativa”, a inizio aprile 2024 è stata pubblicata la consultazione “sull’esattezza dei dati di addestramento e dell’output dei modelli di IA generativa”[2].

In primo luogo, l’ICO pone l’attenzione sulla finalità del modello di IA generativa poiché la stessa è fondamentale nel determinare se l’output generato dal modello stesso debba essere esatto o meno; ad esempio, se il modello di IA è realizzato e utilizzato per aiutare i progettisti di videogiochi a sviluppare una trama non è necessario che l’output sia esatti. Viceversa, nel caso in cui il modello sia utilizzato per riassumere i reclami dei clienti, è necessario che i dati in output siano esatti. A tal proposito, l’ICO afferma che più un modello di intelligenza artificiale generativa viene utilizzato per prendere decisioni riguardanti le persone più l’esattezza dovrebbe costituire un principio centrale nella progettazione e nel test del modello.

Le raccomandazioni ICO

Una volta compreso se il modello di IA viene utilizzato per una finalità che richiede un output accurato, lo sviluppatore deve considerare in che modo i dati utilizzati per il training del modello impattino su tale elemento; in particolare, secondo l’ICO gli sviluppatori dovrebbero:

  • sapere se i dati di addestramento sono costituiti da informazioni accurate, veritiere e aggiornate, informazioni storiche, inferenze, opinioni, o persino informazioni generate dall’IA relative a individui;
  • comprendere e documentare l’impatto che l’accuratezza dei dati di addestramento ha sugli output del modello di intelligenza artificiale generativa;
  • considerare se l’accuratezza statistica dell’output del modello di intelligenza artificiale generativa è adeguato alla finalità per cui il modello viene utilizzato e come ciò incida sul principio di esattezza; e
  • comunicare in modo trasparentemente e conciso gli elementi di cui sopra ai deployers e agli utenti finali, per assicurarsi che la mancanza di accuratezza nella fase di addestramento non comporti impatti negativi sugli individui nella fase di implementazione.

Infine, l’ICO afferma che i deployers, a loro volta, sono responsabili di una comunicazione trasparente con gli utenti finali e dovrebbero considerare alcuni elementi tra cui, ad esempio, come l’eventuale mancanza di dati di addestramento accurati e di output possa impattare sugli individui e mitigare tali rischi prima del dispiegamento (ad esempio, restrizioni sulle query degli utenti, filtri sugli output).

Le raccomandazioni della CNIL sullo sviluppo dei sistemi di intelligenza artificiale

Oltre all’ICO, anche l’Autorità francese (“CNIL”) ha pubblicato, nel mese di aprile 2024, delle raccomandazioni sullo sviluppo dei sistemi di intelligenza artificiale[3], le quali tengono in considerazione anche il testo dell’AI Act. In particolare, le raccomandazioni sono volte a conciliare lo sviluppo dei sistemi di IA con il rispetto della protezione dei dati personali e riguardano: i sistemi basati sull’apprendimento automatico (machine learning); i sistemi il cui uso operativo è definito fin dalla fase di sviluppo e i sistemi per finalità generali che potranno essere utilizzati per alimentare diverse applicazioni (“general purpose AI”). le raccomandazioni della CNIL si concentrano sulla fase di sviluppo dei sistemi di IA e non sull’utilizzo degli stessi.

Le fasi evidenziate dall’Autorità

Più nello specifico, le fasi evidenziate dall’Autorità sono le seguenti:

  • definizione della finalità: è di fondamentale importanza definire le finalità per cui sarà utilizzato il sistema. Ciò consente di utilizzare per la fase di addestramento esclusivamente i dati personali necessari e non eccedenti;
  • definizione dei ruoli: nel caso di utilizzo di dati personali per lo sviluppo dei sistemi di IA è necessario individuare i ruoli (Titolare del trattamento o Responsabile del trattamento). Ad esempio, un fornitore che avvia lo sviluppo di un sistema di IA e costituisce il database di apprendimento a partire dai dati che ha selezionato per proprio conto potrebbe qualificarsi come Titolare del trattamento;
  • individuazione della base giuridica del trattamento: la CNIL evidenzia che spesso non si potrà fare affidamento sul consenso poiché impossibile da raccogliere e si dovrà fare riferimento ad un’altra condizione di liceità. In particolare, l’Autorità individua quale base giuridica preferibile, previo il rispetto di tutti i requisiti, l’interesse legittimo nel settore privato e l’interesse pubblico, nel settore pubblico;
  • verifica della possibilità di riutilizzare i dati: in particolare, occorre considerare le modalità di raccolta dei dati personali e che le stesse siano lecite. L’Autorità differenzia i casi in cui: a) lo sviluppatore utilizzi i dati inizialmente raccolti dallo stesso per una finalità diversa; b) siano utilizzati dati disponibili al pubblico; c) siano usati dati acquisiti da terzi. Nel primo caso, sarà necessario svolgere un test di compatibilità; nel secondo caso, invece, sarà necessario svolgere una valutazione caso per caso analizzando diversi elementi tra cui, ad esempio, la menzione della fonte da cui sono raccolti i dati, la presenza o meno di dati particolari; nel terzo caso occorrerà verificare che il terzo abbia raccolto i dati in modo lecito;
  • riduzione al minimo i dati personali che sono utilizzati: i dati devono essere adeguati, pertinenti e limitati a quanto strettamente necessario per raggiungere la finalità. In particolare, la CNIL, oltre ad affermare che il principio di minimizzazione non preclude l’utilizzo di grandi set di dati, suggerisce di utilizzare solo i dati personali utili allo sviluppo del sistema e, successivamente, implementare i mezzi tecnici per raccogliere solo i dati necessari;
  • definizione del periodo di conservazione: è necessario impostare un periodo di conservazione per i dati personali durante la fase di sviluppo. Una volta conclusa tale fase, i dati dovrebbero essere cancellati a meno che non siano necessari per la manutenzione o il miglioramento del prodotto e siano implementate garanzie adeguate;
  • svolgimento di una DPIA.

La situazione in Italia: il disegno di legge in materia di intelligenza artificiale

In Italia, il Governo ha approvato un disegno di legge per l’introduzione di disposizioni e la delega al Governo in materia di intelligenza artificiale. Il disegno di legge introduce norme di principio e disposizioni di settore per promuovere l’utilizzo delle nuove tecnologie per il miglioramento delle condizioni di vita dei cittadini e della coesione sociale, nonché per fornire soluzioni per una gestione del rischio fondata su una visione antropocentrica.

Il disegno di legge è suddiviso nei seguenti ambiti: la strategia nazionale; le autorità nazionali; le azioni di promozione; la tutela del diritto d’autore; le sanzioni penali. Tra gli elementi presi in considerazione nel disegno di legge si trovano anche il rispetto dei diritti fondamentali e delle libertà dell’ordinamento italiano ed europeo. Per quanto attiene alle disposizioni di settore, sono individuati i seguenti ambiti: sanità e disabilità; lavoro; pubblica amministrazione; attività giudiziaria; cybersicurezza nazionale.

AgID e ACN: le autorità italiane per l’intelligenza artificiale

Un punto centrale riguarda poi l’individuazione delle Autorità nazionali per l’intelligenza artificiale. In particolare, il Governo ha deciso di affidare all’Agenzia per l’Italia digitale (AgID) e all’agenzia per la cybersicurezza nazionale (ACN) il compito di garantire l’applicazione e l’attuazione della normativa nazionale ed europea in tema di intelligenza artificiale. Nel testo è specificato anche che restano ferme le competenze, i compiti e i poteri del Garante per la protezione dei dati personali.

Infine, è interessante notare come vi sia un richiamo all’alfabetizzazione e alla formazione in materia di utilizzo dei sistemi di intelligenza artificiale.

Conclusioni

Le istituzioni e le Autorità sono molto attive e forniscono delle indicazioni preziose per chi si accinge a sviluppare o a utilizzare dei sistemi o modelli di IA. Proprio per questo è fondamentale tenere in considerazione tali indicazioni al fine di sviluppare una maggiore consapevolezza ed avere degli strumenti utili riducendo al minimo i rischi sanzionatori.

Note

[1] Commissione Europea “Living Guidelines on the responsible use of generative AI in research”, 2024

[2] ICO, Generative AI third call for evidence: accuracy of training data and model outputs, 2024

[3] CNIL, Développement des systèmes d’IA: les recommandations de la CNIL pour respecter le RGPD, 2024

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Giacomo Borgognone
Avvocato Legal Consultant P4I – Partners4Innovation
C
Anna Cataleta
Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Ricetta bianca solo digitale: la novità che discrimina i deboli