Nei prossimi mesi si gioca una partita importante: ogni Paese dell’Unione dovrà avviare l’attuazione del nuovo Regolamento europeo, l’AI Act, e organizzare anche le sue strutture in conformità alle previsioni di cui al Capo VII. Si apre insomma la partita governance sulle regole che accompagneranno, in Italia e in Europa, la più grande trasformazione tecnologica degli ultimi anni: quella dell’intelligenza artificiale.
Il Garante per la protezione dei dati personali ha giocato d’anticipo candidandosi per diventare un’autorità nazionale di attuazione.
Con una segnalazione a Governo e Parlamento ha dichiarato infatti di avere “i requisiti di competenza e indipendenza necessari per attuare il Regolamento europeo sull’intelligenza artificiale coerentemente con l’obiettivo di un livello elevato di tutela dei diritti fondamentali” (molti esperti hanno notato come questa segnalazione segue le dichiarazioni del sottosegretario all’innovazione Butti di voler designare invece l’Agenzia Italia Digitale e l’Agenzia per la cybersecurity Acn, ndr.).
Ha anche evidenziato le strette interrelazioni, su più fronti, tra IA e protezione dei dati e l’incidenza, profonda e trasversale, che tali sistemi hanno sui diritti fondamentali.
Governance AI Act, che dice il regolamento
Ma vediamo cosa prevede l’AI Act (nel seguito anche: “Regolamento”) al Capo VII Governance:
Ufficio IA
L’Ufficio per l’IA definito all’art. 3, paragrafo 47) come quella funzione della Commissione volta a contribuire all’attuazione, al monitoraggio e alla supervisione dei sistemi di IA e della governance. Un vero e proprio braccio operativo per lo sviluppo delle competenze nel settore, come emerge chiaramente dall’art. 64.
Infatti, la Commissione europea, prima ancora della stessa formale approvazione del Regolamento, ha già provveduto, il 24 gennaio 2024, ad istituire quello che si pone come centro di competenza sull’IA e andrà a costituire la piattaforma per un unico sistema europeo di governance dell’IA.In particolare l’Ufficio per l’IA, incardinato nella Direzione generale delle Reti, dei contenuti e delle tecnologie di comunicazione, svolgerà un ruolo chiave nell’attuazione del Regolamento sostenendo gli organi di governance degli Stati membri nell’ambito dei loro compiti promuovendo lo sviluppo e l’uso di un’intelligenza artificiale affidabile e la cooperazione internazionale proteggendo al tempo stesso dai rischi legati all’IA, con l’obiettivo di creare un clima di fiducia e un uso consapevole.
Al fine di garantire un approccio europeo strategico, coerente ed efficace collabora con gli Stati membri e la più ampia comunità di esperti per assicurarne una applicazione coerente in tutti gli Stati dell’Unione, investigare sulle violazioni, stabilire codici di condotta, classificare i modelli di intelligenza artificiale che rappresentano un rischio sistemico, fissare le regole delle sandbox, gli ambienti di test con regole attenuate per consentire di fare ricerca sulle nuove tecnologie, e confrontarsi con i gruppi di esperti che lo affiancheranno fornendo perizie e pareri tecnici. La Commissione ha già avviato le procedure per la selezione del personale qualificato al fine di assicurarne una rapida entrata e regime: sei mesi dopo la pubblicazione dell’AI Act entreranno, infatti, in vigore le disposizioni del Capo II con le norme in tema di divieti di pratiche di IA vietate.
Comitato europeo per l’IA
Il Comitato Europeo per l’IA è composto da un rappresentante designato da ciascun Stato membro[1] e vi partecipano, come osservatori (senza diritto di voto), il Garante europeo per la protezione dei dati e l’Ufficio per l’IA. Presieduto da uno dei rappresentanti degli Stati membri, ha l’obiettivo di agevolare coerenza e coordinamento tra le autorità nazionali nei rispettivi Stati e le attività congiunte, contribuire all’armonizzazione delle pratiche amministrative e, ove possibile, essere punto unico di contatto anche per i portatori di interessi. Il Comitato, anche attraverso la raccolta di dati e informazioni, su richiesta della Commissione o di propria iniziativa, potrà formulare raccomandazioni e pareri scritti su qualsiasi questione pertinente l’interpretazione e l’applicazione coerente ed efficace del Regolamento (art. 65). Rappresenta una piattaforma di cooperazione e scambio tra le Autorità di vigilanza e organo consultivo della Commissione con un ruolo importate nei singoli Stati non solo per l’attuazione del Regolamento, ivi compresa la progettazione di codici di buone pratiche per i modelli di base ma anche, più in generale, campagne di alfabetizzazione e comprensione dei benefici e dei rischi, delle garanzie, dei diritti e degli obblighi connessi all’uso dei sistemi di IA.
Forum Consultivo
Il Forum Consultivo, nominato dalla Commissione, è composto da una selezione equilibrata[2] di portatori di interessi con competenze riconosciute nel settore, in rappresentanza dell’industria, delle PMI, delle start-up, della società civile e del mondo accademico al fine di fornire specifiche competenze tecniche al Comitato e alla Commissione con pareri, raccomandazioni e contributi scritti. I componenti durano in carica due anni e possono essere confermati una sola volta. Sono membri permanenti del Forum i rappresentanti di organismi tecnici, quali ENISA e CEN, oltre all’Agenzia per i diritti fondamentali.
Gruppo esperti
Il Gruppo di esperti scientifici indipendenti (da qualsiasi fornitore), selezionati e nominati dalla Commissione tra soggetti in possesso di particolari conoscenze, capacità e competenze scientifiche o tecniche aggiornate nel settore. E’ volto a supportare il lavoro dell’Ufficio per l’IA e delle Autorità di vigilanza per l’attuazione e l’esecuzione del regolamenti relativamente ai modelli e sistemi di IA per finalità generali segnalando possibili rischi sistemici e contribuendo allo sviluppo di strumenti e metodologie di valutazione. La delicatezza del ruolo affidato agli esperti determina i particolari vincoli, raccomandazioni e procedure posti a garanzia della loro imparzialità e obiettività come indicati all’art. 68, paragrafo 4 e che verranno inseriti nell’atto di esecuzione con il quale la Commissione provvederà alla nomina.
Agli esperti scientifici del Gruppo potranno ricorrere autonomamente anche gli Stati membri a sostegno delle attività di esecuzione del Regolamento. Le modalità, compresi eventuali costi, saranno fissate dalla Commissione che ne faciliterà un accesso tempestivo ai fini di un migliore valore aggiunto possibile.
Banca dati
La Banca dati comune europea per i sistemi ad alto rischio: istituita e mantenuta dalla Commissione (che agisce in qualità di titolare del trattamento nel rispetto dei principi della protezione dei dati personali) in collaborazione con gli Stati membri. Contiene le informazioni, sempre aggiornate, di cui all’Allegato VIII, Sezione A – Informazioni che i fornitori di sistemi di IA ad alto rischio devono presentare in conformità dell’articolo 49, paragrafo 1”, e Sezione C – Informazioni che i deployer di sistemi di IA ad alto rischio devono presentare in conformità dell’articolo 49, paragrafo 3”.
Autorità nazionali
Le Autorità nazionali indipendenti: gli Stati membri possono, conformemente alle rispettive esigenze organizzative, istituire o designareuna o più Autorità nazionali competenti (una di notifica e una di vigilanza), garantendo sempre che possano operare in modo indipendente, imparziale e senza pregiudizi, salvaguardando i principi di obiettività nel garantire l’applicazione del Regolamento. La Commissione deve essere informata dell’avventa nomina, di eventuali variazioni e di quale Autorità sia stata individuata quale unico punto di contatto per tutte le attività connesse all’applicazione del Regolamento. Alle Autorità vanno garantite risorse tecniche, finanziarie ed umane adeguate, nonché infrastrutture necessarie per svolgere efficacemente i loro compiti.
Riguardo a specifiche categorie di sistemi di IA ad alto rischio che appaiono presentare un rischio grave in due o più Stati membri[3], le Autorità di vigilanza e la Commissione possono proporre e condurre attività e indagini congiunte, anche con il coordinamento dell’Ufficio per l’IA, al fine di promuovere la conformità, individuare casi di non conformità, sensibilizzare e fornire orientamenti in relazione al Regolamento. I fornitori sono tenuti a concedere pieno accesso alla documentazione compresi i set di dati di addestramento, convalida e prova utilizzati.
Ogni anno gli Stati membri devono presentare una relazione sullo stato di attuazione del Regolamento sul quale la Commissione, sentito il Comitato, esprime un giudizio di adeguatezza.
La segnalazione del Garante privacy
Adottata il 25 marzo 2024 la Segnalazione al Parlamento e al Governo sull’Autorità per l’IA, sottolinea tre aspetti fondamentali della partita in corso:
Obbligo di nomina: previsto dall’art 70, lascia agli Stati membri la possibilità di organizzarsi liberamente a condizione che siano rispettati i principi di imparzialità, indipendenza e obiettività nello svolgimento dei compiti affidati.
Imparzialità ed esperienza: la medesima disposizione impone agli Stati membri di garantire che l’esercizio dei propri poteri, da parte di tali autorità, possa svolgersi “in modo indipendente, imparziale e senza pregiudizi, e condizionamenti” coniugando l’innovazione con la tutela dei diritti e delle libertà fondamentali dai rischi potenzialmente derivanti da un uso scorretto dell’IA.
E proprio tale stretta interrelazione ha portato il Comitato europeo e il Garante europeo per la protezione dei dati a suggerire, nel parere congiunto n. 5 del 18 giugno 2021, l’individuazione delle Autorità di controllo per l’IA nelle Autorità di protezione dati personali. Queste ultime, infatti, possiedono la competenza sulle norme da applicare e consolidate caratteristiche di indipendenza.
Competenza già riconosciuta dallo stesso AI Act (Considerando 10), ad esempio, laddove prevede espressamente l’intervento delle Autorità di protezione dei dati in alcuni punti rilevanti: per il controllo su processi algoritmici che utilizzino dati personali; la loro designazione, ai sensi dell’art. 74, paragrafo 8, per i sistemi ad alto rischio; un vaglio autorizzatorio per i sistemi di identificazione biometrica (art. 5 paragrafo 3).
Significativa appare la presenza, sia pure senza diritto di voto, del Garante europeo all’interno del Comitato europeo per l’IA e dal suo ruolo nell’istituzione di Spazi di sperimentazione normativa per l’IA.
Evitare rischi di frammentazione e sovrapposizione: la designazione di organi diversi, quali autorità competenti per l’IA, determinerebbe una frammentazione eccessiva della governance, con possibili conflitti di competenza e duplicazione ingiustificata degli oneri amministrativi per soggetti pubblici e privati.
Assume rilievo, infine, come lo stesso AI Act all’articolo 70, paragrafo 9, designi il Garante europeo della protezione dei dati quale Autorità di vigilanza nei confronti di istituzioni, organi e organismi dell’Unione. Principio ribadito anche all’art. 74, paragrafo 9 per escludere, dall’ambito di applicazione, la Corte di giustizia dell’Unione europea quando opera nell’esercizio delle sue funzioni giurisdizionali.
Conclusioni
Siamo di fronte ad un meccanismo complesso, certamente non semplice nella sua pianificazione e applicazione, a partire dalla stessa governance, articolata e con più protagonisti, con le necessarie interrelazione tra soggetti diversi, con competenze trasversali da sviluppare, nuove procedure da pianificare, con standard e pratiche da elaborare per garantire un utilizzo etico e responsabile dell’AI in un contesto sempre più complesso e interconnesso. Un sistema che pone l’accento, al pari del GDPR, su responsabilità, trasparenza e miglioramento continuo.
Dalle scelte che devono essere operate e dalla capacità di perseguire gli obiettivi[4] si andrà a disegnare il ruolo che l’Unione saprà assumere nello scenario mondiale.
Sicuramente la nomina dell’Autorità sarà un tassello fondamentale, ma non è l’unico.
Qualsiasi decisione sarà presa su ciascuno di passaggi chiave, occorre essere consapevoli che sarà prioritario assicurare coerenza, condivisione e cooperazione.
Note
[1] Cfr. art. 65 AI Act, paragrafo 3 – Ciascun rappresentante dura in carica 3 anni, rinnovabile una sola volta.
[2] Cfr. art. 67, c. 2 AI Act “La composizione del forum consultivo è equilibrata per quanto riguarda gli interessi commerciali e non commerciali e, all’interno della categoria degli interessi commerciali, per quanto riguarda le PMI e le altre imprese”.
[3] In conformità all’articolo 9 del Regolamento (UE) 2019/1020.
[4] Il Regolamento sull’IA fa parte di un più ampio pacchetto, lanciato dall’Unione europea nel gennaio 2024, di misure politiche a sostegno dello sviluppo di un’IA affidabile e sicura con interventi innovazione sull’IA per sostenere le startup e le PMI nello sviluppo di un’IA affidabile e conforme ai valori e alle norme dell’UE. Sia l’iniziativa “GenAI4EU” che l’Ufficio AI fanno parte di questo pacchetto che accompagna l’adozione dell’AI Act. Insieme contribuiranno allo sviluppo di nuovi casi d’uso e applicazioni emergenti nei 14 ecosistemi industriali europei, nonché nel settore pubblico. Le aree di applicazione includono robotica, salute, biotecnologia, produzione, mobilità, clima e mondi virtuali.
