In reazione all’entrata in vigore dello AI Act nella UE, Meta, Google e Spotify hanno protestato con una lettera aperta, sottoscritta anche da altre importanti compagnie delle nuove tecnologie, contro la iper-regolazione europea e, in particolare, contro alcuni aspetti del contenuto dello AI Act e alcuni suoi effetti.
Le accuse delle big tech contro AI Act
In particolare la protesta ha riguardato la sottolineatura del rischio, molto concreto, che l’intelligenza artificiale non possa espandersi in UE come invece avviene e avverrà in altre zone del globo, a causa della difficoltà di armonizzare la attuazione dello AI Act col GDPR, come richiesto dal paragrafo 7 dell’art.2 dello stesso Ai Act.
Il tema, qui volutamente riassunto in modo essenziale e sintetico, è estremamente importante.
Del rischio che la AI non possa avere adeguata espansione in UE proprio a causa della iper-regolazione europea parla anche esplicitamente il rapporto Draghi e, soprattutto, perché il tema nasce dalla pretesa, assolutamente centrale per l’UE, di garantire che ogni evoluzione delle nuove tecnologie digitali salvaguardi i diritti legati alla regolazione già in vigore e soprattutto quelli legati appunto alla tutela dei dati personali visti come diritti essenziali di libertà per i cittadini europei e, dunque, da tutelare sempre con particolare attenzione.
La questione nasce però dall’intrecciarsi di più aspetti che, almeno a parere di chi scrive, meritano di essere tenuti tutti in debita considerazione.
Il tema dei dati dell’AI
Il primo e più importante aspetto è che la affermata tutela del GDPR anche nel quadro dello AI Act incide direttamente sul tema essenziale di quali siano i dati che i sistemi di AI possono utilizzare, per il training e non solo, secondo la regolazione europea.
E’ ben noto, infatti, che il GDPR prevede che i dati personali possono essere utilizzati solo se il loro uso trova fondamento in una delle basi di legittimazione previste dallo stesso GDPR.
Su questo punto lo EDPB aveva già richiamato l’attenzione del legislatore europeo nella fase preparatoria dello AI Act, prefigurando appunto il rischio che la nuova normativa potesse trovare ampie difficoltà applicative in sede di individuazione delle basi legali necessarie a giustificare il trattamento di dati personali sia nella fase di allenamento delle tecnologie di AI che nelle fasi della loro utilizzazione.
Oggettivamente gli avvertimenti dello EDPB non sono stati adeguatamente tenuti in conto e lo AI Act ha tranquillamente proceduto sulla via di chiedere il rispetto e la piena attuazione del GDPR pur in presenza di una regolazione che lo stesso EDPB aveva avvertito essere potenzialmente in contrasto con quella di protezione dati.
Dopo l’entrata in vigore dello AI Act non si sono ancora avuti pronunciamenti formali particolarmente netti contro l’uso di dati personali da parte dei sistemi di IA che usino dati personali anche senza una adeguata base legale coerente col GDPR ma è noto che lo EDPB e, più in generale, le Autorità di protezione dati sono orientate nel senso di considerare in contrasto col GDPR, e quindi illegittimo anche alla luce dello AI Act, l’uso di dati personali senza adeguate basi legali conformi a quelle previste nel GDPR. Basi legali che le Autorità di protezione dati mostrano di continuare a ritenere spesso insussistenti nell’ambito del solo AI Act.
Si ha notizia, inoltre, che potrebbe essere imminente un parere in tal senso adottato dallo EDPB che andrebbe a inserirsi nella stessa linea di intervento delle Autorità di protezione dati già emersa col notissimo caso di Chatgpt.
Due questioni chiave
A questo punto, di per sé già essenziale, è bene aggiungere almeno altri due aspetti importanti.
- Il primo è che lo AI Act affida la competenza nazionale di vigilanza sulla sua applicazione non ai Garanti dei dati personali ma, almeno tendenzialmente, alle Autorità di vigilanza sul mercato, così come del resto si appresta a fare anche il legislatore italiano.
- Il secondo aspetto di grande importanza è che lo AI Act affida le competenze di vigilanza sulla sua applicazione nel contesto della UE non allo EDPB o a un board di Autorità nazionali ma direttamente alla Commissione, alla quale si chiede di dotarsi di una complessa articolazione di organismi ausiliari come l’Ufficio per la AI e il board di esperti sulla AI nominati dai Paesi membri.
E’ ovvio che l’aver centralizzato nella Commissione la vigilanza sulla corretta attuazione a livello UE dello AI Act è considerato dalle Autorità Garanti per i dati personali come un ulteriore elemento di criticità del sistema regolatorio europeo perché, si dice, la Commissione è per definizione priva di quelle caratteristiche di indipendenza che, proprio sulla scia dell’esperienza della tutela dei dati personali, dovrebbero avere le Autorità di vigilanza sia a livello nazionale che a livello europeo.
Ovviamente ci sono poi anche altri punti di frizione fra le autorità di protezione dei dati e la disciplina contenuta nello IA Act, ma quelli indicati sono i più rilevanti e i più sottolineati dagli esperti della protezione dei dati personali e del GDPR.
Proprio gli aspetti qui richiamati tuttavia spiegano lo scarso sviluppo che finora la IA ha fatto registrare nel contesto europeo malgrado il pacchetto di interventi a supporto della IA con riferimento in particolare alle Start Up e alle SMEs lanciato dalla Commissione nel gennaio 2024, in conformità al discorso sullo Stato dell’Unione del 2023 col quale la Precidente von der Leyen aveva rilanciato a necessità di promuovere la costruzione di supercomputer europei per favorire lo sviluppo di startups affidabili nel settore della IA.
Inoltre queste difficoltà spiegano anche, e ancora di più, anche la ritrosia dei privati a investire in queste nuove tecnologie.
Come è noto, le incertezze sulle modalità di regolazione e di funzionamento delle tecnologie non invogliano certo gli investitori a scommettere sulla loro redditività e sulla bontà degli investimenti che le riguardano.
Importante chiarire le regole sull’IA
Peraltro va detto che così come la volontà di armonizzare la regolazione delle nuove tecnologie, IA compresa, con la tutela dei diritti già riconosciuti in UE è un aspetto fondamentale della attuale regolazione della UE in questo campo, anche l’accentramento nella Commissione di nuovi poteri di vigilanza, accompagnata dalla creazione di nuove strutture tecniche collegate alla Commissione, è un aspetto ormai sempre più ritornante nella recente regolazione europea nell’ambito delle nuove tecnologie.
Va aggiunto che anche questa tendenza ha un suo fondamento ben solido nello sviluppo della UE attuale, così come lo ha quello di voler comunque difendere i diritti già acquisiti anche in presenza di nuove regolazioni e nuove tecnologie.
Nella vicenda della tendenza, sempre più evidente, ad aumentare i poteri della Commissione e ad accentrare in essa nuovi ruoli e nuove attività si legge facilmente la volontà di dare una risposta, certamente provvisoria e non pienamente soddisfacente, alla necessità di riformare la struttura stessa della UE: riforma[D1] necessaria anche per far fronte alle necessità di governance e di sviluppo armonioso dell’epoca digitale.
Sistemare la governance
E’ ben noto che è diffusa la consapevolezza che lo sviluppo dell’epoca digitale richiede anche modifiche profonde nella governance della UE perchè necessita di rafforzare il potere di guida e di governance dell’Unione anche rispetto agli Stati membri, marciando così verso nuove forme di federalismo europeo.
Di questa necessità del resto ha dato testimonianza la stessa Commissione von der Leyen che nel gennaio 2024 ha presentato al Parlamento e al Consiglio la comunicazione “Advancing European economic security: an introduction to five new initiatives” nella quale sostanzialmente è facile leggere la ricerca di una nuova forma di unità e di governance del sistema della UE.
Ovviamente, tuttavia, l’accentramento nella Commissione, a livello europeo, e nell’ Autorità di vigilanza del mercato, a livello nazionale, dei compiti di vigilanza dello IA Act non ha trovato il favore delle Autorità di protezione dei dai personali che troppo tardi hanno rivendicato il ruolo di Autorità di controllo sui dati nella società digitale. Ruolo che sarebbe stato utile e importante che queste Autorità avessero rivendicato tempestivamente solo che non si fossero attardate troppo, e troppo ideologicamente, sul ruolo di autorità vigilanti sui diritti delle persone piuttosto che sul corretto uso dei dati nella società digitale.
Regole concrete da adottare, internazionali: per promuovere adozione e fiducia
Se le considerazioni sin qui svolte hanno un fondamento condiviso da chi legge, sarà chiaro che in realtà lo AI Act della UE non è tanto, come alcuni hanno pomposamente detto, la prima regolazione organica delle nuove tecnologie di IA quanto una normativa che, grazie alle sue caratteristiche e anche alle sue contraddizioni interne, mette gli studiosi di fronte alla necessità di ragionare rapidamente e in fretta su quali siano le caratteristiche delle tecnologie riconducibili alla IA e su quali siano, di conseguenza, le regole che è utile adottare e concretamente applicare.
In questo quadro è bene anche tener conto che sempre più emergono i rischi veri delle tecnologie di IA che sono quelli di sistemi tecnologici finalizzati, come recita l’art.3 dello IA Act, a “generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.
Dunque, proprio perché lo IA Act stesso sottolinea che queste tecnologie possono (o devono?) essere in grado di generare output in grado di influenzare ambienti fisici o virtuali” ne deriva che la regolazione di queste tecnologie deve avere un orizzonte globale, pena il fatto che gli essere umani non possano avere fiducia in tecnologie di tanto rilievo se regolate secondo norme e punti di vista diversi da Paese a Paese o anche da area a area del globo.
Più semplicemente: a che giova dare tanto peso alla valutazione dei rischi e al controllo su tali valutazioni in UE per rafforzare la fiducia dei cittadini stessi nella IA se poi il cittadino UE che debba andare per qualunque motivo in USA o in altra parte del globo non può avere fiducia in sistemi di IA regolati da altre norme e la cui regolazione può essere posta a tutela di altre visioni e altre ideologie o interessi nazionali?
La spinta Onu
Proprio perché la IA è una tecnologia di enorme potenza per quanto riguarda la influenza ottenibile sugli ambienti fisici e virtuali è evidente che in un quadro di ampie e corrette visioni la regolazione europea deve esser vista soprattutto come una spinta verso una regolazione globale alla quale sembra che già in sede ONU si stia lavorando così come dimostra il recente Rapporto presentato dal Comitato consultivo sull’IA dell’ONU (High-level advisory board on artificial intelligence) che raccomanda la istituzione di un Gruppo intergovernativo analogo allo IPCC per il cambiamento climatico, con lo scopo di raccogliere costantemente informazioni sulla tecnologia IA e i suoi rischi.
Tuttavia se tutto questo è vero è evidente anche che l’UE non può restare indietro né sul piano regolatorio né su quello dell’uso delle tecnologie ma deve promuovere con efficacia un quadro di piena fiducia da parte dei cittadini sul loro uso e i loro effetti.
Questo del resto è quanto il rapporto Draghi ha affermato e sostanzialmente quanto le prese di posizione dei grandi fornitori di sistemi di IA ci stanno dicendo mentre cercano di tutelare i loro spazi di impresa.
Ed è anche per questo che il contenuto di questa discussione e delle prese di posizione degli operatori tecnologici devono essere prese in attenta considerazione da tutti.
La nuova commissione ue
Del resto la nomina nella nuova Commissione von der Leyen della nuova Commisaria al digitale nella persona della finlandese Henna Virkkunen come responsabile del mercato digitale, superando la non felice situazione della Commissione precedente che ha visto di fatto la condivisione di questa responsabilità tra il francese Breton e la liberale Vestager sembra un chiaro segnale che anche la nuova Commissione metterà al centro della sua azione lo sviluppo dell’Europa digitale.
Se è così si tratta di un segnale molto molto importante, anche se dobbiamo ora attendere di conoscere la lettera di missione che la von der Leyen invierà alla nuova Commissaria al digitale e di conoscere più in dettaglio il programma della Commissione in materia di AI.
Quello che è sicuro è che si tratta di punti essenziali perché questa volta ne va davvero del futuro della UE e soprattutto del futuro della società umana.
