protezione dei dati

Responsabilità dell’intelligenza artificiale: il parere del Garante europeo

Home Sicurezza digitale Privacy
Indirizzo copiato

Il parere del Gepd è prezioso, perché delinea le macro-problematiche della regolamentazione dell’intelligenza artificiale in Europa e, di conseguenza, nel mondo

Pubblicato il 17 ott 2023
Massimo Borgobello

Avvocato a Udine, co-founder dello Studio Legale Associato BCBLaw, PHD e DPO Certificato 11697:2017

ai act copyrigt

Il Garante europeo per la protezione dati personali (Gepd) ha esposto alcune criticità sul sistema di responsabilità extracontrattuale di tipo “tradizionale” in materia di intelligenza artificiale. 

Così si legge nel parere 11 ottobre 2023 del Gepd (European Data Protection Supervisor), numero 42/2023 sulle proposte di due direttive europee sulle norme in materia di responsabilità.

Due domande su "Intelligenza artificiale e protezione dei dati personali" a Pasquale Stanzione

Le proposte di direttiva e le problematiche segnalate dal Garante Europeo per la Protezione dei Dati personali (GEPD)

A fine settembre 2022 la Commissione europea ha presentato due proposte di direttive al Parlamento europeo, ossia la Proposta di direttiva sulla responsabilità per danno da prodotti difettosi (“proposta PLD”), e la Proposta di direttiva sull’adeguamento delle norme sulla responsabilità civile extracontrattuale all’intelligenza artificiale ( “la proposta AILD”).

La prima riguarda la AI in termini generali di progettazione, la seconda, invece, tratta in via diretta il problema della responsabilità civile extracontrattuale.

Per il GEPD, “La necessità di stabilire norme specifiche in materia di responsabilità nel contesto dell’uso dei sistemi di IA è stata chiaramente individuata dalla Commissione, in particolare nella relazione di valutazione che accompagna la proposta AILD11. Il GEPD concorda che, a causa delle caratteristiche dei sistemi di IA, quali opacità, autonomia, complessità, adattamento continuo e mancanza di prevedibilità, le attuali norme sulla responsabilità, in particolare quelle basate sulla colpa, potrebbero non essere adatte a gestire le richieste di responsabilità per danni causati da prodotti e servizi basati sull’intelligenza artificiale e devono pertanto essere modernizzati”.

Resta però un punto critico, segnalato dal GEPD, in rapporto con l proposta di regolamento sull’intelligenza artificiale, ossia l’AI Act.

“La proposta di legge sull’IA si applicherebbe alle istituzioni, agli uffici, agli organi e alle agenzie dell’Unione (IUE) quando agiscono in qualità di fornitori o utenti di un sistema di IA. Nel loro parere congiunto sulla proposta di legge sull’IA, l’EDPB e il GEPD hanno fortemente sostenuto il fatto che l’ambito della proposta copra la fornitura e l’uso di sistemi di IA da parte degli IUE, sottolineando che “poiché l’uso dei sistemi di IA da parte degli [IUE] può avere anche un impatto significativo sui diritti fondamentali delle persone, simile a quello utilizzato negli Stati membri dell’UE, è indispensabile che il nuovo quadro normativo per l’IA si applichi sia agli Stati membri dell’UE che alle istituzioni, agli uffici, agli organi e agli organismi dell’UE al fine di garantire un approccio coerente in tutta l’Unione”. Il GEPD rileva che né la proposta AILD, né la proposta PLD sembrerebbero applicarsi in caso di danni derivanti da sistemi di IA prodotti e/o utilizzati da istituzioni, organi e agenzie dell’UE”.

Sul punto, comunque, il GEPD conclude manifestando il problema principale delle due proposte: “Consapevole dei diversi quadri giuridici in materia di responsabilità extracontrattuale applicabili agli Stati membri e alle IUE, il GEPD invita i colegislatori e la Commissione a considerare le misure necessarie per affrontare questa situazione e garantire così che le persone che hanno subito danni causati dai sistemi di IA prodotti e/o utilizzati dalle istituzioni, dagli organi e dalle agenzie dell’UE non si trovino in una posizione meno favorevole e godano degli stessi standard di protezione delle persone che hanno subito danni causati da sistemi di IA prodotti e/o utilizzati da attori privati o autorità nazionali”.

In altri termini, la lacuna normativa priverebbe i cittadini dell’Unione di una tutela significativa e si porrebbe come un errore i temini di sistematica normativa nel rapporto tra AI Act e direttive AILD e PLD.

E’ giusto il caso di ricordare ancora una volta che, comunque, l’iter di tutti e tre i provvedimenti normativi è ancora in corso e nessuno è stato approvato definitivamente.

I problemi di ordine sistematico delle proposte PLD e AIDL ed il GDPR

La proposta PLD presenta, secondo il GEPD, una lacuna molto seria, ossi il mancato corretto coordinamento con il GDPR e con l’indicazione del dato risarcibile.

“Il GEPD rileva inoltre che la relazione che accompagna la proposta PLD specifica che il regolamento (UE) 2016/679 (“il GDPR”) riguarda la responsabilità dei responsabili del trattamento e dei titolari del trattamento per danni materiali e immateriali causati dal trattamento dei dati personali che viola il GDPR , “mentre la proposta PLD prevede un risarcimento solo per le perdite materiali derivanti da morte, lesioni personali, danni alla proprietà e perdita o corruzione di dati”. Infatti, l’articolo 4 della proposta PLD include nella definizione di “danno” la “perdita o corruzione di dati che non sono utilizzati esclusivamente per scopi professionali, e definisce i “dati” facendo riferimento all’articolo 2, paragrafo 1, del regolamento ( UE) 2022/868 (il Data Governance Act). Il GEPD rileva, tuttavia, che è molto probabile che i dati in questione possano includere anche dati personali.

Dato che la definizione di danno ai sensi della proposta PLD è limitata ai danni materiali che potrebbero essere causati dalla perdita o dalla corruzione dei dati, potrebbero esserci pochi casi in cui il regime di responsabilità della PLD sarebbe rilevante per le persone che subiscono danni da sistemi di IA che coinvolgono attività di trattamento costituenti violazione del GDPR. Allo stesso tempo, non è inconcepibile che il danno a un individuo causato dal prodotto AI rappresenti anche un danno fisico o materiale ai sensi del considerando 75 del GDPR, il che implicherebbe l’applicazione parallela del regime di responsabilità nell’attuale sistema della protezione dei dati dell’UE. Nei casi di un insieme di dati costituito da dati personali e non personali in cui entrambi i tipi di dati sono indissolubilmente legati, il GEPD ritiene, in linea con gli orientamenti emanati dalla Commissione, che il GDPR si applichi all’intero insieme di dati. Alla luce dell’articolo 2, paragrafo 3, lettera a), della proposta PLD, il GEPD ritiene che in tali circostanze le persone fisiche che hanno subito un danno possono scegliere se basare le loro richieste sulla PLD riveduta o sulla pertinente disposizioni del GDPR o della Direttiva (UE) 2016/680 (“il LED”), o su entrambi. Il GEPD è convinto che lo stesso principio dovrebbe applicarsi anche alla proposta AILD”.

Problematiche non di poco conto, che devono assolutamente essere risolte sul piano normativo e non essere lasciate all’intervento adeguatore del giudice, sia esso nazionale o comunitario.

Il GEPD, quindi, conclude, correttamente, nei seguenti termini: “Pertanto il GEPD raccomanda, come minimo, di fare esplicito riferimento nella proposta AILD alle norme dell’Unione in materia di protezione dei dati personali tra le norme che non sarebbero pregiudicate da tale proposta, in modo da non limitare in alcun modo la possibili vie di ricorso per i singoli individui”.

I problemi di ordine sistematico della proposta AIDL in relazione all’AI Act

Anche sul fronte delle nuove normative il GEPD sottolinea incongruenze e rischi di deficit di coerenza sistematica tra AI Act e Direttiva AIDL.

Il GEPD, nello specifico, segnala una potenziale discriminazione di natura processuale tra sistemi di AI classificati come al alto rischio secondo l’AI Act e quelli che non rientrano in questa categoria.

“Sebbene la proposta di legge sull’AI e la proposta AILD facciano parte dello stesso pacchetto legislativo, il GEPD ricorda che hanno scopi diversi: la prima mira a stabilire norme orizzontali sull’IA, la seconda mira ad affrontare le questioni di responsabilità relative ai sistemi di IA . In questo contesto, il GEPD teme che le norme specifiche previste dall’AILD si applicheranno principalmente ai “sistemi di IA ad alto rischio” come stabilito nella proposta di legge sull’IA. Tuttavia, il danno effettivo causato dai sistemi di IA non etichettati come ad alto rischio potrebbe comunque essere piuttosto significativo nella pratica. Potrebbe essere il caso, ad esempio, dei sistemi di intelligenza artificiale destinati a essere utilizzati per prendere decisioni sull’ammissibilità delle persone fisiche all’assicurazione sulla casa o all’assicurazione di responsabilità civile. Inoltre, le vittime di danni causati da sistemi di IA non etichettati come ad alto rischio potrebbero incontrare difficoltà simili nell’ottenere prove a sostegno della loro richiesta di responsabilità. Secondo la proposta AILD, il nuovo meccanismo di divulgazione delle prove di cui all’articolo 3 sarebbe limitato solo ai sistemi di IA ad alto rischio. Allo stesso tempo, l’accesso alle informazioni su specifici sistemi di IA sospettati di aver causato danni potrebbe essere un fattore importante e persino cruciale per corroborare la richiesta di risarcimento della persona colpita. Analogamente, l’articolo 4 dell’AILD, che istituisce una presunzione relativa di un nesso causale tra la colpa del fornitore o dell’utente e l’output prodotto dal sistema di IA, o l’incapacità del sistema di produrre un output, si applicherebbe principalmente ai sistemi di IA ad alto rischio. La presunzione dovrebbe essere applicata anche per i sistemi di IA, che non sono ad alto rischio, ma solo nei casi in cui i giudici nazionali ritengono “eccessivamente difficile” per il ricorrente dimostrare il nesso causale, il che suggerisce erroneamente che tali situazioni rimarranno eccezionali”.

Obiettivamente, il tema della prova del nesso causale tra “condotta” dell’AI ed evento dannoso rischia di essere “diabolica” in assenza di una presunzione legislativa odi un regime di responsabilità di natura semi-oggettiva.

Le raccomandazioni del GEPD

Il GEPD conclude il proprio parere con sette raccomandazioni.

“Alla luce di quanto sopra, il GEPD formula le seguenti raccomandazioni:

  • (1) garantire che le persone che hanno subito danni causati da sistemi di IA prodotti e/o utilizzati da istituzioni, organi e agenzie dell’UE non siano collocate in una posizione meno favorevole e possano godere un livello di protezione equivalente a quello previsto nelle Proposte;
  • (2) confermare esplicitamente che la proposta AILD non pregiudica la normativa dell’Unione sulla protezione dei dati;
  • (3) estendere le garanzie procedurali previste dagli articoli 3 e 4 della Proposta AILD, vale a dire la divulgazione delle prove e la presunzione di nesso causale, a tutti i casi di danni causati da un sistema di IA, indipendentemente dalla sua classificazione come ad alto rischio a rischio o non ad alto rischio;
  • (4) garantire che le informazioni divulgate ai sensi dell’articolo 3 della Proposta AILD siano accompagnate da spiegazioni da fornire in forma intelligibile e generalmente comprensibile; (5) eliminare le ultime due frasi del considerando 15 della proposta AILD;
  • (6) prendere in considerazione misure aggiuntive per alleggerire ulteriormente l’onere della prova per le vittime dei sistemi di IA come mezzo per garantire l’efficacia delle norme UE e nazionali sulla responsabilità;
  • (7) abbreviare il periodo di revisione previsto dall’articolo 5, paragrafo 2, della proposta AILD”.

Conclusioni

Il parere del GEPD è prezioso, perché delinea le macro-problematiche della regolamentazione dell’intelligenza artificiale in Europa e, di conseguenza, nel mondo.

I due temi principali, come da raccomandazioni, sono il rapporto paritetico tra privati ed istituzioni europee nel rapporto con i cittadini in materia di responsabilità dell’intelligenza artificiale e onere della prova.

  • Il primo tema determinerebbe una discriminazione assurda nei regimi di responsabilità e non sarebbe tollerabile da nessuno degli ordinamenti giuridici continentali, promo fra tutti, peraltro, quello dell’Unione.
  • Il secondo è un tema più legato alla tutela giurisdizionale concreta del cittadino che patisca danni da utilizzo di AI no classificate ad alto rischio: anche qui, il GEPD segnala i rischi del doppio binario e chiede che venga applicata una presunzione legale relativa a tutte le ipotesi di responsabilità extracontrattuale da AI.

Il GEPD segnala problemi concreti e delinea soluzioni assolutamente condivisibili, tenendo conto di un problema di fondo: per la responsabilità extracontrattuale, ogni ordinamento giuridico ha un sistema suo proprio; ragion per la quale è necessario procedere con direttiva e non è possibile l’adozione di un regolamento.

Questo determina rischi sistematici “forti”, poiché GDPR prima ed AI Act in ipotesi sono regolamenti ed il rapporto tra le fonti di diritto dell’Unione immediatamente applicabile e derivato nono sono, ancora, chiari come sembrano – e dovrebbero essere.

Da qui il “segnale forte” mandato dal GEPD che, in qualche maniera, si candida anche, con questo parere, ad assumere un ruolo guida – forse, definitivamente, anche “Garante” – in materia di intelligenza artificiale in Europa.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Sperimentazioni cliniche: AIFA potenzia la protezione dei dati