Una (prima) proposta di regolamentazione UE sull’impiego dell’Intelligenza Artificiale: per una tecnologia “a misura d’uomo” e a “prova di protezione dei dati”?
L’impatto che la tecnologia ha sulla vita dell’essere umano apre le porte ad innumerevoli discussioni, in cui la tensione verso il progresso ed il benessere si intreccia inevitabilmente con i temi – per citarne solo alcuni – dell’etica, della politica, della sicurezza, della legalità. A questo scenario complesso e certamente delicato non si sottrae quella tecnologia già presente in tantissimi aspetti della nostra quotidianità, ma che è destinata a una sempre maggiore diffusione in un futuro non troppo lontano, ossia l’Intelligenza Artificiale (di seguito, “IA”). Con tale espressione ci si riferisce a sistemi informatici il cui obiettivo è replicare il ragionamento e le attività dell’essere umano, ma con un grado di esecuzione accelerato, il quale permette di raggiungere risultati sorprendentemente raffinati, più efficienti e, quindi, qualitativamente superiori.
Se, per un verso, le opportunità di sviluppo – in primis ma non soltanto economico – si moltiplicano per effetto della messa a punto e dell’immissione sul mercato di sistemi di IA, è altrettanto vero che i rischi legati all’utilizzo di strumenti di questo tipo possono essere anche estremamente alti: disporre di una macchina che, grazie alla sua potenza e qualità di calcolo, è capace di immagazzinare ed analizzare una mole sterminata di dati, fino a estrarre informazioni “nascoste” negli stessi generandone così di nuovi e diversi, è al contempo una risorsa dalle potenzialità immense ma anche uno strumento che diventa pericoloso quando impiegato con finalità illegittime.
Di queste opposte tensioni ha dimostrato di essere conscia l’Unione Europea, grazie al lavoro della Commissione che è giunta, lo scorso 21 aprile, alla conclusione di un iter iniziato qualche anno addietro e finalizzato alla formalizzazione di una proposta di grande valore: un Regolamento disciplinante l’utilizzo dell’IA in territorio comunitario, il cui obiettivo dichiarato è quello di gettare le basi normative per trovare il punto di equilibrio tra l’eccellenza tecnologica e il conseguente sviluppo dei mercati, da un lato, e la tutela dei diritti fondamentali dei cittadini europei – in particolar modo quello alla privacy – dall’altro.
La bozza di Regolamento, infatti, ha un approccio chiaramente orientato alla valutazione dei rischi che possono originare dall’uso di determinati sistemi di IA, al fine di:
- proibirlo, in presenza di rischi intollerabili determinati da una chiara minaccia alla sicurezza e ai diritti delle persone (rientrano in tale categoria i sistemi che mirano alla sorveglianza di massa o all’attribuzione di punteggi sociali – c.d. social scoring – da associare ai cittadini, oppure ancora, quelli che sono in grado di manipolare il comportamento umano, tramite l’utilizzo di tecniche subliminali o facendo leva sulle vulnerabilità dell’individuo, in maniera tale da potergli causare un danno fisico o psichico);
- condizionarlo al rispetto di determinati standard e prescrizioni, in caso di rischi elevati che si possono materializzare in diversi ambiti cruciali, dalle infrastrutture critiche alla fruizione di servizi essenziali, dalla sfera dell’istruzione e dell’occupazione a quella dell’amministrazione della giustizia;
- concederlo a fronte dell’adempimento di specifici obblighi di informazione e trasparenza, quando i rischi sono considerati bassi e dagli effetti limitati (è il caso dei chatbot, il cui utilizzo dovrebbe essere subordinato al fatto che l’utente sia debitamente informato della sua interazione con un sistema di IA e non con un essere umano);
- permetterlo senza restrizioni, qualora i rischi siano minimi o assenti (ad es. filtri anti-spam o tecnologie applicate ai videogames).
Ciò che emerge dal testo pubblicato dalla Commissione UE è l’intenzione di frapporre uno scudo di protezione tra la riservatezza dei dati personali e quei sistemi algoritmici che possono attentarvi a causa del tipo di dati che sono in grado di raccogliere, delle modalità con cui vengono trattati e generati, dei tempi di conservazione degli stessi. Si tratta di un approccio già noto nel panorama della protezione dei dati personali dei cittadini europei, che trova il suo baluardo nel Regolamento n. 2016/679 (c.d. GDPR), al quale la proposta qui in discorso si ispira in moltissimi punti. E non poteva essere altrimenti, visto che le necessità sottese alle due iniziative sono in gran parte comuni.
In considerazione di ciò, sono chiare le ragioni per le quali si intende vietare l’uso di determinate tecnologie intelligenti, i cui scopi sono contrari ai principi fondanti della cultura giuridica europea. Altrettanto evidente, inoltre, il motivo che ha portato a proporre una nutrita serie di norme prescrittive per l’impiego di sistemi di IA ad alto rischio, tra cui: l’autovalutazione, da parte dei fornitori, dei rischi associati al sistema e la progettazione e l’attivazione di un efficace sistema di gestione del rischio; l’implementazione di una documentazione dettagliata circa lo sviluppo e i criteri di funzionamento, anche al fine di dimostrare trasparenza nei confronti degli utenti; l’utilizzo di dati di alta qualità; l’impiego di risorse umane adibite alla supervisione del corretto funzionamento dei sistemi. La compatibilità tra i sistemi informatici e i requisiti legali sarebbe poi verificata tramite delle procedure di valutazione di conformità, finalizzate al rilascio di una marcatura CE e, per alcuni sistemi, alla registrazione della tecnologia in database accessibili al pubblico, preliminari rispetto all’immissione sul mercato del prodotto informatico.
Insomma, anche nel campo dello sviluppo dell’IA vengono riproposti quei principi – tanto cari al GDPR – dell’accountability e della privacy by design e by default, nonché un approccio di tipo preventivo fondamentale per valutare l’impatto che le tecnologie intelligenti possono produrre sul piano della protezione dei dati personali, al fine di scongiurarne una acquisizione e un uso illeciti.
Se a ciò si aggiunge che con la bozza di Regolamento si sono proposte (i) l’istituzione di un board col compito di fornire le linee guida in materia IA e di vigilare sulla corretta applicazione del Regolamento, insieme con (ii) la previsione di sanzioni commisurate alla gravità della violazione regolamentare, allora si può concludere nel senso che il Regolamento sull’IA – seppur ancora in uno stato embrionale – è stato plasmato a immagine e somiglianza del GDPR.
Tuttavia, anche al netto di questo primo significativo passo, i punti intricati e i dubbi sono ancora molti. Innanzitutto, più che aver delineato una strategia di regolamentazione giuridica dell’impiego dell’IA, la proposta formalizzata a Bruxelles sembra essere in gran parte focalizzata sul controllo di tecnologie intelligenti specificamente individuate, il che costituisce l’obiettivo minimo che le autorità pubbliche del nostro continente sono chiamate a raggiungere. Emergono nondimeno ulteriori questioni irrisolte laddove si consideri che alcuni degli elementi cardine del trattamento dei dati personali – da svolgersi in conformità con il GDPR – potrebbero essere messi a dura prova dalle capacità computazionali dell’IA. Si pensi, ad esempio, alla necessità di promuovere una corretta governance dei dati personali, anche tramite la minimizzazione degli stessi: tutto ciò può essere assicurato anche quando il trattamento venga effettuato per mezzo di macchine sofisticate in grado di migliorare le loro funzionalità e il loro output in termini di profilazione dell’utente grazie a sistemi di autoapprendimento? E il titolare del trattamento potrà ancora stabilire le finalità dello stesso e mantenerne saldo il controllo – con tutto ciò che ne deriva per la protezione dei diritti degli interessati – pur utilizzando sistemi informatici che “trattano” in autonomia e quindi in modo non del tutto prevedibile? E ancora, come si possono garantire i diritti degli interessati – ad esempio, la cancellazione – quando il dato viene utilizzato dalla macchina anche per “imparare”?
Quelli citati sono soltanto alcuni dei numerosi quesiti legati al rapporto (per certi versi ancora enigmatico) tra la protezione dei dati personali degli utenti e le future applicazioni di tale tecnologia. Ciò che si può ravvisare con sicurezza, invece, è che la protezione dei dati e i pilatri di una sua effettiva tutela continueranno ad essere, in modo ancora più decisivo, il manuale di sopravvivenza nell’epoca della transizione digitale. A tal proposito, giocheranno un ruolo cruciale la trasparenza che deve adottare chi sviluppa e fornisce servizi più o meno complessi per il trattamento dei dati personali, nonché le iniziative di educazione e formazione per rendere l’utente maggiormente consapevole e capace di riconoscere le opportunità, così come i limiti, delle tecnologie del nostro secolo.
Soprattutto per ciò che riguarda sistemi poco comprensibili per i “non addetti ai lavori”, come quelli basati sull’IA, la sfida sarà quella di semplificare e rendere accessibili le conoscenze circa il loro funzionamento ed i loro scopi: si verrebbe così a creare un circolo virtuoso in cui il soggetto interessato, informato sulle modalità d’uso dei propri dati e dotato della possibilità e dei mezzi per verificarne la correttezza, possa maturare fiducia, e non sospetto e diffidenza, in questo tipo di risorse, stimolando così il loro perfezionamento e, di conseguenza, l’evoluzione di una società digitalizzata.
La vera e reale trasparenza, a nostro avviso, è da ritenersi la via maestra (anche se concretamente ancora tutta da costruire) per far sì che l’inarrestabile progresso tecnologico non diventi un canale di creazione di strumenti di nicchia, potenzialmente amplificativi di patologie e distorsioni sociali, ma si proponga piuttosto come mezzo di applicazione universale per uno sviluppo sostenibile, che promuova – allo stesso tempo, rispettando – i diritti fondamentali dell’essere umano.
A questo punto, non resta che osservare come verranno compiuti i prossimi passi dell’iter di questa proposta legislativa nell’ottica di forgiare, auspicabilmente già entro la fine del 2022, il primo vero corpus normativo in materia di IA.