DA 1 AGOSTO E’ ENTRATO IN VIGORE IL REGOLAMENTO UE SULL’IA
Il nuovo Regolamento UE sull’Intelligenza artificiale (IA) è entrato in vigore il primo di agosto 2024. Il Regolamento punta a promuovere lo sviluppo e la diffusione delle nuove tecnologie in modo responsabile e nel nome del rispetto della vita umana. In sostanza si stabilisce che il controllo umano sulla macchina deve esserci quando i dispositivi comportano dei rischi sia etici che fisici per gli umani. Il Regolamento fornisce requisiti e obblighi chiari a sviluppatori e operatori e introduce un quadro uniforme in tutti i paesi della UE. In sostanza il Regolamento nasce da un approccio basato sul rischio. Quando parliamo di rischio minimo intendiamo sistemi di IA poco impattanti dal punto di vista privacy, ad esempio filtri spam e videogiochi, per i quali le imprese possono adottare codici di condotta aggiuntivi. Questi apparati non hanno alcun obbligo ai sensi del Regolamento. Quando ci riferiamo invece a un rischio specifico per la trasparenza, ad esempio le chatbot, è necessario che l’utente sia conscio che sta parlando con una macchina e i contenuti generati dalla IA devono riportare un’etichetta che possa faccia capire all’utente che quello che utilizza o usa o legge è frutto di una macchina. Il Regolamento introduce anche il concetto di rischio alto riferendo a sistemi IA ad alto rischio, ad esempio software medici o sistemi utilizzati per la selezione e assunzione del personale: per questi sono previste delle misure di attenuazione dei rischio, deve essere accompagnati da una serie di dati e informazioni chiare agli utenti ed è necessario anche un controllo umano costante. Infine se parliamo di rischio inacettabile, secondo il nuovo Regolamento IA ci si riferisce a dispositivi vietati nella UE, ad esempio sistemi in grado di fare dello scoring sociale, vale a dire producono un sistema a punteggio per promuovere cittadini o dipendenti che si comportano secondo quanto vuole uno stato o un’impresa: si tratta dunque di una minaccia per i diritti fondamentale della persone e perciò sono vietati. Nel novero di questi sistemi pericolosi e quindi vietati nella UE rientrano tecniche manipolative e ingannevoli, sfruttamento della vulnerabilità, punteggio sociale, predizione criminale, riconoscimento facciale non autorizzato, monitoraggio emozionale, profilazione biometrica, identificazione biometrica da remoto. Il Regolamento dispone anche per le violazioni multe fino a 35 milioni di euro e sanzioni fino al 7 per cento del fatturato annuo dell’impresa se supera i 35 milioni di euro. Violazioni sulla privacy e condotte fraudolente portano a sanzioni immediate e i danneggiati possono chiedere subito il risarcimento danni con cause civili. Quindi come per i GDPR e norme successive restano vietati comportamenti che possono colpire la persona, rivelarne scelte politiche o sessuali.
La Commissione UE ha anche avviato una consultazione per i fornitori di modellli di IA per finalità generali (GPAI), le disposizioni relative entreranno in vigore tra un anno. Entro aprile 2025 la Commissione prevede anche di approntare un codice di buone pratiche. Sul Regolamento sono piovute anche delle critiche: ad esempio non è stata regolamentata l’IA in campo militare ed le indicazioni agli Stati per uniforsi sono piuttosto vaghe e poco incisive. Inoltre la Commissione ha deciso di dare ai produttori (sopratutto cinesi e statunitensi) il tempo per adeguarsi, quindi i sistemi pericolosi saranno vietati solo dal 2 febbraio 2015 e le sanzioni per i trasgressori saranno applicate solo dal 2 agosto 2025. Sulla responsabilità civile dei danni causati da IA è in arrivo anche una nuova Direttiva UE.
L’ITALIA RECEPIRA’ IL REGOLAMENTO UE SU IA CON UN DDL
L’Italia a luglio 2024 ha reso noto un documento integrale della Strategia italiana per l’intelligenza artificiale redatto da un Comitato di esperti per il Governo. Da questo è ancora in elaborazione una bozza di Decreto legge, adesso al vaglio del Senato e già appprovato a luglio dal Consiglio dei Ministeri. Il Ddl abbraccierà i campi di Ricerca, Pubblica Amministrazione, Imprese e Formazione rispetto all’uso dell’IA. In attesa di leggere il testo definitivo, si ipotizza che, per quel che riguarda le imprese, da agosto dell’anno prossimo dovranno trovare modelli corrispondenti al nuovo Regolamento. Di fatto saranno coinvolte tutte le aziende che sviluppano in proprio applicazioni nuove o vendono prodotti basati sull’intelligena artificiale col proprio marchio. Si prevede che saranno necessarie delle Valutazioni di impatto relative al tipo di rischio (Impact Assessment). Inoltre ci sarà la necessità che gli apparati siano certificati dall’Autorità nazionale. Il Governo infatti ha dato per l’incarico di monitoraggio dell’IA in Italia all’Agenzia per la cybersicurezza nazionale (Acn) con compiti ispettivi e sanzionatori, mentre l’Agenzia per l’Italia digitale (Agid) sovrintenderà allo sviluppo dell’IA. Alcune associazioni e think thank pensavano che fosse più opportuno unire i due obiettivi nell’istituzione del Garante Privacy. Al momento Agid sta elaborando regole per l’IA nella pubblica amministrazione.
PARERE FAVOREVOLE DEL GARANTE SU DDL IA CON OSSERVAZIONI
Il Garante Privacy ha dato parete favorevole allo schema di Disegno di legge sull’IA del Governo Meloni. L’Authority ha chiesto al Governo di integrare vari punti introducendo una maggior tutela dei dati personali dei cittadini. Ad esempio è stato chiesto un nuovo articolo per precisare che i trattamenti di dati personali effettuati attraverso i sistemi di intelligenza artificiale devono rispettare la normativa privacy nazionale ed europea. Inoltre il Garante ha chiesto che si faccia esplicito riferimento a sistemi adeguati di verifica del controllo dell’età degli utenti, in modo che si garantisca la limitazione o il divieto di utilizzo di sistemi IA da parte dei minorenni.
L’altra preoccupazione dell’Autorità riguarda i sistemi IA utilizzati in ambito sanitario. Quindi l’ente sanitario o l’azienda devono offrire garanzie specifiche rispetto alla conservazione dei dati, il divieto di trasmissione, di trasferimento e comunicazione. E in generale, sempre per il settore sanitario e l’IA ad alto rischio, il Garante consiglia che si preferiscano l’uso di dati sintetici o anonimi. Circa la disputa su chi dovrebbe occuparsi delle sanzioni, il Garante aggiunte, nelle osservazioni date al Governo, che secondo l’AI Act l’Autorità competente per i sistemi di intelligenza artificiale ad alto rischio è il Garante Privacy stesso. Specie quando di parla di identificazione biometrica remota, riconoscimento delle emozioni, gestione delle frontiere, amministrazione della giustizia. Quindi per tutti gli apparati IA vietati, dovrebbe essere il Garante ad occuparsi di controllo e sanzioni. La partita è dunque ancora aperta.
Il Notiziario, coperto da copyright, è stato realizzato dall’Avvocato Gianluca Amarù, l’avvocato Eleonora Maschio, il Dpo Marco Fossi consulente aziendale e Alessandra Fava giornalista e Dpo, riuniti nell’acronimo A2F Privacy&Compliance. Amarù, Fava e Fossi hanno pubblicato ‘Manuale di accoglienza enti e autorità’ (Liberodiscrivere, 2019) , ‘Howto – Come scrivere i documenti privacy’ (Liberodiscrivere 2020), ‘Privacy in progress’ (editore FrancoAngeli, giugno 2021) e ‘La Privacy dei dati digitali’ (FrancoAngeli editore, 2023). A giugno 2024 è uscito il nostro ultimo volume “La Privacy del dato sanitario” per FrancoAngeli, a firma di Amarù, Fava, Fossi e del DPO Ferdinando Mainardi.
