La rivoluzione della legge sull’IA

Come abbiamo visto in questo articolo , la legge sull’IA rappresenta la prima forma di regolamentazione onnicomprensiva dei sistemi e delle applicazioni innovative dell’Intelligenza Artificiale. È indubbio, infatti, che, sebbene da un lato l’IA possa contribuire al conseguimento di un’ampia gamma di benefici a livello economico, ambientale e sociale nell’intero spettro delle attività industriali e sociali (v. considerando 4), dall’altro lato può comportare dei rischi importanti per i diritti dei cittadini dell’Unione. Tali rischi derivano, in particolare, dalle circostanze relative all’applicazione dell’IA, dallo specifico livello di sviluppo tecnologico e dal suo utilizzo. Lo scopo del regolamento, pertanto, è quello di istituire un quadro giuridico uniforme europeo non solo per quanto riguarda lo sviluppo, l’immissione sul mercato e la messa in servizio dei sistemi di Intelligenza Artificiale, ma anche per quanto riguarda il corretto utilizzo di questi sistemi.

La nozione di “deployer”: l’utilizzatore

Al fine di circoscrivere l’ambito di applicazione della norma, è quindi bene definire sin da subito il concetto di “deployer”. La nozione di “deployer”, si legge al considerando 13, dovrebbe essere interpretata come qualsiasi persona fisica o giuridica, compresi un’autorità pubblica, un’agenzia o altro organismo, che utilizza un sistema di IA sotto la sua autorità.

L’articolo 2, al paragrafo 1, chiarisce ulteriormente l’ambito di applicazione soggettivo, specificando l’elenco di soggetti a cui la legge sull’IA è destinata ad applicarsi. Fra questi vi rientrano, oltre a fornitori, importatori, distributori e fabbricanti di sistemi di IA, anche:

• i deployer dei sistemi di IA che hanno il loro luogo di stabilimento o sono situati all’interno dell’Unione;
• i deployer di sistemi di IA che hanno il loro luogo di stabilimento o sono situati in un paese terzo, laddove l’output prodotto dal sistema di IA sia utilizzato nell’Unione.

I sistemi di IA vietati

La Legge sull’IA introduce specifiche regole per i deployer, in qualità di utilizzatori dei sistemi di IA. Vi sono, tuttavia, dei sistemi il cui utilizzo è vietato a prescindere. Pensiamo, ad esempio a:

• sistemi che ricorrono a tecniche subliminali che agiscono senza che una persona ne sia consapevole o a tecniche volutamente manipolative o ingannevoli;
• sistemi che sfruttano le vulnerabilità di una persona o di uno specifico gruppo di persone, dovute all’età, alla disabilità o a una specifica situazione sociale o economica, con l’obiettivo o l’effetto di distorcere materialmente il comportamento di tale persona;
• sistemi utilizzati per valutare o prevedere la probabilità che una persona commetta un reato;
• sistemi di riconoscimento delle emozioni utilizzati sul luogo di lavoro e negli istituti scolastici, eccetto per motivi medici o di sicurezza (ad esempio il monitoraggio dei livelli di stanchezza di un pilota);

La classificazione dei sistemi di IA e le condizioni d’uso

La valutazione del rischio intrinseco ai sistemi di IA rappresenta un passaggio fondamentale nella legge sull’IA: le regole previste, infatti, si adattano in base all’intensità e alla portata del livello di rischio. Senza entrare troppo nel dettaglio, è importante sapere che la nuova disciplina stabilisce obblighi a seconda del livello di rischio che l’IA può generare, ovvero un rischio inaccettabile, un rischio alto o un rischio basso o minimo.

Fra i sistemi di IA classificati come “ad alto rischio” vi rientrano, ad esempio:

• sistemi di identificazione biometrica remota;
• sistemi utilizzati come componenti di sicurezza nella gestione e nel funzionamento delle infrastrutture digitali critiche, del traffico stradale e della fornitura di acqua, gas, riscaldamento ed elettricità;
• sistemi finalizzati a determinare l’accesso, l’ammissione o l’assegnazione agli istituti di istruzione e formazione professionale;
• sistemi relativi alla valutazione dell’occupazione, ad ottimizzare la gestione dei lavoratori e l’accesso al lavoro autonomo;

I criteri per la qualificazione di un sistema di IA come “ad alto rischio” sono riportati all’articolo 6, mentre un elenco più ampio è inserito fra gli allegati al regolamento. I sistemi così classificati possono essere legittimamente utilizzati solo a determinate condizioni ed in presenza di specifici requisiti obbligatori.

Dalla teoria alla pratica

Come abbiamo sinteticamente visto, il Regolamento sull’IA presenta un quadro ampio, complesso e innovativo di disposizioni che entreranno in vigore secondo un approccio graduale. Non conformarsi significa rischiare di incorrere in sanzioni fissate – alla stregua del GDPR – in una percentuale del fatturato della società.

Le soglie da considerare sono:

• fino a 35 milioni di euro di sanzione o al 7% del fatturato, per violazioni relative a pratiche vietate o per l’inosservanza di requisiti in materia di dati;
• fino a 15 milioni di euro o al 3% del fatturato per l’inosservanza di qualsiasi altro requisito o obbligo del regolamento;
• fino a 7,5 milioni di euro o all’1,5% del fatturato mondiale toper la fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità nazionali competenti in risposta a una richiesta.

Il relatore del Regolamento, l’europarlamentare Brando Benifei (S&D, Italia) ha dichiarato: “Grazie al Parlamento europeo, le pratiche inaccettabili di IA saranno proibite in Europa. […] Dovremo ora accompagnare le aziende a conformarsi alle regole prima che entrino in vigore”. Anche Dragos Tudorache, correlatore della commissione per le libertà civili, ha sottolineato l’esigenza di concentrare i prossimi sforzi nel trasformare la norma “da legge sui libri a realtà sul campo”.

Sfruttare la sinergia con il GDPR per l’adeguamento

Se è vero, da un lato, che la legge sull’IA introduce nuove misure, obblighi e previsioni mirate, dall’altro lato è caratterizzata da un approccio alla compliance, by risk, che viaggia su un binario molto vicino al GDPR. Nel testo del regolamento, i riferimenti al GDPR sono molteplici (se ne contano ben 29), in particolare in relazione ad adempimenti connessi agli obblighi di trasparenza e agli assessment previsti.

Ad esempio, ai sensi dell’articolo 27, paragrafo 4, della legge sull’IA, la valutazione d’impatto sui diritti fondamentali può andare ad integrare la valutazione d’impatto sulla protezione dei dati (ove già presente). Pertanto, riuscire a sfruttare le sinergie reciproche fra i due complessi normativi, rappresenta la chiave per conformarsi.

Da oltre vent’anni Labor Project opera nel settore della protezione dei dati personali. Il tema dell’IA e le sue implicazioni privacy è da sempre stato oggetto di massima attenzione da parte del nostro team, al punto che abbiamo deciso di implementare un servizio dedicato, in funzione delle esigenze derivanti dalla nuova legge sull’IA.