Lo scorso 21 aprile, la Commissione UE ha pubblicato la storica proposta di regolamento su un approccio europeo per l’Intelligenza Artificiale, che stabilisce il “primo quadro giuridico in assoluto” per affrontare i rischi associati alla nuova tecnologia.
Proviamo di seguito a riassumere la Proposta di Bruxelles per poi confrontarla con l’attuale panorama normativo predisposto in un Paese all’avanguardia come il Canada, con gli sforzi recenti compiuti dallo Stato centrale e dai governi federali dare vita a leggi di disciplina dell’IA il più possibile performanti.
Il regolamento europeo
La proposta UE definisce i sistemi di IA che possono essere sviluppati per un dato insieme di obiettivi, includendo previsioni, raccomandazioni e decisioni. Il quadro propone un approccio basato sul rischio a più livelli, volto a bilanciare la regolamentazione con l’incoraggiamento dell’innovazione affidabile. Gli obblighi chiave della proposta si basano su governance e gestione dei dati, accuratezza, trasparenza, robustezza e sicurezza informatica.
La proposta ha un’ampia portata materiale e territoriale. Mira a regolamentare i fornitori, i distributori, gli importatori, i produttori e gli utenti che mettono i sistemi di IA sul mercato o nei loro prodotti e servizi. Come il GDPR, la proposta è destinata ad avere un’applicazione extraterritoriale. E le aziende che violano i regolamenti potrebbero subire sanzioni fino al 6% del loro fatturato annuo complessivo.
La proposta, che mira a posizionare l’UE come leader di mercato nell’IA affidabile, è l’ultimo tassello nella più ampia iniziativa dell’UE sui dati e sul digitale che comprende il Data Act (di prossima pubblicazione), il Data Governance Act, il Digital Markets Act e il Digital Services Act, che si stanno facendo strada attraverso il processo legislativo dell’UE.
Il quadro normativo, basato sui livelli di rischio delle tecnologie, prevede un regime più articolato e proporzionato rispetto alla regolamentazione generale di tutti i sistemi di IA. In questo quadro, i tipi di rischi e minacce vengono regolati in base al settore e ai casi specifici, e suddivisi nelle seguenti categorie.
Sistemi a “rischio inaccettabile”: Le tecnologie IA che rappresentano una chiara minaccia alla sicurezza delle persone e ai diritti fondamentali sono considerate un rischio inaccettabile per la società e sarebbero vietate. I rischi inaccettabili includono sistemi di IA che utilizzano tecniche subliminali per distorcere materialmente il comportamento di una persona in un modo che può causare danni “fisici o psicologici” e sistemi che sfruttano le vulnerabilità di gruppi specifici. La proposta vieta anche i sistemi di identificazione biometrica a distanza “in tempo reale” in spazi pubblicamente accessibili (cioè il riconoscimento facciale dal vivo) ai fini dell’applicazione della legge, tranne in circostanze limitate.
Dati questi severi requisiti normativi, la Proposta specifica che la designazione “ad alto rischio” dovrebbe essere limitata a quei sistemi che hanno un impatto dannoso significativo sulla salute, la sicurezza e i diritti fondamentali delle persone nell’Unione Europea. L’allegato III della proposta stabilisce otto categorie di sistemi ad alto rischio di IA, che includono: la gestione e il funzionamento delle infrastrutture critiche; l’istruzione e la formazione professionale; l’occupazione; l’accesso e il godimento di servizi privati essenziali e di servizi e benefici pubblici; la gestione della migrazione, dell’asilo e del controllo delle frontiere; l’amministrazione della giustizia e dei processi democratici.
Sistemi “ad alto rischio”: i sistemi in questa categoria devono rispettare una serie rigorosa di requisiti obbligatori prima di poter essere immessi sul mercato dell’UE. Le aziende devono fornire alle autorità di regolamentazione la prova della sicurezza del sistema, comprese le valutazioni del rischio e la documentazione che spiega come la tecnologia stia prendendo decisioni come parte di un processo di registrazione formale. Le organizzazioni devono anche stabilire un’appropriata governance dei dati e pratiche di gestione, e garantire la tracciabilità, la trasparenza e l’accuratezza dei loro set di dati e della tecnologia. Le organizzazioni devono altresì informare gli utenti finali delle caratteristiche, delle capacità e dei limiti delle prestazioni dei sistemi IA ad alto rischio e garantire la supervisione umana nel modo in cui i sistemi vengono creati e utilizzati. Dopo che una tecnologia ad alto rischio è venduta o messa in uso, i fornitori di sistemi IA sono anche tenuti a stabilire sistemi post-marketing “proporzionati” per garantire la “continua conformità” al regolamento. Nel complesso, gli obblighi variano a seconda che l’azienda sia un fornitore, un produttore di prodotti, un importatore, un distributore, un utente o altre terze parti.
Sistemi a basso rischio: i sistemi di IA che sono designati come a basso rischio non sono soggetti agli obblighi normativi sopracitati in quanto non rappresentano una minaccia alla salute e alla sicurezza, ai valori dell’UE o ai diritti umani. Tuttavia, sono previsti alcuni obblighi di trasparenza da applicare ai sistemi che interagiscono con gli esseri umani (ad esempio, i chatbot), che sono utilizzati per rilevare le emozioni o determinare il legame di una con determinate categorie sociali sulla base di dati biometrici (ad esempio, le tecnologie di monitoraggio dei dipendenti che utilizzano le capacità di riconoscimento delle emozioni per differenziare tra dipendenti “buoni” e “cattivi”), o strumenti in grado di generare o manipolare contenuti (ad esempio, “deep fakes”).
Ma a parte i requisiti di trasparenza nei confronti dell’utente finale, la proposta non affronta questioni specifiche di privacy associate al trattamento dei dati personali dell’utente finale da parte dei sistemi IA una volta che sono in funzione. Presumibilmente, per garantire che il GDPR rimanga il regolamento centrale relativo alla protezione dei dati personali, a prescindere da strumenti e tecnologie utilizzati.
Il regime di applicazione della proposta rispecchia il quadro di applicazione del GDPR. Un comitato europeo per l’intelligenza artificiale, presieduto dalla Commissione europea, supervisionerà e coordinerà la sua applicazione. Le autorità di vigilanza nazionali, in seguito, supervisioneranno l’attuazione del regolamento negli stati membri, che non saranno quindi tenuti a creare nuovi organismi di regolamentazione dell’IA.
Va infine ricordato che, essendo il quadro della Commissione europea nella sola fase di proposta, è improbabile che i regolamenti proposti vengano applicati prima del 2024. La proposta deve ora andare al Parlamento europeo e al Consiglio per ulteriori considerazioni e dibattiti e, data la portata e la novità di questa legislazione con il significativo numero di parti interessate coinvolte, potrebbe affrontare emendamenti rilevanti. Il regolamento entrerà infine in vigore 24 mesi dopo la sua adozione, anche se alcune disposizioni potrebbero essere applicate in anticipo.
Il regolamento canadese
Il Canada non ha un regime normativo che si occupa espressamente di Intelligenza Artificiale, in quanto i sistemi basati su questa nuova tecnologia sono regolati dalla legislazione generale sulla privacy, la tecnologia e i diritti umani. Anche se il Canada non è ancora nella fase di sviluppo di un regime normativo completo, sia il Governo nazionale che gli Stati sono impegnati nell’elaborazione di quadri di disciplina.
Il governo dell’Ontario, ad esempio, è nelle prime fasi di sviluppo di un quadro di un’Intelligenza artificiale “degna di fiducia” per “sostenere l’uso dell’IA in maniera responsabile, sicura e basata sui diritti“. Il primo passo del processo è la creazione di linee guida per l’uso dell’IA da parte del governo. Il 5 maggio 2021, il governo provinciale ha lanciato un processo di consultazione che cerca di sollecitare un feedback sulle potenziali azioni sotto i principi guida dell’IA trasparente, affidabile e giusta. E già ora è possibile tracciare paralleli (e contrasti) tra gli impegni proposti dal governo dell’Ontario per quanto riguarda l’uso dell’IA e il quadro normativo proposto dalla Commissione europea.
In sintesi, l’Ontario ha proposto di utilizzare “tecnologie AI che sono radicate nei diritti individuali, affidabili, sicure e trasparenti“. E proprio sulla trasparenza il regolamento canadese diverge in modo più significativo dall’approccio della Commissione europea. Questo impegno propone che “l’uso dell’Intelligenza Artificiale da parte del governo sarà sempre trasparente, con le persone che sanno quando, perché e come gli algoritmi vengono utilizzati e quali sono i loro diritti se si verifica un danno“. E un simile approccio si sta affermando anche in altri Stati, come il Québec, così come a livello nazionale, dove si sta introducendo il concetto di “trasparenza algoritmica”.
Al contrario, la Commissione europea ha adottato un approccio più flessibile alla trasparenza: mentre alcuni sistemi di Intelligenza Artificiale saranno sottoposti a severi requisiti di trasparenza (ad esempio, quelli che interagiscono con gli esseri umani o creano “falsi profondi”), quelli considerati a basso rischio non saranno soggetti agli stessi criteri stringenti.
In conclusione, gli approcci adottati da Europa e Canada sul regolamento da consegnare all’utilizzo dell’Intelligenza Artificiale devono essere oggetto di reciproca analisi e confronto per consolidare i rispettivi punti di forza e aggiornare quelli di debolezza, coniugando flessibilità, rispetto della privacy, riservatezza dei dati, cybersicurezza e trasparenza.
