AI Act: anche la formazione al centro del nuovo Regolamento

Ancora una volta un Regolamento europeo pone l’attenzione sull’esigenza di formazione e di sviluppo della cultura su temi che si riflettono sui diritti fondamentali dell’individuo: l’art. 4 dell’AI Act impone l’adozione di misure per garantire l’alfabetizzazione di coloro che si occupano di funzionamento e utilizzo di sistemi di AI.

L’AI Act, che entrerà in vigore dopo la pubblicazione sulla Gazzetta Ufficiale UE e sarà, in parte, efficace ben prima di due anni[1], apre uno scenario ancora più grave, in cui la formazione svolge non solo, è sempre così, un ruolo centrale ma va ad impattare sulla crescita, sulla stessa sopravvivenza, di un gran numero di imprese che potrebbero non essere pronte ad affrontare le nuove sfide che il mercato impone.

Analogamente il tema impatta anche sulla pubblica amministrazione che non può non preoccuparsi di fornire ai cittadini servizi sempre più efficienti ed efficaci.

La consapevolezza della centralità della formazione è un tema caro e ben presente a quanti si occupano della compliance al Regolamento UE 2016/679 sulla protezione dei dati personali. A distanza di quasi sei anni dalla sua piena efficacia, quel 25 maggio 2018, stiamo ancora lavorando con l’obiettivo di radicare la cultura della tutela dei dati personali nella nostra attività quotidiana e nel nostro comportamento in un contesto dove è premessa indispensabile per correttamente operare: ogni trattamento di dati personali può legittimamente essere posto in essere solo da soggetti che siano stati informati ed istruiti in tal senso dal titolare.

E al responsabile della protezione dei dati è affidato espressamente, tra l’altro, il compito di sorvegliare le politiche del titolare del trattamento in materia di sensibilizzazione e formazione del personale che partecipa ai trattamenti.

L’obiettivo non può essere considerato raggiunto: si registra ancora un costante incremento dei provvedimenti sanzionatori da parte delle Autorità di regolazione europee, fenomeno che ha molte ragioni e non può essere sempre e solo attribuito a difficoltà di interpretazione di un quadro normativo, sia pure complesso.

La formazione nell’AI Act

Il Considerando 20 sottolinea come, al fine di massimizzare i benefici connessi all’uso dei sistemi di IA (salvaguardando tutti i diritti fondamentali dell’individuo), occorra una vasta campagna di alfabetizzazione[2] in materia di IA che coinvolga una vasta platea, fornitori, distributori e ogni soggetto interessato e assicuri a tutti le nozioni necessarie per prendere decisioni informate e tali da garantire conformità e corretta esecuzione.

Nozioni che variano in relazione al contesto in cui si opera e che vanno dalla corretta comprensione e applicazione durante le diverse fasi di sviluppo e utilizzo e di interpretazione degli output, alle conoscenze necessarie, a tutti i soggetti interessati, per ben comprendere in che modo le decisioni adottate, con l’uso di sistemi di IA, vadano ad incidere su di loro. Presupposto indispensabile per esercitare quei diritti riconosciuti in caso di violazioni e/o non conformità al Regolamento.

Siamo di fronte, come non mai, ad un fenomeno che evidenzia la necessità che le competenze in tema di IA vadano diffuse in maniera il più possibile generalizzata, non solo tra gli specialisti ma, e soprattutto nella popolazione tutta, nella forza lavoro, nei cicli di istruzione e nei manager e nei decisori.

Occorre investire in Formazione

E tra i compiti che l’IA Act affida al Comitato per l’IA[3] rileva quello specifico di promuovere strumenti di alfabetizzazione e di sensibilizzazione del pubblico e, soprattutto, la comprensione dei benefici, dei rischi, delle garanzie e dei diritti e degli obblighi in relazione all’uso dei sistemi di IA.

Attività che deve essere coordinata in tutti i paesi dell’Unione.

Indicativa la previsione dell’art. 27 laddove, in applicazione analogica del principio della privacy by design e by default, prima di qualsiasi utilizzo di un sistema di IA ad alto rischio, si impone ai deployer, pubblici o privati, di effettuare una valutazione dell’impatto sui diritti fondamentali (FRIA) che l’uso di tale sistema può produrre.

L’AI Act auspica inoltre l’elaborazione di specifici Codici di condotta volontari in materia tra coloro che si occupano di sviluppo funzionamento e uso dell’IA. È evidente da parte della Commissione europea la consapevolezza dell’esigenza che, solo attraverso la conoscenza e la consapevolezza, si può di assicurare un clima di fiducia nei confronti dei sistemi che utilizzano l’IA.

Nel provvedimento con il quale ha istituito l’Ufficio per l’IA[4], in anticipo rispetto all’approvazione definitiva dell’AI Act (con l’obiettivo dichiarato di consentirne, quanto prima possibile, una rapida attuazione), la Commissione ha evidenziato che la complessità e l’adozione, sempre più vasta, di IA basata su modelli più avanzati, unita alla necessità di accelerare i progressi verso gli obiettivi e i traguardi fissati nel programma politico del Decennio digitale istituito dalla decisione (UE) 2022/2481 del Parlamento europeo e del Consiglio[5], dimostrano la necessità di ulteriori azioni per promuovere la comprensione delle capacità, delle tendenze e dei rischi potenziali e per sostenere lo sviluppo e l’uso sicuri delle tecnologie di intelligenza artificiale nell’Unione.

A tal fine, sottolinea la Commissione, è necessario sviluppare competenze e capacità anche a livello unionale per favorire tale comprensione, premessa necessaria per contribuire all’implementazione delle norme e dei principi che devono governare l’utilizzo dell’intelligenza artificiale.  

Il quadro si completa con la previsione dell’art. 4, laddove vengono posti a carico di fornitori e i deployer dei sistemi di IA obblighi di adozione di misure atte a garantire nella misura del possibile (precisazione che lascia, purtroppo, spazi interpretativi e di disapplicazione) un livello sufficiente di alfabetizzazione in materia di IA del loro personale nonché di qualsiasi altra persona che si occupa del funzionamento e dell’utilizzo dei sistemi di IA per loro conto prendendo in considerazione le loro conoscenze tecniche, la loro esperienza, istruzione e formazione nonché il contesto in cui i sistemi di IA devono essere utilizzati.

L’impegno

Occorre quindi il massimo sforzo e la massima attenzione ai temi della formazione: la carenza di competenze specifiche e l’esigenza di costruirne nuove (occorre pensiero creativo) al fine di ridurre il gap esistente, rappresenta la sfida che coinvolge tutti. Soprattutto piccole e medie imprese (e pubblica amministrazione) rischiano di non avere e non essere in grado di attrarre (e mantenere) le risorse necessarie per affrontare questa fase di trasformazione tecnologica.

L’alfabetizzazione ai dati, la capacità di maneggiarli ed interpretarli correttamente, deve portare alla conoscenza e alla capacità di governo (anche etica) dei sistemi. Occorre garantire un controllo diffuso, dove sia gli interessati dai trattamenti sia coloro che sono incaricati di pianificarli e gestirli, diventano le sentinelle a guardia della corretta applicazione delle regole, garanzia del rispetto dei diritti fondamentali dell’individuo.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

ndr. L’IA Act richiama espressamente il principio della privacy by design e by default (uno dei fondamentali del Regolamento 679/2016), laddove chiede che l’applicazione dei principi che permeano il Regolamento devono essere tradotti nella stessa progettazione e nell’utilizzo di modelli di IA. Questo principio ci guida nell’acquisire un metodo che esploreremo con  Patrizia Cardillo durante l’Academy di FORUM PA 2024 “Privacy by design and by default. Non solo GDPR: una scelta di metodo”.

[1] Cfr. Art. 113 AI Act – Saranno efficaci, sei mesi dopo la pubblicazione sulla Gazzetta Ufficiale UE, il Capo I e il Capo II   e, quindi, entreranno in vigore i divieti per le pratiche vietate.

[2] Cfr. Art. 3 Definizioni, paragrafo 1, n.56) “alfabetizzazione in materia di IA”: le competenze, le conoscenze e la comprensione che consentono ai fornitori, ai deployer e alle persone interessate, tenendo conto dei loro rispettivi diritti e obblighi nel contesto del presente regolamento, di procedere a una diffusione informata dei sistemi di IA, nonché di acquisire consapevolezza in merito alle opportunità e ai rischi dell’IA e ai possibili danni che essa può causare.

[3] Cfr. Art. 65, AI Act.

[4] Commission decision of 24.1.2024 Establishing the European Artificial Intelligence Office.

[5] Decision (EU) 2022/2481 of the European Parliament and of the Council of 14 December 2022 establishing the Digital Decade Policy Programme 2030 (OJ L 323, 19.12.2022, p. 4, ELI: http://data.europa.eu/eli/dec/2022/2481/oj).