Intelligenza artificiale e tutela dei dati: cosa ci aspettiamo dal 2024

Il tema che segnerà l’anno appena iniziato è stato anticipato dal Presidente Mattarella nel tradizionale messaggio di fine anno: ha posto con forza l’attenzione sui benefici ma anche, soprattutto, sui rischi dell’intelligenza artificiale -motore di un “progresso inarrestabile” – e sullo strapotere dei social nel mondo con il loro potente “modello di condizionamento” che spostano  necessariamente l’attenzione sull’esigenza di una chiara e decisa regolamentazione.

Da qui il suo plauso alle prime iniziative di regolamento sull’Intelligenza artificiale avviate da Bruxelles che “vanno nella giusta direzione” affrontando, senza mezzi termini, il decisivo problema della tutela della privacy e della libertà dei cittadini e la connessa necessità di mantenere al centro la dignità umana.

AI Act: la Sfida degli anni che verranno

A che punto siamo

Dopo la chiusura del Trilogo[1] sono partiti i lavori, a livello tecnico, per definire i dettagli del primo Regolamento Ue sull’Intelligenza artificiale (AI Act). La presidenza sottoporrà il testo di compromesso ai rappresentanti degli Stati membri (Coreper) per approvazione una volta conclusi i lavori. Il testo integrale dovrà poi essere confermato da entrambe le istituzioni e sottoposto alla messa a punto giuridico-linguistica prima dell’adozione formale da parte dei co-legislatori.  Il regolamento si applicherà due anni dopo la sua entrata in vigore, con alcune eccezioni per disposizioni specifiche.

L’auspicio è che possa costituire (come già accaduto per il Regolamento generale sulla protezione dei dati) un “faro” per tutti, uno standard globale per la regolamentazione dell’IA in altre giurisdizioni, promuovendo in tal modo l’approccio europeo alla regolamentazione della tecnologia sulla scena mondiale.

I principali punti dell’accordo:

• la regolamentazione tiene conto della capacità dei sistemi di IA di causare danni alla società con un approccio che li classifica sulla “base del rischio”: tanto maggiore è il rischio, quanto più rigorose sono le regole;
• si introduce un sistema di governance che lascia alcuni poteri di esecuzione a livello dell’UE, con l’istituzione di un Ufficio per l’IA all’interno della Commissione, affiancato da un gruppo scientifico di esperti indipendenti, incaricato di supervisionare i modelli di IA più avanzati, contribuire a promuovere norme e pratiche di prova e far rispettare le norme comuni in tutti gli Stati membri;
• viene ampliato l’elenco dei divieti, ma con la possibilità di utilizzare l’identificazione biometrica remota da parte delle autorità di contrasto negli spazi pubblici, fatti salvi meccanismi specifici per garantire che i diritti fondamentali siano sufficientemente protetti da eventuali abusi;
• una migliore protezione dei diritti tramite l’obbligo per gli operatori di sistemi di IA ad alto rischio di effettuare una valutazione d’impatto sui diritti fondamentali prima di utilizzare un sistema di IA;
• vengono introdotte sanzioni pecuniarie per le violazioni del regolamento sull’IA fissate in percentuale del fatturato annuo globale nell’esercizio finanziario precedente ma anche massimali più proporzionati per le sanzioni amministrative pecuniarie per le PMI e le start-up;
• ogni persona fisica o giuridica può presentare un reclamo alla pertinente autorità di vigilanza del mercato riguardo la non conformità al regolamento; il reclamo deve essere trattato in linea con le procedure specifiche fissate da tale autorità.

In particolare, i sistemi di IA che presentano solo un rischio limitato sono consentiti purché gli stessi siano sottoposti ad obblighi di trasparenza come, ad esempio, rendere noto che un contenuto è stato generato da intelligenza artificiale per rendere consapevoli i consumatori.

Sono altresì ammessi i sistemi di IA ad alto rischio, purché soggetti a una serie di requisiti e obblighi per ottenere accesso al mercato dell’Unione. I requisiti riguardano la qualità dei dati e la documentazione tecnica da presentare per dimostrare la conformità ai requisiti previsti ma anche una chiara assegnazione delle responsabilitàe i ruoli dei vari attori, in particolare dei fornitori e degli utenti di sistemi di IA.

Contemporaneamente viene introdotto il divieto assoluto per i sistemi di IA che possano causare gravi violazioni dei diritti fondamentali o altri rischi significativi, considerati inaccettabili quali, ad esempio, la manipolazione comportamentale cognitiva, lo scraping[2] non mirato delle immagini facciali da internet o da filmati di telecamere a circuito chiuso, il riconoscimento delle emozioni sul luogo di lavoro e negli istituti di istruzione, il punteggio sociale, la categorizzazione biometrica per dedurre dati sensibili, quali l’orientamento sessuale o le convinzioni religiose, e alcuni casi di polizia predittiva per le persone. Da sottolineare come alcune di queste attività (quali il riconoscimento delle emozioni sul luogo di lavoro) sono già vietate dal Regolamento generale sulla protezione dei dati, il regolamento sull’IA ne cristallizza il divieto in associazione all’esercizio mediante IA. È forse pleonastico, ma è sempre utile ribadirlo.

Attenzione è stata anche posta al rapporto tra le responsabilità che derivano dal regolamento sull’IA e le responsabilità già esistenti in virtù di altri atti normativi quali il Regolamento generale sulla protezione dei dati o la normativa settoriale.  Misure attenuate e semplificazioni sono previste per le imprese di minori dimensioni, al fine di alleggerirne gli oneri amministrativi con alcune deroghe limitate e chiaramente specificate.

Sicuramente sarà necessario aspettare il testo finale, verificare come quei punti saranno trasformati in articolato. Come i diritti, riaffermati, saranno garantiti ma anche comprendere le scelte che, nel testo finale e poi nei diversi paesi, saranno adottate sulla posizione e il ruolo dell’Autorità che sarà chiamata a vigilare, il suo ruolo e i suoi poteri.

Data Act

Il Regolamento (UE) 2023/2854 (Data Act)[3], parte della strategia europea per i dati, pubblicato sulla Gazzetta Ufficiale UE il 22 dicembre 2023 e appena entrato in vigore, sarà applicato in tutti gli Stati membri a partire dal 12 settembre 2025.

Il Data Act è l’ultimo tassello di un complesso panorama normativo digitale, costituito dal Digital Services Act, dal Digital Markets Act, dal Data Governance Act, dall’AI Act e dal prossimo Cyber ​​Resilience Act, un regolamento sulla sicurezza informatica con standard comuni per prodotti e software, proposto dalla Commissione europea lo scorso anno, che impatta sui dati intesi in senso lato (personali e non personali), presenti e generati in tutti i settori economici e nel settore pubblico.

Il Data Act trae origine nella consapevolezza che stiamo assistendo ad un sempre più forte incremento dello sfruttamento dei dati personali che le imprese sono sempre più inclini a considerare un asse strategico per generare conoscenza e valore: da qui l’esigenza di garantire equità nella distribuzione del valore dei dati e stimolare un mercato dei dati competitivo e accessibile a tutti.

Principio che ritroviamo chiaramente espresso al Considerando 5[4] del Data Act la cui base giuridica va ricercata nell’articolo 114 del Trattato sul funzionamento dell’Unione europea[5], laddove le istituzioni europee “adottano le misure relative al ravvicinamento delle disposizioni legislative, regolamentari ed amministrative degli Stati membri che hanno per oggetto l’instaurazione ed il funzionamento del mercato interno”.

Il Data Act introduce l’obbligo per produttori e fornitori di servizi, che mettono a disposizione dati nell’UE, di consentire agli utenti di accedere e riutilizzare i dati generati dai loro prodotti o servizi con la possibilità per gli utenti di condividerli con terze parti con l’obiettivo di rendere i dati più accessibili a tutti garantendo equità nella distribuzione del valore dei dati e stimolando un mercato dei dati competitivo.

A tal fine viene assicurato un adeguato livello di protezione per i segreti commerciali e i diritti di proprietà intellettuale e di protezione verso comportamenti abusivi e misure per prevenire l’abuso di squilibri contrattuali nei contratti di condivisione dei dati, evitando clausole inique imposte da una parte con una posizione negoziale significativamente più forte.

Vengono assicurati, in circostanze eccezionali o per compiti di interesse pubblico, agli enti pubblici, alla Commissione Ue, alla Banca centrale europea  e agli organi dell’Unione Europea strumenti per accedere e utilizzare i dati privati in possesso del settore privato. Sono allo studio misure di “compensazione ragionevole”, che include vari elementi, tra cui i costi sostenuti, gli investimenti necessari per mettere a disposizione i dati e un adeguato margine di remunerazione; si spera bidirezionali.

Non mancano però le preoccupazioni già espresse da più parti: primo fra tutti il rischio generato da una iper regolamentazione che sovraccarica le aziende europee con sovrapposizioni e complicazioni per conformarsi ai diversi quadri regolatori e rischi di sanzioni importanti in caso di violazione delle regole.  Molti chiarimenti e linee guida sono attesi dalle imprese in particolare sull’interrelazione con il Regolamento generale sulla protezione dei dati e sull’effettività delle garanzie per proteggere i segreti commerciali durante le richieste di accesso ai dati.

Data Governance Act

Mentre il Data Act mira a chiarire chi può generare valore dai dati e a quali condizioni, il Data Governance Act, il Regolamento (UE) 2022/868 del Parlamento europeo e del Consiglio del 30 maggio 2022 che modifica il regolamento (UE) 2018/1724, fissa processi e strutture per promuovere la condivisione dei dati da parte di aziende, individui e settore pubblico. Quest’ultimo regolamento, divenuto efficace il 24 settembre 2023 dovrebbe iniziare, proprio nel 2024, a generare i primi effetti sul mercato, favorendo il riuso e la condivisione dei dati delle pubbliche amministrazioni e delle organizzazioni private attraverso i servizi di intermediazione di dati (il regolamento fa riferimento non solo ai dati personali ma anche a informazioni altrimenti protette come dati finanziari o coperte dal diritto d’autore), le cooperative dei dati e favorire altresì l’altruismo dei dati.

Il Data Governance Act potrebbe avere uno slancio significativo proprio con l’entrata in vigore del Data Act. Occorre però reagire agli ostacoli alla condivisione dei dati creando un clima di fiducia, superando ostacoli tecnici ma anche le questioni relative al riutilizzo dei dati per il settore pubblico e alla raccolta di dati per il bene comune: occorre assicurare che la condivisione avvenga in modo facile e sicuro e sia utile per tutte le parti e su una base giuridica certa.

Con queste premesse, potrà rappresentare la chiave per lo sviluppo di nuovi servizi nell’ambito delle smart cities con un particolare sguardo a quelle iniziative volte a favorire la sostenibilità ambientale, la mobilità integrata e la ricerca scientifica.

Digital Service Act

Il prossimo 17 febbraio sarà pienamente efficace anche il Regolamento (UE) 2022/2065 del parlamento europeo e del consiglio del 19 ottobre 2022 (DSA) relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE e prevede una serie di tutele per gli utenti delle piattaforme contro i contenuti illegali, nonché una serie di obblighi di trasparenza e non discriminazione per coloro che offrono i loro servizi attraverso le grandi piattaforme online e i marketplace.

Lo scopo principale del DSA si fonda sulla creazione di un ambiente online sicuro, prevedibile e affidabile. L’intento è quello di rendere più trasparenti alcuni strumenti e più efficace il sistema di rimozione di contenuti illegali o contrari alle condizioni generali di contratto del fornitore, benché il tema possa aprire la spinosa questione della censura e la discutibile creazione della figura dei c.d. segnalatori attendibili.

Un ulteriore profilo riguarderebbe il delicato bilanciamento degli interessi in gioco che il fornitore sarebbe chiamato ad effettuare. Sul tema, sebbene il legislatore tenti di regolamentare ogni aspetto, non viene chiarito in modo univoco se la rimozione di contenuti illegali deve essere preceduta da un provvedimento giudiziario che accerti l’illegalità in questione.

Per rendere più efficace l’applicazione del DSA è stato altresì istituito il Centro europeo per la trasparenza algoritmica (ECAT) per vigilare sull’utilizzo dei sistemi algoritmici chiamato altresì a coadiuvare la Commissione europea per garantire che i sistemi algoritmici utilizzati dalle piattaforme e dai motori di ricerca di grandi dimensioni rispettino i requisiti in tema di gestione e di attenuazione dei rischi. L’attuazione del DSA e il suo collegamento con le altre e articolate normative ad esso complementari, giocherà un ruolo cruciale che determinerà il risultato finale della sfida che il legislatore europeo intende affrontare.

Digital Market Act

Il Regolamento (UE) 2022/1925 del Parlamento Europeo e del Consiglio del 14 settembre 2022 sui mercati contendibili ed equi nel settore digitale (DMA), efficace dal 2 maggio 2023, ha il compito di presidiare gli aspetti concorrenziali del mercato delle piattaforme digitali al fine di contrastare gli abusi di posizione dominante prima che si verifichino.  È in primo luogo uno strumento normativo ex ante: prevede whitelist, blacklist e sanzioni per le big tech che non si adegueranno, regola e definisce condotte e obblighi per le imprese prima che avvenga l’abuso con un monitoraggio preventivo e tempi più coerenti al rapido sviluppo del mercato digitale.

La Commissione ha già provveduto ad individuare 19 gatekeepers (gli ultimi tre il 20 dicembre scorso), i fornitori di servizi di piattaforma on line di base (social network, browser, motori di ricerca, servizi di messaggistica o social media) destinatari degli obblighi previsti dal regolamento, con i loro servizi principali. Sono state anche avviate anche indagini di mercato per valutare ulteriormente le argomentazioni di alcune aziende a essere qualificati come gateway.

In linea con le previsioni del Regolamento i gatekeeper hanno ora sei mesi per garantire il pieno rispetto degli obblighi DMA per ciascuno dei servizi principali della piattaforma designati attraverso un rapporto di conformità dettagliato in cui descrivono come rispettano ciascuno degli obblighi della DMA. La Commissione monitorerà l’effettiva attuazione e il rispetto di tali obblighi. Nel caso in cui un gatekeeper non rispetti gli obblighi previsti dalla DMA, la Commissione può imporre sanzioni fino al 10% del fatturato totale mondiale dell’azienda, che può arrivare fino al 20% in caso di violazione ripetuta. In caso di violazioni sistematiche, la Commissione ha inoltre il potere di adottare rimedi aggiuntivi, come obbligare un gatekeeper a vendere un’impresa o parti di essa o vietare al gatekeeper di acquisire servizi aggiuntivi legati alla non conformità sistemica.  

Dati sanitari

È attesa l’adozione del Regolamento sullo Spazio Europeo dei dati sanitari, il cui testo è stato proposto dalla Commissione il 3 maggio 2022. L’obiettivo del Regolamento è di garantire la libera circolazione dei dati di salute all’interno del territorio dell’Unione sia in relazione all’utilizzo primario dei dati da parte dei medici per le finalità di cura dei pazienti, sia in relazione all’uso secondario dei dati per le finalità di ricerca scientifica, innovazione, elaborazione delle politiche in materia di salute e delle normative.

Il dibattito è ancora in corso: restano ancora da risolvere questioni legate alle limitazioni all’utilizzo secondario, all’uso del consenso e all’interpretazione del principio di anonimizzazione. Su quest’ultimo punto un ruolo importante lo potrà assumere la Corte di Giustizia europea.

Conclusioni

Quelli sopra sintetizzati sono sicuramente i grandi temi, le sfide dei prossimi mesi. Ma  ci attendono anche altre sfide: da quella lanciata prima dai giornali e poi da Meta “paga o lasciati profilare, oppure rinuncia al servizio” che mal si concilia con il quadro delineato dai Regolamento europei DMA e DSA; l’indagine avviata dal nostro Garante sul trattamento dei dati per l’addestramento degli algoritmi; l’ingresso dell’intelligenza artificiale nelle nostre pubbliche amministrazioni e l’uso che ne faremo.

Sicuramente, per tutti i trattamenti, non si può fare a meno di una certezza nella base giuridica, sia pure esso un libero consenso, purché “consapevole e informato”.

Il quadro che si ricava è estremamente complesso ma stimolante: tanti gli interessi in gioco e tanti di diritti coinvolti, con la forte preoccupazione in ordine alla necessità di bilanciare i diritti individuali di protezione dei dati, codificati nel Regolamento generale sulla protezione dei dati, con le nuove leggi più orientate ai mercati che alla protezione di tali diritti.

Sicuramente i Garanti nazionali ed europei saranno vigili affinché gli standard di protezione dei dati siano mantenuti anche di fronte alle nuove normative.

Affrontare tutte queste sfide non sarà una passeggiata e non potrà che richiedere un approccio olistico e consapevole. Occorre lavorare insieme aprendo al confronto e al dialogo tra le diverse autorità in materia di concorrenza, protezione dei dati e altri regolatori con il coinvolgimento di competenze, esperienze e professionalità diverse ma sempre convergenti.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] Nel contesto della procedura legislativa ordinaria dell’Unione europea, il Trilogo è un negoziato interistituzionale informale che riunisce rappresentanti del Parlamento europeo, del Consiglio dell’Unione europea e della Commissione europea. L’obiettivo di un Trilogo è raggiungere un accordo provvisorio su una proposta legislativa accettabile sia per il Parlamento che per il Consiglio, i co-legislatori. Tale accordo provvisorio deve quindi essere adottato da ciascuna delle istituzioni secondo le rispettive procedure formali.

[2] Il web scraping (to scrape, grattare/raschiare) è una particolare tecnica di crawling. Un crawler è un software che ha lo scopo di raccogliere tutte le informazioni necessarie per indicizzare in modo automatico le pagine di un sito, analizzare i collegamenti ipertestuali e trovare associazioni tra termini di ricerca e classificarli. È largamente usato da tutti i motori di ricerca, a cominciare da Google, per offrire agli utenti risultati sempre aggiornati. Il web scraping serve a estrarre dati dalle pagine web per poi raccoglierli in database o tabelle locali per analizzarli. Si tratta di un sistema in grado di estrapolare una grande varietà di informazioni: dati di contatto, indirizzi di posta elettronica, numeri di telefono, così come singoli termini di ricerca o URL.

[3] Regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio del 13 dicembre 2023 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo e che modifica il Regolamento (UE) 2017/2394 e la Direttiva (UE) 2020/182.

[4] Cfr. Regolamento (UE) 2023/2854 al Considerando 5 “Il presente regolamento garantisce che gli utenti di un prodotto connesso o di un servizio correlato nell’Unione possano accedere tempestivamente ai dati generati dall’uso di tale prodotto connesso o servizio correlato e che tali utenti possano utilizzare i dati, anche condividendoli con terzi di loro scelta. Esso impone ai titolari dei dati l’obbligo di mettere i dati a disposizione degli utenti e dei terzi scelti dagli utenti in determinate circostanze. Garantisce inoltre che i titolari dei dati mettano i dati a disposizione dei destinatari dei dati nell’Unione a condizioni eque, ragionevoli e non discriminatori e in modo trasparente. Le norme di diritto privato sono fondamentali nel quadro generale della condivisione dei dati. Il presente regolamento adegua pertanto le norme di diritto contrattuale e impedisce lo sfruttamento degli squilibri contrattuali che ostacolano l’accesso equo ai dati e il loro utilizzo”.

[5] Trattato sul funzionamento dell’Unione europea, stipulato a Roma nel 1957 e da ultimo modificato dall’articolo 2 del Trattato di Lisbona del 13 dicembre 2007, ratificato dall’Italia con Legge 2 agosto 2008, n. 130.