Il Garante privacy ha reso pubblica una nota a Parlamento e Governo per motivare convintamente di essere l’Autorità idonea, perché indipendente e imparziale, per vigilare sull’AI e tutelare gli interessi in gioco, con uno sguardo attento ai diritti individuali. Ma vediamo meglio i termini della questione, non solo politica
Dopo l’annuncio del sottosegretario Butti di voler affidare, in virtù di una “visione strategica incentrata sull’efficacia e l’efficienza nella governance dell’AI”, le funzioni di vigilanza sull’intelligenza artificiale ad AgID e ACN, il presidente dell’Autorità garante per la protezione dei dati personali, Pasquale Stanzione, ha formalizzato una segnalazione rivolgendosi ai Presidenti di Camera e Senato e alla Presidente del Consiglio dei Ministri, dichiarando che per il presidio in materia di AI occorra “un organismo terzo” indipendente e imparziale; concludendo a gran voce: “abbiamo le competenze e i requisiti necessari”.
L’Autorità, quindi, avoca a sé il potere di vigilare l’osservanza dell’AI Act, vieppiù dopo che questo ha ricevuto l’approvazione definitiva dal Parlamento europeo.
Ma spieghiamo perché la vigilanza sull’AI al Garante privacy è baluardo per i diritti individuali.
Vigilanza sull’AI: chi ha le competenze giuste per poterla presidiare
Ancora una volta assistiamo, dunque, a uno “scontro” istituzionale: a chi spetta presidiare l’applicazione dell’AI Act?
AI e le competenze giuste
L’Autorità Garante privacy (GPDP) preoccupata di vedere “sfumati” tutti gli sforzi finora compiuti, scrive a chiare lettere di “possedere i requisiti di competenza e indipendenza necessari” al fine di attuare l’AI Act “coerentemente con l’obiettivo di un livello elevato di tutela dei diritti fondamentali”.
Secondo il Garante è proprio “l’incidenza dell’IA sui diritti [che] suggerisce di attribuirne la competenza ad Autorità caratterizzate da requisiti d’indipendenza stringenti”.
Le argomentazioni addotte potrebbero non essere del tutto sbagliate vista la stretta correlazione tra IA e protezione dati. Senza contare il plus dalla competenza già acquisita in materia di processo decisionale automatizzato (art. 22 GDPR).
Perché il Garante privacy avrebbe i requisiti giusti
Nella segnalazione, Stanzione afferma che l’Autorità Garante Privacy “possiede i requisiti di competenza e indipendenza necessari per attuare il Regolamento europeo sull’intelligenza artificiale coerentemente con l’obiettivo di un livello elevato di tutela dei diritti fondamentali”.
Non solo, evidenzia poi che l’incidenza dell’AI sui diritti deve essere attribuita a un’Autorità dai “requisiti d’indipendenza stringenti, anche in ragione della stretta interrelazione tra intelligenza artificiale e protezione dati”.
Vigilanza sull’AI: l’imprescindibile presidio del Garante privacy
Come ricorda il Garante nella segnalazione in parola, poiché “l’AI Act si fonda sull’articolo 16 del Trattato sul funzionamento dell’Unione europea – TFUE, che è la base giuridica della normativa di protezione dei dati”, non si può non prevedere un presidio/controllo del Garante privacy, visti i processi algoritmici che utilizzano dati personali.
Insomma, l’Autorità non ne fa tanto una petizione di principio, quanto di attribuzione in termini di competenza per materia. Se poi si aggiungono le possibili sinergie tra le due discipline (intelligenza artificiale e protezione dei dati) ecco che l’allocazione a un’unica Autorità risulta determinante per l’effettività dei diritti e delle garanzie, così comeconclude Stanzione.
La segnalazione del Garante privacy nel suo costrutto
Nella segnalazione che qui sintetizziamo, apprendiamo sostanzialmente che proprio un approccio volto a promuovere “la diffusione di un’intelligenza artificiale antropocentrica e affidabile (art.1, p.1) depone per l’attribuzione di ruoli di vigilanza in materia, a organi caratterizzati da sufficienti requisiti di indipendenza e terzietà”.
Secondo il Presidente Stanzione, infatti, “l’incidenza, profonda e trasversale, dell’IA sui diritti fondamentali (cui, significativamente, si rivolge la stessa valutazione d’impatto prescritta per alcuni sistemi ad alto rischio) suggerisce di attribuirne la competenza ad Autorità caratterizzate da requisiti d’indipendenza stringenti”: quindi, all’Autorità Garante privacy.
Gioco forza dato dall’interrelazione tra AI e protezione dati
In ragione di una stretta interrelazione tra AI e protezione dati, con specifico focus sul processo decisionale automatizzato ex art. 22 del GDPR, ecco che Stanzione invoca il parere congiunto n. 5 del 2021, che suggeriva sin dagli albori della nascente regolamentazione, “l’individuazione nelle Autorità di protezione dati, delle autorità di controllo” per l’AI.
Da una lettura trasversale, infatti, il futuro dell’AI è segnato; pensiamo ai sistemi di AI ad alto rischio di cui all’Allegato III (punto 1) nella misura in cui tali sistemi siano utilizzati a fini di attività di contrasto, gestione delle frontiere, giustizia e democrazia e per i sistemi di IA ad alto rischio” (punti 6, 7 e 8).
Non solo, rispetto a uno degli aspetti maggiormente nevralgici come la “identificazione biometrica nell’ambito di attività di contrasto” viene espressamente previsto “un vaglio autorizzatorio da parte di Autorità giudiziarie o amministrative indipendenti (art. 5, p.3) tenute a verificare l’osservanza, tra l’altro, dei vincoli imposti dalla disciplina di protezione dati”. Quindi, chi meglio del Garante privacy.
Vantaggi e svantaggi
Analizziamo ora i vantaggi e gli svantaggi.
Tra i vantaggi spicca la garanzia di “un approccio normativo più armonizzato”, con una interpretazione che sia congrua e coerente, a semplificazione della vita agli utenti.
Non solo, il Garante insiste anche molto sul controllo circa i processi algoritmici che utilizzano dati personali, il quale per sua natura spetta all’Autorità Garante Privacy.
Di qui la necessità di normarlo accuratamente.
La soluzione auspicata garantirebbe, afferma Stanzione, “una notevole semplificazione per gli utenti, che dovrebbero rivolgersi a un’unica Autorità per i sistemi di IA che operino su dati personali senza il rischio di conflitti di competenza o di duplicazione di oneri amministrativi”. Pertanto, più coerenza nell’applicazione della disciplina.
Tra gli svantaggi, il Presidente Stanzione, invece, ravvisa più che altro una frammentarietà della governance specie se si designano contestualmente più Autorità competenti in materia di AI.
Se si optasse per AgID e ACN, continua Stanzione, estromettendo il Garante ci sarebbe il rischio di non riuscire ad adeguarsi tempestivamente agli obblighi.
Non solo, in base a quanto previsto dall’AI Act, ogni Stato membro è tenuto a istituire un’Autorità nazionale che abbia opportune competenze.
Ancora, le Autorità designate saranno responsabili dell’applicazione delle sanzioni previste in caso di violazioni dell’AI Act e dovranno, non di meno, operare in modo indipendente, imparziale, senza pregiudizi di sorta. Dovranno essere dotate delle risorse necessarie in termini tecnici, finanziari, umani e infrastrutturali per adempiere efficacemente ai loro compiti. Il Garante privacy le ha?
È indiscusso che abbia specifiche competenze, le quali comprendono “una conoscenza approfondita delle tecnologie dell’intelligenza artificiale, dei dati utilizzati da queste tecnologie, e dei relativi trattamenti attraverso algoritmi, nonché in materia di protezione dei dati personali, della sicurezza informatica e degli standard esistenti”.
Tra tutela dell’indipendenza e baluardo per i diritti individuali
Il punto su cui sembra fare leva maggiormente il Garante è la questione dell’indipendenza. Al riguardo, infatti, scrive testualmente il Garante: “il fatto che l’AI abbia un grande impatto sui diritti fondamentali suggerisce di attribuirne la competenza ad Autorità caratterizzate da requisiti d’indipendenza stringenti”tipico del GPDP, richiamando la stretta interconnessione tra sistemi di AI e processi decisionali automatizzati.
Non solo, la sorveglianza dell’AI da parte del GPDP è un baluardo per i diritti individuali. Ciò viene supportato da talune ragioni, e in particolare dalla:
- protezione dati personali, dal momento che sistemi di AI raccolgono anzitutto e analizzano grandi quantità di dati personali;
- prevenzione della discriminazione, poiché l’AI può essere utilizzata al fine di prendere decisioni in grado di influenzare la vita degli individui (accesso al credito, al lavoro o all’istruzione ecc.). Se non adeguatamente controllata, l’AI può portare a discriminazioni basate su razza, sesso, religione, orientamento sessuale o altri dati particolari;
- promozione della trasparenza, giacché l’AI può essere utilizzata in modi opachi e difficili da comprendere per le persone. Certi meccanismi, infatti, non sono alla portata di tutti;
- tutela della libertà di espressione e di associazione, come noto sistemi di AI possono essere utilizzati per monitorare opinioni limitando, potenzialmente la libertà di espressione e di associazione, per conseguenza;
- promozione di un’AI responsabile, punctum dolens, ben potendo il Garante privacy giocare un ruolo chiave e fondamentale in questo nuovo ecosistema tanto rispettoso dei diritti umani quanto delle libertà fondamentali.
La scelta certa del GPDP, siamo poi così sicuri?
Secondo alcuni sì, secondo altri no. Volendo stare super partes, è questione sicuramente delicata; ma un dato è certo: per quanto abbiamo visto finora che il GPDP avrebbe svariate competenze, posizionandosi tra i primi in questa corsa all’aggiudicazione della vigilanza, in realtà non è il solo.
Del resto, la materia in sé è complessa e richiederebbe un pool che non escluderebbe a priori né AgID, né ACN né tanto meno l’Agcom pensando a quanto l’intelligenza artificiale generativa impatti sul copyright.
Scelta delicata dai necessari equilibri: qualche suggerimento
La scelta dell’Autorità in materia di AI è faccenda seria, oltre che una scelta delicata dai necessari equilibri.
Di qui, in ultima battuta, qualche suggerimento. Così conclude Stanzione offrendo “una riflessione, nella consapevolezza di quanto la sinergia tra le due discipline sia determinante per l’effettività dei diritti e delle garanzie che sanciscono, con significativa lungimiranza”. Staremo a vedere.
Fonte: cybersecurity360.it di Chiara Ponti