VERSO NORME UE. SANZIONI DA 30 MLN
di Marco Bassini*
Mercoledì la Commissione europea ha consegnato una proposta di regolamento sull’Intelligenza Artificiale. L’iniziativa si inserisce in un contesto di grande fermento a livello non soltanto dell’Unione ma anche del Consiglio d’Europa (ove è stato costituito un comitato ad hoc sull’Intelligenza Artificiale, il CAHAI) in cui da tempo la tematica forma oggetto di ampio dibattito tra attori istituzionali e stakeholders. Si tratta di un programma ambizioso, che mira a rendere l’Ue un vero e proprio hub strategico grazie alla combinazione tra il primo atto giuridico diretto a regolare i sistemi di Intelligenza Artificiale (che ambisce a restituire certezza giuridica) e un piano di coordinamento tra i vari Stati membri. Al centro di questo disegno si inserisce l’obiettivo cardine di tracciare un punto di equilibrio tra opposte esigenze: quella di preservare un livello di tutela elevato dei diritti e delle libertà individuali e quella di non scoraggiare e deprimere lo sviluppo e l’evoluzione delle tecnologie emergenti. I tempi erano ormai maturi affinché il legislatore dell’Unione potesse prendere la parola e dettare un primo set di paletti in grado di incanalare virtuosamente lo sviluppo della tecnologia. Attendere oltre avrebbe significato, verosimilmente, relegare ancora a una situazione di incertezza gli attori di mercato, con il rischio che alcuni legislatori nazionali maggiormente sensibili alla tutela dei diritti o, all’opposto, delle istanze di mercato potessero compiere individualmente salti in avanti. Salti in avanti che si sarebbero potuti rivelare anche passaggi a vuoto, stante la necessità di un intervento il più possibile uniforme e armonizzato, dunque guidato dalla mente e dalla mano delle istituzioni dell’Unione europea. Di particolare significato è la circostanza che la normativa oggetto della proposta riguardi una tecnologia in sé e per sé considerata, un fattore indicativo delle peculiarità del tutto inedite insite nei sistemi di Intelligenza Artificiale. I quali, se da un lato promettono importantissimi avanzamenti e benefici di grande impatto, dall’altro possono incidere significativamente sui diritti degli individui, sulle loro libertà e sulla capacità di autodeterminazione. Non stupisce che la proposta sia ispirata allo stesso paradigma regolatorio proprio di uno dei pilastri della normativa europea volta a fronteggiare (soprattutto) le sfide dell’innovazione digitale, ossia il Regolamento generale sulla protezione dei dati personali (l’ormai noto Gdpr). Sebbene la privacy sia soltanto uno dei temi al centro del dibattito, la proposta di regolamento accoglie uno dei cardini del Gdpr, il cosiddetto «approccio basato sul rischio». Infatti, oltre a vietare in via generale l’utilizzo di sistemi che presentano un livello di rischio non accettabile (quali i sistemi che compiono una manipolazione del comportamento umano), la proposta individua una serie adempimenti a cui sottoporre i sistemi che invece presentano un rischio elevato (tra cui quelli di identificazione biometrica): per esempio, meccanismi di valutazione e mitigazione dei rischi; misure che garantiscano un controllo umano; obblighi di documentazione sulle caratteristiche dei prodotti. Per questi tipi di sistemi, sono altresì previsti obblighi diversi in capo a fornitori e a utilizzatori. In coerenza con lo stesso approccio già ricordato sono inoltre previsti obblighi di trasparenza applicabili a sistemi che presentano un rischio limitato, mentre non rientrano nell’ambito del futuro regolamento i sistemi caratterizzati da un rischio minimo, che in quanto tali non incidono o incidono in misura risibile sui diritti o sulla sicurezza degli individui. La piena operatività e disponibilità sul mercato delle soluzioni contraddistinte da rischi elevati è così rimessa, in consonanza con lo spirito del Gdpr e della normativa sulla sicurezza dei prodotti, al positivo superamento di una valutazione di conformità a priori. Non si tratta, però, di valutazioni destinate a rappresentare un «via libera» incondizionato, in quanto le varie soluzioni saranno periodicamente oggetto di verifiche in considerazione della rapidità dei mutamenti tecnologici. Il nuovo quadro giuridico, poi, si premura di definire una governance dell’Intelligenza Artificiale, ricalcando così la centralità di un ruolo, quello delle autorità di regolazione, rivelatosi essenziale anche nel campo della protezione dei dati personali. A livello europeo, sarà istituito un board ove siederanno rappresentanti della Commissione e degli stati membri, mentre a livello nazionale ogni paese dovrà designare (o istituire) una autorità di controllo con il compito di monitorare l’applicazione del futuro regolamento. L’ultimo tratto di somiglianza all’impianto del Gdpr è dato dalla previsione di sanzioni con chiare finalità di deterrenza, che potranno raggiungere, per le violazioni più gravi, l’importo massimo di 30 mln di euro o il 6% del fatturato globale annuo.
* docente di diritto dell’informazione e coordinatore del programma LL.M. in Law of Internet Technology, Università Bocconi
© Riproduzione riservata