AI Act - Il Regolamento EU per l'intelligenza artificiale

Il 14 giugno 2023, il Parlamento europeo ha dato il via libera alla proposta di regolamento chiamata "AI Act," che si propone di creare una legge uniforme per l'utilizzo dell'intelligenza artificiale (#AI) nell'Unione Europea. Questa proposta si trova ora nella sua fase finale di approvazione, coinvolgendo il Consiglio dell'UE e la Commissione, con l'obiettivo di ottenere un testo definitivo entro la fine dell'anno. Una volta pubblicato nella Gazzetta Ufficiale dell'Unione Europea, il regolamento diventerà operativo dopo 24 mesi.

Il Regolamento rappresenta il primo sforzo ambizioso di disciplinare i sistemi di AI.

La base di questa proposta risiede nella consapevolezza che l'AI può portare una vasta gamma di benefici economici, sociali e ambientali in diversi settori, migliorando previsioni, ottimizzando operazioni, personalizzando servizi, ma può anche comportare rischi per i cittadini e la società. Si teme infatti che la funzionalità e le caratteristiche di questi sistemi, poco trasparenti, complessi e la capacità di comportamenti autonomi, possano minacciare i diritti fondamentali dei cittadini, quali il rispetto della vita privata, la protezione dei dati personali e la tutela della dignità umana.

Secondo il Regolamento, un sistema di AI è definito come un software sviluppato utilizzando varie tecniche, come l'apprendimento automatico, che può generare contenuti, previsioni, raccomandazioni o decisioni che influenzano l'ambiente in cui operano.

Il Regolamento mira a fornire una disciplina uniforme per i sistemi di AI, coprendo tutte le fasi, dallo sviluppo alla commercializzazione e all'uso, seguendo un approccio proporzionato basato sul rischio.

Per taluni sistemi di AI (articolo 5) è previsto un divieto assoluto di immissione sul mercato, messa in servizio o utilizzo: tra questi, i sistemi che utilizzano “tecniche subliminali” o che sfruttano le “vulnerabilità umane” per influenzare i comportamenti, i sistemi di identificazione biometrica remota “in tempo reale” e in spazi accessibili al pubblico, utilizzati per finalità di contrasto dei reati.

I sistemi di AI considerati ad alto rischio (articolo 6 e seguenti), sono ammessi subordinatamente all'assolvimento di obblighi specifici, tra cui l'adozione di sistemi di gestione dei rischi, la trasparenza verso gli utenti e procedure di valutazione della conformità, anche attraverso enti terzi, per ottenere una marcatura CE.

Tra questi sistemi ad alto rischio rilevano i dispositivi medici che utilizzano AI, i sistemi di AI che sono utilizzati come componenti di sicurezza per prodotti e disciplinati da normative dell'UE o che richiedono per il prodotto a una valutazione di conformità da parte di terzi.

L’AI Act è destinato ad intrecciarsi anche con la normativa sulla protezione dei dati personali e in particolare con il #GDPR (Regolamento UE 2016/679), in considerazione dell’immensa mole di dati, anche personali, che i sistemi di intelligenza artificiale sono per loro natura destinati a processare.

In particolare, l’articolo 10 dell’AI Act prevede che i sistemi di AI, che utilizzano tecniche di addestramento di modelli con dati, siano sviluppati sulla base di set di dati di addestramento che soddisfino specifici criteri di qualità riguardanti le modalità di raccolta, la pertinenza, rappresentatività ed esattezza dei set di dati, nonchè le caratteristiche e lo specifico contesto geografico, comportamentale o funzionale all’interno del quale il sistema di IA è destinato ad operare, etc.

Pertanto, la valutazione della conformità di un sistema di AI solleva tutta una serie di questioni sulla liceità del trattamento dei dati ai sensi del GDPR, in relazione alle tecniche di de-identificazione utilizzate, le misure di sicurezza adottate, etc.

Il comma 5 dello stesso articolo 10 prevede poi che, nella misura in cui sia strettamente necessario per consentire il rilevamento e la correzione dei bias (e tale risultato non sia raggiungibile con l’utilizzo di dati anonimi o sintetici) è consentito il trattamento delle categorie particolari di dati personali previsti dal GDPR (dati sanitari, relativi all’orientamento sessuale, ecc.) nel rispetto di determinate misure di salvaguardia.

E cosa dire, ad esempio, se i data set includono dati di persone provenienti da Paesi exta-Ue per le quali non valgono le medesime regole? Potrebbero porsi questioni di trasferimento dati e conflitti giurisdizionali?

Gli aspetti da considerare nella valutazione dell’accuracy degli input data sono molteplici e vedremo ben presto nella pratica come l'AI Act e le Autorità Garanti dei dati le affronteranno.

Scrivi a WoT per saperne di più