I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione GDPR (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

I. A. tra aspettative e dubbi – seconda parte

Anticipato dai lavori dell’High-Level Expert Group on AI (Ethics Guidelines for Trustworthy AI dell’aprile 2019 e Policy and Investment Recommendations for Trustworthy AI del giugno 2019) e dal White Paper on AI della stessa Commissione UE (19/2/2020), la proposta di regolamento “Artificial Intelligence Act” (AIA) è stata pubblicata dalla Commissione il 21 aprile 2021 (COM/2021/206 final).

Sebbene si sia detto che essa rappresenti il primo esempio normativo sul tema a livello internazionale, invero agli inizi del 2021, gli Stati Uniti hanno promulgato il US National AI Initiative Act; la proposta europea, tuttavia, promette di divenire un ulteriore punto di riferimento internazionale su questo versante, ciò che taluni hanno definito “the Brussel effect”.

Sintesi

Figura – Panoramica UE in tema di intelligenza artificiale.

 

 

Iter legislativo della proposta AIA

La proposta si affida allo strumento legislativo del regolamento – come già avvenuto per il GDPR, il Digital Markets Act (COM/2020/842 final), il Digital Services Act (COM/2020/825 final), il Data Governance Act (COM/2020/767 final) – che una volta approvato definitivamente dal legislatore europeo, sarà direttamente vincolante in tutti i 27 Stati membri. E’ stato detto (Celeste 2019, De Gregorio 2021) che questa regolazione avvolgente a livello unionale induce allo sviluppo di un “costituzionalismo digitale”, in quanto introduce con norme secondarie del diritto europeo, principi e regole fondanti dell’universo digitale, di cui i singoli potranno beneficiare. 

Già il Parlamento europeo nelle raccomandazioni alla Commissione contenute nella Risoluzione del 20 ottobre 2020 aveva evidenziato come fosse «essenziale disporre in tutta l’Unione, per tutti i sistemi di IA, di una legislazione uniforme, basata su principi e adeguata alle esigenze future; [il Parlamento] è del parere che, benché siano preferibili regolamentazioni settoriali per l’ampia gamma delle possibili applicazioni, appare necessario un quadro giuridico orizzontale e armonizzato, basato su principi comuni, per garantire la certezza giuridica, fissare norme uniformi in tutta l’Unione e tutelare efficacemente i valori europei e i diritti dei cittadini».

 

Tempo di piena applicazione

Trattandosi di una proposta, ne derivano due ovvie conseguenze:

  • i suoi contenuti attuali non saranno precisamente quelli definitivi, in quanto il testo finale sarà quello risultante dal negoziato del trilogo tra Parlamento e Consiglio UE, con la partecipazione della Commissione
  • la previsione temporale della piena applicazione di queste regole è incerta ma presumibilmente protratta nel tempo, nel caso del GDPR ci sono voluti quattro anni di negoziato e sono stati previsti due anni di periodo transitorio.

 

Interrelazioni col GDPR

La proposta AIA pone numerosi interrogativi sull’interrelazione col GDPR che non sempre trovano risposta nel documento della Commissione. Anche i richiami presenti nel testo sollevano dubbi e perplessità, che hanno formato oggetto anche di posizioni assunte dall’EDPB ed EDPS nel 

dall’EDPB nel 

Gli snodi presenti nella proposta sono:

  • affermazione che la proposta assicura «la coerenza con la Carta dei diritti fondamentali dell’Unione europea e il diritto derivato dell’UE in vigore in materia di protezione dei dati» e «non pregiudica il regolamento generale sulla protezione dei dati (regolamento (UE) 2016/679) e la direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie (direttiva (UE) 2016/680) e li integra con una serie di regole armonizzate applicabili alla progettazione, allo sviluppo e all’utilizzo di determinati sistemi di IA ad alto rischio nonché di restrizioni concernenti determinati usi dei sistemi di identificazione biometrica remota.» (Relazione §1.2)
  • la nozione di dati biometrici (eventualmente oggetto dei sistemi di IA) che è ritenuta in linea e va interpretata coerentemente con la nozione contenuta nel GDPR (Considerando 7)
  • il rinvio all’articolo 9.1 del GDPR per l’uso dei dati biometrici interessati dall’uso di sistemi di IA (Considerando 24)
  • l’individuazione nel regolamento AIA come base giuridica per l’utilizzo dei dati personali raccolti per altre finalità ai fini dello sviluppo di determinati sistemi di IA di interesse pubblico, avuto riguardo all’art. 6.4 del GDPR (Considerando 72)
  • il legittimo uso di speciali categorie di dati dell’art. 9 GDPR da parte dei fornitori di sistemi IA «nella misura in cui ciò sia strettamente necessario al fine di garantire il monitoraggio, il rilevamento e la correzione delle distorsioni in relazione ai sistemi di IA ad alto rischio» (art. 10.5)
  • la previsione dell’utilizzo delle informazioni descrittive dei sistemi di IA ad alto rischio rilasciate dai fornitori (art. 13) da parte degli utenti (titolari dei relativi trattamenti) per l’effettuazione delle valutazioni di impatto richieste dall’art. 35 del GDPR (art. 29.6).

Queste indicazioni appaiono talvolta generiche, prospettano soluzioni non sempre condivisibili e sembrano non soddisfare tutti gli interrogativi sollevati da un’effettiva ed efficace armonizzazione tra le due norme.

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione GDPR.

Sei già abbonato?

Abbonati al SIG

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form