Anticipato dai lavori dell’High-Level Expert Group on AI (Ethics Guidelines for Trustworthy AI dell’aprile 2019 e Policy and Investment Recommendations for Trustworthy AI del giugno 2019) e dal White Paper on AI della stessa Commissione UE (19/2/2020), la proposta di regolamento “Artificial Intelligence Act” (AIA) è stata pubblicata dalla Commissione il 21 aprile 2021 (COM/2021/206 final).
Sebbene si sia detto che essa rappresenti il primo esempio normativo sul tema a livello internazionale, invero agli inizi del 2021, gli Stati Uniti hanno promulgato il US National AI Initiative Act; la proposta europea, tuttavia, promette di divenire un ulteriore punto di riferimento internazionale su questo versante, ciò che taluni hanno definito “the Brussel effect”.
Sintesi
Iter legislativo della proposta AIA
La proposta si affida allo strumento legislativo del regolamento – come già avvenuto per il GDPR, il Digital Markets Act (COM/2020/842 final), il Digital Services Act (COM/2020/825 final), il Data Governance Act (COM/2020/767 final) – che una volta approvato definitivamente dal legislatore europeo, sarà direttamente vincolante in tutti i 27 Stati membri. E’ stato detto (Celeste 2019, De Gregorio 2021) che questa regolazione avvolgente a livello unionale induce allo sviluppo di un “costituzionalismo digitale”, in quanto introduce con norme secondarie del diritto europeo, principi e regole fondanti dell’universo digitale, di cui i singoli potranno beneficiare.
Già il Parlamento europeo nelle raccomandazioni alla Commissione contenute nella Risoluzione del 20 ottobre 2020 aveva evidenziato come fosse «essenziale disporre in tutta l’Unione, per tutti i sistemi di IA, di una legislazione uniforme, basata su principi e adeguata alle esigenze future; [il Parlamento] è del parere che, benché siano preferibili regolamentazioni settoriali per l’ampia gamma delle possibili applicazioni, appare necessario un quadro giuridico orizzontale e armonizzato, basato su principi comuni, per garantire la certezza giuridica, fissare norme uniformi in tutta l’Unione e tutelare efficacemente i valori europei e i diritti dei cittadini».
Tempo di piena applicazione
Trattandosi di una proposta, ne derivano due ovvie conseguenze:
- i suoi contenuti attuali non saranno precisamente quelli definitivi, in quanto il testo finale sarà quello risultante dal negoziato del trilogo tra Parlamento e Consiglio UE, con la partecipazione della Commissione
- la previsione temporale della piena applicazione di queste regole è incerta ma presumibilmente protratta nel tempo, nel caso del GDPR ci sono voluti quattro anni di negoziato e sono stati previsti due anni di periodo transitorio.
Interrelazioni col GDPR
La proposta AIA pone numerosi interrogativi sull’interrelazione col GDPR che non sempre trovano risposta nel documento della Commissione. Anche i richiami presenti nel testo sollevano dubbi e perplessità, che hanno formato oggetto anche di posizioni assunte dall’EDPB ed EDPS nel
- Parere congiunto 5/2021 del 18 giugno 2021
- Call for ban on use of AI for automated recognition of human features in publicly accessible spaces, and some other uses of AI that can lead to unfair discrimination del 21 giugno 2021
dall’EDPB nel
- documento “Positions of the EDPB on legislative proposals”.
Gli snodi presenti nella proposta sono:
- affermazione che la proposta assicura «la coerenza con la Carta dei diritti fondamentali dell’Unione europea e il diritto derivato dell’UE in vigore in materia di protezione dei dati» e «non pregiudica il regolamento generale sulla protezione dei dati (regolamento (UE) 2016/679) e la direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie (direttiva (UE) 2016/680) e li integra con una serie di regole armonizzate applicabili alla progettazione, allo sviluppo e all’utilizzo di determinati sistemi di IA ad alto rischio nonché di restrizioni concernenti determinati usi dei sistemi di identificazione biometrica remota.» (Relazione §1.2)
- la nozione di dati biometrici (eventualmente oggetto dei sistemi di IA) che è ritenuta in linea e va interpretata coerentemente con la nozione contenuta nel GDPR (Considerando 7)
- il rinvio all’articolo 9.1 del GDPR per l’uso dei dati biometrici interessati dall’uso di sistemi di IA (Considerando 24)
- l’individuazione nel regolamento AIA come base giuridica per l’utilizzo dei dati personali raccolti per altre finalità ai fini dello sviluppo di determinati sistemi di IA di interesse pubblico, avuto riguardo all’art. 6.4 del GDPR (Considerando 72)
- il legittimo uso di speciali categorie di dati dell’art. 9 GDPR da parte dei fornitori di sistemi IA «nella misura in cui ciò sia strettamente necessario al fine di garantire il monitoraggio, il rilevamento e la correzione delle distorsioni in relazione ai sistemi di IA ad alto rischio» (art. 10.5)
- la previsione dell’utilizzo delle informazioni descrittive dei sistemi di IA ad alto rischio rilasciate dai fornitori (art. 13) da parte degli utenti (titolari dei relativi trattamenti) per l’effettuazione delle valutazioni di impatto richieste dall’art. 35 del GDPR (art. 29.6).
Queste indicazioni appaiono talvolta generiche, prospettano soluzioni non sempre condivisibili e sembrano non soddisfare tutti gli interrogativi sollevati da un’effettiva ed efficace armonizzazione tra le due norme.