di Rocco Panetta
Mentre a Bruxelles proseguono i lavori sull’AI Act, le autorità della privacy e altre organizzazioni internazionali non restano con le mani in mano. Si registra, da un lato, un certo fermento delle aziende per poter anticipare la nuova ondata regolatoria in arrivo, dall’altro, la presa d’atto che occorre ragionare su principi internazionali e largamente condivisi, per poter anticipare l’imprevedibilità dell’AI.
Sul fronte internazionale il G7 sta lavorando a dei principi guida, sviluppati insieme alla Commissione europea, circostanza che dimostra come il legislatore europeo sia un passo avanti agli altri su questo tema. Dall’altro lato dell’Atlantico si attende intanto l’imminente executive order di Biden, per fornire linee guida dirette alle aziende per l’uso dell’AI nel settore pubblico, facendo leva proprio sul potere d’acquisto che ha il governo americano verso le aziende produttrici di AI.
I principi più interessanti proposti in seno al G7, invece, spingono molto sulla trasparenza. Oltre a chiedere di implementare dei meccanismi che permettano in modo semplice di identificare i contenuti creati dall’AI, le aziende dovrebbero condividere pubblicamente con l’industria, i governi, la società civile e il mondo accademico, non solo limiti e ambiti d’uso, ma anche gli incidenti. Si tratta di un passo ulteriore rispetto alla necessità, prevista dal GDPR, di condividere i data breach con l’Autorità garante o gli interessati.
La trasparenza e la condivisione con gli stakeholder, soprattutto quelli che rappresentano la società civile, è anche una delle richieste di cui si discute a Bruxelles per l’AI Act, dove la richiesta di una valutazione di impatto sui diritti fondamentali prevede proprio questo passaggio per le aziende più grandi, allo scopo di rendere quella valutazione il più solida possibile, tenendo in considerazione le esigenze di gruppi specifici di soggetti, soprattutto se vulnerabili, prima che una AI ad alto rischio possa arrivare sul mercato.
Proprio questa settimana poi, le Nazioni Unite hanno inaugurato un Advisory Board sull’AI che va proprio nella direzione di garantire un approccio globale e inclusivo.
Come il G7 e l’ONU, anche il garante della privacy francese (CNIL) lavora su delle linee guida per le aziende che cercano risposte per sviluppare e usare l’AI in modo compatibile con il GDPR. Del resto, il processo iniziato dal Garante privacy italiano questa primavera, con OpenAI e Replika, che ho seguito in prima persona, ha dimostrato come non solo chi si occupa di AI non possa dimenticare le norme sulla protezione dei dati, ma che questo è altrettanto possibile, senza doversi stracciare le vesti in nome di un principio non scritto per cui l’innovazione non si può fermare davanti a nulla, come affermato ai tempi da certi commentatori.
La CNIL ha dunque preparato delle schede informative che puntano il faro sulla necessità di determinare lo scopo del trattamento dei dati; la giusta base giuridica e i controlli aggiuntivi da effettuare in base al metodo di raccolta o in caso di riutilizzo dei dati; con l’aggiunta di un modello di documentazione fornito dalla CNIL stessa.
Dal canto suo, il premier inglese Sunak avverte che, visti i rischi ancora incerti dell’AI, non si dovrebbe accelerare troppo sulla regolamentazione. Forse dimentica, però, che il lavoro iniziato dalla Commissione, risale a prima del 2018, ed è supportato da una ampia partecipazione di stakeholder.
Per concludere con il nostro Paese, il governo ha di recente istituito due commissioni sull’AI. Se questo fermento non può che essere positivo, credo occorra lavorare al più presto ad una autorità indipendente, magari un Garante Privacy 2.0, un “Garante dei dati” che abbia una visione omnicomprensiva di quello che non è più un fenomeno passeggero ma la realtà di tutti i giorni.
L’articolo è comparso originariamente sull’edizione cartacea del Sole 24 Ore di domenica 29 ottobre.