L’AI Act e l’ingorgo delle regole
26 Luglio 2024IA, la prima convenzione mondiale sui diritti è un grande traguardo, ecco perché
10 Settembre 2024Dopo l’adozione dell’AI Act in Europa, l’Italia avanza con un disegno di legge per regolare l’intelligenza artificiale. Il governo Meloni designa AgID e ACN come autorità di vigilanza, mentre il Garante per la protezione dei dati offre suggerimenti cruciali per una regolamentazione efficace e coordinata.
Di Rocco Panetta
Prosegue il percorso verso l’adozione delle nuove regole sull’Intelligenza artificiale. Se l’Europa ha fatto ormai il suo lavoro, con la pubblicazione in Gazzetta ufficiale dell’AI Act, il 12 luglio e la relativa entrata in vigore il primo agosto, ora la palla è senza dubbio nel campo degli Stati nazionali. Pur trattandosi di un regolamento, infatti, che per sua natura non necessita di strumenti legislativi nazionali di recepimento, come invece avviene per le direttive comunitarie, alcune scelte spettano comunque agli Stati membri, tra cui la designazione delle Autorità nazionali competenti.
IA: le disposizioni italiane
A occuparsene è stato il governo con lo schema di disegno di legge recante “Disposizioni e delega al governo in materia di intelligenza artificiale”, adottato a fine aprile e sulla via della conversione in legge, che richiama, tra le altre cose, i principi cui si deve attenere uno sviluppo dell’AI antropocentrico, prevede alcune disposizioni in settori come la sanità, il lavoro, le professioni intellettuali, la PA, l’attività giudiziaria e la cybersicurezza nazionale.
Il governo di Giorgia Meloni, su questo tema guidato dal sottosegretario all’innovazione tecnologica Alessio Butti, ha designato l’Agenzia per l’Italia Digitale (AgID), guidata da Mario Nobile, e l’Agenzia per la cybersicurezza nazionale (ACN), guidata da Bruno Frattasi, come deputate alla vigilanza delle regole dell’AI Act. Occorre riconoscere che questo Governo, come mai finora è avvenuto con molti dei precedenti esecutivi, ha da subito accettato la sfida di dover essere competitivi nel settore tecnologico, ponendo al centro del dibattito sempre i temi dell’intelligenza artificiale e dell’economia digitale e dei dati in generale.
La necessità di procedere a ritmo serrato
Se finora contiamo poche eccellenze italiane nel settore e restiamo indietro rispetto ai nostri cugini francesi che dimostrano da anni di puntare a diventare la Silicon Valley europea, i fondi annunciati dal governo Meloni sembrano andare in quella direzione, pur essendo solamente un primo tassello di una via ancora lunga da percorrere. Molto bene, quindi, quanto fatto al G7 sull’AI nei gruppi di lavoro, e quanto si vuole fare, a livello parlamentare, con il DDL Centemero sulle sandbox, ma occorre procedere a ritmi serrati per recuperare il terreno perduto.
La collaborazione tra Governo e Garante
Sebbene non sia un mistero che molti operatori vedevano, anche in un’ottica di semplificazione e “one stop shop” nel Garante per la protezione dei dati il naturale soggetto regolatore – vista la sua trentennale esperienza nel settore della data economy e della protezione dei diritti fondamentali e, non meno importante, visti i precedenti nel gestire i primi casi al mondo sull’intelligenza artificiale come Replika e OpenAI, (casi per cui, essendomene occupato professionalmente, ho visto la qualità del lavoro della squadra del Garante, riconosciuta a livello internazionale e presa come esempio, da Washington a Sydney, e come modello di regolazione virtuosa dell’AI) – la scelta del Governo di procedere diversamente non ha impedito la leale collaborazione che ci si aspetta da due istituzioni così importanti. Collaborazione che saluto con interesse e che spero faccia presto dimenticare i tempi in cui, senza distinzioni di colore politico, il Garante fu attaccato ingiustamente per aver semplicemente applicato la legge.
Il blocco di ChatGpt e Replika: casi che hanno fatto scuola
Giusto per citare l’ultimo caso in ordine cronologico di frizioni tra la politica e l’Autorità, il blocco temporaneo di ChatGPT e Replika nella primavera del 2023 portò non pochi a gridare allo scandalo, paventando il rischio di blocco dell’innovazione in Italia e di neo-oscurantismo.
Invece, in tempi record, dopo solo un mese, ChatGPT tornò operativo, arricchito dai cambiamenti apportati da OpenAI, frutto del lavoro fatto di concerto col Garante e cristallizzati in un provvedimento che ha fatto scuola a livello internazionale, tanto da diventare la “golden rule” globale a cui tutti si ispirano nella costruzione di modelli a base di Generative AI sostenibile e attenta anche ai diritti e agli interessi delle persone. E tutto questo avveniva un anno prima dell’approvazione definitiva dell’AI Act. Questo è ciò che le eccellenze italiane sono in grado di fare, anticipando i tempi e dimostrando come il bilanciamento tra interessi e diritti contrapposti è sempre possibile e ci guadagnano tutti, anzitutto l’umanità.
Il parere del Garante sul DDL IA
E il Governo ben conosce l’importanza della protezione dei dati personali tanto che l’indipendenza e il ruolo del Garante vengono spesso richiamati nel DDL. Come richiesto dalla legge, il Governo ha chiesto il parere dell’Autorità sul testo, parere pubblicato il 2 agosto e che va letto in chiave positiva, salvo alcuni suggerimenti che vogliono rafforzare alcune delle scelte che sono state fatte nel regolamento europeo stesso o che si muovono nel solco della giurisprudenza del Garante e dei Garanti europei degli ultimi anni.
La necessità di una maggiore attenzione verso la tutela dei minori
Tra queste c’è senza dubbio la necessità di una maggiore attenzione nei confronti della tutela dei minori. Se il DDL ha ribadito che il consenso del maggiore di 14 anni sia da considerarsi valido, il Garante pone l’accento sulla necessità di “garantire sistemi adeguati di verifica dell’età, per evitare l’altrimenti agevole elusione della prevista soglia anagrafica per la prestazione del consenso”. Un tema, quello dell’”age (gate) verification” nato per i social network, per via della massiccia presenza non autorizzata di utenti minori, ma che ancora fatica a trovare una soluzione “tecnologica” universalmente condivisa ed efficace, ma che, sicuramente, deve essere presa in considerazione visto il maggiore impatto che i sistemi di intelligenza artificiale possono avere sui minori.
Sanità: menzionare la preferenza per i dati sintetici o anonimi
Nel settore sanitario il Garante consiglia di menzionare la preferenza per i dati sintetici o anonimi, per ridurre i rischi di fughe di dati o di usi impropri in un settore delicato come quello sanitario. È questa una frontiera ancora parzialmente inesplorata. Ricordo che con il mio team ci occupammo per primi di dati sintetici nel 2018 quando con la Commissione europea lavorammo al progetto MyHealthMyData, precursore di tanti filoni sull’uso ed il riuso, anche altruistico, di dati nel settore sanitario.
Un miglior coordinamento tra le autorità competenti
Non ultimo, il Garante suggerisce, proprio in ottica di un miglior coordinamento tra le autorità competenti e vista la centralità della protezione dei dati personali nell’economia digitale, di “prevedere la partecipazione del Garante al Comitato di coordinamento di cui all’articolo 18, c.2” e che “AgID e ACN trasmettano al Garante gli atti dei procedimenti in relazione ai quali emergano profili suscettibili di rilevare in termini di protezione dati, richiedendo altresì il parere dell’Autorità rispetto a fattispecie, al loro esame, che coinvolgano aspetti di protezione dei dati. Il Garante trasmetterà, per parte sua, elementi informativi in ordine a profili di competenza di AgID o ACN suscettibili di emergere nella trattazione di propri procedimenti.”
Credo che il suggerimento del Garante sia da considerare come occasione concreta per porre le basi per rivedere il modo in cui le diverse Autorità indipendenti e le Agenzie dovranno lavorare in futuro per far rispettare le norme sull’AI nel mondo digitale. Da tempo sostengo che il legislatore dovrebbe riformare il sistema delle Autorità, partendo proprio dal Garante della privacy che dovrebbe mutare la sua forma in un Garante dei dati, perché ormai, nella data economy, tutto è inevitabilmente intrecciato ed è impensabile, soprattutto alla luce dei tanti nuovi regolamenti europei nel settore (DSA, DMA, DGA, Data Act, EHDS), che si possa lavorare bene laddove non siano ben chiari i confini tra un’Autorità e l’altra.
Verso una nuova convergenza
Occorre dunque lavorare ad una nuova convergenza, per il bene delle industrie, del Paese e dei cittadini e le recenti mosse del Governo e del Garante “dei dati” sembrano andare proficuamente, seppur ancora in fase iniziale, in questa direzione.
Leggi su Agenda Digitale.