Di Rocco Panetta e Vincenzo Tiani

Che ruolo avranno i garanti dei dati d’Europa nel far rispettare l’AI Act, il regolamento europeo sull’intelligenza artificiale? Se ne parla da anni ma, con la recente pubblicazione in Gazzetta ufficiale europea, la domanda si fa sempre più pressante, anche visto l’aumentare delle Autorità coinvolte nell’attuazione del regolamento.

La domanda non è peregrina e vuole rispondere a un problema che è sempre più evidente: all’aumentare dei regolamenti che normano la data economy (una decina in questi ultimi cinque anni), aumentano le autorità coinvolte e il rischio di sovrapposizione tra più autorità competenti, senza che si possa far riferimento ad una chiara procedura, sia per quanto concerne le Autorità stesse sia per le aziende e le p.a. direttamente interessate e per i cittadini che hanno diritto ad essere tutelati.

Per anni il trend, a livello comunitario, è stato quello di ridurre quanto più possibile il peso della regolazione, unificando competenze e facendo uso dei regolamenti in luogo delle direttive, proprio per semplificare e dare certezza e unicità degli interlocutori per gli operatori. Si è diffuso il principio del one stop shop, del c.d. sportello unico, per poter evitare di dover fare la spola tra diverse autorità di diversi Paesi dell’Unione per avere un’autorizzazione o in caso di richieste di informazioni o ispezioni. E con il GDPR si è raggiunto l’apice di questo processo, che tuttavia, a distanza di 6 anni dalla sua entrata in vigore, possiamo dire che non ha funzionato come avrebbe dovuto.

Nell’ultima legislatura Europea però le cose sono nettamente cambiate: abbiamo assistito alla proliferazione dei regolamenti che disciplinano lo spazio digitale europeo ed il mercato dei dati e, soprattutto, si è perso di vista il principio del one stop shop con un “liberi tutti” nella scelta delle autorità di controllo.

Questo inevitabilmente si tradurrà in maggiori oneri per gli operatori economici e maggiore incertezza interpretativa.

Dati personali e concorrenza

Questo scenario è ancora di più appesantito da una progressiva sovrapposizione di competenze e aree di azione, sempre più evidente tra le autorità antitrust e quelle di protezione dei dati personali. A riprova di ciò è la recentissima istruttoria avviata dalla AGCM (Autorità garante della concorrenza e del mercato) nei confronti di Google, “riguardo al reale effetto che il consenso produce sull’uso da parte di Google dei dati personali degli utenti [e alle] criticità […] riguardo alla varietà e alla quantità di servizi Google, rispetto ai quali può aver luogo un uso “combinato” e “incrociato” dei dati personali, e riguardo alla possibilità di modulare (e quindi anche limitare) il consenso solo ad alcuni servizi”. Oppure, per rimanere in casa Google, uno dei motivi per cui l’azienda ha abbandonato il suo progetto per eliminare i cookie di terze parti riguarda proprio il rischio che, garantendo una maggiore privacy per gli utenti, avrebbe però favorito il proprio sistema di raccolta pubblicitaria a danno dei concorrenti, andando inevitabilmente incontro a un problema di antitrust. Insomma, trovare il giusto equilibrio non è affatto facile, neanche quando si hanno risorse in apparenza illimitate.

Sul tema della concorrenza è il Digital Markets Act che, con le sue nuove regole in materia di dati usati dalle aziende cd. “Gatekeeper” (le note Big Tech) a proprio vantaggio e a discapito dei concorrenti, ha ufficializzato la commistione tra uso dei dati personali e diritto della concorrenza. Ma molto già si era detto con la sentenza del 4 luglio 2023 della Corte di Giustizia europea sul caso Meta, interpellata dai giudici tedeschi proprio sulla possibilità che l’antitrust tedesca potesse agire facendo leva sulla normativa della privacy. La risposta fu positiva e la Corte aveva, tra le altre cose, indicato la via della leale collaborazione tra le autorità come la via maestra. In Italia l’ultimo tentativo ufficiale in questa direzione era stato fatto nel 2020 con la pubblicazione congiunta di Garante Privacy, AGCM e AGCOM di una indagine sull’uso dei big data. Un evento che poteva essere il preludio di una cooperazione strutturale tra le autorità, che però non si è mai realizzata.

Dati personali e AI

Il problema sarà ancor più evidente con l’entrata a regime del regolamento sull’intelligenza artificiale in quanto l’AI, almeno per ora, usa moltissimi dati personali e il GDPR sancisce che, nel dubbio se considerare un dato personale o meno, questo vada trattato come personale.

Forte della loro lunga esperienza nella gestione dei dati, nell’analisi di sistemi informatici e nuove tecnologie, e nel fare valutazioni d’impatto sui diritti fondamentali, i garanti dei dati si candidano ad essere le naturali Autorità di vigilanza che gli Stati membri dovranno quanto prima designare in vista dell’applicazione del regolamento. Lo hanno pubblicato in una dichiarazione ufficiale dell’EDPB, il comitato europeo dei garanti privacy, evidenziando anche il loro ruolo di autorità autonome e indipendenti, requisito necessario richiesto dall’AI Act.

I garanti sono anche molto attivi nel fornire linee guida ed indicazioni su temi complessi, peculiarità che aiuta le aziende nel prendere decisioni sull’uso o meno di una tecnologia.

Da ultimo, e forse fondamentale, optare per queste autorità aiuterebbe le aziende ad avere una sola autorità di contatto con cui interfacciarsi sia durante la fase del training e dello sviluppo dell’AI, che in fase di uscita sul mercato. Secondo il regolamento, poi, i Garanti sono già le autorità designate per l’uso dell’AI ad alto rischio da parte delle forze dell’ordine, delle forze addette al controllo delle frontiere e per l’amministrazione della giustizia.

Un’occasione da non perdere per l’Italia

In Italia, in vista dell’AI Act, il Governo ha già designato come aurtorità di certificazione e controllo AGID (agenzia per l’Italia Digitale) e ACN (Agenzia per la cybersicurezza nazionale). Scelta che ha destato diverse polemiche, ma che ha una sua logica condivisibile soprattutto dal lato del governo dello sviluppo dell’AI nel nostro Paese che, al pari del resto dell’Unione, al momento è in netto ritardo rispetto a ciò che si sta facendo negli USA e nei paesi asiatici, Cina sopra tutti. Che fare allora? Occorrerà dunque stabilire delle procedure idonee di coordinamento dei lavori tra queste autorità e le altre che saranno coinvolte caso per caso, si tratti del Garante privacy per i dati personali o, ad esempio, della Consob, che è l’autorità responsabile del settore finanziario, ma anche delle stesse AGCM ed AGCOM, a seconda degli altri regolamenti e normative che si andranno a toccare, in una economia che è sempre più digitale.

Non si può però pensare di risolvere la questione con tavoli di lavoro e momenti più o meno sporadici di incontro programmatico tra Autorità. Sono le strutture che devono lavorare assieme e coordinarsi, per alleviare il peso della regolazione concorrente sugli operatori e dare certezza di competenza e prontezza di risposta di cittadini.

Questo sarà fondamentale per facilitare il dialogo con le aziende che, soprattutto quando sono altamente innovative, hanno bisogno di velocità nell’esecuzione e mal di adatterebbero ad un sistema che, non solo prevede diverse autorità competenti, ma che, nella peggiore delle ipotesi, non saprebbe neanche rispondere alla semplice domanda: è questa l’autorità competente a cui devo rivolgermi?

Le Autorità italiane hanno tutte le carte in regola per fare un ottimo lavoro, vista la loro esperienza, ma poiché, come diceva Totò, “è la somma che fa il totale”, sarà tassativo lavorare sin da ora rimuovendo quegli ostacoli che storicamente la bulimia legislativa italiana è capace di creare.

Più volte chi scrive ha lanciato la proposta di convergere su una nuova e forte Autorità dei Dati che prenda tutto il buono che le varie Autorità ed Agenzie hanno finora fatto e lo mettano a sistema per raccogliere le sfide che i mercati e le regole hanno lanciato.

Nel Regno Unito, ad esempio, è stata istituita nel 2020 una super Autorità di coordinamento delle principali Autorità con competenza nel settore digitale, si tratta del DRCF Digital Regulation Cooperation Forum, che a discapito del nome non è un forum, ma è qualcosa di più incisivo, ove risiedono ed operano assieme, quando necessario, l’ICO, l’Ofcom, la FCA e la CMA.

Se vogliamo essere competitivi non serviranno solo investimenti ingenti nel settore, ma anche procedure semplici e chiare che permettano alle aziende di sviluppare in sicurezza le proprie soluzioni prima di andare sul mercato – come ad esempio si legge nella importante proposta di legge presentata dal deputato Giulio Centemero sulle Sandbox regolamentari nel settore dell’AI – e agli utenti di sapere a chi rivolgersi quando la norma sarà violata.

…

Leggi tutto l’articolo su Repubblica.