Ai Act, l’amaro in bocca per una sfida che la Ue ha raccolto solo in parte
Intelligenza artificiale / 1
Ino ad oggi, quasi tutte le discussioni intorno alla legislazione europea ( Ai Act) che prima nel mondo regolerà in modo tendenzialmente esaustivo l’ecosistema ( non ci si stancherà mai di ribadire che non si tratta di una semplice tecnologia) relativo all’intelligenza artificiale si sono concentrate sulla tutela dei singoli diritti in gioco e sulla ragionevolezza o adeguatezza delle classificazioni connesse alla graduazione del rischio.
È ragionevole che il dibattito si sia prevalentemente focalizzato su tale prospettiva. In fondo il valore aggiunto dell’Ai Act non vuole e in ogni caso non deve essere, a mio avviso, quello dell’essere stata « la prima » legislazione al mondo sul tema ma, piuttosto, quello di aver voluto regolare un ecosistema così complesso come l’intelligenza artificiale avendo come ( parziale) bussola la tutela dei diritti fondamentali e dei valori democratici alla base delle tradizioni costituzionali comuni in Europa.
Ci sono tre questioni che sono però rimaste nell’ombra e su cui può essere utile soffermarsi per comprendere il livello di effettività della protezione dei diritti in gioco.
In primo luogo a chi si applica la nuova legislazione? Quale è l’ambito di applicazione di natura soggettiva e territoriale? Alla domanda non vi è una risposta univoca, perchè l’Ai Act distingue varie figure, il che complica non poco il quadro quanto a certezza del diritto e chiarezza dei ruoli, distinguendo, innanzitutto tra chi fornisce, quindi sviluppa, un sistema di intelligenza artificiale e chi lo utilizza. A tali figure, che occupano un ruolo primario quanto alla identificazione degli obblighi previsti dalla disciplina, si aggiungono quelle degli importatori e dei distributori dei sistemi di intelligenza artificiale. La confusione dei ruoli rischia poi di assumere connotati pirandelliani se si considera l’applicazione congiunta, che spesso sarà necessaria nella pratica, tra la disciplina appena adottata in tema di intelligenza artificiale e quella relativa alla protezione dei dati personali prevista dal Gdpr. Sarà interessante capire come si abbineranno le figure, proprie di quest’ultima disciplina, di titolare e responsabile del trattamento, con quelle di produttore e fornitore che sono invece
protagonisti dell’Ai Act.
Dal punto di vista territoriale, volendo solo considerare gli sviluppatori, su cui gravano obblighi più rilevanti, non ci sono dubbi, l’applicazione è quasi universale. l’Ai Act sarà applicabile ai fornitori, anche stabiliti in paesi terzi, sia quando l’output relativo ad un modello di l’intelligenza artificiale è utilizzato nel territorio dell’Unione, sia quando, nonostante questa condizione non si sia verificata, gli stessi fornitori, e qui si fa riferimento all’input, immettano, sul mercato o mettono in servizio sistemi di intelligenza artificiale nel territorio dell’Unione. Si è riflettuto spesso su queste pagine, a tal proposito, come non sia affatto detto che il Bruxelles effect che ha funzionato per il Gdpr possa avere lo stesso successo in relazione Ai Act, in cui la questione non è tanto l’esportazione della massima protezione di un diritto ( nel caso specifico diritto alla protezione dati), ma la « migrazione » di uno tra i molti modelli di regolazione di un ecosistema tecnologico.
La seconda domanda è quella relativa a come il sistema messo in piedi dal regolamento sull’intelligenza artificiale dovrà applicarsi. In altre parole, come passare dalla elaborazione di una legislazione alla sua applicazione completa? La domanda non è del tutto irrilevante perché il successo di qualsiasi tentativo regolatorio si valuta da come in concreto migliori lo status quo.
Qui ci sarebbe da riflettere sull’assai complesso sistema di governance multilivello previsto dalla normativa, che verrà però affrontato in prossimo contributo perché ora si vuole portare l’attenzione su un profilo meno dibattuto e forse meno attraente ma cruciale per il buon funzionamento del sistema, ovvero il processo di standardizzazione relativo ai requisiti definiti di Ai trustworthiness . Vale a dire quegli ingredienti tecnici che possano garantire affidabilità delle applicazioni ad alto rischio che gli sviluppatori dovranno rispettare prima di immettere sul mercato i prodotti. Si tratta di un processo tutt’altro che semplice che, per ciascuno di tali requisiti ( si pensi per esempio alla gestione del rischio, alla qualità dei dataset, ai profili legati alla sicurezza informatica dei modelli rilevanti e specialmente alla non meglio identificata ma cruciale per prendere sul serio il nucleo duro del costituzionalismo europeo, « supervisione umana » ), deve essere specificato tenendo conto degli standard sviluppati dagli enti preposti a livello europeo. Un lavoro oscuro ma complicatissimo e cruciale perché la normativa possa effettivamente produrre degli effetti concreti. A questo riguardo non può sorgere una domanda quasi spontaneamente: enti di carattere tecnico come le European Standard Organizations saranno in grado di valutare la dimensione valoriale che è insita nelle scelte, a volte tragiche per citare Calabresi, che dovranno essere fatte?
Un cenno finale per rispondere telegraficamente alla terza domanda: quali i rimedi in caso di violazione dei diritti in gioco ed in particolare quale il coinvolgimento dell’autorità giurisdizionale quando il regolamento consente un’intrusione nelle sfere più intime della personalità degli individui coinvolti, come nel caso dei processi di riconoscimento fondato su dati biometrici?
A questo proposito va detto che l’Ai Act - che rischia di tramutarsi, come in parte è stato per il Gdpr, in una direttiva mascherata per l’altissimo numero di clausole aperte che attribuiscono un significativo margine di manovra agli Stati- lascia a quest’ultimi anche la scelta se ad autorizzare il riconoscimento biometrico sia un’autorità amministrativa o un’autorità giurisdizionale. La speranza è ovviamente che la scelta degli Stati ricada su quest’ultima opzione, per ovvie ragioni di effettività della protezione dei diritti in gioco e imparzialità dell’organismo di controllo.
Rimane certo l’amaro in bocca pensando che, in un momento in cui l’Unione europea sta affrontando la sfida cruciale dello stato di diritto ( anche) al suo interno, non abbia preso una netta posizione a favore dell’unica opzione ( quella dell’accertamento giurisdizionale) che, in casi come questi, quando sono in gioco i diritti personalissimi, è la sola conforme alle radici del costituzionalismo europeo.