La proposta del Regolamento UE in materia di intelligenza artificiale (IA) presentata lo scorso 21 aprile dalla Commissione Europea rappresenta un importante passo avanti dell’Unione nella costituzione di una comunità di diritti umani e di valori, abbandonando sempre di più il criticato (vecchio e neanche più tanto vero) stereotipo di una unione basata esclusivamente sulla moneta.
I pilastri del regolamento comunitario sono tre: l’approccio all’uso dell’intelligenza artificiale basato sul rischio, i meccanismi di governance comunitaria e nazionale, la promozione dell’innovazione. In questa sede verranno presentate alcune considerazioni sul primo dei tre pilastri.
La scelta di un approccio basato sul rischio è un elemento positivo per almeno due ragioni:
- Spinge i titolari del trattamento a valutare costantemente le possibili distorsioni d’uso nel trattamento dei dati e le relative conseguenze, abbandonando una visione utilitaristica e miope basata sui benefici a breve termine;
- Facilita i titolari del trattamento nello sviluppare meccanismi di gestione e organizzazione armonizzati rispetto ad altri standard normativi, siano essi cogenti o volontari, i quali più o meno esplicitamente richiedono una valutazione dei rischi PRIMA di implementare qualsivoglia soluzione. Valgano come esempi le norme ISO (9001, 37001 45001 solo per fare tre esempi), il D. Lgs. 231/01, il D. Lgs. 81/08.
Il Regolamento europeo abbina alle quattro categorie di rischio individuate (elevato, alto, medio, basso) altrettante strategie di gestione:
- Per il rischio basso non sussistono particolari obblighi in carico al titolare oltre a quelli già previsti dalle normative applicabili;
- Nel caso di rischio medio, sono previsti obblighi di trasparenza nei confronti degli interessati (es. dichiarare che il servizio di assistenza è gestito da chatbot);
- Il rischio alto richiede un test di conformità su quattro dimensioni distinte (documentazione tecnica, qualità dei dati, supervisione dell’uomo, sicurezza);
- Il rischio elevato comporta la proibizione del trattamento.
Tra i trattamenti considerati a rischio elevato sono esplicitamente citati il social scoring e i sistemi di identificazione in tempo reale basati su dati biometrici, ed è questo l’elemento di novità.
Il regolamento europeo: ecco cosa proibisce.
La Commissione Europea dice esplicitamente ai suoi cittadini (e anche al resto del mondo quando vuole operare all’interno dei suoi confini) che questi trattamenti, inseguiti in altri Paesi sulla scorta di innovazioni proposte dall’industria e da particolari settori dei servizi, in Europa non si possono fare. Punto.
Pensate all’eventualità (remota, ovviamente) di essere ricoverati per attacco di cuore, attivare la vostra copertura sanitaria e vedervela negata perché la vostra compagnia assicuratrice, attingendo ai dati di un altri provider, ha rilevato che bevete quattro caffè al giorno (sapete, quella cosa per cui trovate comodo dire alla macchina del caffè di farvelo lei invece che fare la fatica di mettere la capsula, schiacciare un bottone…), che vi siete geolocalizzati in un fast food (per avere degli sconti, mica gratis eh) oppure che avete comprato troppe bevande gassate (questo glielo ha detto il frigorifero, lo stesso che vi ricorda i cibi in scadenza) e che questi non sono comportamenti che si addicono ad uno stile di vita “sano” (virgolette volute).
In Cina è possibile comprare un biglietto dei mezzi pubblici semplicemente tramite il riconoscimento facciale di una telecamera. Comodo per carità, ma cosa succede a quel dato, oltre a farmi passare i tornelli? È questo l’interrogativo che forse troppo poco spesso ci facciamo, dimenticando in generale – o qualche volta semplicemente e legittimamente accettando – il principio per cui “se un prodotto è gratis, la merce sei tu”. Per comprendere meglio l’approccio dell’Unione: la recente modalità di check-in adottata da Delta Airlines in Italia e basata sul riconoscimento facciale prevede la cancellazione dei dati dei passeggeri una volta completata la pratica di imbarco.
Non dimentichiamo che i sistemi di intelligenza artificiale possono imparare esclusivamente da ciò che viene dato loro in pasto per apprendere: se seguissimo le decisioni suggeriteci da questi sistemi, potremmo parlare ancora di libero arbitrio e quindi di responsabilità individuale? Tornando all’esempio di prima, un perito assicurativo è ancora responsabile sotto il profilo giuridico per negare l’assistenza sanitaria ad un assicurato qualora dica “il nostro motore di IA mi ha detto di rigettare la pratica”, nel caso in cui le informazioni su cui tale valutazione è stata basata fossero errate, parziali o distorte?
Certo, il Regolamento UE è ancora in fase di proposta, sono molti gli elementi che dovranno essere meglio definiti e già numerose sono le richieste di correttivi, ma ecco che la partita su di un aspetto tecnico in un ambito definito al meglio come “una seccatura” (la data protection) potrà avere degli effetti che andranno ben oltre la redazione di una informativa su di un sito internet. In questo, l’approccio adottato da PK Consulting è sempre stato distintivo e volto ad utilizzare le misure di controllo in materia di data protection non come sola risposta ad un dettato normativo, ma come leva per migliorare l’efficienza e l’efficacia organizzativa, in modo tale da rendere la conformità alle leggi un effetto collaterale rispetto ad un obiettivo più ampio.
La regolamentazione dell’intelligenza artificiale assume facilmente i contorni di uno scontro geopolitico tra almeno tre contendenti che stanno dimostrando di avere approcci differenti alla tematica: Europa, Stati Uniti e Cina. Ma al di là di questo aspetto, che decisamente esula dal contesto di questo articolo, l’Europa ha fatto un passo che si addice a qualcosa di più di una semplice unione monetaria di singoli Paesi: stabilisce dei princìpi, dei valori e dei diritti che vanno oltre una dichiarazione di intenti e diventano leggi, regole pratiche, mostrando e sostenendo una visione basata sulla ricerca di una identità comune.
