“Con l’Artificial Intelligence Act l’Unione Europea ha trovato un primo, coraggioso e ambizioso equilibrio tra tutela dei diritti e delle libertà fondamentali e sostegno all’innovazione. Il voto di oggi del Parlamento ci proietta in una nuova dimensione delle regole e dei mercati. L’umanità può adesso iniziare a cogliere e a plasmare le opportunità offerte dalla tecnologia a base AI in una prospettiva non di soggezione. L’uomo riprende a guidare il suo destino, attraverso l’adozione di regole conformi ai principi e ai valori di libertà, democrazia ed uguaglianza fondativi dell’Unione Europea. Si tratta di una legge che richiederà un importante lavoro di adeguamento e i data protection officer ed i professionisti dei dati saranno le figure chiave in questa nuova stagione di compliance”. Rocco Panetta, avvocato tra i massimi esperti internazionali di diritto dell’AI e della data economy e country leader per l’Italia dell’International Association of Privacy Professionals, fa il punto con CorCom sulle ultime novità e sul delicato rapporto tra diritto e tecnologia.
Avvocato Panetta, oggi il Parlamento europeo ha votato la nuova legge sull’AI. Entriamo davvero in una nuova era?
C’era grande attesa per questo voto, da quando a dicembre Parlamento e Consiglio hanno raggiunto l’accordo politico. L’agenda del Parlamento è stata di recente aggiornata e la votazione anticipata al 13 marzo, come ha raccontato in anteprima assoluta l’onorevole Brando Benifei, co-rapporteur dell’AI Act, in occasione dell’evento che abbiamo organizzato a Roma come Iapp, assieme anche alla Professoressa Ginevra Cerrina Feroni, Vice Presidente del Garante per la protezione dei dati personali. Con l’Artificial Intelligence Act l’Unione Europea ha trovato un primo, coraggioso e ambizioso equilibrio tra tutela dei diritti e delle libertà fondamentali e il sostegno all’innovazione. Il voto di oggi del Parlamento ci proietta in una nuova dimensione delle regole e dei mercati. L’umanità può adesso iniziare a cogliere a pieno ed a plasmare le opportunità offerte dalla tecnologia a base AI in una prospettiva non più di paura e di soggezione. L’uomo riprende a guidare il suo destino, attraverso l’adozione di regole conformi ai principi e ai valori di libertà, democrazia ed uguaglianza fondativi dell’Unione Europea. Si tratta di una legge che richiederà un importante lavoro di adeguamento e i data protection officer ed i professionisti dei dati saranno le figura chiave in questa nuova stagione di compliance. Si tratta certamente di una legge che richiederà un importante lavoro di compliance per le aziende e i soggetti pubblici che forniscono o usano sistemi di intelligenza artificiale, compresa l’AI generativa. Il tempo per adeguarsi c’è, soprattutto considerando che il periodo cuscinetto sarà di ventiquattro mesi, salvo alcune norme che si applicheranno dopo sei, dodici o trentasei mesi. Avere tanto tempo non è però sempre una buona notizia, e la storia del Gdpr ce lo insegna. Anche in quel caso c’erano due anni per l’adeguamento e molte sono state le aziende e gli enti pubblici che hanno atteso l’ultimo mese dell’entrata in vigore per porsi il problema, scatenando una corsa che non ha avuto vincitori. Sarà dunque importante attivarsi subito, trasformando così l’adeguamento preventivo in un vantaggio competitivo. Fondamentale sarà anche coinvolgere tempestivamente funzioni e consulenti specializzati, compresi i Data Protection Officer, che saranno le figure chiave sia nel periodo di transition che dopo la piena applicabilità dell’AI Act.
C’è chi crede che certe norme potrebbero ostacolare il progetto tecnologico e chi invece ritiene lo orienteranno in meglio. Lei cosa pensa?
È una storia che si ripete ciclicamente. Agli albori della data economy, quando per la prima volta ci si interrogava sulla necessità di disciplinare il trattamento dei dati personali, i termini del dibattito erano sostanzialmente i medesimi. La bussola da seguire oggi è quella che a suo tempo già tracciava il mio Maestro Stefano Rodotà: proteggere i diritti fondamentali trovando di volta in volta il giusto equilibrio con le esigenze del mercato. Da questa irrinunciabile concezione del diritto delle nuove tecnologie è nata tutta la normativa che ancora oggi regola la protezione, la circolazione e la valorizzazione dei nostri dati in una società sempre più soggetta a un processo di datificazione. Se è vero che il nostro futuro sarà un po’ meno umano e un po’ più artificiale, seguire questa rotta ci permetterà di mantenere le mani sul volante, ponendo l’uomo e i suoi valori al centro. Così facendo, la regolamentazione dell’intelligenza artificiale non sarà una limitazione ingiustificata allo sviluppo tecnologico, ma al contrario lo sosterrà e lo orienterà verso una dimensione antropocentrica e in linea con i diritti e le libertà che permeano la nostra tradizione costituzionale. Ed è per questi motivi che, personalmente, non condivido chi considera il regolamento inutile, o addirittura patetico: si tratta, invero, di un risultato di cui cittadini e imprese europee devono essere orgogliosi. Certo si poteva fare di più, ma con i se e con i ma non si va molto lontano. Qui si è scritta la storia e l’Unione europea è la prima a portare a casa un risultato che varrà ben oltre i confini dell’UE, considerato che l’efficacia dell’AI Act implica un adeguamento da parte di tutti, utilizzatori, ma anche produttori e distributori di tecnologia AI anche non stabiliti nell’UE.
Guardando alle aziende, lei ha assistito Replika e OpenAI nei procedimenti che hanno portato allo sblocco dei due chatbot da parte del Garante privacy. Che importanza si deve attribuire alla data protection quando si usa l’AI?
Facciamo subito chiarezza. Ad oggi, la normativa di riferimento per i sistemi di AI è il Gdpr. Lo era già nel 2016, quando veniva profeticamente formulato l’articolo 22 sui processi decisionali automatizzati. Lo è in questi concitati mesi, con principi fondamentali come la trasparenza, la minimizzazione, la privacy by design e by default. E, soprattutto, questa normativa continuerà anche in futuro ad applicarsi ai sistemi di AI, in ragione del legame inscindibile tra algoritmo e dato. In qualità di consulente legale e Dpo di grandi aziende, gruppi internazionali e pubbliche amministrazioni, sono assolutamente convinto che il primo presupposto per adeguarsi al Artificial Intelligence Act sarà quello di avere già maturato una solida compliance data protection. Inoltre i casi citati, Replika – per la quale siamo stati gli unici avvocati in campo – e OpenAI/ChatGpt – per i quali abbiamo lavorato assieme ad altri legali – hanno dimostrato quanto l’impronta del Gdpr sia profonda e come il lavoro virtuoso tra Garante e imprese possa produrre importanti risultati a vantaggio di tutti e senza fermare lo sviluppo tecnologico o la diffusione delle nuove tecnologie volte a migliorare il benessere dell’umanità.
Resta un nodo ancora aperto, quello delle autorità di controllo e garanzia in materia di AI. Cosa farà l’Italia?
Avendo lavorato per tanti anni al Garante per la protezione dei dati a fianco dei campioni europei della data protection, Rodotà e Buttarelli, posso dire che il candidato naturale per me sarebbe proprio quell’Autorità Garante, in quanto negli anni ha formato un corpus di dirigenti e funzionari capaci e sempre in grado di bilanciare sviluppo tecnologico, diritti, regole ed esigenze di tutela delle attività di impresa. Quella Autorità che nel mio piccolo ho contribuito a far nascere e crescere è anzitutto il Garante dei dati e non solo il Garante della privacy. E l’AI è fatta di dati ed avrebbe bisogno proprio di una Autorità dei dati. Devo comunque dire che quale che sia la scelta che il nostro Paese compirà in merito, è confortante vedere che per la prima volta nella storia le istituzioni governative hanno compreso appieno la strategicità del tema. Cosa non scontata. Proprio ieri si è tenuto presso la Presidenza del Consiglio, con il contributo di Agid, un importante convegno voluto dal Sottosegretario Butti da cui emerge l’impegno del Governo anche in vista del prossimo G7 che si terrà in Italia. Anche la premier Giorgia Meloni non ha mancato di sottolineare il momento cruciale che stiamo vivendo e la necessità di regole bilanciate sull’AI e di un approccio etico al problema, anche in ragione delle norme nazionali che dovranno essere scritte a completamento dell’AI Act e della necessità di individuare quanto prima l’Autorità di controllo. Se il buongiorno si vede dal mattino, possiamo dirci già in parte soddisfatti.
