Negli ultimi anni, l’avvento delle nuove tecnologie ha fortemente interessato e condizionato l’azione della mano pubblica, europea e nazionale, agevolandone l’esercizio; ha segnato una svolta epocale in grado di rivoluzionare la gestione e l’erogazione dei servizi pubblici da parte delle pubbliche amministrazioni e la conseguente relazione con i cittadini. Non pare azzardato sostenere che l’intelligenza artificiale sia divenuta un vero e proprio catalizzatore per il raggiungimento della c.d. Pubblica amministrazione 4.0.
Al tempo stesso, il volume dei dati è aumentato esponenzialmente ed è diventato una ricchezza così fondamentale per il profitto di imprese e il progresso della comunità tanto che, oramai, spesso i dati vengono identificati come “il nuovo petrolio”.
Il ruolo del Gdpr
Tanto ciò è vero che, dopo l’entrata in vigore del Regolamento sulla protezione dei dati personali (GDPR n. 2016/679), il Legislatore europeo, proprio nella consapevolezza del valore assoluto dei dati per la crescita economica dei Paesi, ha avvertito l’esigenza di disciplinare anche il loro impiego nei sistemi di IA. Tema strettamente connesso al loro trattamento è, difatti, il consequenziale uso che possono farne le nuove tecnologie, in via più o meno autonoma e creativa.
Data Governance Act e Data Act
Dal 2022 sono stati approvati due primi regolamenti: il Data governance act (DGA) e il Data act (DA); i corpi normativi intendono istituire una rete comunitaria per la condivisione di dati pubblici e privati, affermando un vero e proprio spazio europeo di autonomia tecnologica nella contesa geopolitica per la sovranità digitale.
L’AI Act
Da ultimo, il 13 giugno 2024, è stato definitivamente approvato il Regolamento europeo sull’intelligenza artificiale – Regolamento (UE) 2024/1689 – così formalizzando la proposta di Regolamento presentata dalla Commissione Europea il 21 aprile 2021 meglio nota come “AI Act”; l’obiettivo principale è di garantire che la diffusione e l’applicazione dei sistemi di IA avvenga sulla base di una serie di principi ad hoc stabiliti dalla Corte di Giustizia: sicurezza, trasparenza e non discriminazione per garantire che dati e algoritmi non generino pregiudizi e assicurino a tutti i soggetti un equo trattamento nei procedimenti amministrativi o giudiziari; tracciabilità per garantire che gli algoritmi siano chiari e comprensibili; protezione dei dati personali; e soprattutto essenziale e ineludibile supervisione umana (human oversight o riserva di umanità).
Il Regolamento europeo, dunque, impone vincoli ai sistemi di IA seguendo un approccio “risk-based” secondo cui le regole diventano più rigorose all’aumentare del rischio ad essi associato: rischio inaccettabile; rischio alto; rischio limitato; rischio minimo o nullo. Il modello prescelto non richiede il rilascio di un’autorizzazione pubblica, ma pone il controllo a carico del produttore dei rilevanti sistemi basati sull’IA l’obbligo di verificare il rispetto dei requisiti previsti.
Un modello di governance per l’AI
Ma allora, sorge spontaneo chiedersi: quale sarebbe il modello di governance dell’intelligenza artificiale più auspicabile per garantire il rispetto di tali regole?
Sul lato comunitario è stata prevista l’istituzione di una serie di organismi rimettendo, di contro, alla discrezionalità del Legislatore nazionale, la decisione circa l’eventuale creazione di un’Authority ex novo, o l’attribuzione di tali funzioni a quelle già esistenti.
L’Italia ha allocato le competenze in materia in capo ad attori pubblici già esistenti, diversificandone i relativi compiti. In questo senso, con D.D.L. n.1146, presentato per l’iter di approvazione il 20 maggio 2024, è stata ripartita la competenza tra Agenzia per l’Italia Digitale (Agid), Agenzia per la Cybersicurezza Nazionale (Acn) e Presidenza del Consiglio dei Ministri, presso la quale è stato istituito un apposito Comitato di coordinamento (tra AgID, ACN e Presidenza stessa). Fuori dai compiti specifici di innovazione è apparso il Garante per la Protezione dei Dati Personali (GPDP), che sembra invece relegato dal D.D.L. al suo già esistente ruolo di tutela.
Il ruolo del Garante Privacy
Nella veste di Autorità regolatrice del precipuo settore, e anche alla luce della sostanziale raccomandazione ricavabile dal Regolamento IA, dunque, il Garante ha predisposto un Parere per rivendicare uno spazio maggiore di intervento, sia rispetto alle funzioni di programmazione sia riguardo a controlli successivi sulle stesse, e richiedendo il proprio coinvolgimento permanente nel predetto Comitato.
Dalla prospettiva del diritto pubblico la proposta sembra in effetti apprezzabile: solo con la combinazione delle competenze digitali specifiche che vantano le Agenzie coinvolte e della pluridecennale esperienza della prima Authority istituita nell’Ordinamento italiano, in uno con la necessaria direttrice politica generale della Presidenza del Consiglio dei Ministri, appare possibile assicurare quella completezza di tutela che la delicatezza della tematica in questione senz’altro impone.
