In questi giorni mi trovo a Washington per partecipare allo Iapp Global Privacy Summit, evento che si tiene annualmente qui tra i professionisti del mondo dei dati che vengono da tutto il mondo, al pari di quanto accade con l’omologo evento che si svolge a Bruxelles a novembre ogni anno, a sugellare il protagonismo delle due sponde dell’Atlantico quando di parla di uso e protezione dei dati.
La privacy alla prova della data economy
Anche quest’anno, ovviamente, i temi sono moltissimi e dalla protezione dei dati personali si sono espansi verso tutta la data economy, inclusa, ovviamente, l’intelligenza artificiale. Si farà il punto della situazione tra Ue e Usa, che, non dimentichiamolo, vede, sempre di più, accrescere il numero di stati ad avere adottato una legge sulla privacy. Peccato manchi ancora una legge federale sulla privacy, su cui ancora riponiamo qualche speranza, anche in vista dell’imminente approvazione del nuovo Privacy Shield.
Personalmente parteciperò ad un panel proprio sul modo in cui queste due grandi potenze intendono regolare l’intelligenza artificiale. Con me, sul palco, ci saranno anche Brando Benifei, eurodeputato co-relatore del parlamento europeo per l’AI Act, e Alexander Macgillivray dell’ufficio Science and Technology della Casa Bianca.
AI Act entro fine anno
Il Parlamento europeo, a fine mese, voterà la sua posizione che poi terrà di fronte al trilogo con la Commissione e il Consiglio, per arrivare ad un accordo su un testo finale, non disponibile prima della fine dell’anno. È quindi il momento perfetto per avere queste conversazioni, con un testo abbastanza solido ma ancora non definitivo.
Il dialogo, tanto interistituzionale quanto tra nazioni diverse e stakeholder diversi, è davvero cruciale in tal senso. Sono talmente tante le domande senza risposta che ultimamente sono le stesse aziende che sviluppano l’AI a chiedere di essere regolamentate, viste le sfide che l’AI porta con sé, come il possibile impatto sui diritti fondamentali, che potrebbe indurre anche ad un rifiuto del modello basato su AI o su richieste di moratorie sul loro uso, come proprio in queste ore sta avvenendo proprio negli Usa.
Ai Act, come si stanno preparando le aziende
Le aziende sono sicuramente interessate a capire la direzione che stanno prendendo i regolatori. Come già detto, l’AI Act potrebbe arrivare entro la fine dell’anno, mentre il Regno Unito ha pubblicato da pochi giorni il suo libro bianco sull’IA intitolato “A pro-innovation approach to AI regulation”, dimostrando di voler aspettare ancora un po’ su come e quando regolamentare l’AI. Una cosa è certa: in attesa dell’AI Act le aziende si stanno muovendo velocemente, da un lato dal punto di vista dei prodotti che stanno arrivando sul mercato, che in alcuni casi possono prevedere un’uscita anticipata per evitare di rientrare nella legge sull’AI; dall’altro nello stabilire fin da ora politiche di governance interne.
Anche in attesa del testo definitivo, il risultato finale non sarà quello di ribaltare la proposta della Commissione. Pertanto, le garanzie di trasparenza, la spiegabilità degli algoritmi, i meccanismi di autocertificazione, la suddivisione in categorie di rischio con i rispettivi obblighi, difficilmente saranno assenti nel testo finale, e per questo le aziende si stanno già preparando con la stesura di policy interne, corsi di formazione per il personale più esposto all’uso e allo sviluppo dell’IA e, naturalmente, stanno rivedendo le Dpia (valutazioni di impatto privacy) già effettuate alla luce dei prossimi sviluppi tecnologici. L’Ico (Information Commissioner’s Officer britannico), ad esempio, ha già pubblicato delle linee guida sull’interazione tra AI e protezione dei dati nelle Dpia.
L’esperienza delle Dpia sarà fondamentale
In questo senso, vorrei dire che, se la valutazione d’impatto sui diritti fondamentali arriverà nel testo finale, tutta l’esperienza delle Dpia sarà fondamentale per costruire il nuovo Fundamental Rights Impact Assessment, che non dovrà partire da zero.
Quello che si può fare già oggi, quindi, è aggiornare le Dpia, utilizzare audit esterni, coinvolgere diversi stakeholder nella verifica dei dati in entrata e in uscita, per evitare discriminazioni ed effetti indesiderati. Per settori specifici come quello sanitario e bancario, già altamente regolamentati, e quindi abituati a seguire questo tipo di regole, credo che il percorso sarà più facile da seguire. Sono certo che il dibattito continuo che si tiene agli eventi Iapp sarà in grado di dare una mano alle imprese e alle autorità in questa transizione cruciale, permettendo loro di incontrarsi in campo neutro e fuori dai formalismi da “guardie e ladri”.
Intelligenza artificiale, cosa stanno facendo le Autorità
Se il legislatore europeo si sta muovendo da tempo, anche le Autorità non stanno a guardare, tutt’altro. Prima di tutto, alcune di queste stanno già arruolando nuove leve per questa nuova sfida, come il Garante italiano che, ad esempio, qualche tempo fa ha indetto un bando per la ricerca di esperti di intelligenza artificiale. L’AI Act non prevede che sarà il Garante a occuparsi direttamente e in maniera esclusiva dell’enforcement ma sicuramente sarà coinvolto, se non come autorità singola, come parte della nuova Autorità che nascerà. Questo almeno è il mio auspicio, per un ufficio che da oltre 25 anni lavora al fianco delle aziende nella gestione dei dati personali, a tutela degli interessati.
Non bisogna dimenticare il Gdpr
Sul fronte dell’enforcement, comunque, l’Autorità si è dimostrata molto attiva anche con le aziende che producono intelligenza artificiale. Ultimamente ci sono stati i casi di Replika e ChatGpt, prima ancora quello di ClearviewAI.
Questo dimostra semplicemente che, ancora prima di pensare all’AI Act, non bisogna dimenticare il Gdpr, le cui norme ancora ben si adattano in moltissimi casi (si veda ad esempio l’articolo 22 sulle decisioni automatizzate). In altri invece, soprattutto per quanto riguarda la spiegabilità e la trasparenza degli algoritmi e dei risultati dell’AI, penso ci siano ancora dei limiti tecnologici che possono essere un ostacolo ad una piena applicazione, da parte delle aziende, del Gdpr. Questo non vuole dire che manchi una volontà di farlo, tutt’altro, ma che la via da seguire potrebbe essere diversa. Starà alla collaborazione tra Autorità, aziende e stakeholder riuscire a trovare il giusto equilibrio in questo nuovo panorama.
