Tempo di lettura stimato: 8'
La regolamentazione dell'intelligenza artificiale (IA) non è qualcosa di estremamente recente. Già nell'aprile del 2018, in contemporanea con l'entrata in vigore del GDPR, le commissioni che si occupano di approfondire queste tematiche adottano un piano coordinato sull'IA. L’obiettivo è avere elementi da mettere a fattore comune che possano essere adottati dagli Stati membri, per poi sfociare in un testo normativo di un certo calibro.
Nell'aprile del 2021, la Commissione europea presenta la prima proposta di Regolamento sull'IA, ma solo nel dicembre del 2023 si raggiunge un accordo politico sul testo del Regolamento. È logico che si debba parlare di un accordo politico, perché il tema dell'intelligenza artificiale sposta e sposterà tutta una serie di opportunità di investimenti e di iniziative che riguardano l’Europa, che è un’avanguardia nella normazione in ambito dell'IA.
L’ultima tappa di questo processo è l’approvazione del testo definitivo del Regolamento: nel febbraio del 2024, l’AI Act viene approvato dal Parlamento europeo, a maggio, dal Consiglio dell’Unione europea.
Vediamo allora l’intelligenza artificiale dal punto di vista degli impatti legali e privacy e delle implicazioni in azienda, partendo da un presupposto: i lavori sono in corso e per come si sta muovendo il legislatore europeo, sicuramente ci saranno modifiche in itinere. Tuttavia, l’AI Act comincia a essere un orientamento per il legislatore e quindi deve esserlo anche per aziende, enti e consulenti.
AI Act e aziende: attività vietate e ammesse
In azienda l’intelligenza artificiale trova applicazione in diversi ambiti: chatbot, marketing, comunicazione, HR, anche se, in quest’ambito, può essere usata entro certi limiti. Forse se ne parla troppo, anche perché la stiamo applicando da moltissimi anni, basti pensare all'automazione a livello industriale.
Con l’entrata in vigore della norma, però, è bene chiedersi: quali attività sono ammesse e in che modo vi impatta il nuovo Regolamento?
L’AI Act si basa sulla logica del rischio: più alto è il rischio, più il divieto è stringente.
Immaginiamo una piramide, alla cui base troviamo le attività a rischio minimo o nullo. Salendo troviamo, invece, le attività a rischio limitato, più su le attività a rischio elevato e al vertice le attività che prevedono un rischio inaccettabile.
- Le attività a rischio inaccettabile sono vietate. Rientrano in questa casistica, per esempio, il social scoring (cioè, la classificazione delle persone in base al loro comportamento, alla loro condizione socioeconomica o alle loro caratteristiche soggettive), i messaggi pubblicitari rivolti ai bambini e il condizionamento psicologico.
- Le attività a rischio elevato sono permesse, ma nel rispetto di determinati requisiti e richiedono una valutazione di conformità preventiva. Vi rientrano il credit scoring (cioè, la classificazione delle persone in base alla loro affidabilità creditizia e solvibilità), la selezione del personale, la chirurgia assistita, le operazioni di polizia e le infrastrutture critiche.
- Le attività a rischio limitato sono permesse nel rispetto degli obblighi di trasparenza e informazione. Vi rientrano, per esempio, le chatbot.
- Le attività a rischio minimo o nullo non implicano obblighi ma è bene adottare codici di condotta. È il caso dei videogiochi e dei sistemi antispam.
Una norma che tiene conto delle possibili evoluzioni
La piramide sintetizza cosa si deve valutare nell'approcciare un sistema di intelligenza artificiale. L’AI Act è una delle rare normative basate su questo tipo di logica. Anziché fare un elenco di cosa si può fare e come, si fa un elenco di cosa non si può fare, perché il tema è estremamente vario, vasto, non confinabile.
Non è possibile comprendere, oggi, cosa regolamentare, rispetto a un avanzamento tecnologico che non è prevedibile. Quando diventerà applicabile la norma - nel maggio del 2026 – quale sarà la situazione? L’accelerazione tecnologica è tale che il Regolamento, nell'intento del legislatore europeo, deve modellarsi e dare degli input rispetto a qualcosa che non si sa ancora bene come si svilupperà.
Attività ad alto rischio: gestione dell’IA come gestione della privacy
In un sistema di intelligenza artificiale si devono applicare comunque tutte “le tematiche privacy”. Quindi è necessario stabilire il processo di gestione del rischio, rispetto alla finalità prevista dal sistema di IA.
Serve innanzitutto una governance del processo, che è la misura organizzativa rispetto alle attività che vengono svolte. Tant'è che proprio lo stesso testo di legge ci dice di utilizzare dei dati di validazione e ci parla di formazione di alta qualità.
La formazione non è più un di cui. È una formazione qualificata, proiettata, perché si sia in grado di dimostrare che l’azienda segue i parametri normativi. Fino ad arrivare a stabilire una documentazione e un design della progettazione. E anche questo è ciò che prevediamo nella gestione del dato.
Un sistema di intelligenza artificiale è appunto un sistema, un prodotto, ci saranno soggetti che lo dovranno amministrare e delle misure di sicurezza rispetto alla validazione dei dati che devono andare ad alimentare il sistema stesso.
Quindi chi è autorizzato a dire che quell'informazione può essere presa o non presa?
Il legislatore dice che deve esserci una garanzia di una supervisione umana. Un’introduzione che c'era già a livello privacy nelle profilazioni, nelle validazioni, nello scoring, nella gestione delle valutazioni dei rischi. Ma in questo caso viene imposta perché il legislatore non vuole che ci siano un distacco e un'autonomia totale del sistema, rispetto alla presenza umana.
A questo, aggiunge il legislatore, bisogna garantire solidità, accuratezza e sicurezza informatica. Questo aspetto è molto importante se pensiamo a ciò che sta succedendo a livello di cybersicurezza. Pensiamo a un sistema di intelligenza artificiale che viene attaccato, a cui vengono cambiati dei parametri e che quindi cambia le proprie azioni. C'è un problema di solidità, intesa anche come continuità prestazionale del sistema.
L’AI Act, poi, valorizza il tema della trasparenza - un problema che è stato affrontato politicamente a livello europeo – e quindi la necessità di fornire agli utenti informazioni sui rischi dell'intelligenza artificiale (per esempio, i deep fake), ma non solo. Dobbiamo pensare a un IA che può essere usufruita come consumatori finali e applicata all'interno delle aziende e degli enti - quindi anche a livello di interazione - e che comprende anche tutti gli stakeholders coinvolti.
Vediamo allora gli obblighi per chi produce AI.
Quali sono gli obblighi dei produttori di AI ad alto rischio?
Chi produce AI ad alto rischio deve:
- stabilire e implementare sistemi di gestione della qualità nella propria organizzazione
- predisporre e mantenere aggiornata la documentazione tecnica, compresa la Data protection impact assessment, la valutazione dei rischi e un tema di supply chain
- prevedere l’obbligo di loggatura per abilitare gli utenti al monitoraggio delle operazioni ad alto rischio (obbligo che si incrocia in maniera diretta al tema dei log dei soggetti che si autenticano e per cui deve esserci un accordo sindacale, ne abbiamo parlato anche a proposito di e-mail dei dipendenti e metadati)
- sottoporre il sistema alla valutazione di conformità e potenzialmente a una sua valutazione in caso di particolari modifiche, perché in caso di utilizzo di tecnologie spinte che coinvolgono il trattamento dei dati personali, è necessario fare un bilanciamento
- registrare il sistema di IA nel database europeo
- apporre il marchio CE e sottoscrivere la dichiarazione di conformità
- condurre una valutazione post introduzione sul mercato e cooperare con le autorità di vigilanza del mercato
Cosa devono fare le aziende che applicheranno i sistemi di intelligenza artificiale?
Le aziende che decideranno di usufruire di questi sistemi dovranno analizzare quali dati portare per popolare l'intelligenza artificiale. Perché servono dei dati sani. Dobbiamo avere una legittimità rispetto alla cessione del dato, una compatibilità con le finalità per le quali abbiamo originariamente preso l’informazione o quanto meno una coerenza rispetto alla finalità normativa, o comunque un consenso che giustifichi il trattamento.
Fino ad arrivare a tutta una serie di attività per cui in trasparenza, laddove come azienda ottimizzo dei processi, riduco i costi e quindi rendo valido lo strumento, ho provveduto a informare i vari interlocutori.
Quindi, se adottiamo una soluzione di intelligenza artificiale, quali sono le azioni che dobbiamo attivare e che devono coprirci integralmente il progetto? Prima di tutto l’ambito di data protection.
1 – Formazione
Abbiamo l’obbligo di formare il personale e non deve essere un training formale, come purtroppo spesso è passata negli ultimi anni la conformità privacy. La privacy è qualcosa di articolato e complesso e quando arriva un controllo della Guardia di Finanza, gli ispettori chiedono i piani formativi e i criteri di differenziazione tra le aree. Perché non si può formare un HR con le stesse nozioni e indicazioni con cui si forma chi si occupa di sistemi informativi, marketing, logistica, produzione...
2 – Testing
Nell'ambito della gestione dei dati nell’IA, ci deve essere anche una verifica rispetto a come vengono immessi, elaborati e restituiti i dati e se c’è una validità, una conformità e una coerenza rispetto ai dati personali.
3 – Valutazione di conformità al GDPR
Va preso il regolamento europeo e va scorso a livello di adempimenti, perché nell'IA diventa lo specchio dei contenuti e degli obblighi che dobbiamo applicare. Quindi dovremo avere i soggetti che sono autorizzati al trattamento, con istruzioni specifiche rispetto all'intelligenza artificiale.
4 – Gestione dei rapporti con la supply chain
La Guardia di Finanza, su mandato del Garante, rispetto al tema dei responsabili nominati sta insistendo molto nei controlli. Chiede la mappatura, di verificare le nomine e le integrazioni contrattuali, se sono stati fatti degli audit e in caso di difformità in seguito agli audit, come si è azionato il titolare per risolvere. È un processo che si deve applicare anche quando si usano sistemi di intelligenza artificiale.
La supply chain sarà fondamentale e particolarmente attenzionata, tanto che, nel testo del Regolamento, sono presenti diversi passaggi dedicati ai fornitori di IA, perché sono proprio loro gli attori fondamentali a cui è destinato il testo.
Infatti, è vero che è il titolare che commissiona un sistema e quindi ha delle responsabilità, ma qui il vero tenutario delle logiche applicabili al sistema di IA è chi lo crea e lo popola.
Ecco perché servirà una mappatura di quei fornitori, magari anche con una sezione dedicata, lato data protection. Perché gli audit sui fornitori che forniscono soluzioni di IA dovranno essere più sofisticati, articolati e verticalizzati, sul tema dell'intelligenza artificiale, rispetto a quelli sugli altri fornitori più ordinari.
Per quanto tempo conservare, quali procedure adottare e quali documenti prevedere?
Per quanto tempo conservare, quali procedure adottare e quali documenti prevedere?
Come gestire la sicurezza? Le risposte a queste domande sono su Raise Academy.
Articolo tratto dalla FAD “IA nella tua azienda, impatti legali e privacy” dell’Avvocato Valentina Frediani, DPO, General Manager di Colin & Partners.
Questo è solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.