Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter
Registrati
Back

AI & Unione Europea: il Garante europeo pubblica un’opinione sul White Paper “Artificial Intelligence: A European approach to excellence and trust”

03/08/2020
Silvia Stefanelli

Come già approfondito nel nostro precedente articolo  il 19 febbraio 2020 la Commissione Europea ha pubblicato il Libro Bianco sull’Intelligenza Artificiale, nel quale ha delineato alcuni approcci regolatori per promuovere il settore dell’Intelligenza Artificiale, nonché per disciplinare i rischi ad essa associata.
A seguito il Garante Europeo (European Data Protection Supervisor – EDPS) è intervenuto pubblicando l’Opinion n. 4/2020 nel quale approfondisce le indicazioni date dalla Commissione Europea in relazione al tema della protezione dei dati.

Riassumiamo per punti i passaggi più rilevanti di tale documento.

1. Mancanza di adozione di una definizione univoca di Intelligenza Artificiale

L’EDPS sottolinea come nel Whitepaper la Commissione, sebbene dichiari l’importanza di definire chiaramente cosa sia l’Intelligenza Artificiale e ne presenti una serie di definizioni, non adotti univocamente una di queste.  L’EDPS ritiene che così facendo la Commissione abbia perso un’occasione per delineare quello che sarà il campo applicativo della legislazione futura in materia. Secondo l’EDPS, qualsivoglia definizione di IA in campo giuridico dovrà includere i seguenti elementi: un modello decisionale, un algoritmo che traduca il modello in un codice computabile, i dati utilizzati dal codice come input e l’ambiente nel quale il codice viene utilizzato.


2. L’IA non è la “pallottola d’argento” della tecnologia

Secondo l’EDPS, nel Libro Bianco non viene evidenziato a sufficienza come l’IA sia un mero strumento a servizio dell’umanità e pertanto presenti sia vantaggi che svantaggi, da considerare caso per caso.
Non sempre l’IA è la migliore opzione per soddisfare un interesse pubblico. Allo stesso modo, nel Libro Bianco viene affermato come l’IA sia pronta per essere utilizzata su larga scala nei settori dei trasporti e della sanità: secondo l’EDPS tale affermazione non è supportata da evidenze scientifiche e rischia pertanto di promuovere un’adozione alla cieca di tali tecnologie.


3. I cambiamenti di funzionalità nel corso del ciclo vitale di un prodotto non sono una novità

L’EDPS evidenzia che nel Libro Bianco viene dichiarato che l’integrazione in un prodotto di un software di IA, nonché l’aggiornamento dello stesso, può modificare le funzionalità dello stesso e che ciò rappresenta un rischio per la compliance con il diritto dell’UE. Secondo l’EDPS, tuttavia, il cambiamento di funzionalità di un prodotto non è né un fenomeno nuovo né è esclusivamente collegato alle applicazioni di IA e pertanto non rileva come vi siano problemi di compliance diversi da quelli posti da sistemi non basati su IA.

4. Le norme in ambito di data protection sono finalizzate alla protezione dei diritti del singolo e potrebbero essere inadeguate per tutelare i gruppi

Alcune applicazioni di IA (come ad esempio il predictive policing) possono avere  effetti negativi per gruppi di individui, che pertanto potrebbero non essere protetti dalle norme volte a tutelare la riservatezza dell’individuo e non del gruppo. L’EPDS pertanto indica l’importanza di sviluppare un approccio regolatorio all’IA che protegga da qualsivoglia impatto negativo, non soltanto sugli individui ma anche su collettività e sulla società intera. Secondo l’EPDS per ottenere ciò è necessario che la Commissione si avvalga del supporto di ONGs ed altre associazioni che la possano supportare nel valutare l’impatto dell’IA su specifici gruppi e sulla società stessa.

5. I rischi collegati all’IA non riguardano solo la privacy e la protezione dei dati personali ma anche altri diritti fondamentali

Secondo l’EDPS, il Libro Bianco menziona solo alcuni dei rischi collegati all’utilizzo di sistemi di IA (in particolare parla dell’impatto negativo su privacy e data protection). Devono essere considerati anche i temi dell’aumento della sorveglianza di massa e delle forme improprie di governance (ad es. algoritmi predittivi basati su sistemi di riconoscimento facciale).

Inoltre, la fonte di questi rischi non è soltanto nel bias dei dati ma può essere individuata anche nella mancanza di dati qualitativi o nei rischi collegati all’utilizzo dell’IA (l’EDPS menziona la tendenza umana a fidarsi ciecamente delle decisioni automatizzate).

Infine, secondo l’EDPS è essenziale che il design di un applicativo di IA tenga in considerazione possibili bias dei dati sia nei dati di addestramento che nei dati di funzionamento, in modo che l’algoritmo possa essere misurato e corretto durante il proprio sviluppo.


6. Valutazione relativa al quadro regolatorio proposto

Innanzitutto, secondo l’EDPS e in relazione al campo applicativo del GDPR, non è necessario aggiungere dei requisiti legali complementari relativi ad applicazioni di IA ad alto rischio. Infatti, sia l’articolo 32 che l’articolo 35 del GDPR seguono un approccio basato sul rischio valutato caso per caso.

In generale, l’EDPS ritiene che la definizione di cosa si intende con alto rischio debba essere più robusta e più articolata. In particolare, l’EDPS suggerisce un approccio “a strati”, come quello seguito dal GDPR: quest’ultimo infatti si basa sull’assunto che non esista alcun trattamento di dati personali che sia a rischio zero ed articola una serie di obblighi base, applicabili a tutti i trattamenti, e una serie di obblighi aggiuntivi che sorgono quando aumenta il rischio.

A riguardo, l’EDPS fa notare come nel Libro Bianco non venga fatta alcuna menzione dello strumento del Data Protection Impact Assessment (ex art. 35 GDPR). Secondo l’EDPS la disciplina futura relativa all’IA dovrà contenere l’obbligo di condurre una valutazione d’impatto (denominata AI Impact Assessment) per qualsiasi utilizzo di sistemi di IA che venga poi resa nota al pubblico. 


7. Remote biometric identification (RBI)

Secondo l’EDPS, il riconoscimento biometrico a distanza è una pratica che pone serie minacce per i diritti fondamentali e pertanto esprime il suo supporto ad una moratoria sull’utilizzo di strumenti di riconoscimento automatico di caratteristiche umane in spazi pubblici (non solo perciò del riconoscimento dei visi ma anche  delle voci, del DNA, delle impronte) nel territorio dell’UE.

Tale divieto deve durare finché non vengono sviluppate tutele sufficienti, anche tramite norme ad hoc.
 

Conclusioni

In conclusione, quanto emerge dall’Opinion 4/2020 è che il Garante Europeo (EDPS)  sia un po’ critico nei confronti dell’orientamento espresso dalla Commissione con il Libro Bianco.

In particolare, l’EDPS ha concluso la sua opinione formulando le seguenti raccomandazioni relative al futuro quadro normativo per l’IA:

  • dovrà essere applicabile sia agli Stati membri dell'UE che alle istituzioni, agli uffici, agli organi e alle agenzie dell'UE;
  • dovrà essere progettato per proteggere da qualsiasi impatto negativo, non solo sui singoli individui, ma anche sulle comunità e sulla società nel suo complesso;
  • dovrà essere sviluppato uno schema di classificazione del rischio più robusto e articolato, che garantisca che a qualsiasi danno potenziale significativo causato dalle applicazioni di IA corrispondano adeguate misure di mitigazione;
  • dovrà includere una valutazione d'impatto che definisce chiaramente le lacune normative che intende colmare;
  • dovrà essere evitata la sovrapposizione di diverse autorità di vigilanza e dovrà prevedere un meccanismo di cooperazione tra le stesse.

Rubrica "Sanità Digitale e Intelligenza Artificiale"

Leggi gli altri articoli presenti nella nostra rubrica dedicata.

VAI ALLA RUBRICA
Privacy Nuove Tecnologie
Share