L’AI Act (“legge sull’intelligenza artificiale”) è parte integrante della Strategia Digitale dell’Unione Europea, un piano di riforme proposto dalla Commissione con l’obiettivo di potenziare la digitalizzazione dell’UE e stabilire nuovi standard. Questi standard riguardano principalmente le competenze digitali di base e specifiche degli operatori delle Tecnologie dell’Informazione e della Comunicazione (TIC), le infrastrutture digitali sicure e sostenibili, la trasformazione digitale delle imprese e la digitalizzazione dei servizi pubblici.

In data 02.02.2024 gli Stati UE hanno approvato all’unanimità le nuove regole sull’Intelligenza Artificiale. Il regolamento andrà alla plenaria in aprile e prevede la tutela del diritto d’autore e vincoli e garanzie contro disinformazione e deepfake.

La legge assicura che i diritti e le libertà siano al centro dello sviluppo della tecnologia dell’Intelligenza Artificiale, cercando un equilibrio tra innovazione e protezione. Il principio fondamentale è quello della responsabilità e dell’autovalutazione, simile al concetto sotteso alla General Data Protection Regulation (Gdpr). In pratica, ciò implica che, salvo eccezioni, le aziende che sviluppano intelligenza artificiale devono essere in grado di dimostrare che il processo di sviluppo della tecnologia rispetti i diritti fondamentali e non costituisca un rischio per le persone.

Le novità del testo approvato: 

La proposta di legge risale ad aprile 2021. Il testo è stato consolidato dopo una fase di consultazione pubblica durata quasi sei mesi (da febbraio a giugno 2020).

Durante questo processo, è emerso nuovamente l’approccio basato sul rischio (risk-based approach), che mira a garantire una diffusa applicazione di obblighi specifici adattati a ciascun settore e caso specifico. I sistemi di Intelligenza Artificiale (IA) utilizzabili in diverse applicazioni vengono attentamente esaminati e classificati in base al livello di rischio che possono comportare per gli utenti. A seconda dei diversi livelli di rischio identificati, si applica una regolamentazione più o meno stringente.

Obblighi di trasparenza e peculiarità applicabili alla “Generative AI”

L’articolo 4bis, intitolato “Principi Generali Applicabili a Tutti i Sistemi di Intelligenza Artificiale (IA)”, stabilisce che i sistemi di IA devono essere sviluppati e utilizzati in modo tale da garantire una tracciabilità e spiegabilità adeguate. Questo implica che i soggetti devono essere consapevoli del fatto di comunicare o interagire con un sistema di IA, e gli utenti devono essere informati in modo completo sulle capacità e limiti del sistema di IA.

Le informazioni pertinenti devono essere fornite alle persone fisiche “al più tardi al momento della prima interazione o esposizione” con il sistema di IA. 

In particolare, i sistemi di IA generativa, come ad esempio ChatGPT, sono tenuti a rispettare requisiti specifici di trasparenza:

– rivelare che il contenuto è stato generato dall’IA;

– facilitare la distinzione fra deep-fake e contenuti reali (“rendere noto in modo adeguato, tempestivo, chiaro e visibile che il contenuto è stato generato o manipolato artificialmente”);

– progettare i modelli per evitare la generazione di contenuti illegali;

Nuove forme di tutela 

Oltre alle misure di tutela per le persone fisiche che sono state precedentemente menzionate e che si concentrano sulla trasparenza, si introducono ulteriori disposizioni:

– il diritto dei cittadini di avanzare reclami in relazione ai sistemi di Intelligenza Artificiale (IA) e di ottenere spiegazioni riguardo alle decisioni basate su sistemi di IA ad alto rischio, le quali possano avere un impatto significativo sui loro diritti fondamentali. Essi dovrebbero poter segnalare le violazioni del presente regolamento alla propria autorità nazionale di controllo e avere il diritto di presentare un reclamo contro i fornitori o gli operatori di sistemi di IA;

– è stato riformato il ruolo dell’Ufficio dell’UE per l’IA, assegnandogli la responsabilità di monitorare l’implementazione del regolamento sull’IA mentre a livello nazionale, gli emendamenti ora prescrivono agli Stati membri di designare un’autorità nazionale di controllo entro tre mesi dall’entrata in vigore del regolamento e di pubblicare i relativi dati di contatto.

Il ruolo del DPO nella compliance

Dal momento dell’entrata in vigore, si avranno due anni di periodo di grazia, ma tutte le imprese utilizzeranno questo periodo per sviluppare procedure di conformità al regolamento. Va sottolineato che la portata di applicazione della normativa non riguarda solo le imprese che sviluppano sistemi di Intelligenza Artificiale (IA), ma si estende anche a quelle che ne fanno uso. Di conseguenza, tutti i Responsabili della Protezione dei Dati (DPO) sono chiamati a verificare molteplici situazioni, tra cui:

– Se il titolare del trattamento dei dati produce o utilizza un sistema di IA; 

– Se il titolare ha classificato i sistemi utilizzati in base al rischio generato; 

– Se il titolare ha effettuato una valutazione di conformità;

– Se il titolare è in grado di dimostrare la presenza di una valutazione di conformità e di rendere accessibile tutta la documentazione utile in caso di controlli da parte delle Autorità competenti;

– Se il titolare ha pianificato le azioni concrete da intraprendere per l’adeguamento, con particolare attenzione rispetto agli obblighi di trasparenza algoritmica, di cybersecurity e di non discriminazione; 

– Se le informative utilizzate sono trasparenti e chiare e se includono meccanismi per consentire agli interessati di esercitare i propri diritti.