Numero 10: il Parlamento UE ha dato il primo via libera alla sua versione dell'AI Act

Il prossimo voto sarà a metà giugno in plenaria a Strasburgo

mag 16, 2023

Continua il nostro viaggio nella regolamentazione dell’AI Act, la proposta di regolamento europeo pubblicato il 21 aprile 2021 e ancora in fase di discussione e lavori in corso a Bruxelles (recuperate le puntate precedenti qui e qui).

🇪🇺 Le novità introdotte dal Parlamento europeo

L’11 maggio, le due commissioni IMCO-LIBE che guidano i lavori del parlamento, nelle persone di Brando Benifei (S&D) e Dragos Tudorache (Renew Europe), hanno votato a larga maggioranza il testo di compromesso (84 voti a favore, 7 contrari e 12 astenuti), costituendo la premessa necessaria, ma mai scontata, per l’approvazione in sede plenaria a Strasburgo il prossimo 14 giugno. Una volta approvato

Sono tante le novità introdotte dal Parlamento rispetto alla versione originale della Commissione, anche frutto della recente accelerazione nell’adozione dei tanti software di intelligenza artificiale arrivati sul mercato gratuitamente negli ultimi mesi. D’altro avviso sembra essere Google che, alla sua presentazione all’evento I/O delle novità introdotte nel settore dell’intelligenza artificiale, ha deciso di escludere per il momento l’Unione europea dal lancio dei nuovi servizi.

La definizione di AI

Si tratta di uno dei temi a lungo rimandati in agenda, stante la obiettiva difficoltà di trovare una definizione che, da un lato, non fosse troppo generica da includere ogni forma di software e, dall’altro, troppo restrittiva da applicarsi a casi troppo specifici. Negli ultimi mesi però il Parlamento ha scelto di seguire la via intrapresa dall’OECD (OCSE in italiano), appropriandosi della sua definizione:

Per "sistema di intelligenza artificiale" (AI) si intende un sistema basato su una macchina, progettato per operare con vari livelli di autonomia e in grado di generare, per obiettivi espliciti o impliciti, risultati quali previsioni, raccomandazioni o decisioni, che influenzano ambienti fisici o virtuali".

Al di là della definizione per sè, la scelta politica di aderire ad una definzione condivisa da un consesso internazionale come l’OECD, contribuisce al disegno dell’AI Act come prossimo standard globale, così come è stato per il GDPR.

🤖 AI di carattere generale

Le general purpose AI (GPAI) sono state un’altra spina nel fianco del legislatore visto che non erano previste nella bozza della Commissione e sono state oggetto di visioni differenti e contrastanti.

Il punto cruciale resta quello della responsabilità. Chi fornisce AI in grado di risolvere in astratto più compiti (le GPAI appunto), non sapendo come sarà utilizzata in concreto, vorrebbe non essere toccato dagli obblighi previsti dall’AI Act. Altri, invece, temono che in questo modo tutta la responsabilità cadrebbe di fatto sulle PMI che hanno comprato dalle grandi aziende l’AI, ma di cui conoscono meno la genesi e i possibili effetti.

Il testo ora approvato prevede che i fornitori di GPAI debbano fornire una serie di informazioni e documenti agli utenti finali (le imprese) che li immetteranno poi nel mercato. Il Parlamento ha poi incluso l’obbligo per i fornitori dei foundation models (quei modelli allenati con grandi quantità di dati) di garantire una solida protezione dei diritti fondamentali, della salute e della sicurezza e dell'ambiente, della democrazia e dello Stato di diritto. Dovranno valutare e ridurre i rischi, rispettare i requisiti di progettazione, informazione e ambientali e registrarsi nella banca dati dell'UE.

Sistemi come chatGPT e altri, dovranno poi rendere noto quando i dati che hanno usato per il training dei propri sistemi erano coperti da copyright o meno.

✊ Più diritti e tutele per tutti

Rispetto alla versione originale del testo, sono state aggiunte e aumentate le tutele rispetto ad alcuni usi considerati proibiti, limitandone le eccezioni prima previste.

Come riportato anche da EDRi, l’associazione ombrello che raccoglie le ong che tutelano i diritti fondamentali online, “il divieto riguarda tutte le identificazioni biometriche in tempo reale e la maggior parte di quelle a distanza (RBI) negli spazi pubblici, la categorizzazione biometrica discriminatoria e il riconoscimento delle emozioni in settori inaccettabilmente rischiosi”.

This is a historic step to protect people in the EU from many BMS practices by both state and by private actors.

EDRi

Nello specifico, come riferito dalla nota del Parlamento europeo, i deputati hanno modificato in modo sostanziale l'elenco per includere divieti sugli usi intrusivi e discriminatori dei sistemi di intelligenza artificiale, come:

🛂 Sistemi di identificazione biometrica remota "in tempo reale" in spazi accessibili al pubblico;
📷 Sistemi di identificazione biometrica a distanza "a posteriori", con l'unica eccezione delle forze dell'ordine per il perseguimento di reati gravi e solo previa autorizzazione giudiziaria;
🙏 Sistemi di categorizzazione biometrica che utilizzano caratteristiche sensibili (ad esempio, sesso, razza, etnia, cittadinanza, religione, orientamento politico);
👮‍♀️ Sistemi di polizia predittivi (basati su profili, ubicazione o comportamenti criminali passati);
😰 Sistemi di riconoscimento delle emozioni da parte delle forze dell'ordine, nella gestione delle frontiere, nei luoghi di lavoro e nelle istituzioni educative.
📷 Scraping indiscriminato di dati biometrici dai social media o dalle telecamere a circuito chiuso per creare database di riconoscimento facciale (in violazione dei diritti umani e del diritto alla privacy).

⚖️ La valutazione d’impatto sui diritti fondamentali

Per vostra comodità, riportiamo, da ultimo, la traduzione del testo dell’aggiunto Art. 29 bis sulla valutazione di impatto sui diritti fondamentali (in gergo FRIA, fundamental rights impact assessment), che sicuramente sarà oggetto di scontro nella fase dei triloghi con Commissione e Consiglio, dopo la pausa estiva.

🚨Di particolare interesse per i DPO e chi si occupa di privacy è l’ultimo paragrafo che prevede che le aziende che già debbano fare una DPIA (la valutazione d’impatto privacy prevista dal GDPR) dovranno allegarla come addendum alla FRIA. È dunque probabile che, in concreto, potrebbero essere i DPO ad occuparsene in futuro, assistiti dalle altre figure chiave aziendali.

https://twitter.com/mantelero/status/1658077386926161924

🇪🇺 Articolo 29 bis

Valutazione d'impatto sui diritti fondamentali per i sistemi di intelligenza artificiale ad alto rischio

1. Prima di mettere in uso un sistema di IA ad alto rischio come definito all'articolo 6, paragrafo 2, ad eccezione dei sistemi di IA destinati a essere utilizzati nell'area 2 dell'allegato III, i responsabili della distribuzione effettuano una valutazione dell'impatto del sistema nel contesto specifico di utilizzo. Tale valutazione deve comprendere, come minimo, i seguenti elementi:

(a) una chiara descrizione dello scopo per il quale il sistema sarà utilizzato;

(b) una chiara descrizione dell'ambito geografico e temporale previsto per l'uso del sistema;

(d) la verifica che l'uso del sistema sia conforme al diritto dell'Unione e nazionale in materia di diritti fondamentali;

(e) l'impatto ragionevolmente prevedibile sui diritti fondamentali della messa in uso del sistema di IA ad alto rischio;

(f) i rischi specifici di danno che potrebbero avere un impatto sulle persone emarginate o sui gruppi vulnerabili;

(g) l'impatto negativo ragionevolmente prevedibile dell'uso del sistema sull'ambiente;

(h) un piano dettagliato su come verranno mitigati i danni e l'impatto negativo sui diritti fondamentali individuati.

(j) il sistema di governance che l'implementatore metterà in atto, compresa la supervisione umana, la gestione dei reclami e i ricorsi.

2. Se non è possibile individuare un piano dettagliato per mitigare i rischi evidenziati nel corso della valutazione di cui al paragrafo 1, l'incaricato si astiene dal mettere in uso il sistema di IA ad alto rischio e informa il fornitore e l'autorità nazionale di vigilanza senza indebito ritardo. Le autorità nazionali di vigilanza, ai sensi degli articoli 65 e 67, tengono conto di queste informazioni quando indagano sui sistemi che presentano un rischio a livello nazionale.

3. L'obbligo di cui al paragrafo 1 si applica al primo utilizzo del sistema di IA ad alto rischio. L'implementatore può, in casi simili, basarsi sulla valutazione d'impatto sui diritti fondamentali precedentemente condotta o sulla valutazione esistente effettuata dai fornitori. Se, durante l'utilizzo del sistema di IA ad alto rischio, l'implementatore ritiene che i criteri elencati al paragrafo 1 non siano più soddisfatti, deve condurre una nuova valutazione d'impatto sui diritti fondamentali.

4. Nel corso della valutazione d'impatto, l'incaricato, ad eccezione delle PMI, informa l'autorità nazionale di vigilanza e le parti interessate e coinvolge, per quanto possibile, i rappresentanti delle persone o dei gruppi di persone che potrebbero essere interessati dal sistema di IA ad alto rischio, come individuato al paragrafo 1, tra cui, a titolo esemplificativo ma non esaustivo, gli organismi per la parità, le agenzie per la tutela dei consumatori, le parti sociali e le agenzie per la protezione dei dati, al fine di ricevere contributi alla valutazione d'impatto. L'implementatore deve concedere un periodo di sei settimane agli organismi per rispondere. Le PMI possono applicare volontariamente le disposizioni di cui al presente paragrafo.

Nel caso di cui all'articolo 47, paragrafo 1, le autorità pubbliche possono essere esentate da questi obblighi.

5. L'implementatore che è un'autorità pubblica o un'impresa di cui all'articolo 51, paragrafo 1 bis, lettera b), pubblica una sintesi dei risultati della valutazione d'impatto nell'ambito della registrazione dell'uso in conformità all'obbligo di cui all'articolo 51, paragrafo 2.

6. Qualora l'incaricato della distribuzione sia già tenuto a effettuare una valutazione d'impatto sulla protezione dei dati ai sensi dell'articolo 35 del regolamento (UE) 2016/679 o dell'articolo 27 della direttiva (UE) 2016/680, la valutazione d'impatto sui diritti fondamentali di cui al paragrafo 1 è condotta congiuntamente alla valutazione d'impatto sulla protezione dei dati. La valutazione d'impatto sulla protezione dei dati è pubblicata come addendum.

🚨 DA SEGNALARE

🔊 insAIde Podcast!

Abbiamo pubblicato, proprio questa mattina, il primo episodio targato #InsAIde, disponibile (per ora solamente) nel feed del nostro Podcast di studio Panetta Tech News, che potete ascoltare su tutte le piattaforme di podcast. Ospiti di questa prima puntata sono la stilista Rachele Didero e la business developer Federica Busani, co-founder di Capable Design, marchio con cui progettano e producono abiti in grado di impedire il riconoscimento facciale, funzione utilissima in particolar modo nei luoghi pubblici dove non è chiaro se queste tecnologie siano attive. Capable, pur essendo solo una startup, è già attiva nelle vendite in diversi Paesi, inclusi gli Stati Uniti.

🦾 I nostri amici di DEXAI sono su Wired

Su Wired Italia si parla dei nostri amici di DEXAI, che, tra le tante cose che fanno, sono tra gli autori di questa newsletter!

⏰ Da parte nostra è tutto, ci vediamo insAIde, martedì prossimo, alle 08:00.

Rocco Panetta, Federico Sartore, Vincenzo Tiani, Davide Montanaro

Un post ospite di

Vincenzo Tiani

ITA - Mi occupo di privacy e digitale a Bruxelles. Sono dottorando a VUB (BE), professore a contratto in IULM (IT) & EDHEC Business School (FR) e scrivo di politiche digitali per WIRED, Sole24ore, La Repubblica.