Il 23 ottobre 2023 il Garante europeo della protezione dei dati (European Data Protection Supervisor) ha pubblicato una opinione (n. 44/2023) in merito alle proposte di emendamento alla Legge sull’Intelligenza Artificiale (cd. AI Act). Il testo contiene alcune ultime raccomandazioni alle istituzioni europee in vista della fase finali di negoziazione del testo normativo, valorizzando il proprio ruolo all’interno del Regolamento.
Garante europeo per la protezione dei dati - Opinion 44/2023 on the Proposal for Artificial Intelligence Act in the light of legislative developments: Raccomandazioni per le fasi conclusive delle negoziazioni per l’AI Act
Anno 2023
Il Garante si era già espresso il 18 giugno 2021 in merito al testo inizialmente proposto dalla Commissione Europea, tramite un’opinione (n. 5/2021) redatta congiuntamente con il Comitato europeo per la protezione dei dati (European Data Protection Body). Tale documento viene richiamato ribadendo la raccomandazione di proibire talune pratiche ritenute intrusive e lesive della dignità umana. Non sarebbe quindi sufficiente, a parere del Garante (paragrafo 2, punto 8), l’inclusione delle stesse nella categoria dei sistemi ad alto rischio. Le pratiche indicate sono:
- l'utilizzo di sistemi di riconoscimento delle emozioni (con eccezioni);
- ogni utilizzo di sistemi di categorizzazione biometrica che raggruppino gli individui in base a caratteristiche protette dall’art. 21 della Carta di Nizza, come etnia, genere o orientamento politico o sessuale;
- qualsiasi uso di sistemi di AI per il riconoscimento automatico di caratteristiche umane (come tratti somatici, DNA o impronte digitali) in spazi accessibili al pubblico;
- ogni forma di social scoring (non solo quando effettuato “per un certo periodo di tempo” o “dalle autorità pubbliche o per loro conto”, come stabilito dall’art. 5 dell’AIAct);
- l’utilizzo per attività di contrasto di sistemi di AI come poligrafi (o simili strumenti dalla dubbia validità scientifica e contrari ai valori europei); e
- l’utilizzo per attività di contrasto di sistemi per effettuare valutazioni individuali del rischio di reato o recidiva o per prevedere il verificarsi di un reato effettivo o potenziale sulla base della profilazione di persone fisiche.
Riguardo l’ambito di applicazione dell’AI Act, il Garante suggerisce di chiarire il significato del termine ‘modifica sostanziale’ e il ruolo degli operatori che riaddestrino i sistemi di AI. Inoltre, si raccomanda di prevedere l’applicazione dell’AIActa tutti i sistemi ad alto rischio in uso al momento dell’entrata in vigore del Regolamento, rimuovendo anche le esenzioni relative ai sistemi di AI utilizzati nel quadro di accordi internazionali per la cooperazione delle autorità di contrasto e giudiziarie e ai sistemi IT su larga scala istituiti nei settori dell’immigrazione e delle attività di contrasto.
Inoltre, il Garante suggerisce di non adottare alcuno degli emendamenti proposti da Consiglio e Parlamento per limitare l’ambito di identificazione dei sistemi ad alto rischio, in base, rispettivamente, alla accessorietà del sistema di AI rispetto alla azione o decisione da assumere o alla significatività del rischio paventato alla salute, sicurezza o ai diritti fondamentali. Tali proposte infatti, comprometterebbero in modo significativo le salvaguardie previste per i sistemi ad alto rischio e diminuirebbero la certezza del diritto, in quanto la valutazione del rischio prospettato sarebbe rimessa al fornitore del sistema.
Buona parte del documento riguarda il ruolo del Garante nel sistema di governance dell’AIAct. Infatti, il Garante nell’impianto normativo dell’AI Act diverrebbe organismo notificato e autorità di vigilanza del mercato per istituzioni, organi, uffici e agenzie dell'UE (oltre che autorità autorizzata ad istituire sandbox normative). Il testo quindi suggerisce una serie di misure al fine di meglio specificare i propri compiti, doveri e poteri, per quanto riguarda anche l’allocazione di risorse umane e finanziarie adeguate.
Inoltre, il Garante europeo accoglie con particolare favore (paragrafo 5.4.1) l'inclusione nell'AIActdel diritto delle persone interessate dall'uso dei sistemi di AI di presentare un reclamo. Tale reclamo, a parere del Garante, dovrebbe essere presentato davanti all'autorità nazionale di controllo (come proposto dal Parlamento Europeo) e non all’autorità di vigilanza del mercato (come proposto dal Consiglio). Si suggerisce inoltre di includere la possibilità di presentare un reclamo al Garante stesso e l’obbligo di informare circa l’utilizzo di un sistema di AI le persone che siano soggette a decisioni o a raccomandazioni di tale sistema che possono avere un impatto sulla loro vita, sulla loro situazione economica o legale, o sul loro status sociale.
Viene analizzata in modo favorevole anche l’istituzione del cd. AI Office, all’interno del cui management board il documento incoraggia l’attribuzione di diritto di voto anche al Garante, oltre a suggerire l’utilizzo delle strutture amministrative del Garante come segretariato per la nuova autorità. L’AI Office e il Garante potrebbero lavorare assieme nella redazione di opinioni, raccomandazioni o linee guida in considerazione della circostanza che molti sistemi disciplinati dall’AIActtrattano dati personali.
Il testo del documento è disponibile al seguente link e nel box download
Giulia Olivato
Pubblicato il: Lunedì, 23 Ottobre 2023 - Ultima modifica: Lunedì, 30 Ottobre 2023
