Intelligenza artificiale, si inizia a delineare un quadro di maggiore chiarezza per continuare a investire nello sviluppo tecnologico
L’intelligenza artificiale dallo scorso anno è entrata a pieno titolo tra i temi di discussione più caldi e controversi. Questo scorcio di fine anno ci sta riservando molti elementi di studio e approfondimento. Lo scorso 18 dicembre il Comitato europeo dei Garanti dei dati (Edpb) ha pubblicato un provvedimento atteso da molto tempo, almeno da quando l’Unione europea ha approvato la prima legge al mondo sull’intelligenza artificiale (AI Act), i cui primi obblighi saranno applicabili da febbraio 2025.
Con il parere 28/2024 l’Edpb ha preso posizione su una serie di importanti aspetti di applicazione della normativa privacy (rectius: sui dati) ai modelli di Ia. Si tratta di una prima importante bussola che potrà aiutare le aziende che sviluppano e adottano soluzioni di intelligenza artificiale a orientarsi tra le esigenze di rispetto delle regole e di sviluppo responsabile e sostenibile del business. Questo provvedimento dell’Edpb nasce da una richiesta dell’autorità privacy irlandese e cerca di dare risposta ad alcuni quesiti di applicazione generale delle regole data protection.
Innanzitutto, è stato chiarito se e in quali circostanze un modello di intelligenza artificiale può essere considerato anonimo. Si tratta di una questione di non poco conto, considerato che ciò che è anonimo sfugge dal campo di applicazione delle norme in materia di protezione dei dati personali. La risposta dell’Edpb è una valutazione da svolgere caso per caso, valutando la probabilità di estrarre dal modello di Ia dati personali sulle persone le cui informazioni sono state impiegate per sviluppare il modello e quella di ricavare tali dati tramite interrogazioni, potendosi seguire una serie di metodi elencati nel parere per dimostrare il carattere anonimo del modello.
Il Comitato si è poi pronunciato su un punto di estremo interesse per moltissime aziende, vale a dire la possibilità di fondare i trattamenti di dati personali relativi allo sviluppo e all’impiego di modelli di Ia sul proprio legittimo interesse. I Garanti europei hanno chiarito quali valutazioni effettuare e secondo quali parametri. L’Edpb si è infine espresso anche sui potenziali impatti di un trattamento illecito nello sviluppo di un modello di Ia sulla liceità del successivo trattamento o funzionamento del modello, valutando una serie di scenari specifici.
Il Comitato ha annunciato di essere già a lavoro su ulteriori linee guida che affronteranno questioni più specifiche, tra cui anche il web scraping. Tuttavia, già questo intervento permette di trarre importanti considerazioni. Difatti, per le imprese si inizia a delineare un quadro di maggiore chiarezza per continuare a investire nello sviluppo tecnologico con un approccio etico e rispettoso della cornice normativa. Quest’ultima, e in particolare il Regolamento europeo sulla protezione dei dati (Gdpr), al momento si trova indubbiamente sottoposta a un vero e proprio stress test per mano della diffusione su scala globale dei sistemi di intelligenza artificiale. Si tratta, a dirla tutta, del primo vero momento di valutazione della tenuta delle regole europee sulla circolazione e protezione dei dati personali di fronte all’incessante avanzamento tecnologico degli ultimi anni.
Siamo lontani dalla necessità di mettere in dubbio questo innovativo e resiliente quadro normativo. Al contrario, il Gdpr integrato con l’AI Act costituiscono un quadro giuridico che incoraggiano l’innovazione, se responsabile.
La prova della responsabilità e sostenibilità è nell’autonomia delle imprese, che tuttavia devono farsi trovare pronte e tenere alti livelli di compliance, per evitare il rischio di sanzioni pesanti (fino al 6% del fatturato per violazione dell’AI Act e fino al 4% per violazione del Gdpr). In questo senso, le autorità privacy nazionali, assieme alle agenzie nazionali Acn e Agid hanno ed avranno sempre più un ruolo fondamentale. Lo abbiamo visto con gli interventi del Garante privacy italiano, apripista a livello internazionale in questa materia con i casi OpenAI e Replika.
Sarà al contempo fondamentale rafforzare quanto più possibile gli strumenti di coordinamento e armonizzazione tra le Autorità garanti, inclusa Antitrust e Agcom.
di Rocco Panetta (Il Sole 24 Ore)