AO_431

GIUGNO-LUGLIO 2021 AUTOMAZIONE OGGI 431 33 Foto di Gerd Altmann da Pixabay dibattito di grande respiro, coltivato finora in varie sedi, nazionali e sovranazionali, che riguarda esattamente il punto che è stato finora illustrato. Ciò che l’Unione Europea ha inteso proporre è la definizione di un ap- proccio comune che dovrebbe evitare che alcuni Stati membri, magari più avanzati tecnologicamente, adottino in solitaria delle strategie che possano rendere a posteriori più difficoltoso il coordinamento del quadro normativo dei vari Paesi. Non è un caso nemmeno che si sia scelto un regolamento, un tipo di atto normativo che si applica in quanto tale in ciascuno degli Stati membri dell’Unione Europea e che non lascia cioè alcun margine di discrezionalità attuativa in capo agli Stati. Può apparire un tecnicismo, ma la scelta di un regolamento consente a maggior ragione di evitare pos- sibili ‘fughe in avanti’ e mantenere gli Stati membri impegnati all’adesione a un quadro giuridico il più possibile uniforme. La proposta, nel merito, presenta delle interessanti similitudini con un altro atto normativo che ha segnato una svolta epo- cale a livello dell’Unione Europea (con riper- cussioni profonde anche al di fuori dei suoi confini): si tratta del Regolamento generale sulla protezione dei dati personali, il Gdpr, entrato in vigore nel 2016, che racchiude un quadro giuridico uniforme in materia. La somiglianza non si coglie soltanto nelle intenzioni delle istituzioni dell’Unione Euro- pea, segnatamente in quella di intestarsi le prime iniziative regolamentari inmateria, fa- cendo in qualche modo da apripista anche rispetto al contesto extraeuropeo. Semmai, a determinare una certa convergenza, è so- prattutto il contenuto dell’atto normativo, dato che la Commissione, nell’elaborare la proposta in commento, pare aver confer- mato la scelta di quello che è stato deno- minato un ‘approccio basato sul rischio’ già proprio del regolamento sulla protezione dei dati. Questo approccio tende a valo- rizzare in modo significativo la capacità di commisurare le risposte in termini di com- pliance a seconda della tipologia di tecno- logia in questione e del relativo livello di rischio per i diritti degli individui. Si tratta di un passaggio importante perché manifesta l’attitudine a una flessibilità nell’approccio dei regolatori, che non può risultare ecces- sivamente rigido ma che deve invece dimo- strare una sufficiente elasticità per adattarsi agli sviluppi tecnologici e alla capacità delle tecnologie di evolvere e garantire un livello di tutela adeguato degli individui. Non è un caso che la proposta di regolamento indi- vidui tecnologie connotate da un livello di rischio ritenuto non accettabile perché ec- cessivamente elevato, escludendone la pos- sibilità di implementazione da parte degli Stati membri e segnandone l’esclusione dal perimetro regolato. Rientrano invece nell’ambito che sarà disciplinato dal futuro regolamento le applicazioni con rischio ele- vato e limitato, che saranno assoggettate a misure proporzionate, a seconda dei casi. Verificare il livello di rischio L’ approccio del regolatore europeo è così nel senso di richiedere ai soggetti a vario titolo coinvolti nello sviluppo e nell’utilizzo dei sistemi di Intelligenza Artificiale di agire in modo da verificare costantemente il li- vello di rischio e dunque il relativo impatto sui diritti e le libertà degli individui. Si pre- vede, per esempio, che fornitori e utilizza- tori siano soggetti a obblighi di trasparenza, all’adozione di meccanismi di valutazione e mitigazione dei rischi, a misure che consen- tano di introdurre emantenere un controllo umano. Inoltre, al centro della proposta di regolamento vi è l’assunto di un costante, inesorabilemutamento delle tecnologie e la correlata necessità, dunque, di un monito- raggio su base continua dei progressi tecno- logici, onde verificare come tali fluttuazioni possano riverberarsi sulla tutela degli indi- vidui. Una sezione assai significativa della proposta di regolamento riguarda poi la go- vernance dell’Intelligenza Artificiale. Si tratta di un tema già dibattuto in passato inmerito alla possibile costituzione di autorità con una specifica competenza in questo campo. La bozza redatta dalla Commissione mira a realizzare un duplice livello, costituendo un organismo a livello centrale in cui potranno sedere i rappresentanti della Commissione e degli Stati membri ma prevedendo altresì un livello nazionale in cui gli Stati mem- bri potranno designare o eventualmente istituire appositamente un’autorità di controllo nazionale al fine di consentire il monitoraggio costante sull’attuazione del regolamento. Un altro importante tratto di somiglianza con il Gdpr si coglie guardando ai profili sanzionatori: si prevedono sanzioni particolarmente gravose, commisurate anche al fatturato globale annuo e dunque all’entità del business. L’obiettivo non è quello di creare uno ‘spauracchio’, semmai quello di rendere edotti fornitori e utilizza- tori di sistemi di Intelligenza Artificiale delle peculiari conseguenze che questi sistemi possono produrre sulle libertà e sui diritti degli individui e della conseguente neces- sità di ottemperare a un quadro di misure volte a rispettare il punto di equilibro tra innovazione e tutela individuale. La proposta potrà essere valutata soltanto nel tempo, una volta che il quadro norma- tivo sarà definito ed entrato successiva- mente a regime. Va però detto sin d’ora che l’Unione europea ha avuto il merito di inte- starsi un’iniziativa che non era agevole e che richiederà certamente l’individuazione di importanti bilanciamenti tra istanze oppo- ste sostenute verosimilmente dalle diverse categorie di soggetti interessati (stakehol- der, consumatori, attori pubblici). La strada è però tracciata, e non si tratta di un punto di partenza banale.