L’importanza dell’autorità della gestione dell’IA
L’importanza dell’autorità della gestione dell’IA
Il ruolo dell’autorità di sorveglianza previsto dall’Artificial Intelligence Act
Nell'ottica di garantire un equilibrio tra la stabilità del quadro normativo e la flessibilità necessaria di fronte allo sviluppo tecnologico in costante evoluzione, il Regolamento Europeo sull’Intelligenza Artificiale (COM/2021/206) ha previsto l’istituzione da parte di ogni Stato membro di un’autorità nazionale che non si limiti ad un nudo ruolo di controllo ma garantisca anche un’uniformità di applicazione (si veda il considerando 153 e l’art 70 dell’Artifical Intelligence Act).
Dal lato attivo e propositivo, le autorità nazionali possono istituire le cosiddette "sandbox", ossia ambienti di sperimentazione mirati a fornire un contesto controllato per testare tecnologie innovative per un periodo limitato, sulla base di un piano di prova concordato con le autorità competenti. Creando un meccanismo di comunicazione continua a favore delle autorità competenti da parte degli innovatori, si offre un approccio proporzionato ai rischi (a cui l’intero regolamento si ispira), trasferendo la responsabilità di conformità agli operatori economici e prevedendo un sistema di monitoraggio post-market per garantire il rispetto dei requisiti nel tempo.
Dal lato invece del controllo, per far rispettare agli operatori le norme all’interno dell’Unione Europea, in caso di difformità del sistema di IA rispetto ai requisiti fissati nei regolamenti, l'autorità di sorveglianza competente può imporre al soggetto interessato l'adozione delle misure appropriate per porre fine alla violazione, ritirare il sistema di IA dal mercato o richiamarlo per un tempo adeguato in base alla natura del rischio.
Per quanto riguarda le sanzioni irrogate dall’autorità, il Regolamento europeo sull’Intelligenza artificiale prevede diverse possibilità a seconda della gravità delle violazioni. Le sanzioni possono arrivare fino a 30 milioni di euro o fino al 6% del fatturato annuo totale per le violazioni più gravi, come l'immissione sul mercato o l'uso di sistemi di IA vietati o la violazione delle disposizioni sulla data governance. Per altre violazioni dei requisiti fissati per i sistemi ad alto rischio, le sanzioni possono arrivare fino a 20 milioni di euro o al 4% del fatturato totale dell'azienda (ex art 71).
La determinazione delle sanzioni non deve essere automatica e deve considerare la natura, la gravità e la durata della violazione, nonché le sue conseguenze. Nel caso di violazioni commesse da un'autorità pubblica, lo Stato deve valutare se e in che misura applicare le stesse sanzioni (ex art 72).
Per quanto riguarda le violazioni commesse da istituzioni, agenzie o organismi amministrativi dell'Unione, per proporzionare l’entità della sanzione viene considerata anche la volontà di collaborare con l'autorità di sorveglianza per garantire la conformità alle misure adottate.
Il modello regolatorio scelto mira a ridurre i pericoli per la sfera individuale e collettiva, paralizzando i potenziali effetti negativi dell'Intelligenza Artificiale su diritti umani, democrazia e Stato di diritto. Tuttavia, nonostante l'intento di essere efficace rispetto ai diritti fondamentali ed efficiente rispetto al mercato, è difficile realizzare un equilibrio tra queste due anime così diverse.
Il ruolo delle autorità specializzate nella garanzia del principio dell'"under-user control" riflette la preminenza della visione antropocentrica sulla visione mercantilista per il legislatore europeo. Tuttavia, l'ampia discrezionalità concessa agli Stati nell'individuare il soggetto deputato a tutelare i diritti fondamentali a livello nazionale potrebbe mettere a repentaglio gli obiettivi della governance europea, generando il rischio di alimentare "sacche di impunità" e di provocare duplicazioni procedimentali e sanzionatorie in violazione del principio ne bis in idem.
La dialettica tra la diffusione pervasiva dell'Intelligenza Artificiale e i correlati limiti etici e giuridici influenza inevitabilmente la strategia normativa europea, alimentando la tensione tra tecnocentrismo e antropocentrismo che caratterizza da sempre queste tematiche.
La scelta di un’appropriata autorità nazionale
La scelta politica deve, quindi, ricadere su una (o più) autorità che abbiano il peso, l’autonomia e le risorse per garantire autorevolezza nelle scelte e nell’efficacia degli strumenti di enforcements.
Il legislatore europeo non prescrive un modello unico, né suggerisce in maniera univoca delle linee guida da seguire nella definizione. Dato però rilevante, forse da molti trascurato, è che per gli organi interni all’Unione Europea afferenti al regolamento in questione, quest’ultima affidi la competenza al Garante Europeo dei Dati Personali (GEPD).
In un contesto in cui (all’apparenza) mancano dei principi da seguire, l’Italia si è mossa con la “Strategia Italiana per l’Intelligenza Artificiale 2024-2026” e con il ddl. sull’IA per affidare l’importante ruolo suddetto ad AGID (l’Agenzia Italiana per l’Italia Digitale) e ACN (Agenzia Nazionale per la Cybersicurezza), entrambe agenzie di nomina governativa.
Prendendo atto che per il momento si esclude la possibilità di creare, come per il caso spagnolo, un’autorità autonoma e distaccata, nonché condividendo l’opportunità che la divisione dei compiti tra due agenzie possa offrire una tutela su ambo i fronti, si dubita invece sulla scelta nel merito.
Se, infatti, l’AGID potrebbe essere un ente perfettamente adatto a collaborare sul piano regolativo alla definizione dei sopracitati ambienti di prova e ad implementare le politiche già delineate negli atti regolativi nazionali ed europei, non si può certo considerare le due agenzie “indipendenti, imparziali e senza pregiudizi” (considerando 154) all’interno di un ruolo coercitivo e sanzionatorio.
La figura che maggiormente rispecchia, invece, queste caratteristiche sembrerebbe essere il Garante per la Protezione dei Dati Personali (GPDP). Ciò assicurerebbe di certo un ruolo più armonizzato anche in virtù del trattamento dati di cui intrinsecamente l’intelligenza artificiale necessita, evitando così anche nuove regolazioni di coordinamento sulle competenze derivanti dal GDPR. Il Garante per la Privacy ha già dato prova di competenza nei casi Replika e ChatGPT, oltre a confrontarsi continuamente con i sistemi di riconoscimento biometrico, con interventi molti audaci ma efficaci per un’autorità nazionale.
Dividere in questo modo le competenze tra AGID (consulenza e orientamento) e Garante Privacy (vigilanza e controllo) permetterebbe inoltre di sopperire alle verosimili carenze di organico di quest’ultimo, non caricandolo integralmente dell’intero compito.
Non si può che suggerire una riflessione su questo aspetto, l'individuazione del Garante consentirebbe un adeguamento tempestivo agli obblighi previsti, grazie all'esperienza già maturata riguardo al processo decisionale automatizzato (un aspetto cruciale dell'IA), garantendo un livello elevato di tutela dei diritti fondamentali nell'uso dell'IA, come sancito dall'art. 1, p.1, AI Act.
