Il 13 marzo 2024 il Parlamento europeo ha approvato l’AI Act, il regolamento europeo sull’intelligenza artificiale. Si tratta di un passo storico che rappresenta il primo quadro normativo completo a livello mondiale per l’IA. Eppure, analizzandolo nella sua forma attuale, ci sono luci ed ombre sugli aspetti di protezione dei dati personali. Ne parliamo in questo nuovo articolo.
Obiettivi e punti salienti dell’AI Act
L’obiettivo principale dell’AI Act è di garantire che i sistemi di IA sviluppati, immessi sul mercato o utilizzati nell’UE siano sicuri, rispettosi dei diritti fondamentali e dei valori dell’Unione, e in linea con i principi di eticità e trasparenza.
Il regolamento introduce una classificazione a quattro livelli di rischio per i sistemi di IA, che va da “inaccettabile” a “basso”. I sistemi ad alto rischio, come quelli utilizzati per la sorveglianza biometrica di massa o per la valutazione del credito, saranno soggetti a requisiti più rigorosi.
L’AI Act vieta lo sviluppo, l’immissione sul mercato e l’utilizzo di sistemi di IA considerati “inaccettabili”, come quelli che utilizzano la manipolazione subliminale o la categorizzazione biometrica a distanza di persone in base a dati sensibili (etnia, religione, orientamento sessuale, ecc.).
I sistemi di IA ad alto rischio, per fare luce tra le ombre, dovranno soddisfare una serie di requisiti rigorosi, tra cui:
- Valutazione e gestione dei rischi
- Requisiti di qualità dei dati
- Documentazione e trasparenza
- Supervisione umana
- Conformità ai principi etici
L’AI Act e la privacy
L’AI Act, coerente integrazione al già esistente GDPR, contiene diverse disposizioni volte a tutelare la privacy degli individui. Ad esempio, il regolamento vieta l’utilizzo di sistemi di IA per la sorveglianza biometrica di massa in tempo reale, ad eccezione di alcune circostanze specifiche e ben definite.
Inoltre, l’AI Act richiede che i sistemi di IA siano progettati in modo da minimizzare la raccolta e l’utilizzo di dati personali. I dati personali possono essere utilizzati solo per le finalità per le quali sono stati raccolti e gli individui devono avere il controllo dei propri dati.
Critiche all’AI Act
Nonostante i suoi aspetti positivi, l’AI Act ha ricevuto diverse critiche dagli addetti ai lavori, in particolare per:
- La sua complessità: Il regolamento è molto articolato e complesso, il che potrebbe ostacolare la sua implementazione e la sua comprensione da parte delle aziende.
- Il via libera alla sorveglianza biometrica di massa: L’AI Act permette alle forze dell’ordine di utilizzare la sorveglianza biometrica di massa in determinati contesti, come la ricerca di persone scomparse o la prevenzione di reati. Questo ha sollevato preoccupazioni per la privacy e la libertà individuali, soprattutto in contesti illiberali.
- Mancanza di chiarezza su alcuni aspetti: Alcune definizioni e disposizioni del regolamento sono considerate ancora troppo vaghe e potrebbero creare incertezza per le aziende.
L’AI Act rappresenta un passo avanti significativo nella regolamentazione dell’IA a livello globale. Tuttavia, il suo impatto concreto dipenderà da come sarà implementato e applicato negli Stati membri. La complessità del regolamento, le critiche ricevute e la necessità di una maggiore chiarezza su alcuni aspetti lasciano aperte diverse questioni.
Ma cerchiamo di fare un esempio concreto dell’applicazione dell’AI Act a un trattamento delicato quale può essere il riconoscimento facciale in tempo reale per la sicurezza pubblica.
Contesto: Immagina una città che utilizza un sistema di riconoscimento facciale in tempo reale per monitorare la sicurezza pubblica in aree affollate, come stazioni ferroviarie o centri commerciali. Il sistema è basato su telecamere di sorveglianza che catturano le immagini dei volti delle persone e le confrontano con un database di persone ricercate o sospettate di attività criminali.
Applicazione dell’AI Act: In questo caso, l’AI Act si applicherebbe in quanto il sistema di riconoscimento facciale è considerato un sistema di IA ad alto rischio. L’azienda che gestisce il sistema dovrebbe quindi:
- Effettuare una valutazione del rischio: L’azienda dovrebbe identificare e valutare i potenziali rischi per la privacy e la sicurezza associati all’utilizzo del sistema.
- Adottare misure di sicurezza: L’azienda dovrebbe implementare misure tecniche e organizzative adeguate per mitigare i rischi identificati.
- Garantire la trasparenza: L’azienda dovrebbe fornire informazioni chiare e accessibili al pubblico su come funziona il sistema, quali dati sono raccolti e come sono utilizzati.
- Ottenere il consenso: L’azienda dovrebbe ottenere il consenso degli individui prima di raccogliere e utilizzare i loro dati biometrici.
L’utilizzo del riconoscimento facciale in tempo reale così come rappresentato nello scenario di contesto presenta inoltre diversi rischi per la protezione dei dati personali, tra cui:
- Raccolta di dati biometrici senza consenso: Il sistema potrebbe raccogliere dati biometrici degli individui senza il loro consenso o senza che ne siano consapevoli.
- Profilazione e discriminazione: Il sistema potrebbe essere utilizzato per creare profili individuali e per discriminare determinate persone o gruppi di persone.
- Sorveglianza di massa: Il sistema potrebbe essere utilizzato per monitorare la popolazione in modo invasivo e per limitare la libertà di movimento e di associazione.
L’AI Act offre un quadro normativo per permettere l’utilizzo di sistemi di IA ad alto rischio, proprio come può essere il riconoscimento facciale in tempo reale. E’ fondamentale pertanto che le autorità competenti e le aziende che sviluppano e utilizzano tali sistemi adottino misure adeguate per tutelare la privacy e i diritti fondamentali degli individui.
Gli ambiti in cui l’AI ACT verrà di certo “tirato in ballo” riguardano contesti in evoluzione come, ad esempio:
- Assunzioni di personale: L’AI Act potrebbe essere applicato ai sistemi di IA utilizzati per la selezione dei candidati per un lavoro, al fine di evitare discriminazioni.
- Valutazione del credito: L’AI Act potrebbe essere applicato ai sistemi di IA utilizzati per valutare la solvibilità dei clienti, al fine di garantire la correttezza e la trasparenza dei processi decisionali.
- Sistemi di raccomandazione: L’AI Act potrebbe essere applicato ai sistemi di IA utilizzati per consigliare prodotti o servizi agli utenti, al fine di evitare la profilazione e la manipolazione.
Indubbiamente ci aspetto un futuro fitto di sfide oltre che di opportunità. Le autorità saranno in grado di governare la quarta rivoluzione industriale?
Maggiori informazioni su come valutare l’impatto dell’AI ACT sulla tua organizzazione? Contattaci oggi stesso!