Se questo piano dettagliato non potrà essere presentato, l’Ai non potrà essere immessa sul mercato e, se già lo fosse, andrà ritirata. Nel caso in cui si tratti di una Ai utilizzata da un’autorità pubblica, dovrà essere inserita in un registro tenuto dalla Commissione, in cui sarà inserito un riassunto della valutazione di impatto.
Una intelligenza artificiale partecipata
L’altro obbligo, con l’eccezione per le startup per cui è solo raccomandato, sarà quello di notificare l’inizio della valutazione alle autorità nazionali incaricate di supervisionare il rispetto dell’Ai Act, agli stakeholder coinvolti e, sicuramente la novità più significativa, ai rappresentanti delle parti più deboli. Questo vuol dire che, ai fini della compilazione della valutazione di impatto, l’azienda dovrà coinvolgere associazioni dei consumatori, parti sociali come i sindacati, il Garante della privacy, per tenere conto di tutte le possibili conseguenze che l’Ai potrebbe avere nei confronti delle parti più deboli. Le parti coinvolte avranno sei settimane per rispondere e portare i propri rilievi. Ciò non toglie, ovviamente, che il dialogo possa protrarsi oltre, ma tutto dipenderà dalla volontà, caso per caso, di avere un confronto costruttivo con tutte le parti coinvolte.
È d’accordo con l’impostazione del Parlamento Gianclaudio Malgieri, professore dell’università di Leiden, autore del libro Vulnerability and data protection law: “La proposta del Parlamento europeo sul Fundamental Right Impact Assessment va nella direzione giusta per molti motivi. Una nota degna di menzione è il riferimento ai soggetti vulnerabili (sia come gruppi che come individui) su cui il fundamental rights impact assessment deve concentrarsi. Il problema sarà concretizzare questi principi, ma lo sforzo dovrà essere collettivo (accademia, istituzioni e società civile) nel fornire modelli chiari e misurabili per valutare e mitigare gli effetti sui diritti fondamentali”.
Il legame con il Gdpr
Se ancora non esiste uno standard per produrre questa valutazione di impatto sui diritti, è pur vero che questo tipo di valutazioni non sono nuove per chi si occupa di dati personali. Già il Gdpr, che in questi giorni festeggia il suo quinto compleanno, prevede una valutazione di impatto sui dati personali, obbligatoria ogni qualvolta un’azienda usi una tecnologia innovativa che possa mettere a rischio i diritti dei soggetti i cui dati sono trattati. In tal caso si stila un elenco dei rischi possibili, in una griglia da basso ad alto rischio, e per ogni rischio si prevede una misura che possa moderarne l’entità. Nel caso in cui i rischi dovessero restare ad un livello ancora alto, l’azienda dovrà chiedere un consulto al Garante della privacy e, qualora neanche questi potesse fornire ulteriori indicazioni utili, il sistema non potrà essere utilizzato. La forma è libera e non c’è un obbligo di legge di sentire le possibili parti coinvolte, ma sicuramente può aiutare a dimostrare che la valutazione non si ferma alla pura teoria. La proposta del Parlamento prevede poi che questi due documenti andranno presentati insieme, confermandone lo stretto legame.
Dalla teoria alla realtà
Questa novità introduce un passaggio importante, oltre che necessario, visto che, diversamente, sarebbe difficile per un’azienda dimostrare di avere preso in considerazione l’impatto sulle persone vulnerabili, in assenza di un reale loro coinvolgimento. Resterà da capire come decidere quali associazioni dovranno essere coinvolte, da caso a caso, e se di fatto esisteranno associazioni in grado di rappresentare le categorie che devono essere tutelate. Potrebbe dunque essere necessario che gli stati e l’Unione europea si prendano in carico di sostenere, con fondi dedicati, le associazioni della società civile per favorirne il potere di rappresentanza a livello nazionale ed europeo. Si potrebbe pensare a un elenco pubblico delle associazioni più rappresentative che le aziende potranno contattare per la valutazione d’impatto.
L’adozione di standard condivisi sarà poi necessaria per aiutare startup e pmi che vogliano usare sistemi di Ai ad alto rischio e che, pur potendo chiedere informazioni e documentazione alle aziende fornitrici, dovranno essere in grado di comprenderle per fare la valutazione. Si è pensato che le eccezioni per le statup dovessero essere totali ma ciò favorirebbe una deresponsabilizzazione delle stesse. Se è vero che potrebbe essere molto difficile per una startup fare questa valutazione, dovendo magari reperire risorse specializzate per farlo, con il conseguente onere economico, è altrettanto vero che una esenzione totale faciliterebbe la diffusione di Ai ad alto rischio senza prendersi in carico i possibili effetti discriminatori sulle persone.
Il bilanciamento dei diversi interessi in gioco non sarà facile, ma il testo che passerà a giugno dal Parlamento offrirà sicuramente un primo importante punto di partenza per il confronto successivo tra le diverse istituzioni che dovranno trovare quel bilanciamento.
Leggi tutto su www.wired.it
di Vincenzo Tiani www.wired.it 2023-06-01 05:00:00 ,