Ecco il Regolamento UE sull'intelligenza artificiale, sul percorso del GDPR - Cyber Security 360

AI

Ecco il Regolamento UE sull’intelligenza artificiale, sul percorso del GDPR

Appena uscita la bozza ufficiale del “Regolamento sull’approccio europeo per l’intelligenza artificiale”, della Commissione europea. Il nuovo regolamento, per i temi dell’AI, sembra porsi come evoluzione del GDPR, prendendo atto della grande accelerazione che questa tecnologia ha avuto nel frattempo e sta avendo con la pandemia. Sanzioni più alte di quelle GDPR: fino a 6% del fatturato globale

21 Apr 2021
C
Marina Rita Carbone

Consulente privacy

La bozza del “Regolamento sull’approccio europeo per l’intelligenza artificiale” (“Regulation on a european approach for artificial intelligence”), presentata pochi minuti fa dalla Commissione Ue, inserita all’interno della più generale strategia digitale europea, rappresenta un importante passo avanti nella gestione dei sistemi di intelligenza artificiale e riconoscimento facciale.

Tale normativa istituisce numerose novità nella gestione e nella verifica dei sistemi di IA utilizzati, in particolar modo, nel settore della videosorveglianza e del riconoscimento facciale, con punti di contatto con i principi fondamentali che sono alla base del ben noto GDPR, regolamento cardine dell’intera strategia europea. 

Nel seguito, una breve disamina di quelle che sono le principali novità e i punti di contatto dei due Regolamenti, che sembrano più volte dialogare tra loro. Il nuovo regolamento, per i temi dell’AI, sembra porsi come evoluzione del GDPR, prendendo atto della grande accelerazione che questa tecnologia ha avuto nel frattempo e sta avendo con la pandemia. 

Persino le sanzioni sono più alte di quelle Gdpr, per chi viola il regolamento su AI: fino al 6 per cento del fatturato globale (contro il 4% del Gdpr e che c’era nell’ultima bozza del regolamento AI).

Teniamo sempre contatto che è una proposta che passerà il vaglio di Parlamento e Consiglio e ci vorranno anni prima di vederla attuata.

Lo scopo perseguito dal Regolamento sull’IA

Nei primi considerando del Regolamento, la Commissione Europea svolge un importante excursus sugli elementi storico-fattuali che hanno reso necessario adottare un testo che potesse dettare degli standard nel processo di elaborazione dei dati da parte dei sistemi di intelligenza artificiale.

Digital event, 24 giugno
Forum PA > La sicurezza informatica delle istituzioni pubbliche per la resilienza del sistema paese
Sicurezza
Disaster recovery

L’avanzamento tecnologico, infatti, ha portato tali sistemi ad evolversi molto rapidamente, apportando numerosi benefici sia economici che sociali sia nel panorama industriale che nelle attività sociali. “Migliorando la previsione, ottimizzando le operazioni e l’allocazione delle risorse e personalizzando la fornitura di servizi”, si afferma nel Considerando 1, “l’uso dell’intelligenza artificiale può fornire vantaggi competitivi chiave alle aziende e supportare il raggiungimento di risultati socialmente e ambientalmente vantaggiosi, ad esempio nel settore sanitario, agricolo, educativo, della gestione delle infrastrutture, dell’energia, dei trasporti e della logistica, dei servizi pubblici, della sicurezza e della mitigazione e adattamento ai cambiamenti climatici”.

Tuttavia, i sistemi di intelligenza artificiale possono portare con sé anche numerosi svantaggi, ove non correttamente impostati o nel caso in cui se ne faccia un uso abusivo: alcuni degli usi e delle applicazioni dell’intelligenza artificiale, infatti, possono addirittura causare dei danni sia materiali che immateriali ai singoli individui, sia nei confronti della loro sicurezza e salute, che nei confronti dei loro beni o di altri diritti e interessi fondamentali individuali tutelati dal diritto dell’UE. 

Per tale ragione, si rende alquanto necessario, in questo preciso momento storico, sviluppare “un quadro giuridico che istituisce un approccio europeo in materia di intelligenza artificiale per promuovere lo sviluppo e l’adozione di sistemi di intelligenza artificiale che soddisfino un elevato livello di protezione degli interessi pubblici”.

Allo stesso tempo, la definizione di standard minimi di qualità e sicurezza dei sistemi, potranno migliorare il funzionamento del mercato interno, creando le condizioni per lo sviluppo di un vero e proprio “ecosistema” di fiducia che copra l’intero processo di produzione, commercializzazione, vendita e utilizzo dell’intelligenza artificiale all’interno dell’Unione.

 

Le pratiche vietate

Ai sensi dell’art. 5 del Regolamento, sono vietate le seguenti pratiche di intelligenza artificiale (si noti che non è più vietata di per sé la “sorveglianza di massa” a differenza di quanto indicato nella precedente bozza).

(a) l’immissione sul mercato, la messa in servizio o l’uso di un sistema di intelligenza artificiale che utilizza tecniche subliminali che vanno oltre la coscienza di una persona, al fine di distorcerne materialmente il comportamento in un modo tale da causare o da rendere probabile causare a tale persona o ad un’altra persona un danno fisico o psicologico;

b) l’immissione sul mercato, la messa in servizio o l’uso di un sistema di intelligenza artificiale che sfrutta una qualsiasi delle vulnerabilità di un gruppo specifico di persone a causa della loro età, disabilità fisica o mentale, al fine di falsare materialmente il comportamento di una persona appartenente a tale gruppo in un modo che causi o possa causare tale persona o un’altra persona un danno fisico o psicologico;

c) l’immissione sul mercato, la messa in servizio o l’utilizzo di sistemi di IA da parte o per conto di autorità pubbliche per la valutazione o la classificazione dell’affidabilità delle persone fisiche per un certo periodo di tempo, sulla base del loro comportamento sociale o di caratteristiche personali note o previste, con assegnazione di un “punteggio sociale” (social scoring”) che porta a uno o entrambi i seguenti risultati:

  1. trattamento pregiudizievole o sfavorevole di talune persone fisiche o di interi gruppi in contesti sociali estranei ai contesti in cui i dati sono stati originariamente generati o raccolti;
  2. trattamento pregiudizievole o sfavorevole di talune persone fisiche o di interi gruppi che sia ingiustificato o sproporzionato rispetto al loro comportamento sociale o alla sua gravità;

Riconoscimento facciale in tempo reale vietato con eccezioni

d) l’uso di sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico ai fini dell’applicazione della legge, a meno che e nella misura in cui tale uso sia strettamente necessario per la persecuzione di una serie di obiettivi di sicurezza pubblica e prevenzione della criminalità:

  • la ricerca mirata di specifiche potenziali vittime di azioni criminose, compresi bambini scomparsi;
  • la prevenzione di una minaccia specifica, sostanziale e imminente minaccia alla vita o alla all’incolumità fisica delle persone fisiche ovvero di un attentato terroristico;
  • l’individuazione, la localizzazione, l’identificazione o il perseguimento di un autore o sospettato di un reato di cui all’articolo 2, paragrafo 2, della decisione quadro 2002/584/GAI del Consiglio e punibile nello Stato membro interessato da una pena detentiva o da una misura di sicurezza per un periodo massimo di almeno tre anni, come stabilito dal diritto di tale Stato membro.

In relazione a quest’ultimo punto, si rileva come debba esserci un’autorizzazione all’utilizzo di tali sistemi di identificazione biometrica da remoto “in tempo reale” concessa da un’autorità giudiziaria o da un’autorità amministrativa indipendente dello Stato membro in cui deve avvenire l’uso, rilasciata su richiesta motivata e conformemente alle norme dettagliate dal diritto nazionale dello Stato Membro interessato. Tuttavia, in una situazione di urgenza debitamente giustificata, l’uso del sistema può avvenire anche senza autorizzazione, richiedendo quest’ultima solo durante o dopo l’uso.

L’autorità giudiziaria o amministrativa competente, al fine di rilasciare l’autorizzazione, valuterà, sulla base di elementi oggettivi o di indicazioni chiare che le sono state presentate, che l’uso del sistema di identificazione biometrica remota “in tempo reale” in questione è necessario e proporzionato al conseguimento di uno degli obiettivi indicati alla lettera d) dell’art. 5.

I principali punti di contatto col GDPR

Svolte le dovute premesse, andiamo ad analizzare quali sono le similitudini e i punti di contatto che il Regolamento sull’IA mostra con il GDPR:

Una prima assonanza può riscontrarsi già nelle definizioni: sulla scorta di quanto definito dall’art. 4 del GDPR in merito alla definizione di cosa possa ritenersi un “dato biometrico”, il nuovo Regolamento provvede, infatti, a definire cosa possa, a sua volta, essere qualificato come un “sistema di identificazione biometrica da remoto”, specificando che trattasi di un sistema automatizzato il cui scopo è quello di identificare le persone a distanza sulla base dei loro dati biometrici, ossia di tutti i dati “relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

Il conformity assessment e la valutazione del rischio

Parimenti a quanto previsto dal GDPR, in capo al produttore si pone anche un obbligo di svolgere un c.d. conformity assessment, ovvero di mettere in atto un processo, prima che il prodotto sia commercializzato, che possa dimostrare se i requisiti del Regolamento siano stati rispettati, al pari di quanto avviene nel GDPR, all’interno del quale il principale strumento di assessment è rappresentato dal Registro delle attività di trattamento e dallo svolgimento di idonee valutazioni del rischio che il trattamento stesso può comportare nei confronti dell’interessato.

Proprio in merito alla valutazione del rischio, il nuovo Regolamento sull’IA mostra i principali punti di contatto con la disciplina sulla tutela dei dati personali: è espressamente richiesto, infatti, alla luce del rilevante impatto che di base ogni sistema di intelligenza artificiale ha nei confronti dell’individuo, che dovrà essere determinato, contrariamente a quanto avviene nel GDPR, sulla base di una serie di criteri ben precisi, definiti negli artt. 6 e seguenti del testo normativo.

Dovrà essere anche implementato un sistema di gestione del rischio, ai sensi dell’art. 9 del nuovo Regolamento sull’IA, anch’esso documentale e periodicamente monitorato e implementato, in relazione al mutamento del rischio connesso all’utilizzo dei sistemi di intelligenza artificiale. Il sistema di gestione del rischio prevede una serie di step successivi da porre in atto:

  1. identificazione e analisi dei rischi noti e prevedibili associati a ciascun sistema di IA ad alto rischio;
  2. stima e valutazione dei rischi che possono emergere quando il sistema di IA ad alto rischio viene utilizzato conformemente allo scopo previsto e in condizioni di uso improprio ragionevolmente prevedibile;
  3. valutazione di altri rischi eventualmente derivanti dall’analisi dei dati raccolti dal sistema di monitoraggio post-mercato di cui all’articolo 61;
  4. adozione di adeguate misure di gestione dei rischi conformemente alle disposizioni dei paragrafi seguenti.

I set di dati utilizzati nella fase di sviluppo e di testing del sistema, pertinenti, rappresentativi, liberi da errori e completi, oltre che dotati delle proprietà statistiche appropriate, anche per quanto riguarda le persone o i gruppi di persone sulle quali è destinato ad essere utilizzato il sistema di IA ad alto rischio.

In un’ottica di pura “accountability”, i risultati elaborati dai sistemi ad alto rischio dovranno essere poi verificati e tracciati lungo l’intero arco di vita del sistema.

Gli obblighi di trasparenza

La previsione di precisi obblighi di trasparenza sul funzionamento del sistema non solo nei confronti dell’interessato, ma anche nei confronti di chi acquista e utilizza tali sistemi all’interno dei propri servizi: dovrà, infatti, essere fornita tutta la documentazione tecnica che possa non solo dimostrare la compliance ai requisiti del regolamento, ma farne comprendere il funzionamento. Si legge, infatti, all’art. 13, che I sistemi di IA ad alto rischio “devono essere progettati e sviluppati in modo da garantire che il loro funzionamento sia sufficientemente trasparente da consentire agli utenti di interpretare l’output del sistema e utilizzarlo in modo appropriato”. Ne deriva l’obbligo di accompagnare ai sistemi commercializzati delle istruzioni per l’uso in un formato digitale appropriato o in altro modo che includano informazioni concise, complete, corrette e chiare pertinenti, accessibili e comprensibili per gli utenti”:

  1. l’identità e i recapiti del fornitore e, se del caso, del suo rappresentante autorizzato;
  2. le caratteristiche, le capacità e i limiti delle prestazioni del sistema di IA ad alto rischio, tra cui:
    • lo scopo;
  • il livello di accuratezza, robustezza e cibersicurezza rispetto al quale il sistema di IA ad alto rischio è stato testato e convalidato e che ci si può aspettare, e ogni circostanza nota e prevedibile che possa avere un impatto su tale livello previsto di accuratezza, robustezza e cibersicurezza;
  • qualsiasi circostanza nota o prevedibile, connessa all’uso del sistema di IA ad alto rischio conformemente allo scopo previsto o in condizioni di uso improprio ragionevolmente prevedibile, che possa comportare rischi per la salute e la sicurezza o i diritti fondamentali;
    • le sue prestazioni per quanto riguarda le persone o i gruppi di persone sui quali il sistema è destinato ad essere utilizzato;
  • se del caso, specifiche per i dati di input o qualsiasi altra informazione pertinente in termini di serie di dati di formazione, convalida e prova utilizzati, tenendo conto dello scopo previsto del sistema di IA;
  1. le modifiche al sistema di IA ad alto rischio e le sue prestazioni che sono state predeterminata dal fornitore al momento della valutazione iniziale della conformità, se del caso;
  2. le misure di vigilanza umana di cui all’articolo 14, comprese le misure tecniche messe in atto per facilitare l’interpretazione dei risultati dei sistemi di IA da parte degli utilizzatori;
  3. la durata prevista del sistema di IA ad alto rischio e tutte le misure di manutenzione e assistenza necessarie per garantire il corretto funzionamento di tale sistema di IA, anche per quanto riguarda gli aggiornamenti software.

Un obbligo, questo, che ricorda l’obbligo del titolare del trattamento di fornire agli interessati un’informativa, chiara, concisa e intelligibile che contenga gli elementi essenziali del trattamento.

Sicurezza e affidabilità dei sistemi

Deve poi essere sempre preservata l’accuratezza, la robustezza, la resilienza e la sicurezza dei sistemi di IA (allo stesso modo in cui deve essere garantita la riservatezza, l’esattezza e la sicurezza dei dati personali nel GDPR). In tal senso, può vedersi un parallelismo tra il Regolamento sull’IA e quanto previsto dall’art. 32 GDPR, che richiede al titolare e al responsabile del trattamento di mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Anche l’adeguatezza delle misure di sicurezza dovrà essere regolarmente monitorata, anche al fine di verificare se vi siano anomalie o irregolarità nel funzionamento dei sistemi.

Per tutti i sistemi di intelligenza artificiale ritenuti “ad alto rischio” si richiede espressamente di svolgere di una Valutazione d’Impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR.

In ultimo, si prevede l’obbligo, all’art. 62, per i fornitori dei sistemi di IA ad alto rischio di notificare alle Autorità competenti nazionali ogni serio incidente o malfunzionamento del sistema di IA che possa costituire una “violazione” ai sensi della legge dell’UE e degli stati membri, similarmente a quanto previsto nel GDPR per l’obbligo di notifica dei data breach. Tale notifica deve essere effettuata immediatamente dopo che il fornitore ha stabilito un nesso causale tra il sistema di IA e l’incidente o il malfunzionamento o la ragionevole probabilità di tale collegamento e, in ogni caso, non oltre 15 giorni dopo che i fornitori sono a conoscenza del grave incidente o del malfunzionamento.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5