L’EDPB (European Data Protection Board) ha indirizzato al Commissario Europeo per la Giustizia, Didier Reynders, una lettera contenente una serie di raccomandazioni finalizzate a consentire il concreto ed efficace adeguamento della normativa vigente in materia di responsabilità alle nuove tematiche introdotte dall’era digitale e dall’avvento delle soluzioni di intelligenza artificiale.
Appare necessario, infatti, oltre che opportuno, rivedere il quadro normativo già esistente e, in particolare, la direttiva sulla responsabilità per danno derivante da prodotti difettosi, che dal 1985 prevede un sistema armonizzato per risarcire i consumatori che subiscono danni da prodotti difettosi, applicandosi a tutti i prodotti mobili, indipendentemente dalla tecnologia che utilizzano e, conseguentemente, anche ai prodotti basati sull’IA.
Nel seguito, si propone una sintetica disamina dei principali rilievi avanzati dall’EDPB, il quale richiama alcune tematiche parzialmente anticipate nel parere 5/2021, reso congiuntamente al Garante Privacy Europeo e dal Comitato Europeo per le risorse finanziarie sulla proposta di armonizzazione regolamentare delle norme in materia di intelligenza artificiale.
Explainable AI: perché pretendere spiegazioni dall’Intelligenza Artificiale è giusto ma non basta
Indice degli argomenti
Il progetto di revisione normativa
Con la diffusione, in sempre maggiori ambiti, delle soluzioni di intelligenza artificiale, si è reso necessario intraprendere un percorso di revisione e adeguamento della disciplina esistente in materia di responsabilità per danni resi da prodotti difettosi, introducendo nuove ipotesi che contemplino la risarcibilità, nei confronti degli utenti finali, dei danni arrecati da un’intelligenza artificiale i cui esiti algoritmici abbiano arrecato dei danni, anche e soprattutto mediante la generazione di pericolosi bias.
Si tratta di un’iniziativa accolta con gran favore a più livelli, sia dagli organi legislativi dell’Unione, sia dalle autorità di controllo, chiamate spesso a pronunciarsi in casi analoghi a quello descritto, nell’assenza di una disciplina aggiornata e condivisa che possa evitare il disallineamento della giurisprudenza interna nei singoli Stati Membri.
Sebbene siano molti e molto complessi i profili legati alla risarcibilità prettamente civilistica, l’EDPB, nella sua nota, tiene a fare il punto su alcuni aspetti che riguardano, più nello specifico, le gestione delle responsabilità ai sensi del GDPR e, in particolare, la riforma dei ruoli tipicamente distinti del titolare del trattamento e del responsabile.
Le tematiche sollevate dall’EDOB saranno poi oggetto di ulteriore discussione una volta conclusa la prima fase di consultazione pubblica, finalizzata espressamente a:
- confermare la pertinenza delle questioni individuate dalla valutazione del 2018 della direttiva sulla responsabilità per danno da prodotti difettosi (ad esempio, come applicare la direttiva ai prodotti dell’economia digitale e circolare);
- raccogliere informazioni e opinioni su come migliorare la direttiva;
- raccogliere informazioni sulla necessità e sui possibili modi per affrontare le sfide specifiche dell’intelligenza artificiale, avuto riguardo ad eventuali adeguamenti della direttiva e delle norme nazionali in materia di responsabilità.
In fase di apertura della consultazione pubblica, infatti, si rilevava sin da subito che risultava estremamente difficile applicare la citata direttiva sulla responsabilità per prodotti difettosi ai prodotti creati e immessi sul mercato dell’economia digitale e circolare, a causa dei suoi concetti obsoleti e inadatti alle risorse tecniche odierne, fortemente evolutesi negli ultimi anni. Si rilevava, altresì, la difficoltà per i consumatori di ottenere un risarcimento, trovandosi questi spesso nell’impossibilità di dimostrare che i prodotti più complessi erano difettosi, le ragioni di questo difetto e il nesso causale con il danno cagionato.
Lo scopo finale del progetto di revisione normativa è, quindi, quello di incoraggiare lo sviluppo e l’introduzione di sistemi di IA sicuri e creare fiducia tra gli utenti dei medesimi.
Una normativa coerente ma indipendente
Come anticipato, l’EDPB sposa con favore l’iniziativa della Commissione Europea di adeguare il quadro normativo al contesto tecnologico odierno e alle specifiche necessità introdotte dall’utilizzo di sistemi di intelligenza artificiale; ritiene, tuttavia, come affermato all’interno della nota resa pubblica, che la revisione di tale quadro giuridico dovrebbe garantire la coerenza dello stesso con le altre normative europee, tra cui, in particolare, la normativa in materia di protezione dei dati personali, in particolare sotto il profilo della sicurezza del trattamento dei dati personali stessi nel caso in cui si faccia uso di sistemi di IA nel flusso di trattamento o nella fornitura di prodotti e servizi.
Ad ogni modo, “la proposta dovrebbe essere efficace come legislazione autonoma e non basarsi sugli obblighi previsti dalla legge sull’IA. Come è stato sollevato nel parere congiunto n. 5/2021”, afferma l’autorità, “gli obblighi imposti agli utenti e ai fornitori di sistemi di IA si applicano solo a categorie ristrette di sistemi di IA ad alto rischio, mentre è prevedibile che alcuni sistemi di IA che non sono stati inclusi in tali categorie potrebbero portare a possibili reclami e quindi integrare un’ipotesi di responsabilità”.
Pertanto, “mentre il GDPR e la futura legge sull’IA dovrebbero essere coerenti tra loro”, occorre prestare molta attenzione a che non sussista un vuoto giuridico per alcune tipologie di sistemi di IA, non considerati ad alto rischio ai sensi della legge sull’IA, o non coperti dal GDPR in quanto non connessi al trattamento di dati personali.
Maggior peso ai fornitori
L’EDPB afferma, in primo luogo, che “mentre, ai sensi del GDPR, solo i titolari del trattamento e i responsabili del trattamento sarebbero ritenuti responsabili, ad esempio, in caso di violazione dei dati personali, è essenziale considerare il ruolo e la potenziale responsabilità dei fornitori di sistemi di intelligenza artificiale sviluppati e resi disponibili al fine di garantire il trattamento dei dati personali”.
In casi simili, l’EDPB ritiene opportuno rafforzare il regime di responsabilità dei fornitori di tali sistemi di IA e garantire che i responsabili del trattamento e i titolari del trattamento possano fare maggiore affidamento su detti sistemi, meglio comprenderne il funzionamento, e analizzare le migliori modalità tramite cui evitare che, nei confronti dell’utente finale, possano verificarsi degli episodi di rischio.
Riprendendo il parere congiunto n. 5/2021, precedentemente citato, l’EDPB rimarca l’importanza della chiarezza dell’attribuzione dei ruoli fra le diverse figure coinvolte nel trattamento dei dati, il cui peso è rafforzato dall’eventuale introduzione di nuovi obblighi e responsabilità, ai sensi della direttiva sulla responsabilità per danno da prodotti difettosi.
“Al fine di promuovere un quadro di responsabilità efficiente per i sistemi di IA utilizzati come misure di sicurezza per il trattamento dei dati personali”, l’EDPB sottolinea, in modo particolare, “l’importanza dell’interazione con la normativa esistente, come il GDPR, in particolare quando si tratta dell’attribuzione delle responsabilità. Al fine di garantire chiarezza su questa categoria di sistemi”, infatti, è essenziale “che il ruolo e le responsabilità del fornitore del sistema di IA debbano essere definiti con precisione per colmare il divario con il quadro esistente che vincola i titolari del trattamento e i responsabili del trattamento dei dati”.
L’onere della prova “diabolico”
In secondo luogo, all’interno della nota si rileva come, a causa della natura stessa dell’intelligenza artificiale e delle sue modalità di funzionamento, possa essere particolarmente difficile individuare e ripartire le singole responsabilità a fronte di un reclamo che coinvolge un sistema di IA, specialmente ne, caso in cui l’onere della prova grava sul singolo individuo, sul singolo consumatore, che non solo potrebbe non essere neppure a conoscenza del fatto che, per la fornitura di un determinato bene o servizio, si fa uso di sistemi di IA, ma mancherebbe, nella quasi totalità dei casi, di tutti quegli strumenti e quelle informazioni necessarie per dimostrare che il danno subito consegue ad una falla nel sistema di IA medesimo.
Ne consegue che, al fine di poter dare effettiva e concreta applicazione ai principi contenuti nella direttiva oggi oggetto di revisione, deve prevedersi espressamente l’obbligo di “spiegabilità” dell’intelligenza artificiale e delle sue logiche, già nella fase di creazione e immissione sul mercato della stessa, di modo che “i risultati di tutti gli usi previsti, dell’uso prevedibile e dell’uso improprio prevedibile che potrebbe portare a un potenziale reclamo, siano spiegabili fin dalla progettazione”.
Si tratta in poche parole, di un’estensione del principio di privacy by design e privacy by default, ai sensi del quale il titolare, sin dalla fase di progettazione di un determinato trattamento, deve mettere in atto misure adeguate ad attuare i principi di protezione dei dati contenuti nel GDPR e tutelare gli interessati da possibili eventi di rischio che possano impattare sui diritti e sulle libertà degli stessi.
A tal fine, l’EDPB sottolinea “gli effetti positivi dell’inclusione della supervisione umana sistematica e della trasparenza per l’utente finale sull’uso e il funzionamento del sistema di IA e sui metodi e gli algoritmi utilizzati”.
“Anche le limitazioni e i rischi sull’uso dei sistemi di IA dovuti a diversi tipi di attacchi, ad esempio attacchi informatici e attacchi contraddittori”, afferma l’autorità, “dovrebbero essere presi in considerazione nei regimi di responsabilità. I fornitori di sistemi di IA dovrebbero avere la responsabilità di fornire agli utenti degli strumenti di mitigazione per attacchi di tipo noto e nuovi e di integrare la sicurezza fin dalla progettazione durante l’intero ciclo di vita dell’IA, mentre gli utenti dei sistemi di IA dovrebbero avere la responsabilità di garantire il funzionamento sicuro del sistema”.
Tali misure dovrebbero essere previste come obbligatorie, “in particolare quando il sistema di IA è utilizzato come misura di sicurezza per il trattamento dei dati personali, ma non tratta i dati personali stessi”.
Inoltre, proprio allo scopo di garantire la trasparenza del sistema di IA e la comprensione delle sue decisioni, così da individuarne i difetti, ogni sistema basato sull’intelligenza artificiale dovrebbe essere accompagnato “da una documentazione completa e accessibile, in quanto tale informazione sarebbe necessaria al titolare del trattamento per comprendere la causa di un guasto del sistema, soprattutto se questo ha portato a una violazione dei dati, e per essere in grado di fermare il guasto in modo tempestivo”.
Non solo: la direttiva dovrebbe consentire ad ogni persona interessata di trovare dei rimedi giuridici efficaci nel caso in cui si verifichi un guasto del sistema o un attacco informatico, al pari di quanto avviene oggi nel GDPR nei casi in cui si verifica un data breach (con l’obbligo del titolare di informare l’interessato sulle modalità mediante cui tutelare i propri dati, se possibile, anche mediante il cambio della password sulla piattaforma violata e su quelle nelle quali si faceva uso del medesimo mezzo identificativo).
Minore attenzione, maggiori danni
Da ultimo, l’EDPB si focalizza sulla circostanza per cui specifiche ipotesi di responsabilità possano derivare anche dall’applicazione inefficace dei principi di protezione dei dati, sia da parte dei fornitori che e degli utenti dei sistemi basati sull’IA.
“La mancanza di accuratezza dei dati o la scarsa attenzione prestata all’equità delle decisioni algoritmiche” si legge nella nota, “potrebbe tradursi in lesioni dei diritti e delle libertà degli individui, nonché in danni o perdite economiche”.
Appare quindi essenziale che il nuovo regime giuridico sulla responsabilità dell’IA attribuisca un ruolo primario alla “valutazione preliminare della qualità e della rappresentatività dei dati utilizzati dagli algoritmi di apprendimento automatico per trarre le loro decisioni. La misurabilità del grado di equità e causalità delle decisioni algoritmiche in generale dovrebbe essere un pilastro delle nuove norme in materia di responsabilità al fine di creare un ambiente tecnologico affidabile e limitare gli effetti negativi derivanti dal verificarsi di decisioni errate”.
