L’AI Act (Reg. UE 1689/2024), entrato in vigore il 1° agosto 2024, segna una svolta nella regolamentazione dell’intelligenza artificiale in Europa.
I principi che guidano questo regolamento derivano da una visione ambiziosa: garantire un uso sicuro e rispettoso dei diritti fondamentali delle tecnologie IA, senza rallentare l’innovazione.
Data la sua intersezione con il Regolamento Generale per la Protezione dei Dati Personali (Reg. UE 679/2016, GDPR) è essenziale esaminare le norme del nuovo regolamento in combinato disposto con il suo regolamento “padre”, il GDPR, poiché entrambi richiedono misure di conformità approfondite per ridurre i rischi legati ai dati personali e ai diritti degli interessati.
In questo articolo esamineremo nel dettaglio la struttura del regolamento, le sue interazioni con il GDPR e le pratiche essenziali per garantire la compliance. Il volume “Ai Act – Principi, regole ed applicazioni pratiche del Reg. UE 1689/2024” si propone di rispondere proprio a queste sfide, offrendo ai professionisti del diritto un quadro completo e aggiornato delle nuove responsabilità giuridiche legate all’uso dell’Intelligenza Artificiale.
Indice
1. Struttura e classificazione dei sistemi di IA nell’AI Act
L’AI Act suddivide i sistemi di IA in quattro categorie di rischio, ciascuna con requisiti specifici. Qui ne esploriamo la portata, con esempi di applicazione pratica.
- Rischio inaccettabile: si tratta di sistemi di IA basati su tecnologie considerate contrarie ai diritti fondamentali europei e pertanto del tutto vietati. Un esempio tipico di sistemi a rischio inaccettabile è quello del cosiddetto social scoring (che invece va per la maggiore in Paesi in cui le preoccupazioni sui diritti fondamentali sono meno urgenti), in base al quale cittadini vengono classificati in base ai loro comportamenti online e offline.
- Rischio alto: sono i sistemi di IA che operano in contesti sensibili e con un impatto significativo sui diritti e sulle libertà degli individui. Sono richieste misure di conformità molto stringenti, tra cui test approfonditi, valutazioni di rischio e una supervisione umana costante. Esempi di tali applicazioni includono software per l’assunzione del personale e strumenti di valutazione scolastica.
- Rischio limitato: i sistemi di IA che presentano un rischio moderato devono rispettare principalmente obblighi di trasparenza. Ad esempio, chatbot e assistenti virtuali che informano l’utente di essere una macchina ricadono in questa categoria. Questa classificazione richiede poche misure di compliance, ma garantisce comunque che gli utenti siano consapevoli di interagire con un sistema non umano.
- Rischio minimo: sistemi considerati sicuri e con impatti minimi, come i filtri antispam, sono esenti da obblighi specifici.
Il volume “Ai Act – Principi, regole ed applicazioni pratiche del Reg. UE 1689/2024” offre ai professionisti del diritto un quadro completo e aggiornato delle nuove responsabilità giuridiche legate all’uso dell’Intelligenza Artificiale.
Ai Act
Quale impatto avrà l’intelligenza artificiale sulla nostra società e soprattutto sul diritto? Il testo esplora questa complessa intersezione, offrendo una guida dettagliata e completa.L’opera approfondisce l’evoluzione dell’AI, dalle sue umili origini nei primi sistemi esperti alle avanzate reti neurali e all’AI generativa di oggi.Analizza in modo critico il panorama normativo europeo, come il recente Regolamento n. 1689/2024, delineando il percorso legislativo e le regolamentazioni che cercano di gestire e governare questa tecnologia in rapida evoluzione.Gli autori affrontano temi fondamentali come l’etica dell’AI, la responsabilità legale, la sicurezza dei dati e la protezione della privacy.Il libro non si limita alla teoria: esplora anche le applicazioni pratiche dell’AI in vari settori, tra cui la giustizia, il settore finanziario, la pubblica amministrazione e la medicina.Attraverso casi di studio e analisi dettagliate, il libro mostra come l’AI stia trasformando questi ambiti e quali questioni giuridiche stiano emergendo.Inoltre, viene esaminato l’impatto dell’AI sul mondo del lavoro, evidenziando come l’automazione e le nuove tecnologie stiano cambiando le dinamiche lavorative e quali siano le implicazioni legali di queste trasformazioni.L’opera vuole essere una lettura essenziale per avvocati, giuristi, professionisti IT e tutti coloro che desiderano comprendere le complesse relazioni tra tecnologia e diritto, offrendo una visione completa e aggiornata, ricca di analisi critiche e riflessioni pratiche, per navigare nel futuro della tecnologia e del diritto con consapevolezza e competenza.Michele IaselliAvvocato, docente di Diritto digitale e tutela dei dati alla LUISS e di informatica giuridica all’Università di Cassino. Direttore del comitato scientifico di ANDIP e coordinatore del comitato scientifico di Feder-privacy. Funzionario del Ministero della Difesa ed esperto dell’Ufficio Generale Innovazione Difesa, è membro del Comitato di presidenza dell’ENIA (Ente Nazionale Intelligenza Artificiale).
Michele Iaselli | Maggioli Editore 2024
43.70 €
2. Interazioni tra AI Act e GDPR
La sinergia tra l’AI Act e il GDPR è evidente soprattutto nel trattamento dei dati personali, nelle valutazioni d’impatto e nei diritti degli interessati. Analizziamo nel dettaglio queste sovrapposizioni.
- Trattamento dei dati personali: molti sistemi di IA, soprattutto quelli classificati come “ad alto rischio”, si basano sull’elaborazione di dati personali per prendere decisioni automatizzate. Il GDPR richiede che ogni trattamento avvenga in modo lecito, trasparente e limitato alle finalità specifiche. Le organizzazioni devono documentare le loro operazioni di trattamento per dimostrare la conformità a questi principi.
- Valutazione d’impatto sulla protezione dei dati (DPIA): per ogni sistema IA che possa influire significativamente sui diritti e le libertà degli interessati, è necessaria una DPIA come da Articolo 35 del GDPR. La DPIA è particolarmente rilevante per i sistemi di IA ad alto rischio, poiché valuta l’impatto delle operazioni di trattamento sui diritti degli interessati e suggerisce misure preventive.
- Diritti degli interessati e trasparenza: l’AI Act rafforza il diritto degli utenti di conoscere il trattamento dei loro dati. Pertanto, le aziende devono essere pronte a rispondere alle richieste di accesso, rettifica o cancellazione da parte degli utenti e devono fornire spiegazioni chiare riguardo l’uso dell’IA, allineandosi ai requisiti di trasparenza del GDPR.
Potrebbero interessarti anche:
3. Adempimenti per la conformità: linee guida pratiche
Aziende e pubbliche amministrazioni devono attuare una serie di misure per assicurare la compliance. Di seguito, i passaggi chiave per la conformità.
- Mappatura e classificazione dei sistemi di IA: ogni organizzazione deve identificare e classificare i sistemi di IA che utilizza, valutando il rischio associato a ciascuno. Ciò è fondamentale per determinare il livello di adempimenti necessari.
- Esecuzione delle DPIA: per i sistemi ad alto rischio, le aziende devono eseguire una DPIA e predisporre misure tecniche e organizzative per mitigare i rischi identificati. La DPIA dovrebbe includere:
- Analisi dei rischi specifici legati al trattamento dei dati personali.
- Mitigazione del rischio attraverso misure di sicurezza come la crittografia e l’anonimizzazione.
- Documentazione delle azioni correttive intraprese.
- Supervisione umana e trasparenza: per i sistemi di IA ad alto rischio, il Regolamento richiede che il controllo umano possa intervenire in caso di errori o decisioni critiche. Le organizzazioni dovrebbero sviluppare flussi di lavoro per consentire la revisione umana delle decisioni automatizzate, soprattutto nei settori critici come la sanità o l’impiego.
- Formazione del personale: la formazione del personale sulle regole dell’AI Act e del GDPR è essenziale per garantire che ogni membro dell’organizzazione sappia gestire in modo etico e sicuro i sistemi di IA. Le sessioni di training dovrebbero includere:
- Concetti chiave di IA e gestione dei dati personali.
- Procedure di gestione e revisione dei sistemi di IA.
- Casi studio per mettere in pratica le linee guida del GDPR e dell’AI Act
4. Sanzioni e conseguenze della non conformità
Il mancato rispetto dell’AI Act può comportare sanzioni considerevoli, che variano a seconda della gravità dell’infrazione.
Le sanzioni possono arrivare fino a 35 milioni di euro o al 7% del fatturato globale annuo per violazioni gravi (come il mancato rispetto dei divieti per i sistemi a rischio inaccettabile). Anche il GDPR prevede sanzioni significative per la non conformità, con multe fino a 20 milioni di euro o al 4% del fatturato globale, il che rende indispensabile adottare misure preventive.
5. Conclusione
Il nuovo quadro normativo dell’AI Act, in sinergia con il GDPR, offre un modello complesso e rigoroso per la gestione e l’utilizzo dell’intelligenza artificiale in Europa. Per aziende e pubbliche amministrazioni, la sfida principale è riuscire a mantenere un equilibrio tra innovazione tecnologica e rispetto dei diritti fondamentali, attraverso misure di compliance che vanno oltre una semplice adesione formale alla normativa. Questo richiede non solo investimenti nelle tecnologie di IA, ma anche un cambiamento culturale che valorizzi la trasparenza, la responsabilità e la centralità dell’utente finale.
Essere conformi significa adottare una strategia integrata che combini formazione del personale, aggiornamenti tecnici e audit costanti dei sistemi di IA. Le organizzazioni che investono in queste aree non solo riducono i rischi di sanzioni, ma ottengono anche un vantaggio competitivo, dimostrando il proprio impegno verso un uso etico e sicuro delle tecnologie emergenti. La conformità all’AI Act e al GDPR non deve essere vista solo come un obbligo, ma come un’opportunità per costruire un futuro in cui l’IA possa contribuire al bene sociale, economico e individuale, mantenendo sempre al centro i diritti delle persone e la fiducia del pubblico.
In conclusione, l’approccio alla compliance non dovrebbe essere statico, ma adattarsi ai progressi tecnologici e alle nuove normative che potrebbero emergere in risposta all’evoluzione dell’intelligenza artificiale. Le aziende e le PA, seguendo un modello proattivo e flessibile, saranno meglio attrezzate per fronteggiare le sfide future, consolidando un modello di sviluppo sostenibile e responsabile nel lungo termine.
Scrivi un commento
Accedi per poter inserire un commento