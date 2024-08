La valutazione d’impatto delle AI ad alto rischio sui diritti fondamentali



Una delle novità più significative e fortemente valuta dal Parlamento europeo è rappresentata dall’obbligo posto in capo agli sviluppatori di sistemi di AI ad alto rischio di eseguire, prima di immettere sul mercato tali sistemi, una valutazione d’impatto sul rispetto dei diritti fondamentali. La proposta del Parlamento è stata subito accolta con favore soprattutto in ambito accademico e dagli studiosi più attenti all’impatto etico dell’intelligenza artificiale, tanto che, nel corso dei triloghi, più di 150 docenti universitari hanno sottoscritto una lettera indirizzata alle istituzioni, chiedendo di mantenere la modifica proposta dal Parlamento nel testo definitivo e di estenderne l’obbligo sia ai soggetti pubblici che privati. Non è mancato, tuttavia, chi ha assunto posizioni critiche rispetto all’introduzione di questo nuovo obbligo, evidenziando il fatto che determinare se e in che modo le società possano direttamente cagionare un danno ai diritti fondamentali può risultare, in concreto, molto complesso.

La disposizione contenuta nel testo definitivo è frutto del compromesso fra queste due correnti, e la portata dell’obbligo è molto più circoscritta rispetto a quanto proposto dal Parlamento.

L’obbligo, infatti, trova applicazione soltanto nei confronti di soggetti di diritto pubblico, di privati che erogano pubblici servizi o che forniscano sistemi destinati ad essere utilizzati da autorità pubbliche (o per conto di queste ultime) per finalità di valutazione dei rischi (quali, ad esempio, rischi per la sicurezza o per la salute pubblica) o delle richieste di asilo e per il visto.

La valutazione dovrà contenere una serie di elementi minimi, quali:

una chiara descrizione dei processi in cui il sistema sarà utilizzato, in linea con le finalità previste;

una descrizione del periodo di tempo e della frequenza di utilizzo del sistema;

le categorie di persone o gruppi di persone fisiche che possono essere danneggiati dal sistema;

i rischi specifici che potrebbero cagionare un danno a tali persone o gruppi di persone, tenendo conto delle informazioni fornite loro dal fornitore;

una descrizione delle misure di supervisione umana implementate, in relazione alle istruzioni per l’utilizzo;

le misure da adottare nel caso di realizzazione dei rischi, inclusi il sistema di governance e i meccanismi di reclamo.

Di regola, la valutazione impatto dovrà essere eseguita una sola volta, prima dell’utilizzo del sistema. Laddove il fornitore abbia eseguito la valutazione, lo sviluppatore potrà quindi fare affidamento sui risultati di quest’ultima, salvo che, durante l’utilizzo del sistema, lo sviluppatore ritenga siano cambiate le circostanze su questa si basava.

I risultati della valutazione d’impatto dovranno essere comunicati all’autorità competente, mediante il modulo fornito dall’Ufficio per l’intelligenza artificiale. Quest’ultimo avrà il compito di implementare un sistema in grado di semplificare l’adempimento dell’obbligo da parte degli sviluppatori, se del caso anche sviluppando un tool automatico.

Infine, per garantire un adeguato coordinamento con la normativa dell’UE, è previsto che, laddove lo sviluppatore sia tenuto ad eseguire anche una valutazione d’impatto sui dati personali, ai sensi dell’art. 35 GDPR, le due valutazioni debbano essere svolte congiuntamente.