Dall’AI Act alla Platform Workers Directive, la privacy è il filo conduttore di tutto il pacchetto di norme con cui l’Ue vuole disciplinare l’ecosistema digitale. Il Gdpr resta il faro quando un sistema di intelligenza artificiale viene nutrito con dati personali, ma le vere battaglie si giocheranno sugli standard

Le discussioni sulla proposta di regolamento sull’intelligenza artificiale della Commissione Europea, l’Artificial Intelligence Act (AIA) continuano e, nel mentre, si parla anche della EU Platform Workers Directive e di tutto il pacchetto di norme con cui l’Ue vuole disciplinare l’ecosistema digitale.

Si sta delineando un grosso quadro normativo che ha la privacy e la protezione dei dati, ancora una volta, come filo conduttore. Infatti, se la protezione dei dati è  quell’insieme di attività volta a colmare il gap di potere tra l’individuo e tutta la pletora di organizzazioni e meccanismi che collezionano dati, diviene chiaro che la protezione dei dati è effettivamente un terreno comune che interseca un numero sempre maggiore di discipline, incluso l’antitrust e la competizione. Ma quali sono le interrelazioni tra l’AI Act, la nuova Platform Workers Directive e il GDPR ? E quali le potenzialità e i rischi che comportano?

L’AI Act e l’intelligenza artificiale applicata al lavoro. Che cosa dice l’EU AI Act su questo fronte? I prodotti di IA applicati al mondo lavorativo e relazioni con il personale rientrano nella categoria “alto rischio”, la quale comporta una serie di obblighi, che includono lo stabilire tutele contro varie tipologie di pregiudizi (bias) nei data set, usando pratiche stabilite di gestione e governance dei dati, volte a garantire la verifica e la tracciabilità degli output e risultati nel corso della vita del sistema IA e incorporando disposizioni su livelli ritenuti adeguati di trasparenza e comprensibilità per gli utenti dei sistemi. Con un appropriato livello di supervisione individuale sul sistema IA.
Dal momento in cui il sistema IA di alto rischio viene prodotto, l’AI Act impone lo svolgimento di una valutazione, interna, di conformità ex-ante. In altre parole, i sistemi IA – a prescindere dal loro essere prodotti o servizi – quando applicati a settori di alto rischio devono conformarsi agli obblighi del regolamento prima di poter essere venduti e utilizzati nel mercato europeo. Da puntualizzare che la maggior parte degli obblighi della normativa cadranno sull’ente che introduce il sistema sul mercato (il fornitore), il quale può essere il terzo fornitore o l’azienda stessa che sviluppa l’IA.

La Platform Workers Directive e la trasparenza algoritmica. Lo scorso dicembre è stata presentata un’altra proposta normativa – la Platform Workers Directive – che introduce elementi importanti, incluso la cosiddetta trasparenza algoritmica. La direttiva (art. 12) richiederà alle piattaforme di pubblicare regolarmente informazioni relative ai termini e condizioni di impiego dei propri lavoratori, che poi potranno essere ampliate su richiesta di autorità pubbliche e i sindacati in rappresentanza dei lavoratori. Per maggiore trasparenza, a specifici enti pubblici verrà attribuita l’autorità di richiedere ed ottenere dalle platforms materiale di supporto alle informazioni fornite. Tutto ciò prevede di aumentare il controllo e la revisione delle attività di queste piattaforme.

La normativa GDPR. Negli ultimi anni la normativa sulla privacy ha avuto un’importanza straordinaria nella protezione dei dati anche in ambito professionale: questioni legate alla trasparenza o al data accuracy – capisaldi della normativa sulla protezione dei dati – hanno un impatto profondo nei sistemi AI. Per esempio, l’anno scorso in Italia, la Cassazione ha ripreso il GDPR con un principio semplice, e cioè che “quando si chiede a una persona il consenso a trattare i propri dati personali perché siano dati in pasto a un algoritmo al fine di pervenire a una decisione automatizzata capace di incidere sui propri diritti, il consenso non è valido se la persona non è adeguatamente informata delle logiche alla base dell’algoritmo”.. Non c’è dubbio che quando un sistema IA viene nutrito con dati personali, il GDPR abbia un ruolo essenziale. In un certo senso, l’AI Act è un passo avanti rispetto al GDPR, nel senso che si applica ai prodotti IA che sono di alto rischio (per l’impatto sui diritti fondamentali) anche qualora questi prodotti non utilizzino dati personali.

Gli standard, i veri king maker. Considerati i veri king maker dell’AI Act,  gli standard saranno sviluppati congiuntamente dall’European Committee for Standardisation (CEN), l’European Committee for Electrotechnical Standardisation (CENELEC), e l’European Telecommunications Standards Institute (ETSI). Le tre organizzazioni dovranno fornire aggiornamenti dettagliati alla Commissione Europea ogni sei mesi. La normativa europea prevede un coinvolgimento pubblico nella definizione di questi standard – ma questo è senza dubbio un terreno altamente complesso. Sul terreno degli standard  si giocano battaglie complesse a livello globale, specialmente tra Cina e Stati Uniti, e non c’è dubbio che siano proprio gli standard l’elemento fondamentale dal punto di vista economico, garantendo di fatto l’accesso al mercato. Ma chi definisce gli standard di accountability, di responsabilità di questo processo?

Insomma, l’IA usata nei contesti professionali non è semplice da regolamentare. Non c’è da sorprendersi che Valerio De Stefano e Antonio Aloisi, autori del saggio  “Il tuo capo è un algoritmo” siano profondamente scettici che la norma europea possa tutelare i lavoratori. In effetti, rimangono questioni sostanziali, che vanno al di là dell’ambito lavorativo.  

Primo, gli standard sono indubbiamente fondamentali ma non sono certamente neutri dal momento che sono elaborati da individui e nell’ambito di questioni geopolitiche di enorme rilevanza. Un processo collettivo di partecipazione sociale e politica, per quanto necessario, rimane altamente difficile da attuare e, soprattutto valutare. Quindi: come ci assicuriamo che l’adesione a standards – che presumibilmente non avranno come oggetto le questioni di impatto sociale dell’IA – non diventi un modo per delegittimare gli obiettivi della stessa normativa europea? In altre parole, c’è il rischio di trovarsi con prodotti che pur essendo in piena conformità con gli standards, hanno un impatto (negativo) su quei valori fondamentali che l’EU AI Act si prefigge di tutelare?

Secondo, è vero che la normativa sulla privacy e la data protection rimarrebbero comunque applicabili a tutelare gli individui. Ma l’AI Act in un certo qual modo estende la normativa privacy, dal momento che molti sistemi di IA, pur non usando dati personali, hanno comunque un effetto sulle persone.

Infine, alla luce dei due punti precedenti, non sorge il bisogno di un super-organismo in grado di mettere insieme tutti questi diversi aspetti, dalla privacy, all’employment passando per le altre discipline coinvolte? In assenza, il rischio è che la privacy, invece di restare il filo conduttore tra tutta la normativa che disciplina il digitale, resti l’unica speranza per un’intelligenza artificiale etica e responsabile.

(tratto da Privacy: ecco perché è cruciale per un'AI etica e responsabile - Agenda Digitale)