La proposta, da parte della Commissione, di un regolamento che possa fornire una risposta normativa coerente, a livello europeo, ai rischi ed ai dubbi connessi allo sviluppo vorticoso dei sistemi di intelligenza artificiale ha la sua matrice teorica in quella analisi del rischio che caratterizza, per certi versi, anche il codice genetico del Regolamento europeo per la protezione dei dati personali. A tutti noto come Gdpr. Tuttavia, di là della condivisione del medesimo «genere letterario», ad uno sguardo più approfondito, emergono, tra le due discipline, delle differenze non marginali, che sembrano andare nella direzione di una maggiore garanzia per i diritti ed una maggiore dinamicità del Gdpr rispetto alla proposta di regolamento della Commissione in tema di intelligenza artificiale.

Innanzitutto, è vero che in entrambi i casi si ha a che fare con la medesima fonte del diritto europeo, quella regolamentare. Ci sono, però, regolamenti e regolamenti. E, mentre quello in materia di protezione dati, pur ambendo ad evitare la frammentazione europea in tema, lasciava parecchi margini di intervento agli stati membri per interventi più garantisti, lo stesso non sembra caratterizzare la proposta della commissione in materia di intelligenza artificiale. Tale proposta sembra essere molto più un soffitto che un pavimento, lasciando poco spazio ad interventi migliorativi, in termini di protezione effettiva dei diritti in gioco, agli Stati.

Non si tratta dell’unica differenza tra le due discipline, nonostante la superficiale comunanza evocata in apertura, relativa alla comune matrice di analisi del rischio.

La proposta della Commissione adotta un sistema di risk-based statico che, a differenza del Gdpr, non prevede una definizione flessibile di accountability rispetto al contesto in cui opera il titolare del trattamento. Non poteva essere diversamente, visto l’approccio top down che si è scelto di seguire, in cui a operare la valutazione di impatto è in primo luogo la Commissione. Un approccio che però rischia di subire un processo di ibridizzazione, anche tecnologica, nel momento in cui le regole, decise ex ante, da un soggetto pubblico devono essere «calate» nel settore privato. In questo senso, in assenza di principi generali, ben presenti invece nel Gdpr, il rischio è che il regolamento si trasformi in un mero sistema di compliance i cui contorni sono definiti da sistemi di soft law. Ciò che (almeno per ora) manca nella proposta è quella capacità del regolamento sulla protezione dati di porre non solo limiti, ma aprire anche all’adattabilità e quindi alla dinamicità dei processi tecnologici. Vale a dire quegli approcci di privacy «by-design» e «by-default».

Inoltre, mentre il Gdpr sta bene attento a fare della protezione dati un regime autonomo rispetto alla tutela del consumatore, nella proposta di regolamento si mutuano, forse in modo non del tutto ponderato, categorie proprie della disciplina consumeristica, volte a proteggere la parte debole del rapporto contrattuale, specialmente enfatizzando il ruolo chiave del consenso. Si tratta di una scelta rischiosa perché la migrazione dal diritto dei consumi a quello dell’algoritmo non è neutrale visto che, nel complesso scenario tecnologico rilevante, il consenso costituisce sempre più una base, a dire poco, poco affidabile e sicuramente non esaustiva. Questo è stato compreso con molto anticipo dal Gdpr.

Anche con riguardo al possibile intervento umano che possa fare da contraltare ai trattamenti automatizzati si nota una differenza non da poco. Mentre il Gdpr fa emergere un ruolo reattivo dell’interessato che può richiedere un suo coinvolgimento in caso di contestazione delle decisioni di natura automatizzata o di trattamento avvenuto in violazione di legge, la proposta in tema di intelligenza artificiale da riferimento ad un non meglio specificato «human oversight», quindi a un ruolo di monitoraggio che sembra però restare dietro le quinte.

Non è un caso. L’espressione «human centric», che era alla base del Libro Bianco della Commissione sui nodi dell’intelligenza artificiale e, prima ancora, delle Linee Guida del Gruppo di esperti di alto livello che affrontava lo stesso tema, ricorre, invece, solo una volta nella proposta in esame.

La posizione della persona, passando dalla soft law alla hard law, e quindi dalle migliori intenzioni alla effettiva proposta di regolamentazione, non è più cosi centrale, ma è relegata in un angolo.Sarebbe importante che il processo legislativo in atto porti ad una (ri)centralizzazione, per non tradire le premesse da cui muove la proposta di regolamento in materia di intelligenza artificiale e, prima ancora, le radici costituzionali europee sui cui non può non fondarsi.

Giusella Finocchiaro e Oreste Pollicino
Fonte: