Data protection

I sistemi di intelligenza artificiale che presentano rischi inaccettabili sono vietati a decorrere dal 2 febbraio 2025.

Premessa.

Come noto, il legislatore comunitario con la disciplina in materia di intelligenza artificiale (di seguito, “IA”) ha inteso  migliorare il funzionamento del mercato interno istituendo un quadro giuridico uniforme in particolare per quanto riguarda lo sviluppo, l’immissione sul mercato, la messa in servizio e l’uso di sistemi di intelligenza artificiale (sistemi di IA) nell’Unione, in conformità dei valori dell’Unione, promuovere la diffusione di un’intelligenza artificiale (IA) antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea («Carta»), compresi la democrazia, lo Stato di diritto e la protezione dell’ambiente, proteggere contro gli effetti nocivi dei sistemi di IA nell’Unione, nonché promuovere l’innovazione. Il presente regolamento garantisce la libera circolazione transfrontaliera di beni e servizi basati sull’IA, impedendo così agli Stati membri di imporre restrizioni allo sviluppo, alla commercializzazione e all’uso di sistemi di IA, salvo espressa autorizzazione del presente regolamento.

In base ad un approccio regolatorio basato sul rischio, il Regolamento IA ha classificato i sistemi di intelligenza artificiale in tre categorie di rischio: i sistemi vietati, i sistemi ad alto rischio e i sistemi a rischio basso o minimo.

Definizioni

Per quanto di stretto interesse in questa sede si forniscono le seguenti definizioni, riportate all’art. 3 del regolamento IA, utili a fare chiarezza:

per “sistema di IA” si intende un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali; il “rischio” è dato dalla combinazione della probabilità del verificarsi di un danno e la gravità del danno stesso;

i “dati di addestramento” sono quelli utilizzati per addestrare un sistema di IA adattandone i parametri che può apprendere;

i “dati biometrici” sono i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica,quali le immagini facciali o i dati dattiloscopici; l’”identificazione biometrica” consiste nel riconoscimento automatizzato delle caratteristiche umane fisiche, fisiologiche, comportamentali o psicologiche allo scopo di determinare l’identità di una persona fisica confrontando i suoi dati biometrici con quelli di individui memorizzati in una banca dati; la “verifica biometrica”» attiene alla verifica automatizzata e uno a uno, inclusa l’autenticazione, dell’identità di persone fisiche mediante il confronto dei loro dati biometrici con i dati biometrici forniti in precedenza.

Il divieto dei sistemi IA che presentano rischi inaccettabili

Ai sensi dell’art. 5 del regolamento IA, sono vietate le seguenti pratiche:

a) l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che utilizza tecniche subliminali che agiscono senza che una persona ne sia consapevole o tecniche volutamente manipolative o ingannevoli aventi lo scopo o l’effetto di distorcere materialmente il comportamento di una persona o di un gruppo di persone, pregiudicando in modo considerevole la loro capacità di prendere una decisione informata, inducendole pertanto a prendere una decisione che non avrebbero altrimenti preso, in un modo che provochi o possa ragionevolmente provocare a tale persona, a un’altra persona o a un gruppo di persone un danno significativo;

b) l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che sfrutta le vulnerabilità di una persona fisica o di uno specifico gruppo di persone, dovute all’età, alla disabilità o a una specifica situazione sociale o economica, con l’obiettivo o l’effetto di distorcere materialmente il comportamento di tale persona o di una persona che appartiene a tale gruppo in un modo che provochi o possa ragionevolmente provocare a tale persona o a un’altra persona un danno significativo;

c) l’immissione sul mercato, la messa in servizio o l’uso di sistemi di IA per la valutazione o la classificazione delle persone fisiche o di gruppi di persone per un determinato periodo di tempo sulla base del loro comportamento sociale o di caratteristiche personali o della personalità note, inferite o previste, in cui il punteggio sociale così ottenuto comporti il verificarsi di uno o di entrambi gli scenari seguenti: i) un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di gruppi di persone in contesti sociali che non sono collegati ai contesti in cui i dati sono stati originariamente generati o raccolti;   ii) un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di gruppi di persone che sia ingiustificato o sproporzionato rispetto al loro comportamento sociale o alla sua gravità;

d) l’immissione sul mercato, la messa in servizio per tale finalità specifica o l’uso di un sistema di IA per effettuare valutazioni del rischio relative a persone fisiche al fine di valutare o prevedere il rischio che una persona fisica commetta un reato, unicamente sulla base della profilazione di una persona fisica o della valutazione dei tratti e delle caratteristiche della personalità; tale divieto non si applica ai sistemi di IA utilizzati a sostegno della valutazione umana del coinvolgimento di una persona in un’attività criminosa, che si basa già su fatti oggettivi e verificabili direttamente connessi a un’attività criminosa;

e) l’immissione sul mercato, la messa in servizio per tale finalità specifica o l’uso di sistemi di IA che creano o ampliano le banche dati di riconoscimento facciale mediante scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso;

f) l’immissione sul mercato, la messa in servizio per tale finalità specifica o l’uso di sistemi di IA per inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione, tranne laddove l’uso del sistema di IA sia destinato a essere messo in funzione o immesso sul mercato per motivi medici o di sicurezza;

g) l’immissione sul mercato, la messa in servizio per tale finalità specifica o l’uso di sistemi di categorizzazione biometrica che classificano individualmente le persone fisiche sulla base dei loro dati biometrici per trarre deduzioni o inferenze in merito a razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale; tale divieto non riguarda l’etichettatura o il filtraggio di set di dati biometrici acquisiti legalmente, come le immagini, sulla base di dati biometrici o della categorizzazione di dati biometrici nel settore delle attività di contrasto;

h) l’uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto a meno che, e nella misura in cui, tale uso sia strettamente necessario per uno degli obiettivi seguenti: i) la ricerca mirata di specifiche vittime di sottrazione, tratta di esseri umani o sfruttamento sessuale di esseri umani, nonché la ricerca di persone scomparse;   ii) la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l’incolumità fisica delle persone fisiche o di una minaccia reale e attuale o reale e prevedibile di un attacco terroristico;   iii) La localizzazione o l’identificazione di una persona sospettata di aver commesso un reato, ai fini dello svolgimento di un’indagine penale, o dell’esercizio di un’azione penale o dell’esecuzione di una sanzione penale per i reati di cui all’allegato II, punibile nello Stato membro interessato con una pena o una misura di sicurezza privativa della libertà della durata massima di almeno quattro anni.

Il Regolamento sulla IA e le scadenze attuative previste.

Ai sensi del Considerando (179) del Regolamento sull’Intelligenza Artificiale[1], tenuto conto del rischio inaccettabile associato all’uso dell’IA in determinati modi, i divieti nonché le disposizioni generali del presente regolamento dovrebbero applicarsi già a decorrere dal 2 febbraio 2025.

La regola è ribadita dall’articolo 113 del Regolamento che disciplina i termini dell’entrata in vigore e della sua applicazione, stabilendo che esso si applica a decorrere dal 2 agosto 2026.

Il sistema sanzionatorio

Ai sensi dell’art. 99, par. 3, “La non conformità al divieto delle pratiche di IA di cui all’articolo 5 è soggetta a sanzioni amministrative pecuniarie fino a 35 000 000 EUR o, se l’autore del reato è un’impresa, fino al 7 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.”

Ai sensi dell’art. 100, par. 2, “La non conformità al divieto delle pratiche di IA di cui all’articolo 5 è soggetta a sanzioni amministrative pecuniarie fino a 1 500 000 EUR.”

Gli adempimenti a carico degli enti e delle aziende.

La corretta applicazione delle disposizioni normative contenute nel regolamento sulla IA non può prescindere dalla conoscenza dei sistemi e dei modelli di intelligenza artificiale utilizzati.

A tale riguardo si ritiene utile suggerire il coinvolgimento delle competenti funzioni aziendali (in primis, i sistemi informativi, l’ufficio acquisti, la funzione compliance, l’ufficio legale; mentre per le aziende che operano nel campo della sanità si renderà necessario coinvolgere anche il rischio clinico) al fine di avere un quadro completo ed aggiornato delle soluzioni presenti e utilizzate.

Il successivo passaggio consisterà nel classificare i singoli sistemi di intelligenza artificiale, avvalendosi di un approccio basato sul rischio definito in modo chiaro. Tale approccio dovrebbe adattare la tipologia e il contenuto delle regole all’intensità e alla portata dei rischi che possono essere generati dai sistemi di IA. L’approccio basato sul rischio non dovrà trascurare gli orientamenti etici per una IA affidabile.

[1] Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull’intelligenza artificiale) (Testo rilevante ai fini del SEE). Link: https://eur-lex.europa.eu/eli/reg/2024/1689/oj?locale=it

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn
posta elettronica

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

applicazione-impianti-videosorveglianza
La applicazione di un impianto aziendale di video sorveglianza e controllo degli accessi: disamina condotta alla luce della normativa di settore.
3 Ottobre 2024
conservazione dei documenti informatici
Le nuove linee guida sulla formazione, gestione e conservazione dei documenti informatici: obblighi e scadenze in capo all’Ente
3 Aprile 2024
direttivacer
La Direttiva (UE) 2022/2557 CER (Critical Entities Resilience), a proposito delle infrastrutture critiche all’interno della comunità Europea.
4 Dicembre 2024

Start typing and press Enter to search