Alla scoperta delle norme dedicate all’intelligenza artificiale
Questa newsletter si propone di esaminare il Regolamento Europeo in materia di Intelligenza Artificiale con brevi articoli settimanali (in uscita il venerdì).
La prima uscita è disponibile qui: https://studiolegalebroglia.com/2024/05/17/frid_ai_news-00/.
Un “memento”
Vale la pena ricordare, e premettere, anche alle precedenti puntate, che il Regolamento sull’IA, sebbene destinato a regolamentare con dovizia di particolari lo sviluppo, l’immissione sul mercato, la messa in servizio e l’uso di sistemi di intelligenza artificiale, oltre a non voler incidere o modificare, per esempio, le norme nazionali sul diritto del lavoro (come già è avvenuto, per numerosi settori del diritto nazionale, con il Gdpr, che ha consentito ai diversi paesi membri di regolamentare in dettaglio determinate materie) “lascia impregiudicati gli obblighi dei fornitori e dei deployer nel loro ruolo di titolari o responsabili del trattamento”.
Ciò significa, detto altrimenti, che le imprese dovranno rispettare non solo le prescrizioni del Gdpr, ma anche quelle dell’AI Act (Considerando 10, per esempio).
Il Gdpr, quindi, come anche altre disposizioni (si pensi alla c.d. direttiva ePrivacy, 2022/58/CE, la direttiva che è stata ampiamente trasfusa, per esempio per quanto riguarda il telemarketing, nel nostro Codice della Privacy in relazione alle comunicazioni elettroniche), continuano ad applicarsi e forniscono la “base” anche per diverse disposizioni che il Regolamento ha introdotto.
AI e manipolazione, sfruttamento. Utilizzo di dati biometrici
Come rilevano anche i Considerando (28), i sistemi di intelligenza artificiale possono apportare enormi progressi in vari campi ed essere utilizzati in modi benigni e opportuni, ma è altrettanto evidente che possono o potrebbero essere utilizzati impropriamente, consentendo, per esempio, l’utilizzo di strumenti, metodologie o approcci manipolatori, di sfruttamento delle persone, soprattutto deboli o poco preparate (ma non solo, vista la difficoltà, in taluni settori, di discernere cosa possa essere “vero” e cosa no), nonché consentire o favorire forme di controllo sociale.
Si tratta di pratiche dannose, che il Regolamento vieta.
I sistemi di intelligenza artificiale possono infatti essere utilizzati per persuadere le persone ad adottare comportamenti indesiderati o per indurre con l’inganno a prendere decisioni che le persone non avrebbero preso se avessero conosciuto la realtà o non fossero state raggirate. I sistemi che abbiano l’obiettivo o l’effetto di distorcere materialmente il comportamento umano sono dunque vietati perché particolarmente pericolosi.
Il Regolamento si occupa anche, vietandoli, dei sistemi di IA volti a identificare o inferire emozioni, perché l’espressione delle emozioni varia notevolmente in base alle culture e alle situazioni e persino in relazione a una stessa persona: si tratta di sistemi che difettano di affidabilità, di specificità e sono passibili di diversi errori, che possono avere gravi conseguenze.
Altri sistemi che il Regolamento ritiene pericolosi sono i sistemi o i modelli che hanno a che fare con i dati biometrici delle persone.
Il Regolamento dedica quindi, anche nei propri Considerando, diverse indicazioni, definizioni e prescrizioni ai sistemi e ai modelli il cui utilizzo comporta o comporterebbe il trattamento di dati biometrici.
L’attenzione è, in particolare, verso sistemi di categorizzazione biometrica basati sui dati biometrici di persone fisiche (volto, impronte digitali) per trarre deduzioni o inferenze in merito alle opinioni politiche, all’appartenenza sindacale, alle convinzioni religiose o filosofiche, alla razza, alla vita sessuale o all’orientamento sessuale di una persona, così come verso sistemi che consentano di attribuire un punteggio sociale, ossia di “social scoring”. Si tratta di sistemi che possono creare discriminazioni e ledere il diritto alla dignità, oltre che pregiudicare i valori di uguaglianza e giustizia.
Particolare attenzione è poi data ai sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico a fini di attività delle forze di polizia, che possono essere particolarmente invasivi, tanto più laddove adottino sistemi di riconoscimento delle emozioni.
L’impatto e i possibili rischi o discriminazioni di tali sistemi potrebbero essere irreversibili, stanti la “velocità” e pressoché impossibile correzione di eventuali decisioni prese sulla base di tali modelli. Il Regolamento prevede che sistemi di tal genere possano essere utilizzati in specifiche, determinate e regolamentate ipotesi solo da autorità ben individuate e per le sole attività di contrasto.
Vediamo quindi alcune definizioni legate al concetto di dato biometrico e lasciamo ad una prossima uscita alcune considerazioni.
Le definizioni appaiono del resto necessarie: da un lato perché numerose, dall’altro perché contenenti aspetti specifici e di dettaglio, su cui sarà opportuno riflettere in seguito.
Le definizioni in tema di dato biometrico
Dati biometrici: sono, come noto, i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica,quali le immagini facciali o i dati dattiloscopici.
Identificazione biometrica: il riconoscimento automatizzato delle caratteristiche umane fisiche, fisiologiche, comportamentali o psicologiche allo scopo di determinare l’identità di una persona fisica, confrontando i suoi dati biometrici con quelli di individui memorizzati in una banca dati.
Verifica biometrica: la verifica automatizzata e uno a uno, inclusa l’autenticazione, dell’identità di persone fisiche mediante il confronto dei loro dati biometrici con i dati biometrici forniti in precedenza.
Sistema di riconoscimento delle emozioni: un sistema di IA finalizzato all’identificazione o all’inferenza di emozioni o intenzioni di persone fisiche sulla base dei loro dati biometrici.
Sistema di categorizzazione biometrica: un sistema di IA che utilizza i dati biometrici di persone fisiche al fine di assegnarle a categorie specifiche, a meno che non sia accessorio a un altro servizio commerciale e strettamente necessario per ragioni tecniche oggettive.
Sistema di identificazione biometrica remota: un sistema di IA finalizzato all’identificazione di persone fisiche, senza il loro coinvolgimento attivo, tipicamente a distanza mediante il confronto dei dati biometrici di una persona con i dati biometrici contenuti in una banca dati di riferimento;
Sistema di identificazione biometrica remota “in tempo reale”: un sistema di identificazione biometrica remota in cui il rilevamento dei dati biometrici, il confronto e l’identificazione avvengono senza ritardi significativi, il quale comprende non solo le identificazioni istantanee, ma anche quelle che avvengono con brevi ritardi limitati al fine di evitare l’elusione.
Sistema di identificazione biometrica remota a posteriori: un sistema di identificazione biometrica remota diverso da un sistema di identificazione biometrica remota “in tempo reale”.
Anche per questa uscita abbiamo terminato.
Ci leggiamo la prossima settimana 😁 Se ne avrete voglia!
👾 👾 👾 👾 👾
Questa newsletter si propone di esaminare le principali disposizioni in arrivo con un linguaggio semplice e chiaro, accompagnato il più possibile da esempi concreti.
Se sei interessato, iscriviti. 👾