L’Unione Europea e il Consiglio d’Europa sono da anni impegnati nel tentativo di introdurre una qualche forma di regolamentazione delle tecnologie di intelligenza artificiale.
L’Unione Europea sta discutendo della prossima approvazione del c.d. Artificial Intelligence Act, Regolamento del parlamento europeo e del consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (legge sull’intelligenza artificiale) e modifica alcuni atti legislativi dell’unione, presentato inizialmente in data 21 aprile 2021 e, attualmente, ancora all’esame delle istituzioni euro-unitarie (cfr. il testo, con i relativi emendamenti, adottato in data 14 giugno 2023).
Il Consiglio d’Europa ha, invece, presentato la prima proposta a livello globale di trattato di diritto internazionale dei diritti umani in tema di intelligenza artificiale, la c.d. Revised Zero Draft [Framework] Convention on Artificial Intelligence, Human Rights, Democracy and the Rule of Law, all’esito dei lavori di due Comitati istituti ad hoc: il CAHAI, prima, il CAI, dopo, ed attualmente ancora in carica.
I due testi adottano approcci parzialmente diversi e offrono numerosi spunti per ragionare delle implicazioni che l’intelligenza artificiale è suscettibile di riverberare sui diritti fondamentali: maggiormente legato alle problematiche che le nuove tecnologie di IA determinano sul piano del diritto alla privacy e della gestione dei dati, l’Artificial Intelligence Act; maggiormente incline ad abbracciare una prospettiva human rights based il Consiglio d’Europa nella proposta di trattato, che s occupa, viceversa, più esplicitamente delle interazioni tra intelligenza artificiale e diritti umani, ponendo in risalto in modo particolare i rischi di discriminazioni connessi al ricorso sempre più massiccio alle tecnologie di IA (cfr., tra gli altri, l’art. 3 del testo in discussione).
Ormai da qualche anno si dibatte sul come (e ancora prima, sul se) normare l’attuale livello di sviluppo tecnologico, che vede sempre più l’impiego di sistemi di intelligenza artificiale. E in tale contesto è certamente apprezzabile che il fenomeno de quo – e le criticità che esso solleva – siano oggetto di attenzione, non più solo da parte della dottrina, ma pure delle istituzioni europee e sovranazionali. In tale prospettiva, tanto la Proposta di Regolamento del Parlamento Europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale – come noto attualmente ancora in attesa di approvazione definitiva – quanto la c.d. Revised Zero Draft [Framework] Convention on Artificial Intelligence, Human Rights, Democracy and the Rule of Law rappresentano tentativi – non risolutivi né scevri di criticità, eppure – pregevoli.
Ora, limitandomi soltanto a poche – e giocoforza solo accennate – considerazioni in relazione ai testi normativi predisposti e dunque alle scelte di regolazione che in essi sono state (almeno ad oggi) compiute, a fronte di taluni dati comuni, diverse sono le differenze e le questioni che essi sollevano.
Anzitutto, in entrambi i testi emerge la consapevolezza che l’evoluzione tecnologica può apportare tanto dei benefici (dal punto di vista sociale, ambientale, o in termini di vantaggi competitivi per le imprese e l’economia, così come per il benessere degli esseri umani) ma pure nuovi rischi e conseguenze negative. E, sulla base di tale assunto, il fine ultimo di entrambi gli atti è quello della tutela dell’uomo e dei suoi diritti. Obiettivo che, però, nell’approccio dell’Unione europea, a differenza di quanto si rintraccia nel testo dell’organizzazione internazionale, viene ad essere affiancato – e dunque per tale via limitato – dalla pure affermata necessità di preservare la leadership tecnologica dell’UE. Di tal ché lo sviluppo di un ecosistema di fiducia attraverso la definizione di un quadro giuridico per un’intelligenza artificiale affidabile risulta essere necessaria premessa – non solo a garanzia dei diritti e delle libertà dell’uomo, ma pure – di un proficuo sviluppo tecnologico ed economico. Il che non può certo dirsi un elemento di novità, sol che si consideri il ruolo predominante che il mercato ha ricoperto (e tuttora ricopre) a livello unionale, laddove pure l’affermata centralità della persona, riscontrabile in altri atti normativi, è per lo più stemperata dal riconoscimento di altri interessi (basti pensare al Regolamento UE 679/2016, il c.d. GDPR, sul quale ritorneremo, che reca norme a protezione dei dati personali ma che assicura pure la libera circolazione di essi).
A monte, una differenza è ravvisabile nella stessa definizione di “sistema di intelligenza artificiale”, presente nei due atti. Il che non stupisce, non (sol)tanto perché lo stesso concetto di “intelligenza” si caratterizza per una forte ambiguità, ma anche perché ogni tentativo descrittivo del fenomeno che essi intendono regolare è destinato alla transitorietà in ragione dei rapidi mutamenti ed evoluzioni che lo contraddistinguono. Sul punto, peraltro, non è mancato chi (cfr. Comitato economico e sociale europeo, parere del 22 settembre 2021) ha evidenziato l’opportunità di stralciare l’allegato I al draft di Regolamento, sì da riformulare la definizione di sistemi di AI, pure considerato che alcuni riferimenti nell’allegato stesso presenti non riguardano applicazioni di AI in senso proprio, mentre risultano omesse talune tecniche che a questa tecnologia potrebbero essere attratte.
La principale divergenza però è rintracciabile nell’approccio sotteso agli atti de quibus: laddove nella proposta di Regolamento trova espressione quel risk based approach orientato in senso umano-centrico, la convenzione del Consiglio d’Europa individua, invece, specificamente alcuni principi fondamentali, regole e diritti che dovrebbero guidare la progettazione, lo sviluppo e l’uso di sistemi di intelligenza artificiale, con un testo più sintetico ed asciutto; caratteristica – quest’ultima – che se per un verso rappresenta un vantaggio, almeno in termini di certezza del diritto e chiarezza, per altro verso sconta però il limite di una regolazione per principi, in assenza di atti di normazione di dettaglio, che di essi diano specificazione.
In tale ottica, la previsione di regole più articolate, contenute nella proposta di Regolamento – e tra esse la ripartizione dei sistemi di AI a seconda che creino a) un rischio inaccettabile, b) un rischio alto, c) un rischio basso o minimo – sembra andare nella direzione di una maggiore consapevolezza della necessaria individuazione, pur sempre sulla base dei principi fondamentali, di una normazione più incisiva degli usi che dei sistemi de quibus può essere fatto e dei possibili effetti che da essi possono derivare. In tale prospettiva è peraltro apprezzabile la predisposizione di sanzioni particolarmente gravose, tanto per i soggetti privati quanto per quelli pubblici, i quali pure possono assumere il ruolo di provider o di utilizzatori di sistemi di intelligenza artificiale.
Un limite purtuttavia a noi pare emerga dal raffronto del testo della proposta di Regolamento con il GDPR. Per vero, poiché attualmente gli usi dei sistemi di intelligenza artificiale a livello unionale – in assenza di una disciplina specifica – finiscono per essere normati proprio dal Regolamento UE 679/2016 (e, tra le previsioni di tale atto, particolare rilievo assume, come noto, l’art. 22), nella misura in cui il draft di Regolamento riproduce regole già predisposte, esso finisce per essere meno innovativo, con detrimento di tutela dei diritti e delle libertà dell’uomo. In tal senso, infatti, se in taluni casi l’approccio comune, riscontrabile nei due atti cui stiamo facendo riferimento, è apprezzabile (si pensi alla vocazione extraterritoriale di applicazione o all’approccio basato sul rischio), altre norme confermano invece disposizioni già in essere, potendo peraltro generare talune criticità (così, al netto di talune specifiche, per esempio, l’art. 5, par.1, lett. d) relativo all’uso di sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico).
Più in generale, poi, a fronte dell’enunciazione di importanti principi e direttrici, manca ancora l’individuazione di strumenti e misure specifiche tali da garantire, in concreto, una piena ed effettiva tutela dei diritti. Rilievo – questo – che peraltro è stato espresso anche dall’European Data Protection Board e dall’European Data Protection Supervisor [Joint Opinion n. 5/2021 on the Proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)], che hanno avuto occasione di sottolineare proprio l’assenza di rimedi da attivare a disposizione degli individui sottoposti ai sistemi di AI. Di modo che almeno in questa fase, pare si stia assistendo ad una compressione dello spazio di garanzia assicurato dall’ordinamento, poiché le incertezze decisionali, così come la previsione di meri principi, a fronte della mancanza di regole di maggiore dettaglio in relazione a specifiche applicazioni dell’AI e di strumenti effettivi di tutela, delineano una situazione di stallo che auspichiamo venga ben presto superata.