Il Garante per la Privacy richiama governo e Parlamento per candidarsi a ruolo di vigilanza sull’Ia.
L’autorità garante per la protezione dei dati personali “possiede i requisiti di competenza e indipendenza necessari per attuare il Regolamento europeo sull’intelligenza artificiale coerentemente con l’obiettivo di un livello elevato di tutela dei diritti fondamentali.” È quanto ha scritto il presidente, Pasquale Stanzione, in una segnalazione inviata nei giorni scorsi ai presidenti di Senato e Camera e al Presidente del Consiglio.
La scorsa settimana infatti il governo ha fatto la sua scelta: Agenzia per l’Italia digitale e Agenzia per la cybersicurezza nazionale saranno le “authority” responsabili sull’AI per l’Italia. Lo ha anticipato la scorsa settimana Alessio Butti, sottosegretario alla presidenza del Consiglio con delega all’Innovazione, in una intervista al Sole 24 Ore in cui ha illustrato i principali dossier su cui è al lavoro il governo in materia di digitale e innovazione annunciando l’arrivo di un disegno di legge sull’AI.
L’attribuzione del ruolo di vigilanza e controllo sull’intelligenza artificiale è d’altronde previsto ai sensi dell’AI Act, ovvero l’impianto di norme europee sull’intelligenza artificiale. Tra queste, il regolamento Ue — approvato il 13 marzo dal Parlamento europeo — prevede che ogni Paese introduca un’autorità di vigilanza sull’AI.
L’esecutivo intende quindi affidare il ruolo di controllo sull’Intelligenza artificiale a organi governativi quali Agid e Acn, piuttosto che a un organo terzo e indipendente. Come suggerisce l’autorità per la privacy presieduta da Stanzione e come auspicato anche dal Comitato europeo per la protezione dei dati e il Garante europeo della protezione dei dati già nel 2021.
“La sicurezza, e la strategia della sicurezza, deve essere in capo alla massima autorità politica, sono convinto che la riusciremo a rappresentare”, aveva giustificato così Butti la scelta di affidare all’Agid e all’Acn la vigilanza e il controllo sull’intelligenza artificiale.
Tutti i dettagli.
LA SEGNALAZIONE DEL GARANTE PRIVACY SULL’IA
La recente approvazione dell’AI Act da parte del Parlamento europeo – spiega il presidente dell’Autorità di garanzia per la protezione dei dati personali – “impone agli Stati membri alcune scelte essenziali sulle norme di adeguamento degli ordinamenti interni”.
L’incidenza dell’AI sui diritti, prosegue la nota, suggerisce di attribuirne la competenza ad Autorità caratterizzate da requisiti d’indipendenza stringenti, come le Authority per la privacy, anche in ragione della stretta interrelazione tra intelligenza artificiale e protezione dati e della competenza già acquisita in materia di processo decisionale automatizzato. L’AI Act, ricorda ancora il Garante, si fonda sull’articolo 16 del Trattato sul funzionamento dell’Unione europea, che è la base giuridica della normativa di protezione dei dati, e lo stesso regolamento sull’intelligenza artificiale prevede il controllo delle Autorità di protezione dei dati personali su processi algoritmici che utilizzino dati personali. “La sinergia tra le due discipline e la loro applicazione da parte di un’unica Autorità è quindi determinante per l’effettività dei diritti e delle garanzie sanciti”, conclude Stanzione, suggerendo in proposito una riflessione a Parlamento e Governo.
IL RIFERIMENTO ALLA DECISIONE DEL GOVERNO
Come sottolinea Repubblica, “Il testo non fa riferimento alle dichiarazioni di Butti, né al disegno di legge visto che ancora non è stato presentato un testo, ma spiega che le Autorità indipendenti (i cui vertici sono scelti dal Parlamento e non rimuovibili) sono le uniche ad avere requisiti di indipendenza stringenti e – pro domo sua – suggerisce che la vigilanza sull’AI potrebbe essere affidata allo stesso Garante, tra i primi a livello mondiale a contestare a OpenAI la violazione della privacy del suo ChatGPT“.
GLI AUSPICI DI EDPB E GEPD
Senza dimenticare che “nel parere congiunto 5/2021, il Comitato europeo per la protezione dei dati (Edpb) e il Garante europeo della protezione dei dati (Gepd) hanno raccomandato l’affidamento della funzione e delle responsabilità di autorità di controllo in materia di IA alle autorità nazionali competenti per la protezione dei dati”, ricordava di recente Diego Fulco, direttore scientifico Istituto Italiano per la privacy e la valorizzazione dei dati su agendadigitale.
“Secondo l’Edpb e il Gepd, esse stanno già applicando il Gdpr per quanto riguarda i sistemi di IA che interessano i dati personali; perciò, dispongono già, in una certa misura, di conoscenze in materia di tecnologie basate sull’IA, di dati e di sistemi di elaborazione degli stessi nonché di diritti fondamentali, e di competenze nella valutazione dei rischi che le nuove tecnologie comportano per questi diritti fondamentali. Inoltre, le parti interessate della catena di valore dell’IA trarrebbero beneficio dall’esistenza di un punto di contatto unico per tutte le operazioni di trattamento dei dati personali che rientrano nell’ambito di applicazione dell’AI Act, oltre che dalla limitazione delle interazioni tra due differenti organismi di regolamentazione dei trattamenti che sono sottoposti alla proposta e al Gdpr”, proseguiva l’esperto.
LA POSIZIONE DEL GOVERNO
L’Autorità competente per l’Intelligenza artificiale (Ia) sarà “un organismo con un ruolo di supporto all’attuazione della strategia nazionale, ma anche con funzioni di vigilanza e sanzioni” aveva spiegato sempre l’esponente del governo Alessio Butti.
Eppure, nell’intervista al quotidiano confindustriale, il sottosegretario Butti ha spiegato l’orientamento di non affidare queste funzioni sull’AI a una authority indipendente: “Un’Authority indipendente potrebbe mancare della competenza tecnica specifica e dell’integrazione con il sistema digitale nazionale che Agid e Acn già possiedono ed esercitano”.
RISCHIO CONFLITTI DI COMPETENZE
Inoltre, “la scelta del governo non è in contrasto con l’AI Act. Del resto anche la Spagna, l’unico Paese europeo ad aver finora deciso, ha affidato la vigilanza a un organismo interno al governo [l’Agencia Española de Supervisión de la Inteligencia Artificial (AESIA)], sebbene di nuova creazione e specifico, cioè l’Agenzia per la Supervisione dell’AI”, rileva ancora Repubblica.
Ma in questo caso si rischierebbe la sovrapposizione delle competenze tra le varie authority nazionali.
“Basti pensare — illustrava giusto un anno fa Edoardo Raffiotta, avvocato of counsel dello studio legale Lca e docente universitario, sul Sole 24 Ore — ai sempre più frequenti conflitti di competenze tra Autorità amministrative indipendenti: AGCM, AGCOM, CONSOB, Privacy, Trasporti, per citare solo i casi più noti. Conflitti derivanti dalla valutazione delle medesime condotte che portano alla sovrapposizione delle discipline settoriali di cui sono titolari. Con la conseguenza di dovere stabilire una prevalenza nonché quali siano le Autorità competenti. Una sovrapposizione che pone tra l’altro anche conflitti nei procedimenti sanzionatori, non potendosi escludere casi nei quali qualcuno sia sanzionato prima da un’Autorità e poi dall’altra, in violazione del principio costituzionale per cui nessuno può essere processato due volte per la stessa accusa (ne bis in idem). Questo conflitto sarebbe molto probabile – e presumibilmente frequente – nel caso in cui si istituisse un’Autorità per l’intelligenza artificiale in concorrenza/aggiunta al Garante privacy”.
Uno scenario che sembra sempre più probabile sull’Ia per l’Italia con il Garante Privacy da una parte e le due agenzie governative dall’altra.
Articoli correlati
Ok di Francia e Germania alla prima fase del carro armato del futuro (Mgcs)
Sanchez in Spagna abbraccia Telefonica per arginare i sauditi
Ecco come Bruxelles accerchia la cinese Shein
Saras da Moratti a Vitol? Il governo dice ok
