In data 14 giugno 2023, il Parlamento europeo ha approvato la sua posizione negoziale sul c.d. “Artificial Intelligence Act”, la proposta di Regolamento presentata dalla Commissione il 14 giugno 2021 al fine di stabilire un quadro giuridico uniforme per lo sviluppo, la commercializzazione e l’utilizzo delle intelligenze artificiali (IA) in grado di garantire la sicurezza e i diritti fondamentali delle persone e delle imprese, rafforzando la posizione di leadership dell’Unione a livello mondiale[1].
L’accordo ha apportato diverse modifiche alla proposta originale.
In primo luogo, il Parlamento ha introdotto un’esenzione per, da un lato, le attività di ricerca, prova e sviluppo relative ai sistemi di IA prima che essi siano immessi sul mercato o messi in servizio, a condizione che tali attività siano condotte nel rispetto dei diritti fondamentali e della normativa europea applicabile e, dall’altro lato, i componenti di IA forniti in base a licenze gratuite e open source, a meno che siano immessi sul mercato o messi in servizio da un fornitore nell’ambito di un sistema di IA ad alto rischio o che comporta un rischio inaccettabile[2].
In secondo luogo, il Parlamento ha introdotto due nuovi articoli. Da un lato, l’articolo 4 bis, secondo cui tutti gli operatori che rientrano nell’ambito del regolamento dovranno impegnarsi a sviluppare e utilizzare sistemi di IA o modelli di base conformemente a principi quali, tra gli altri, i) robustezza tecnica e sicurezza, ii) trasparenza, iii) rispetto della privacy e della governance dei dati, e iv) benessere sociale e ambientale. Dall’altro lato, l’articolo 4 ter, secondo cui i fornitori e gli operatori dei sistemi di IA dovranno adottare misure per garantire un livello sufficiente di alfabetizzazione in materia del loro personale nonché di qualsiasi altra persona che si occupi del funzionamento e dell’utilizzo di tali sistemi per loro conto, prendendo in considerazione le loro conoscenze tecniche, la loro esperienza, istruzione e formazione nonché il contesto in cui i sistemi sono destinati ad essere utilizzati.
In terzo luogo, il Parlamento ha ampliato l’elenco dei sistemi di IA che comportano un rischio inaccettabile e che, pertanto, saranno vietati in quanto considerati una minaccia per la sicurezza, i mezzi di sussistenza e i diritti fondamentali delle persone[3], includendovi, tra gli altri, i) i sistemi di categorizzazione biometrica basati su caratteristiche sensibili, ii) i sistemi di polizia predittiva basati su profilazione, posizione o precedenti penali, iii) i sistemi di riconoscimento delle emozioni nelle forze dell’ordine, nella gestione delle frontiere, nel luogo di lavoro e negli istituti d’istruzione, e iv) l’estrazione non mirata di dati biometrici da internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale.
In quarto luogo, è stato ampliato anche l’elenco dei sistemi di IA considerati ad alto rischio a causa delle loro ripercussioni negative per la salute, la sicurezza, i diritti fondamentali delle persone o l’ambiente [4], di modo da includervi quelli utilizzati per influenzare gli elettori e l’esito delle elezioni nonché quelli di raccomandazione utilizzati dalle piattaforme di social media[5]. I fornitori di tali sistemi, inoltre, dovranno garantire che le persone fisiche alle quali è affidata la loro sorveglianza siano specificamente informate del rischio di distorsioni dell’automazione o di pregiudizio di conferma (c.d. “confirmation bias”) nonché fornire le specifiche per i dati di input o qualsiasi altra informazione pertinente in termini di set di dati utilizzati, tenendo conto della finalità prevista e degli usi impropri ragionevolmente prevedibili del sistema[6].
In quinto luogo, il Parlamento ha specificato ulteriormente gli obblighi di trasparenza previsti per i sistemi di IA destinati ad interagire con le persone fisiche[7]. Più particolarmente, i relativi fornitori dovranno garantire che tali sistemi siano progettati e sviluppati in modo tale che il sistema stesso, il fornitore o l’utente informino in modo tempestivo, chiaro e comprensibile la persona fisica esposta del fatto di interagire con un sistema di IA, a meno che ciò non risulti evidente dalle circostanze e dal contesto di utilizzo. Ove opportuno, inoltre, tali informazioni specificheranno quali funzioni sono consentite dall’IA, se vi è una sorveglianza umana e chi è responsabile del processo decisionale, nonché i diritti e i processi esistenti che consentono alle persone fisiche o ai loro rappresentanti di opporsi all’applicazione di tali sistemi nei loro confronti e di presentare ricorso contro le decisioni da essi adottate o i danni da essi causati.
In sesto luogo, il Parlamento ha promosso ulteriormente i c.d. “spazi di sperimentazione normativa”[8] creati dalle autorità pubbliche per testare le IA prima che vengano implementate. Più particolarmente, gli Stati Membri, da soli o congiuntamente, dovranno istituire almeno uno spazio di sperimentazione normativa per l’IA a livello nazionale, che sarà operativo al più tardi il giorno dell’entrata in applicazione del regolamento, di modo che, da un lato, le autorità competenti forniscano orientamenti ai potenziali fornitori di sistemi di IA per una maggiore conformità alla normativa europea applicabile e, dall’altro, i potenziali fornitori consentano e agevolino la sperimentazione e lo sviluppo di soluzioni innovative relative ai sistemi di IA[9].
Il Parlamento, infine, ha riformato il ruolo dell’Ufficio Europeo per l’IA, un organismo indipendente dell’Unione con sede a Bruxelles che fornisce sostegno, consulenza e cooperazione agli Stati Membri, alle autorità nazionali di controllo e alle istituzioni in merito all’attuazione del regolamento[10].
Ora che il Parlamento ha approvato la sua posizione, nei prossimi mesi verranno avviati i c.d. “triloghi”[11] con il Consiglio e con la Commissione, di modo che il Regolamento possa giungere all’approvazione definitiva entro la fine dell’anno.
[1] Per ulteriori informazioni si veda il nostro precedente contributo, disponibile al seguente LINK.
[2] Si veda l’articolo 2 del Regolamento.
[3] Si veda l’articolo 5 del Regolamento.
[4] Si veda l’articolo 6 del Regolamento.
[5] Regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio, del 19 ottobre 2022, relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE, GUUE L 277 del 27.10.2022.
[6] Si veda l’articolo 16 del Regolamento.
[7] Si veda l’articolo 52 del Regolamento.
[8] Si tratta di un ambiente controllato stabilito da un’autorità pubblica che facilita lo sviluppo, le prove e la convalida in condizioni di sicurezza di sistemi di IA innovativi per un periodo di tempo limitato prima della loro immissione sul mercato o della loro messa in servizio conformemente a un piano specifico soggetto a vigilanza regolamentare.
[9] Si veda l’articolo 53 del Regolamento.
[10] Si veda l’articolo 56 del Regolamento.
[11] I triloghi consistono in negoziati politici che possono essere organizzati in qualsiasi fase della procedura legislativa e durante i quali ciascuna istituzione illustra la propria posizione al fine di trovare un compromesso. Nello specifico, le istituzioni nominano dei propri rappresentati e creano dei comitati in cui discutere con tempistiche più celeri per trovare un accordo, che in quanto provvisorio dovrà poi essere approvato secondo le procedure formali applicabili da ciascuna istituzione.