La gazzetta ufficiale dell’Unione europea ha pubblicato la proposta di regolamento della Commissione UE sull’intelligenza artificiale detto anche “AIA” (Artificial Intelligence Act). L’iniziativa è un ulteriore tassello della strategia dell’UE sul digitale e rappresenta il primo esempio internazionale di disciplina orizzontale della materia, cioè scollegato dal contesto settoriale o da applicazioni specifiche.

Quasi contemporaneamente, la Cassazione civile ha concluso l’iter giudiziario relativo all’impugnazione di un provvedimento del Garante del 2016 col quale l’autorità aveva dichiarato l’illiceità del trattamento di dati personali a fini di valutazione reputazionale connesso all’utilizzo di un algoritmo associato a banca dati. L’illiceità fondava sulla mancata informazione agli interessati in merito al funzionamento dell’algoritmo e, di conseguenza, all’invalidità del consenso raccolto. La Cassazione ha dato ragione al Garante cassando la sentenza di primo grado.  

Sintesi

Data protection e AI

L’artificial intelligence secondo alcuni sarebbe non disciplinata dal GDPR: in verità sembrerebbe più una questione lessicale, vale a dire l’assenza del termine nella lettera del regolamento. Di converso, da una lettura in filigrana della norma viene in evidenza che il legislatore europeo ha inteso regolare il fenomeno ex ante anziché a cose fatte. I principi del “by design” e “by default” insieme alla valutazione di impatto insegnano che l’analisi data protection deve attuarsi già nella fase di ideazione progettuale dell’algoritmo e valutare gli impatti che l’inevitabile uso di enormi quantitativi di dati personali (big data) può generare sugli individui. L’obbligo di adottare misure di sicurezza preventive commisurate al rischio, impone una pertinente ed oculata valutazione che deve necessariamente offrire il massimo di garanzia verso prevedibili ipotesi di violazione. L’adeguatezza delle misure organizzative induce alla costruzione di un modello di ruoli e procedure che imbrigliano il progetto entro un assetto regolatorio che lascia poco spazio ad effetti indesiderati.

Processo decisionale automatizzato

Il GDPR si occupa dell’AI facendo riferimento alle decisioni automatizzate. Il regolamento ne affronta l’impatto che essa può avere sull’individuo, stabilendo un nuovo diritto: il diritto dell’interessato a non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona (art. 22). In realtà, piuttosto che un diritto si tratta di un divieto, sebbene la disposizione sia inserita nel capo III del GDPR che disciplina i diritti degli interessati e la formulazione letterale (“L’interessato ha il diritto a non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (…)”) lascerebbe ad intendere che sia un diritto esercitabile.