Segnalazione al Parlamento e al Governo sull’Autorità per l’i. a.
l’approvazione definitiva, lo scorso 13 marzo, del Regolamento europeo sull’intelligenza artificiale (di seguito: “Regolamento”) impone adesso, agli Stati membri, alcune scelte essenziali sulle norme di adeguamento degli ordinamenti interni. Tra queste, particolare rilievo assume la designazione, ai sensi dell’art. 70 del Regolamento, della (o delle) autorità nazionali competenti per l’applicazione delle sue norme, con funzioni di vigilanza del mercato e ricezione delle notifiche previste a fini di controllo.
La stessa disposizione impone agli Stati membri di garantire che l’esercizio, da parte di tali autorità, dei propri poteri possa svolgersi “in modo indipendente, imparziale e senza pregiudizi, in modo da salvaguardare i principi di obiettività delle loro attività e dei loro compiti e garantire l’applicazione e l’attuazione” del regolamento stesso. I requisiti di indipendenza, imparzialità e assenza di pregiudizi- che secondo l’art. 70 del Regolamento devono connotare l’esercizio delle funzioni da parte delle autorità nazionali competenti per l’intelligenza artificiale (infra: i.a.) -rappresentano la diretta implicazione della dimensione “costituzionale” della disciplina europea dell’i.a.
Il suo tratto distintivo (anche rispetto a scelte di altri ordinamenti, come si evince dal raffronto con il Biden Administration’s Executive Order on Artificial Intelligence) risiede, infatti, nella scelta preliminare in favore di una regolazione volta a coniugare l’innovazione con la tutela dei diritti e delle libertà fondamentali dai rischi potenzialmente derivanti da un uso scorretto dell’i.a..
Proprio quest’approccio, volto a promuovere “la diffusione di un’intelligenza artificiale antropocentrica e affidabile” (art.1, p.1) depone, dunque, per l’attribuzione di ruoli di vigilanza in materia a organi caratterizzati da sufficienti requisiti di indipendenza e terzietà. L’incidenza, profonda e trasversale, dell’i.a. sui diritti fondamentali (cui, significativamente, si rivolge la stessa valutazione d’impatto prescritta per alcuni sistemi ad alto rischio) suggerisce, infatti, di attribuirne la competenza ad Autorità caratterizzate da requisiti d’indipendenza stringenti.
In ragione della stretta interrelazione tra i.a. e protezione dati, della competenza già acquisita in materia dalle Autorità di protezione dati sul processo decisionale automatizzato (art. 22 del Regolamento UE 2016/679) e delle caratteristiche d’indipendenza che ne connotano lo statuto, sarebbe utile ragionare sulla soluzione proposta dal Comitato europeo per la protezione dati e dal Garante europeo. Con il parere congiunto n. 5 del 2021, essi hanno infatti suggerito l’individuazione, nelle Autorità di protezione dati, delle autorità di controllo per l’i.a.
Va, infatti, preliminarmente considerato che il Regolamento obbliga espressamente alla designazione delle Autorità di protezione dati quali autorità competenti rispetto all’applicazione di alcune sue disposizioni. Ai sensi dell’art. 74, p.8, infatti, “per i sistemi di IA ad alto rischio elencati nell’allegato III, punto 1, nella misura in cui tali sistemi sono utilizzati a fini di attività di contrasto, gestione delle frontiere, giustizia e democrazia e per i sistemi di IA ad alto rischio elencati nell’allegato III, punti 6, 7 e 8, gli Stati membri designano come autorità di vigilanza del mercato ai fini del presente regolamento le autorità di controllo competenti per la protezione dei dati a norma del regolamento (UE) 2016/679 o della direttiva (UE) 2016/680”. Inoltre, rispetto all’identificazione biometrica nell’ambito di attività di contrasto si prevede un vaglio autorizzatorio da parte di autorità giudiziarie o amministrative indipendenti (art. 5, p.3) tenute a verificare l’osservanza, tra l’altro, dei vincoli imposti dalla disciplina di protezione dati. Ciò implica, dunque, l’opportunità dell’attribuzione al Garante anche di tale funzione, in ragione della sua competenza sulle norme da applicare e delle sue caratteristiche di indipendenza.
Le Autorità di protezione dati sono, dunque, le uniche autorità effettivamente destinatarie di una riserva di competenza sancita dal Regolamento (cfr., appunto, art. 74, p.8 oltre alle varie clausole di salvaguardia in favore della protezione dati previste) e, in quanto indipendenti, legittimate a svolgere le funzioni di controllo in settori delicati come quello delle attività di contrasto (art.5, p.3). Per tale ragione, sarebbe opportuno attribuire al Garante le funzioni di cui all’art. 70 del Regolamento, ferme restando ovviamente le competenze del Governo in ordine alla generale promozione e regolazione secondaria della materia.
In termini più generali, come chiarito nel citato parere congiunto, la “designazione delle autorità per la protezione dei dati come autorità nazionali di controllo assicurerebbe (..) un approccio normativo più armonizzato e contribuirebbe all’adozione di un’interpretazione coerente delle disposizioni in materia di trattamento dei dati nonché a evitare contraddizioni nella loro applicazione nei diversi Stati membri”.
Va, infatti, considerato che il controllo delle Autorità di protezione dati sui processi algoritmici che (come nella maggior parte dei casi avviene) utilizzino dati personali andrebbe comunque garantito normativamente (C 10; artt. 2, p.7; 10, p.5 e, appunto, 74, p.8) e svolto, effettivamente, nel rispetto della riserva sancita, in favore di tali Autorità, dagli artt. 8 CDFUE e 16 TFUE, con l’obbligo che ne deriva, anche al legislatore, in termini di legittimità unionale.
In assenza dell’attribuzione, al Garante, del ruolo di autorità competente in materia, infatti, andrebbero disciplinati meccanismi (non scevri da oneri amministrativi per cittadini e imprese) di coordinamento, tali da salvaguardare le competenze ascrittegli dai citati artt. 8 CDFUE e 16 TFUE, pena l’illegittimità della norma interna per violazione di tali parametri di diritto primario dell’Unione europea.
La designazione, quali autorità competenti per l’i.a., di organi diversi determinerebbe infatti una frammentazione eccessiva della governance, con inevitabili conflitti di competenza e duplicazione ingiustificata degli oneri amministrativi per soggetti pubblici e privati.
La soluzione auspicata garantirebbe, invece, una notevole semplificazione per gli utenti, che dovrebbero rivolgersi a un’unica autorità per i sistemi di i.a. che operino su dati personali senza il rischio di conflitti di competenza o di duplicazione di oneri amministrativi (artt. 26, p.9 e 27, p. 4), una maggiore coerenza della disciplina – considerando che al Garante dovrebbero comunque essere riservate le competenze sui sistemi di i.a. di cui all’art. 74, p.8- nonché l’estensione, al settore dell’i.a., dello statuto di garanzie (anche in termini di indipendenza) dell’Autorità.
L’interrelazione e le reciproche implicazioni tra protezione dati e i.a. sono, infatti, tali da determinare l’esigenza costante di un’applicazione coerente dei due plessi normativi: si pensi soltanto alla biometria, per la quale il Regolamento prevede garanzie specifiche, comprensive anche del controllo sulla legittimità del trattamento dei dati personali (C 14, 38, 93, 94, 95, 159; art. 26, pp.10 e 11).
L’individuazione nel Garante dell’autorità di controllo per l’intero Regolamento (oltre, dunque, agli ambiti comunque riservatagli dall’art. 74, p.8) consentirebbe, quindi, un adeguamento tempestivo agli obblighi ivi previsti, potendo esso avvalersi dell’esperienza già maturata rispetto a quell’aspetto così dirimente dell’i.a. che è rappresentato dal processo decisionale automatizzato.
Il Garante possiede infatti, già oggi, i requisiti di competenza e, assieme, indipendenza necessari per garantire un’attuazione del Regolamento coerente con l’obiettivo di garanzia di un livello elevato di tutela dei diritti fondamentali nel ricorso all’i.a., sancito dall’art. 1, p.1.
E’, del resto, significativo che lo stesso art. 74, p.9, del Regolamento designi il Garante europeo per la protezione dei dati quale autorità competente, in ambito UE.
Non si può, dunque, che suggerire– come già fatto in varie audizioni parlamentari- una riflessione su questo aspetto, nella consapevolezza di quanto la sinergia tra le due discipline – e, quindi, la loro applicazione da parte di un’unica Autorità- sia determinante per l’effettività dei diritti e delle garanzie che sanciscono, con significativa lungimiranza.
Si tratta, complessivamente, di profili meritevoli di un ulteriore approfondimento che segnalo, ai sensi dell’articolo 57, paragrafo 1, lett. c), del Regolamento (UE) 2016/679, in vista dell’adozione delle norme di adeguamento al Regolamento grato, anche a nome del Collegio del Garante, per l’attenzione che vorrà riservarvi, con la più ampia disponibilità dell’Autorità, che sin d’ora Le rappresento, a ogni collaborazione eventualmente ritenuta utile.
