Seconda parte dell’intervista a Filiberto Brozzetti (Assistant Professor of AI, Law and Ethics Department of Law Luiss) sulle criticità della proposta di Regolamento EU sull’IA. . La prima parte dell’intervista è stata pubblicata la scorsa settimana. Il focus: #Copyright, #Authority di regolamento, #Consumatori e naturalmente #Governance. MPR
Copyright e co-creazione…
“Altro tema giuridicamente cruciale è quello dell’IP e del copyright, ma appare evidente, soprattutto dalle integrazioni dell’ultimo testo in materia di generative AI (sulla scorta delle polemiche delle ultime settimane sulle quali hanno fatto leva gli emendatori politici), il grande fraintendimento del Legislatore circa le capacità “creatrici” dell’AI. Se il primo testo disciplinava il copyright in maniera squisitamente formale, la grande enfasi post-ChatGPT che il nuovo articolato pone sulle potenzialità manipolatorie e fraudolente dell’AI dimostra come non siano stati compresi i meccanismi puramente trasformativi e ricondizionanti degli algoritmi, che anche quando generativi, operano su modelli di linguaggio o figurativi in base a logiche che prescindono da giudizi di valore e che tanto mento inventano. Anche in quest’ambito, chiaramente, si tralascia il tema della responsabilità e dei beneficiari di eventuali royalty su queste forme che definirei di “co-creazione””.
Quali le lacune?
Il nuovo testo integra alcune lacune per le quali la bozza aveva ricevuto pesanti critiche dagli AI moralist più radicali e quindi introduce fra le applicazioni a rischio inaccettabile la biometria (per il riconoscimento facciale in tempo reale da remoto, postale, di profilazione in base a categorie particolari di dati), la polizia predittiva, il data scraping di dati biometrici ed il riconoscimento facciale, ma senza la minima profondità di dettaglio. Ricollegandomi ai punti 1. e 2. mi sembra un modo di legiferare opinabile: perché mi pare si riduca ad una catalogazione sporadica ed estemporanea che potrà quindi essere integrata anche in futuro disorganicamente ed asistematicamente sulla base delle contingenze (per non dire delle mode o delle nevrosi); e perché rischia di risultare velleitaria ed estetica più che etica, fingendo di poter ignorare applicazioni che sono già realtà e sufficientemente limitate dalle più tradizionali (ottocentesche!) guarentigie dello Stato di diritto.
Il principio della trasparenza, sempre evocato in materia di regolazione dell’AI, è enunciato a livello puramente formale, anzi formalistico, con buona pace della copiosa giurisprudenza che si sta ormai accumulando nelle diverse cancellerie nazionali nel tentativo di dare sostanza alla trasparenza degli algoritmi nel senso dell’explainability della loro logica.
IA e GDPR…
Il testo, come tutta la più recente normativa europea in materia di digitale, ribadisce, quasi ossessivamente ad ogni occasione utile, la sua necessaria coerenza con la normativa di protezione dei dati, ma senza chiarire esattamente come tecnicamente gli obblighi derivanti dal GDPR possano essere integrati con quelli insorgenti dall’AI Act. Tali riferimenti appaiono quindi come clausole vuote per prestabilire un alibi inconsistente (cfr. pareri EDPB-EDPS e LIBE). Il vero paradosso consiste nel fatto che per sua stessa natura l’AI non è in grado di soddisfare uno dei principi cardine del GDPR, ovvero quello della minimizzazione dei dati, trattandosi di una tecnologia fisiologicamente bulimica. Anzi, l’AI genera una contraddizione insanabile tra i principi del GDPR: se il Garante italiano contesta a ChatGPT e alle AI in generale di non restituire informazioni esatte e quindi di violare il principio di accuratezza dei dati, sembra ignorare infatti come l’output di un sistema di machine learning sia tanto più preciso quanti più dati ha ingerito e digerito. Se applichiamo il principio di minimizzazione (peraltro non solo in ingresso, ma anche in uscita, dal momento che l’AI potrebbe generare nuovi dati), rinunciamo a quello di accuratezza e viceversa.
Governance e IA: a chi la competenza?
La questione della governance è tutt’altro che risolta. Ad oggi, l’unico organismo di controllo e sorveglianza credibile è il Comitato europeo dell’AI, il quale sarebbe però composto da rappresentanti delle autorità nazionali competenti che ogni Stato membro dovrebbe individuare tra quelle già esistenti o istituendone una ex novo. E qui sorge il problema: chi ha la competenza sull’AI? Le autorità di controllo per la protezione dei dati personali? Sicuramente quelle che più di altre si sono già esposte (non sempre in modo brillante) sulla tutela dei diritti degli individui al cospetto dell’AI, ma sarebbe certamente necessario immaginare un’estensione della loro competenza oltre i soli dati personali, dal momento che le AI macinano anche dati che, almeno in origine, possono non essere personali. Ma come ignorare le possibili e legittime pretese delle Autorità garanti della concorrenza e del mercato (supportate anche dagli specifici poteri loro attribuiti dalla DMA), in ragione del delicato equilibrio del settore commerciale che verrebbe a crearsi in tale ambito, nonché dei diritti dei consumatori coinvolti nella commercializzazione di sistemi di intelligenza artificiale di uso comune. E i regolatori delle comunicazioni? Poiché molti sistemi di AI funzionerebbero in quanto costantemente connessi a Internet, sarebbe difficile non riconoscere l’effettività della loro competenza in questo ambito, anche perché molti di essi costituirebbero peraltro “servizi digitali” ai sensi del DSA che a tali autorità si rivolge. È abbastanza chiaro come però mancherebbe qui l’aspetto della tutela dei diritti delle persone. Una nuova Autorità quindi (come è già successo in Spagna)? Con il rischio di vederla rosicchiare pezzo per pezzo la competenza sostanziale degli altri in un’area di mercato destinata ad espandersi esponenzialmente fino a diventare generale. Allora, suddividere la competenza tra le varie autorità già esistenti in ragione della trasversalità della materia? Invece di risolvere il problema della competenza, non si farebbe altro che alimentare la competizione già viva tra autorità nell’invadere spazi altrui e complicare ulteriormente un quadro i cui confini sono tutt’altro che nettamente delineati. In ogni caso, se si lasciasse agli Stati membri la libertà di nomina, significherebbe che all’interno del Comitato europeo potrebbero esserci Autorità nazionali tutte diverse tra loro, con le conseguenti difficoltà di comunicazione e condivisione di un approccio comune.
L’Europa deve guardare fuori di suoi confini?
Si, l’ultimo rilievo che propongo è quello del quadro comparatistico ed internazionale. Affinché non risulti un esercizio solipsistico, o peggio autarchico e tracotante, del Legislatore europeo, si dovrebbe, nelle prossime stesure provare a guardare e comprende almeno le tendenze delle altre politiche occidentali in materia di AI. A partire dal National AI Initiative Act del 2020, col quale gli USA hanno adottato un approccio regolatorio propositivo e nel quale l’AI è classificata in base alle sue caratteristiche oggettive e non in base ai rischi che potrebbe ingenerare; per poi guardare il policy paper del Department for Science, Innovation and Technology intitolato “AI Regulation: a pro-innovation approach”, con cui, in tutta evidenza, il Governo UK prende formalmente le distanze dall’attitudine continentale, proseguendo, anche in quest’ambito, la sua navigazione verso Ovest che caratterizza ormai tutte le politiche inglesi in ambito digital dal dopo Brexit.