Chi dovrebbe occuparsi di governare l’intelligenza artificiale (per evitare l’errore della Spagna)

Bruxelles, abbiamo un problema. E Madrid ne è l’esatta rappresentazione reale. In attesa dell’approvazione definitiva (con eventuali annessi emendamenti) dell’AI Act, stanno emergendo alcune perplessità su alcune “lacune” presenti all’interno del testo: l’assenza di una definizione precisa di come gli Stati membri dovrebbero nominare l’Autorità nazionale competente per governare l’intelligenza artificiale. Non si tratta di una novità, perché l’Europa ha sempre lasciato “libertà” ai vari Paesi di optare per una scelta autonoma in questa direzione. Ma vista la stringente attualità e l’esigenza di un percorso comune (al netto dei regolamenti) questo potrebbe provocare un caos gestionale. Come accaduto in Spagna ancor prima dell’approvazione della legge UE.

LEGGI ANCHE > Cosa dice sui deepfake la proposta di Regolamento UE sull’Intelligenza Artificiale

Il rischio di generare problemi di attribuzione delle competenze è concreto, visto che – al momento – arrivano solamente alcune indicazioni riflesse su quale potrà essere l’Autorità designata per il controllo dell’intelligenza artificiale. Nella proposta dell’AI Act (che dovrebbe essere approvato entro la fine di aprile), l’Europa lascia libertà a ogni singolo Stato che potrà decidere se istituire un nuovo ente o dare una delega a uno già esistente.

Intelligenza Artificiale, il problema delle Autorità nazionali

L’Articolo 59 dell’AI Act in fase di approvazione, delinea i compiti di ciascun Paese UE nella designazione di questa Autorità (che, poi, dovranno interfacciarsi con quelle degli altri Stati Membri):

1. Ciascuno Stato membro istituisce o designa autorità nazionali competenti al fine di garantire l’applicazione e l’attuazione del presente regolamento. Le autorità nazionali competenti sono organizzate e gestite in modo che sia salvaguardata l’obiettività e l’imparzialità dei loro compiti e attività.
2. Ciascuno Stato membro designa un’autorità nazionale di controllo tra le autorità nazionali competenti. L’autorità nazionale di controllo agisce in qualità di autorità di notifica e di autorità di vigilanza del mercato, a meno che uno Stato membro non abbia motivi organizzativi e amministrativi per designare più di un’autorità.
3. Gli Stati membri informano la Commissione della loro designazione o delle loro designazioni e, ove applicabile, dei motivi che giustificano la designazione di più autorità.

I primi tre commi, dunque, danno l’indirizzo solo teorico lasciando ai singoli Stati la decisione sull’istituzione di una nuova autorità ad hoc o la delega a una già esistente e operante. E questo ruolo diventa fondamentale per erogare le possibile sanzioni emerse da eventuali violazioni di quanto prescritto dall’AI Act.

È l’Autorità Garante per la Privacy?

Stando alle indicazioni contenute all’interno dell’AI Act, esiste un’Autorità (presente in tutti i Paesi UE) che sembra avere già buona parte delle caratteristiche per ricevere la designazione di Autorità Nazionale Competente. Parliamo, ovviamente, del Garante per la Protezione dei Dati Personali (il Garante Privacy). In che modo? Perché l’intelligenza artificiale si nutre di dati personali degli utenti che, per l’appunto, sono “governati” proprio dal Garante. D’altronde, l’articolo 22 del GDPR Europeo si occupa del “Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”. Quindi, per estensione, ha tutte le carte in regola per governare l’AI di ogni singolo Paese Europeo. Il comma 1, infatti, recita:

«L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona». 

Inoltre, il testo di legge sull’AI in approvazione in Europa ha numerosi riferimenti alla trasparenza nella gestione dei dati personali e sull’impatto di questo trattamento.

Il caso Spagna

Dunque, un’indicazione di massima c’è. Ma senza alcun vincolo. E, di fatto, la principale perplessità su questa mancata definizione ha portato a un piccolo grande caos di attribuzione in Spagna. Il governo di Madrid, ancor prima dell’approvazione europea dell’AI Act, ha deciso di dare vita all’Agenzia per la supervisione dell’intelligenza artificiale. All’interno della legge di Bilancio del 2022 (approvata e pubblicata nella Gazzetta Ufficiale spagnola il 28 dicembre del 2021). Un investimento, per il primo anno, da 5 milioni di euro. Un’intuizione che sembra essere in linea con l’attenzione che la Spagna ha sul tema delle AI. Ma questa Autorità, come spiegato in precedenza, entrerebbe in conflitto di attribuzione su moltissime competenze proprio con il Garante Privacy spagnolo.