La strategia europea per i dati – pt. 2

Come anticipato nel precedente approfondimento, la Strategia europea per i dati si presenta tanto complessa e articolata che si è ritenuto di una certa utilità provare a fare chiarezza sul suo perimetro e sulla portata degli sforzi normativi e regolatori intrapresi.

Avendo, quindi, ormai chiaro il punto di partenza – ossia cambio di marcia da “mera” protezione del dato personale a libera circolazione e valorizzazione dei dati personali e non -, si può procedere verso una breve analisi dei recentissimi AI Act e Data Act.

AI ACT

Circa il primo, in aggiunta a quanto già analizzato in un recente contributo, vale la pena ricordare che il Regolamento sull’intelligenza artificiale è uno strumento pensato per normare e governare i sistemi intelligenti, nel tentativo di arginarne i potenziali rischi.

L’approccio basato sul rischio (che si ritrova tanto qui quanto nel GDPR, per fare un parallelismo) ha permesso di strutturare le pratiche di intelligenza artificiale in gruppi di sistemi vietati, ad alto rischio, a rischio limitato e a rischio minimo (per i quali è previsto il libero utilizzo).

In data 14 giugno 2023 il Parlamento europeo ha approvato il Regolamento sull’AI (con 499 voti a favore, 28 contrari e 93 astensioni), dando così il via alla fase finale che dovrebbe portare all’adozione del testo consolidato e all’entrata in vigore nel 2024.

Le novità rispetto alla bozza precedente vanno ad incidere su:

– i sistemi biometrici per l’identificazione in tempo reale (ora totalmente vietati, salvo l’uso a posteriori solo per reati gravi, previa approvazione giudiziaria);

– i sistemi di riconoscimento facciale e di riconoscimento delle emozioni (vietati, come quelli di categorizzazione biometrica e di polizia predittiva);

– la classificazione ad alto rischio, cui ora si aggiunge anche un controllo orizzontale;

– l’introduzione di valutazioni di impatto da effettuarsi sui diritti fondamentali (cd. FRAIA);

– i regimi da applicare alle AI generative (come ChatGPT), che si ispirerà in larga parte a quello previsto per le AI ad alto rischio.

È previsto un “periodo di grazia” di 2 anni dall’entrata in vigore per permettere alle aziende di costruire i processi di compliance necessari. È, quindi, probabile che la piena applicabilità dell’AI Act avrà luogo nel 2026.

LA OPEN LETTER SULL’AI ACT

Proprio con riferimento all’Intelligenza Artificiale, è bene evidenziare, poi, come a fine giugno 2023 ben 150 aziende (tra cui Renault, Heineken, Airbus e Siemens) abbiano inviato una lettera aperta alla Commissione UE, al Parlamento e agli Stati membri per sottolineare come una eccessiva regolamentazione dei sistemi intelligenti rischia di portare al danneggiamento della competitività dell’UE, aumentando i costi di conformità e gli aspetti di responsabilità derivanti dall’uso delle AI.

Tutto ciò sfocerebbe in un fortissimo disincentivo alla spinta tecnologica, agli investimenti, all’innovazione, alla produttività e, così, alla “industria made in Europe”: “Secondo la nostra valutazione, la proposta di legge metterebbe a rischio la competitività e la sovranità tecnologica dell’Europa, senza affrontare efficacemente le sfide che abbiamo e avremo di fronte“.

IL DATA ACT

Venendo, invece, al Data Act, questa proposta di Regolamento punta a normare i diritti e l’uso dei dati generati da prodotti connessi (es. IoT) e servizi correlati.

Lo scorso 28 giugno è stato raggiunto un accordo politico tra il Parlamento e il Consiglio UE sulla proposta, che ora sarà soggetta ad approvazione formale per poi entrare in vigore 20 giorni dopo la pubblicazione della Gazzetta ufficiale, ed essere totalmente applicabile dopo 20 mesi.

Il Data Act, andando ad integrare il DGA (Data Governance Act che analizzeremo nel prossimo approfondimento), si focalizza su alcuni aspetti principali, quali:

• l’accesso degli utenti dei dati dagli stessi generati nell’utilizzo dei dispositivi connessi;
• obblighi di informativa;
• il contrasto all’abuso di squilibri e asimmetrie contrattuali (per la tutela della fairness dei rapporti);
• la portabilità dei dati (anche a garanzia del trasferimento illecito degli stessi), aspetto già toccato dal citato Regolamento 2018/1807, e
• circostanze eccezionali per cui gli enti pubblici possano utilizzare ed accedere a tali dati (ad esempio, obblighi giuridici o catastrofi naturali).

Un testo, quindi, votato a chiarire la ownership dei dati e facilitarne la portabilità, sempre nella nuova ottica di dato (qui personale e non personale, come nell’AI Act) come opportunità di business, per raggiungere una valorizzazione secondaria pur nel rispetto delle tutele e garanzie fondamentali degli interessati.

E’ interessante notare come, tra le proposte di modifica su cui Parlamento e Consiglio hanno trovato il citato accordo, vi sia la richiesta di chiarimenti sull’interazione tra normativa sui dati e legislazione vigente, ad esempio tra GDPR, DGA e Data Act.

Una delle maggiori sfide sarà certamente trovare il punto di bilanciamento tra un potenziale “ingessamento” dato dalla sovrapproduzione normativa, una (comprensibile) “ansia da adeguamento” e un forte rischio di sovrapposizione di istituti e regole (o, al contrario, di “vuoti normativi” nel tentativo di evitarla).