Tech Legal DPO e CAIO: due facilitatori a confronto Giuseppe Alve... 27 November 2023 Il Dipartimento dell'Istruzione degli Usa ha nominato il suo nuovo CAIO (Chief Artifical Intelligence Officer), cioè il Responsabile della Intelligenza Artificiale. La notizia, diffusa qualche giorno fa sulla Rete, ha subito catalizzato l’attenzione dei “professionisti dei dati” su questa nuova figura professionale. AI Privacy Un nuovo Executive Order di Biden impone a ciascuna agenzia USA di designare il proprio Responsabile dell’Intelligenza Artificiale, il cd. CAIO (Chief Artificial Intelligence Officer), col compito di coordinare l’uso dell’AI all’interno di ogni agenzia e gestire i rischi derivanti dal suo utilizzo. I compiti attribuiti ricordano quelli del DPO. Forse per questo motivo la proposta dell’AI ACT non prevede analoghe figure professionali. È comunque utile analizzare la sfera di responsabilità del CAIO per comprendere come potrebbe/dovrebbe evolvere il DPO in termini di competenze funzionali all’uso di sistemi di AI affidabili. L’importanza delle persone nella gestione dei rischi per l’uso dell’AI Un recentissimo Executive Order di Biden, sullo sviluppo e l’uso di un’intelligenza artificiale sicura, protetta e affidabile, ha sottolineato quanto sia importante gestire i rischi derivanti dall’uso dell’AI da parte del governo federale e contestualmente aumentare la sua capacità interna di regolamentare, governare e sostenere un uso responsabile della stessa AI. Lo stesso provvedimento evidenzia anche: la centralità delle persone nel garantire uno sviluppo ed un uso dell’AI sicuro, protetto ed affidabile; la conseguente necessità di adottare misure per attrarre, trattenere e sviluppare professionisti dell’AI orientati al servizio pubblico, in tutte le discipline, compresi i campi tecnologico, politico, gestionale, degli appalti, normativo, etico, di governance e legale. In tale quadro si prevede che ogni agenzia governativa designi il proprio CAIO (Chief Artificial Intelligence Officer). Il CAIO (Chief Artificial Intelligence Officer) Il CAIO (Chief Artificial Intelligence Officer) è quindi un nuovo ruolo professionale da attribuire a persone in possesso di specifiche competenze di livello elevato, al fine di coordinare l’uso dell’intelligenza artificiale all’interno di ciascuna agenzia e gestire i rischi derivanti dal suo utilizzo. Questa nuova figura è stata istituita in esito alla presa d’atto che solo un uso responsabile dell’AI può aiutare a risolvere le sfide emergenti e rendere il nostro mondo più prospero, produttivo, innovativo e sicuro. D’altra parte, un uso irresponsabile potrebbe aggravare i danni sociali quali le discriminazioni, i pregiudizi e la disinformazione. Così, per sfruttare l’intelligenza artificiale e avvalersi dei molteplici benefici che essa può portare, bisogna necessariamente controllare e mitigare i connessi rischi sostanziali. Questo è lo scenario in cui si inserisce il CAIO. Vediamo, allora, quali sono i compiti che è chiamato a svolgere. Compiti e Responsabilità del CAIO Al CAIO sono attribuite le responsabilità descritte nella sezione 8(c) dell’Executive Order n.13960 del 3 dicembre 2020, rubricato “Promuovere l’uso di un’intelligenza artificiale affidabile nel governo federale”. Questa nuova figura deve quindi accompagnare e sostenere l’agenzia che lo ha designato in tutte le attività di progettazione, sviluppo, acquisizione e utilizzazione dell’intelligenza artificiale in modo da promuovere la fiducia dei destinatari dei servizi pubblici, proteggendo nel contempo i diritti e le libertà fondamentali. Per realizzare queste finalità dovrà curare che tutte le attività siano allineate ai principi per l’uso dell’intelligenza artificiale di seguito specificati. Uso lecito e rispettoso dei valori della Nazione Le agenzie devono progettare, sviluppare, acquisire e utilizzare l’intelligenza artificiale in un modo che sia funzionale al rispetto dei valori della Nazione e sia coerente con la Costituzione e tutte le altre leggi e politiche applicabili, comprese quelle relative alla privacy, ai diritti civili e alle libertà civili. Uso mirato e orientato alle prestazioni Le agenzie devono cercare opportunità per progettare, sviluppare, acquisire e utilizzare l’intelligenza artificiale, laddove i benefici che ne derivano superino significativamente i rischi e i rischi possano essere valutati e gestiti. Uso preciso, affidabile ed efficace Le agenzie devono garantire che la loro applicazione dell’AI sia coerente con i casi d’uso per i quali la stessa AI è stata addestrata e che tale utilizzo sia accurato, affidabile ed efficace. Uso sicuro, protetto e resiliente Le agenzie devono garantire la sicurezza, la protezione e la resilienza delle loro applicazioni di intelligenza artificiale, inclusa la resilienza di fronte a vulnerabilità sistematiche, a manipolazioni malevole e ad altri sfruttamenti dannosi. Uso comprensibile Le agenzie devono garantire che le operazioni e i risultati delle loro applicazioni di AI siano sufficientemente comprensibili da esperti in materia, dagli utenti e da altri, a seconda dei casi. Uso responsabile e tracciabile Le agenzie devono garantire che i ruoli e le responsabilità umane siano chiaramente definiti, compresi e adeguatamente assegnati per la progettazione, lo sviluppo, l’acquisizione e l’uso dell’AI. La progettazione, lo sviluppo, l’acquisizione e l’utilizzo dell’AI, nonché gli input e gli output pertinenti di particolari applicazioni di AI, dovrebbero essere ben documentati e tracciabili, nella misura in cui ciò sia possibile. Uso monitorato regolarmente Le agenzie devono garantire che le loro applicazioni di intelligenza artificiale siano regolarmente testate rispetto a questi principi. Dovrebbero essere mantenuti meccanismi per sostituire, disattivare o disattivare le applicazioni esistenti dell’IA che dimostrano prestazioni o risultati incoerenti con l’uso previsto. Uso trasparente Le agenzie devono essere trasparenti. Devono divulgare informazioni rilevanti alle parti interessate circa il modo appropriato in cui utilizzano l’AI, nella misura possibile e in conformità con le leggi e le politiche applicabili, anche in relazione alla protezione della privacy e al riserbo sulle informazioni sensibili trattate dalle forze dell’ordine e dagli organi della sicurezza nazionale. Uso responsabile Le agenzie sono responsabili dell’implementazione e dell’applicazione di garanzie adeguate per il corretto utilizzo e funzionamento delle loro applicazioni di intelligenza artificiale e devono monitorare, verificare e documentare la relativa conformità. Comparazione con i compiti attribuiti dal GDPR al DPO A ben vedere il CAIO è chiamato a supportare le agenzie governative statunitensi tanto quanto il DPO deve sostenere i titolari del trattamento, pubblici e privati, stabiliti in UE. Infatti il DPO è chiamato a: formare, informare e fornire consulenza a tutti i players dell’ecosistema della Data Protection circa gli obblighi a loro attribuiti; sorvegliare l’applicazione della normativa privacy e delle politiche dell’organizzazione, al fine di garantire l’allineamento dei processi aziendali ai principi fissati dall’art. 5 del GDPR che collimano con i citati principi stabiliti nell’Executive Order del 3 dicembre 2020; agevolare l’esercizio dei diritti privacy da parte degli interessati, compreso il diritto previsto dall’art, 22 del GDPR applicabile proprio ai trattamenti di dati personali eseguiti attraverso l’uso di sistemi di AI. A completamento del quadro di comparazione, va evidenziato che il DPO, nell’eseguire i propri compiti, deve considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo. La similitudine delle sfere di responsabilità di questi due facilitatori può essere utilizzata come chiave di spiegazione del motivo per il quale all’interno della proposta dell’AI ACT non sia stata prevista una specifica entità incaricata di guidare P.A. ed imprese stabilite in UE nella gestione dei rischi connessi all’uso dell’AI. È indubbio però che ogni DPO sarà, comunque, indotto ad elevare il suo livello di competenze per poter sostenere le difficili sfide poste dall’AI. È auspicabile che questa evoluzione determini positive ricadute sui diritti e libertà fondamentali delle persone e sulla dignità professionale di ogni DPO. A riprova che l’AI potrebbe determinare la qualificazione dei posti di lavoro piuttosto che la loro eliminazione. Giuseppe Alverone