Quando il Governo ha presentato la sua prima bozza di strategia e i fondi a disposizione dell’intelligenza artificiale, ai piani italiani per l’AI mancava principalmente una cosa. Ovvero, decidere chi vigilerà sulla sua implementazione. Nei giorni seguenti il Sottosegretario all’innovazione Alessio Butti ha svelato che la ricetta scelta è un mix tra Agid, l’agenzia per l’Italia digitale, e Acn, l’Agenzia per la cybersicurezza nazionale. Il Garante della privacy, però, non è d’accordo.
Il Garante per la protezione dei dati personali ha infatti scritto nei giorni scorsi a Parlamento e Governo, dicendo che per l’AI servono Autorità di vigilanza indipendenti e imparziali.
Non solo: proprio il Garante ha “i requisiti di competenza e indipendenza necessari per attuare il Regolamento europeo sull’intelligenza artificiale coerentemente con l’obiettivo di un livello elevato di tutela dei diritti fondamentali”. Lo ha scritto il Presidente Pasquale Stanzione (nella foto in evidenza), in una segnalazione inviata nei giorni scorsi ai Presidenti di Senato e Camera e al Presidente del Consiglio.
Una segnalazione che anticipa il disegno di legge italiano annunciato dallo stesso Butti per questa settimana (ma che potrebbe slittare a dopo Pasqua).
Che la scelta del Governo non sarebbe ricaduta sul Garante era intuibile prima ancora della conferma della scelta di agenzie governative Agid e Acn.
Lo stesso Butti aveva ribadito che la scelta sarebbe ricaduta su un’agenzia e non su un’autorità indipendente. Il dubbio poteva eventualmente essere quello tra un’agenzia esistente e la creazione di una nuova agenzia ad hoc, sul modello della Spagna: anche il governo iberico ha scelto di tenersi stretta l’AI, come vorrebbe fare quello italiano.
Intelligenza artificiale, la strategia italiana e cosa manca
Intelligenza artificiale, il nodo competenze
Annunciando la scelta di Acn e Agid il Sottosegretario aveva spiegato al Sole 24 ore che un’Autorità potrebbe non avere le competenze necessarie per gestire l’AI, al contrario di Agid (che ha già integrato l’intelligenza artificiale nel suo programma nazionale per l’informatica) e Agenzia per la cybersicurezza. Secondo i sindacati dei dipendenti del Garante, che allarmati hanno scritto la scorsa settimana a Presidente e collegio, le competenze ci sono. E al di là della scelta del Governo sull’AI, non possono essere eliminate.
Garante privacy, il punto dell’indipendenza
Il punto su cui fa leva il Garante è la questione dell’indipendenza. L’approvazione dell’AI Act arrivata il 13 marzo (il giorno successivo alla presentazione della bozza di strategia italiana) da parte del Parlamento europeo, spiega il Presidente dell’Autorità, “impone agli Stati membri alcune scelte essenziali sulle norme di adeguamento degli ordinamenti interni”.
Il fatto che l’AI abbia un grande impatto sui diritti fondamentali “suggerisce” di attribuirne la competenza ad Autorità caratterizzate da requisiti d’indipendenza stringenti, come le Authority per la privacy, dice il Garante. Anche perché c’è una “stretta interrelazione” tra intelligenza artificiale e protezione dati e della competenza già acquisita in materia di processo decisionale automatizzato.
Secondo il presidente “l’individuazione nel Garante dell’autorità di controllo per l’intero Regolamento (oltre, dunque, agli ambiti comunque riservatagli dall’art. 74, p.8)” consentirebbe un adeguamento “tempestivo agli obblighi ivi previsti, potendo esso avvalersi dell’esperienza già maturata rispetto a quell’aspetto così dirimente dell’AI che è rappresentato dal processo decisionale automatizzato”.
Intelligenza artificiale, cosa succede ora
L’Autorità italiana, con una decisione che è diventata una tappa importante nella storia dell’AI generativa, lo scorso anno ha imposto il blocco temporaneo di ChatGpt in Italia e ha chiesto ad OpenAi di adeguarsi alle normative sulla protezione dei dati.
L’AI Act – ricorda il Garante – si fonda sull’articolo 16 del Trattato sul funzionamento dell’Unione europea, che è la base giuridica della normativa di protezione dei dati, e lo stesso Regolamento sull’intelligenza artificiale prevede il controllo delle Autorità di protezione dei dati personali su processi algoritmici che utilizzino dati personali.
La “sinergia tra le due discipline” e la loro applicazione da parte di “un’unica Autorità” è quindi determinante per l’effettività dei diritti e delle garanzie sanciti, secondo Stanzione, che suggerisce una “riflessione” a Parlamento e Governo.
Cosa succederà ora? In attesa che il disegno di legge venga ufficialmente presentato, è possibile che una soluzione al nodo della vigilanza non arrivi prima delle discussioni parlamentari. Una discussione da cui dipende non solo l’attribuzione delle competenze di vigilanza e sanzionatorie, ma il funzionamento stesso della strategia.
Il sottosegretario all’Innovazione aveva anticipato il necessario coordinamento tra enti diversi. Il presidente dell’Autorità lo ha confermato: nel caso non sarà il Garante l’autorità prescelta, l’AI Act obbligherà in ogni caso a creare dei meccanismi (“non scevri da oneri amministrativi per cittadini e imprese”) di coordinamento con l’Autorità stessa, perché è questa ad avere le competenze sui alcuni punti del regolamento, come sancito da Carta dei diritti fondamentali Ue e Trattato europeo (“pena l’illegittimità della norma interna”).
L’alternativa, secondo il presidente più semplice, è evitare ogni pericolo di frammentazione assegnando le competenze a una sola Autorità indipendente.
