L’intelligenza artificiale (AI) non è più fantascienza. È dappertutto, dalla tua app di fitness preferita alle complesse reti che gestiscono i trasporti pubblici. Ma con grandi poteri arrivano grandi responsabilità, e la sua evoluzione ha sollevato questioni fondamentali non solo sul piano tecnologico ma anche etico e sociale, evidenziando la necessità di una regolamentazione che riesca a bilanciare l’innovazione con la tutela dei diritti fondamentali dei cittadini. In questo contesto, l’Unione Europea ha assunto un ruolo pionieristico con l’introduzione dell’AI Act, una normativa destinata a creare un quadro giuridico per lo sviluppo e l’impiego dell’AI che sia al contempo innovativo, sicuro e rispettoso dei valori etici.
Tra le novità più significative introdotte da questa normativa, spicca la Valutazione d’Impatto sui Diritti Fondamentali (FRIA o Fundamental Rights Impact Assessment), che segna un punto di svolta nel modo in cui le organizzazioni dovranno approcciarsi all’AI, ponendo l’accento sulla tutela dei diritti umani. Sebbene il testo definitivo dell’AI Act non sia ancora stato pubblicato, le FAQ sull’A.I. Act e le dichiarazioni pubbliche dei rappresentanti delle istituzioni europee forniscono già una chiara indicazione su come il FRIA sarà implementata nella legislazione.
In questo articolo, analizzeremo dettagliatamente questo strumento normativo, dalle sue origini al percorso che ha portato alla sua inclusione nell’AI Act, fino alle sue applicazioni pratiche. Discuteremo inoltre chi sarà tenuto a svolgere la FRIA, in quali circostanze, e come questa si distingua e si integri con altre valutazioni già note, come la DPIA, offrendo una panoramica completa sull’importanza e sulle implicazioni di questa valutazione nel panorama attuale e futuro dell’intelligenza artificiale.
CONTENUTO DELL'ARTICOLO
Che cos’è il FRIA
L’AI Act segna un importante passo avanti nella regolamentazione dell’intelligenza artificiale all’interno dell’Unione Europea, introducendo la Valutazione d’Impatto sui Diritti Fondamentali (FRIA). Questo strumento è specificamente progettato per garantire che l’applicazione e l’uso dei sistemi di intelligenza artificiale rispettino i diritti umani e le libertà fondamentali. Attraverso la FRIA, gli sviluppatori e gli operatori di sistemi AI considerati ad alto rischio sono tenuti a valutare in modo critico l’impatto che tali tecnologie possono avere sui diritti individuali.
La funzione principale della FRIA è di identificare preventivamente i potenziali rischi legali derivanti dall’utilizzo dell’AI, con l’obiettivo di mitigarli prima che possano manifestarsi. Questo processo enfatizza l’importanza di una valutazione approfondita e mirata alla conformità legale, ponendo le basi per un impiego dell’intelligenza artificiale che sia non solo avanzato dal punto di vista tecnologico, ma anche sicuro e in linea con i principi giuridici fondamentali dell’UE. Implementando la FRIA, l’AI Act cerca di assicurare che l’uso dell’intelligenza artificiale contribuisca positivamente alla società, salvaguardando al contempo le persone da possibili pregiudizi o danni.
Il concetto di FRIA prima dell’AI Act
L’interesse per le implicazioni dell’intelligenza artificiale (AI) sui diritti umani non è un fenomeno recente, ma si è sviluppato gradualmente attraverso dibattiti accademici, pubblicazioni specialistiche e scambi tra esperti. Queste discussioni hanno gettato le fondamenta per ciò che sarebbe stato formalizzato come Valutazione d’Impatto sui Diritti Fondamentali (FRIA) nell’AI Act. La crescente consapevolezza sull’importanza di valutazioni che vanno oltre i benefici tecnologici e considerano gli impatti etici e sui diritti umani ha sottolineato la necessità di un’analisi preventiva degli effetti dell’AI.
Tra i contributi significativi a questa discussione, spicca l’articolo “Practical fundamental rights impact assessments“, pubblicato nel 2022 da Heleen Janssen, Michelle Seng Ah Lee e Jatinder Singh sul International Journal of Law and Information Technology. Questo lavoro non solo ha anticipato le tematiche centrali dell’AI Act, ma ha anche offerto una dettagliata riflessione sulle FRIA, proponendo un modello strutturato per la loro realizzazione. Gli autori hanno evidenziato l’importanza di estendere l’attenzione dalla protezione dei dati personali all’intero spettro dei diritti umani potenzialmente toccati dall’uso dell’AI, suggerendo un quadro di valutazione (FRIAF) articolato in quattro fasi per guidare le organizzazioni nell’identificazione e nella mitigazione dei rischi.
In parallelo a questi sviluppi accademici, l’attenzione della società civile verso la responsabilità nell’uso dell’AI ha trovato espressione in documenti influenti come “A Civil Society Statement”, pubblicato nel 2021 da organizzazioni come Algorithm Watch e AccessNow. Questo manifesto ha richiamato l’attenzione sul bisogno di obblighi formali per le entità che impiegano sistemi AI ad alto rischio di valutare preventivamente i loro impatti sui diritti fondamentali.
Inoltre, il documento redatto dall’associazione ALLA.I. nel 2023 ha rafforzato ulteriormente l’argomentazione a favore della FRIA, sottolineando come quasi tutti i diritti fondamentali possano essere influenzati dall’AI, e come applicazioni già esistenti possano amplificare gli impatti a livello sociale.
L’inserimento del FRIA nell’AI Act
La Valutazione d’Impatto sui Diritti Fondamentali non è entrata a far parte dell’AI Act fin dalla prima bozza:
Inizialmente, la proposta della Commissione Europea non menzionava specificamente la tutela dei diritti fondamentali. La proposta del Consiglio ha successivamente introdotto un sistema di gestione del rischio per i fornitori di sistemi AI ad alto rischio, che prevedeva l’identificazione e l’analisi dei rischi potenziali per la salute, la sicurezza e i diritti fondamentali.
Anche se la bozza del Consiglio non stabiliva esplicitamente la necessità di effettuare una FRIA, contemplava già l’idea di un sistema di gestione dei rischi legati all’AI, con particolare attenzione a quelli che toccano i diritti fondamentali. Questa gestione era però limitata ai rischi che si riteneva fossero mitigabili o eliminabili mediante lo sviluppo tecnico e la progettazione del sistema AI ad alto rischio, o attraverso la fornitura di informazioni tecniche precise.
Questo approccio iniziale del Consiglio è stato poi sviluppato e ampliato dal Parlamento, che ha introdotto una visione più ampia e dettagliata riguardo alla valutazione dei rischi per i diritti fondamentali, concretizzandosi nell’obbligo di svolgere la FRIA. Il Parlamento, pur riconoscendo il sistema di gestione del rischio per i fornitori, ha aggiunto, con l’articolo 29, l’obbligo per gli implementatori (deployers) – ovvero coloro che completano l’implementazione dei sistemi AI ad alto rischio – di eseguire una valutazione d’impatto sui diritti fondamentali.
Elementi chiave del FRIA
L’articolo 29 introduce dettagliatamente i criteri che i deployers di sistemi di intelligenza artificiale ad alto rischio devono seguire per realizzare un Fundamental Rights Impact Assessment:
- Processo di Implementazione: è necessaria una descrizione approfondita di come il sistema AI ad alto rischio verrà impiegato, includendo dettagli operativi e contestuali.
- Durata e frequenza di utilizzo: le organizzazioni devono precisare per quanto tempo e con quale frequenza intendono utilizzare il sistema AI ad alto rischio.
- Categorie di persone o gruppi Interessati: la valutazione deve chiarire quali individui o gruppi potrebbero essere influenzati dall’utilizzo del sistema AI, tenendo conto del contesto di impiego.
- Rischi specifici di danno: è fondamentale identificare e descrivere i rischi particolari che il sistema potrebbe presentare per le categorie di persone o gruppi interessati.
- Misure di supervisione umana: i responsabili dell’implementazione sono tenuti a dettagliare come verranno applicate misure di controllo umano per monitorare l’operato del sistema AI.
- Misure di rimedio in caso di rischi concretizzati: devono essere predisposte strategie per mitigare e rimediare ai rischi qualora questi si manifestino.
Prima della messa in opera dei sistemi, gli attori coinvolti devono inoltre:
- Svolgere un’analisi d’impatto completa, che definisca chiaramente l’obiettivo del sistema AI, l’ambito temporale e geografico di utilizzo e le categorie di individui coinvolti.
- Assicurare che il sistema sia conforme alla legislazione nazionale ed europea sui diritti fondamentali, anticipando e gestendo i rischi per i diritti fondamentali, includendo possibili danni a individui emarginati o gruppi vulnerabili, oltre agli impatti ambientali.
- Elaborare e pubblicizzare un piano per mitigare danni e impatti negativi, enfatizzando l’importanza della responsabilità e della trasparenza.
- Nel caso emergano cambiamenti significativi nel sistema durante il suo utilizzo, sarà necessario effettuare una nuova valutazione d’impatto.
- È essenziale la collaborazione con autorità nazionali, organizzazioni di pari opportunità, enti per la tutela dei consumatori e altri stakeholder durante il processo di valutazione.
- Infine, è richiesta la pubblicazione di un sommario dei risultati della valutazione per promuovere la trasparenza.
Chi è tenuto a svolgere la Valutazione d’Impatto sui diritti fondamentali e quando
La Valutazione d’Impatto sui Diritti Fondamentali delineata nell’AI Act impone specifici obblighi a determinati soggetti nell’ambito dell’utilizzo di sistemi di intelligenza artificiale (AI). La normativa identifica con precisione chi è tenuto a svolgere tale valutazione e in quali contesti essa diventa necessaria. La responsabilità di condurre la FRIA ricade sugli implementatori dei sistemi AI, definiti come entità, sia pubbliche che private, che mettono in opera sistemi AI ad alto rischio nel loro ambiente operativo. Questi soggetti possono variare dalle grandi aziende che utilizzano AI per il reclutamento del personale, agli enti governativi che la impiegano per la sorveglianza o il monitoraggio, fino alle istituzioni sanitarie che la adottano per scopi diagnostici.
Cosa s’intende per “alto rischio”
Il FRIA è obbligatorio per i sistemi di AI classificati come “ad alto rischio”. La determinazione di “alto rischio” si basa su criteri specifici che includono l’uso del sistema in ambiti critici – come la salute, la sicurezza pubblica, la gestione delle infrastrutture critiche, l’istruzione, il lavoro, i servizi essenziali, l’amministrazione della giustizia e i processi democratici – e la possibilità che tale uso abbia un impatto significativo sui diritti e le libertà delle persone.
I sistemi AI non classificati come ad alto rischio non sono soggetti ai rigorosi requisiti di valutazione del FRIA. La principale distinzione risiede nell’impatto potenziale che l’applicazione AI può avere sulla società e sui diritti individuali.
Ad esempio:
- Applicazioni ad alto rischio: un sistema AI utilizzato per il filtraggio e la selezione dei candidati in processi di reclutamento, che può influenzare significativamente le opportunità lavorative delle persone, o algoritmi impiegati nella diagnostica medica, che hanno un impatto diretto sulla salute degli individui, richiedono una FRIA per valutare e mitigare i rischi per i diritti fondamentali.
- Applicazioni a rischio basso o marginale: Un chatbot utilizzato per fornire risposte standardizzate ai clienti su un sito web di e-commerce, la cui influenza sui diritti fondamentali è limitata o inesistente, non sarebbe classificato come ad alto rischio e, di conseguenza, non soggetto alla FRIA.
FRIA vs DPIA
La Valutazione d’Impatto sui Diritti Fondamentali (FRIA) e la Valutazione d’Impatto sulla Protezione dei Dati (DPIA) sono due strumenti di valutazione che, pur avendo obiettivi specifici, condividono l’intento di mitigare i rischi associati all’uso delle tecnologie.
Mentre la DPIA è uno strumento consolidato dal GDPR per identificare e minimizzare i rischi per la privacy derivanti dal trattamento dei dati personali, la FRIA è un meccanismo volto a garantire che l’implementazione di sistemi AI ad alto rischio rispetti i diritti fondamentali oltre la privacy, come la non discriminazione e il diritto alla libertà di espressione.
Entrambe le valutazioni condividono l’obiettivo di prevenire danni potenziali, ma differiscono nel loro specifico ambito di applicazione. La DPIA si focalizza sui rischi per i dati personali e la privacy degli individui, mentre la FRIA ha un campo di applicazione più ampio che include tutti i diritti fondamentali potenzialmente impattati dall’uso dell’AI. Nonostante queste differenze, esiste un terreno comune significativo che permette di creare sinergie tra le due valutazioni, specialmente quando un sistema AI ad alto rischio comporta sia trattamento significativo di dati personali sia potenziali impatti sui diritti fondamentali.
Ad esempio, consideriamo l’implementazione di un sistema di raccomandazione AI in un sito di e-commerce. Tale sistema analizza la cronologia degli acquisti e le preferenze degli utenti per suggerire prodotti pertinenti, raccogliendo e trattando così una vasta quantità di dati personali. In questo contesto, la DPIA si concentrerebbe sulla valutazione dei rischi per la privacy e la sicurezza dei dati degli utenti, mentre la FRIA valuterebbe come l’algoritmo di raccomandazione possa influenzare altri diritti fondamentali, ad esempio esaminando se il sistema potrebbe introdurre bias di genere o etnico nelle sue raccomandazioni.
Integrare la DPIA con la FRIA consente di valutare i rischi in modo più completo, prendendo in considerazione sia la protezione dei dati personali sia la tutela di una gamma più vasta di diritti fondamentali.
Cosa può fare Legal for Digital per le aziende che implementano l’AI
L’introduzione della Valutazione d’Impatto sui Diritti Fondamentali (FRIA) nell’AI Act evidenzia un’attenzione crescente verso un’analisi che consideri gli impatti dell’intelligenza artificiale oltre la sfera tecnologica, includendo la protezione dei diritti umani. L’associazione di questo strumento con la Valutazione d’Impatto sulla Protezione dei Dati (DPIA) crea un framework complesso, ma essenziale, per le imprese che utilizzano sistemi AI ad alto rischio.
Per le imprese, la necessità di comprendere e implementare correttamente sia la FRIA che la DPIA sottolinea l’importanza di una consulenza legale specializzata. Il ruolo dell’avvocato specializzato in diritto delle tecnologie e protezione dei dati diventa quindi centrale. L’avvocato, grazie alla sua expertise, può guidare l’impresa nell’interpretazione dell’AI Act, nella valutazione dei rischi associati ai sistemi AI utilizzati e nell’adozione di strategie operative conformi alla normativa.
La consulenza legale in questo ambito non si limita a garantire la conformità: consente all’impresa di adottare un approccio proattivo alla gestione dei rischi, favorendo l’innovazione responsabile. Inoltre, l’avvocato può facilitare la comunicazione tra l’impresa, gli sviluppatori di AI, le parti interessate e le autorità regolatorie, promuovendo soluzioni che rispettino i valori etici e i diritti fondamentali.
In un contesto in cui le normative sull’AI continuano a evolversi, l’impresa può trovare nel proprio consulente legale un alleato strategico per anticipare le sfide future e cogliere le opportunità offerte dall’innovazione tecnologica, assicurando allo stesso tempo che le sue pratiche rimangano allineate con i principi di legalità e responsabilità sociale.