di Valentina Magri e Claudia Ridolfo
L’AI Act e il Gdpr creano la necessità di una compliance integrata. «Necessariamente le due normative insieme ad altre si devono integrare e avere presidi di conformità fin dalla progettazione», afferma Ernesto Covello, specialista senior group Dpo di Bper Banca. Il tema sarà approfondito martedì 23 aprile a Milano presso Pambianco Hub all’interno del primo Tech Forum di TopLegal. L’evento è sostenuto dai media partner Decripto.org, Italia Economy e supportato da Clusit, InnovUp e Italian Tech Alliance. Tra i relatori anche Ernesto Covello.
Il quale pone l’attenzione su diverse tematiche che hanno bisogno di valutazioni con competenze legali multidisciplinari. Tra queste, la valutazione dell’impatto sui diritti fondamentali deve integrarsi con la valutazione d’impatto della protezione dei dati (Dpia) richiesta dal Gdpr. L’utilizzo dell’AI deve essere trasparente, come richiesto da tutte le tipologie di rischio dell’AI Act, e non può non integrarsi con altri profili normativi di compliance, quali profili di trasparenza legati alle informazioni sul trattamento dei dati personali e con i temi legati alla protezione del consumatore.
I modelli di AI devono essere valutati fin dalla progettazione e dallo sviluppo e necessariamente devono integrare requisiti di privacy by design di cui all’art. 25 del Gdpr. In particolare, un modello di AI deve essere valutato tenendo conto dello scopo, delle modalità, degli strumenti, della sicurezza coerentemente con i principi di limitazione delle finalità di cui al Gdpr e limitazione della conservazione dei dati.
«Il risk-based approach è il medesimo approccio di cui al Gdpr, anche se per me ci sono delle differenze importanti tra i due metodi: l’AI Act vieta alcune tipologie e individua soltanto alcune AI che devono avere quelle caratteristiche e non è applicabile a tutto, mentre il Gdpr richiede il medesimo approccio di rischio per tutte le tecnologie, i prodotti, i servizi che richiedono il trattamento dei dati personali», spiega Covello.
Anche i temi di ethics by design devono essere integrati con i temi della sostenibilità, anche al fine del perseguimento delle tematiche Esg. I presidi di mitigazione dei bias devono essere integrati con misure appropriate di monitoraggio fin dalla progettazione e per tutto il ciclo di vita, con la scelta di caratteristiche di input che non creino profili discriminatori e/o input iniqui.
Infine, i processi decisionali totalmente automatizzati non sono soltanto una tematica di AI, ma con il digitale, i prodotti e i servizi digitali e le aziende digitali nasce sempre più la necessità di adottare questi processi che richiedono valutazioni legali importanti e presidi di conformità adeguati. Una delle tematiche più importanti in questa tipologia di processi è la trasparenza, con l’adozione di presidi informativi verso i clienti mediante i quali sono informati dell’esistenza di processi decisionali totalmente automatizzati avendo la possibilità di chiedere l’intervento umano, contestare la decisione, esprimere la propria opinione e chiedere la rivalutazione della decisione da parte di una persona esperta.
Altro tema è la spiegabilità: sia i modelli di AI, sia eventuali motori, sistemi che si adottano per decisioni totalmente automatizzate devono essere explainable. Pertanto, le aziende si dovranno dotare di processi e misure organizzative per rispondere a queste nuove sfide, senza le quali tali processi sono vietati. Altra tematica legale importante riguarda la crescente richiesta nell’ambito dei contesti digitali di un approccio linguistico diverso verso l’utente. «Sempre più nell’ambito digitale le aziende dovranno adottare modelli di legal design, con l’adozione di tecniche di linguaggio come se stessimo spiegando dei concetti giuridici a un bambino. Il legal design e la data protection by design creano valore di business e sarà lo stesso per l’intelligenza artificiale: le aziende che saranno trasparenti avranno la meglio in questa grande sfida mondiale», conclude Covello.