La Proposta di regolamento sull’intelligenza artificiale presentata dalla Commissione fornisce all’art. 3 una definizione molto ampia di “sistema di intelligenza artificiale”, di fatto ricomprendendo qualsiasi software che, per finalità determinate dall’uomo, sia in grado di generare output in grado di influenzare gli ambienti – quindi anche le persone – con cui interagiscono. Sul punto si rimanda al nostro articolo “Le nuove regole in materia di intelligenza artificiale“.
La Proposta è stata sottoposta al vaglio de Parlamento, di varie istituzioni comunitarie ed infine del Consiglio, che in data 6 dicembre 2022 è stato chiamato a esaminare un testo di compromesso (scaricabile qui); il cennato testo di compromesso riporta una definizione di sistema di intelligenza artificiale sostanzialmente diversa rispetto a quella della Proposta
“sistema di intelligenza artificiale” (sistema di IA): un sistema progettato per funzionare con elementi di autonomia e che, sulla base di dati e input forniti da macchine e/o dall’uomo, deduce come raggiungere una determinata serie di obiettivi avvalendosi di approcci di apprendimento automatico e/o basati sulla logica e sulla conoscenza, e produce output generati dal sistema quali contenuti (sistemi di IA generativi), previsioni, raccomandazioni o decisioni, che influenzano gli ambienti con cui il sistema di IA interagisce;
Sarà quindi dirimente comprendere quale sarà la definizione definitiva di sistema di intelligenza artificiale al fine di stabilire quando un prodotto vi rientri o meno.
Rischio inaccettabile, alto o basso
La Proposta differenzia i sistemi di IA a seconda che determinino i) un rischio inaccettabile; ii) un rischio alto; iii) un rischio basso o minimo, dedicando ampio spazio ai sistemi ad alto rischio.
Quando un sistema di IA è ad alto rischio?
L’art. 6 della Proposta stabilisce che un sistema di IA è considerato ad alto rischio se sono soddisfatte entrambe le condizioni seguenti:
Il testo di compromesso del 6/12/2022 riporta un articolo 6 modificato nella lettera ma non nella sostanza dei primi due paragrafi:
Un sistema di IA che è esso stesso un prodotto disciplinato dalla normativa di armonizzazione dell’Unione elencata nell’allegato II è considerato ad alto rischio se è soggetto a una valutazione della conformità da parte di terzi ai fini dell’immissione sul mercato o della messa in servizio di tale prodotto ai sensi della suddetta normativa.
Un sistema di IA destinato a essere utilizzato come componente di sicurezza di un prodotto disciplinato dalla normativa di cui al paragrafo 1 è considerato ad alto rischio se è tenuto a essere oggetto di una valutazione della conformità da parte di terzi ai fini dell’immissione sul mercato o della messa in servizio di tale prodotto ai sensi della suddetta normativa. Tale disposizione si applica a prescindere dal fatto che il sistema di IA sia immesso sul mercato o messo in servizio in modo indipendente rispetto al prodotto.
Quindi, ai fini della classificazione come ad alto rischio, è richiesta la coesistenza di due condizioni
I dispositivi medici dotati di sistemi di IA sono quindi da considerarsi ad alto rischio?
L’allegato II della Proposta di IA, citato dall’art. 6 comma 1 lettera a), include entrambi i Regolamenti UE 745/2017 e 746/2017 sui dispositivi medici e sui dispositivi medici in vitro nell’elenco della normativa di armonizzazione dell’Unione.
Sulla base delle regole di Classificazione contenute nell’Allegato VII al Reg. UE 745/2017 difficilmente i dispositivi medici che utilizzino un sistema di IA potranno rientrare in una classe di rischio che escluda la valutazione di conformità dell’Organismo notificato (sulle regole di classificazione si rimanda al nostro articolo “La qualificazione e la classificazione dei software come dispositivi medici“).
Conseguentemente, i dispositivi medici che utilizzino un componente di sicurezza costituito da un sistema di IA o siano un sistema di IA devono essere considerati prodotti ad alto rischio ai sensi della proposta di regolamento.
D’altra parte, l’attenzione del legislatore europeo per i sistemi di IA che potrebbero avere ripercussioni negative per la salute delle persone è confermata anche nei considerando, dove al n. 28) leggiamo “…nel settore sanitario, in cui la posta in gioco per la vita e la salute è particolarmente elevata, è opportuno che i sistemi diagnostici e i sistemi di sostegno delle decisioni dell’uomo, sempre più sofisticati, siano affidabili e accurati”.
Requisiti per i sistemi di IA ad alto rischio
Se un sistema di IA è classificato ad alto rischio la proposta di regolamento prevede il rispetto di tutta una serie di requisiti illustrati nel Capo 2 del Titolo III.
In particolare, l’art. 10 disciplina l’uso dei dati e in particolare i data set.
Governance dei dati
Come noto uno dei problemi legati all’IA è proprio quello della “data accuracy”, intesa come esattezza della “modellazione statistica del software”: in sostanza la nozione di data accuracy nei sistemi di AI riguarda non solo i dati inseriti, ma anche la logica ed il funzionamento dello stesso software di AI nonché l’output finale di tale elaborazione (per un approfondimento si rimanda a “AI ed esattvezza dei dati: il quadro giuridico è sufficiente?“.
La qualità dei data set utilizzati è fondamentale.
Per questo motivo l’art. 10 prevede che i set di dati utilizzati per l’addestramento, la convalida e la prova del sistema di IA debbano rispettare i criteri di qualità di cui ai successivi commi da 2 a 5. In particolare, i set di dati devono essere pertinenti, rappresentativi, esenti da errori, completi e possedere proprietà statistiche appropriate, tenendo conto delle caratteristiche o degli elementi particolari dello specifico contesto geografico, comportamentale o funzionale all’interno del quale il sistema di IA ad alto rischio è destinato a essere usato.
E’ richiesta l’adozione di pratiche di gestione dei dati, che contemplino
Infine, il comma 5 prevede che i fornitori dei sistemi di IA possano trattare categorie particolari di dati personali,
“fatte salve le tutele adeguate per i diritti e le libertà fondamentali delle persone fisiche, comprese le limitazioni tecniche all’utilizzo e al riutilizzo delle misure più avanzate di sicurezza e di tutela della vita privata, quali la pseudonimizzazione o la cifratura, qualora l’anonimizzazione possa incidere significativamente sulla finalità perseguita”.
Dei collegamenti con il GDPR e delle implicazioni della proposta sull’IA sul tema del trattamento dei dati abbiamo già parlato “Intelligenza artificiale e protezione dei dati: una convivenza possibile?”
Interessante sul punto un recente intervento dell’ICO (Information Commissioner’s Office) che ha recentemente pubblicato le Linee guida “How to use AI and personal data appropriately ans lawfully”.
Una prima sezione del documento “How to improve and how to handle AI and personal information” contiene una serie di consigli e di indicazioni pratiche su come rispettare la conformità al GDPR nella progettazione e nel funzionamento dei sistemi di IA.
Nella seconda sezione “Artificial intelligence and personal information – frequently asked questions” lCO fornisce una risposta a nove domande frequenti nel contesto dell’IA e della protezione dei dati.
Avv. Silvia Stefanelli
Avv. Eleonora Lenzi