AI Act: Valutazione di Impatto sui Diritti Fondamentali (FRIA)

Le recenti negoziazioni tra Commissione europea, Consiglio e Parlamento sull’AI Act hanno portato all’introduzione di un nuovo adempimento: la Valutazione dell’Impatto sui Diritti Fondamentali, o Fundamental Rights Impact Assessment (FRIA).

Dopo tre giorni di negoziati intensi la Commissione Europea, il Consiglio dell’Unione Europea e il Parlamento Europeo, lo scorso 8 dicembre 2023, hanno raggiunto l’accordo politico sul testo del Regolamento Europeo sull’Intelligenza Artificiale (meglio noto come EU AI Act). Tra gli emendamenti aggiunti al testo inizialmente proposto dalla Commissione è stato introdotto, al ricorrere di determinate circostanze, l’obbligo di svolgere una valutazione di impatto sui diritti fondamentali. Di seguito analizzeremo le fonti esistenti per scoprire chi sono i soggetti tenuti a svolgere questa valutazione e cosa dovrebbe includere.

Il Regolamento sull’AI mira ad introdurre un quadro legislativo innovativo con un approccio comprensivo e basato sul rischio per proteggere la sicurezza e i diritti fondamentali delle persone che interagiscono con i sistemi di AI, estendendo il suo impatto anche oltre i confini dell’UE. Le recenti modifiche proposte al Regolamento durante le negoziazioni mirano, tra l’altro, a stabilire regole rigorose per i sistemi di AI ad alto rischio, prevedendo requisiti di sicurezza, trasparenza e accountability a tutela di coloro che sono influenzati da queste tecnologie avanzate. Anche se il testo ufficiale non è ancora stato divulgato, l’entrata in vigore del Regolamento è imminente. Prima della sua pubblicazione ufficiale nella Gazzetta dell’Unione europea il testo subirà revisioni tecniche, giuridiche e linguistiche nei prossimi mesi, tenendo conto dell’accordo politico raggiunto sul merito. Nell’attesa del testo definitivo la Commissione Europea ha aggiornato le proprie FAQ sull’AI Act, rivelando alcuni contenuti chiave che saranno introdotti nel testo finale. Significativamente, le recenti negoziazioni hanno portato all’introduzione, su proposta del Parlamento, di un nuovo adempimento: la Valutazione dell’Impatto sui Diritti Fondamentali, o Fundamental Rights Impact Assessment (FRIA).

Posizione del Consiglio: sistemi di gestione del rischio con focus sui diritti fondamentali

Nella versione dell’AI Act proposta il 6 dicembre 2022 dal Consiglio dell’UE, è stata introdotta per la prima volta all’articolo 9, comma 2, lettera a, una specificazione in merito al sistema di gestione del rischio inizialmente proposto dalla Commissione UE.

Il Consiglio aveva difatti previsto che i fornitori di sistemi di AI ad alto rischio dovessero implementare un sistema di gestione del rischio che, alla luce dello scopo del sistema di AI ad alto rischio, contenesse una fase di identificazione e analisi dei rischi noti, possibili e prevedibili con conseguenze sulla salute, sulla sicurezza e sui diritti fondamentali degli individui. Sebbene la versione proposta dal Consiglio non prevedesse specificamente un obbligo di svolgere un FRIA, tuttavia includeva già un riferimento alla gestione del rischio dell’AI focalizzata sui diritti fondamentali, tuttavia circoscritta ai rischi specifici ragionevolmente mitigabili o eliminabili attraverso lo sviluppo o la progettazione del sistema di intelligenza artificiale ad alto rischio, o la fornitura di informazioni tecniche adeguate. Questa posizione è stata successivamente estesa ed articolata dal Parlamento.

Posizione del Parlamento: introduzione del FRIA

Il 14 giugno 2023, il Parlamento europeo ha approvato la propria proposta dell’AI Act. Questa versione mantiene il sistema di gestione di rischio previsto all’articolo 9, che si concentra sull’identificazione e l’analisi dei rischi e introduce, all’articolo 29, il nuovo obbligo per gli implementatori (deployer) di sistemi di AI ad alto rischio (cioè chi si occupa di portare a termine l’implementazione del sistema di AI), di condurre una valutazione di impatto sui diritti fondamentali. Questa valutazione mira a calcolare gli effetti che un sistema di AI può avere sui diritti fondamentali delle persone potenzialmente impattate dal sistema. Secondo il Parlamento l’implementatore sarebbe il soggetto più adeguato per condurre tale valutazione in quanto ha una conoscenza più dettagliata e approfondita dell’utilizzo specifico del sistema di AI ad alto rischio e una capacità di identificare i rischi più rilevanti che potrebbero non essere stati previsti durante la fase di sviluppo del sistema.

L’Articolo 29a dell’AI Act nella versione del Parlamento stabilisce stringenti protocolli per l’integrazione responsabile di sistemi di AI ad alto rischio, ponendo particolare attenzione al rispetto dei diritti fondamentali:

• prima di implementare tali sistemi, gli attori responsabili devono condurre una valutazione d’impatto completa, delineando chiaramente il fine d’uso, l’ambito temporale e geografico, e le categorie di individui coinvolte;
• deve inoltre esserne verificata la conformità con la legislazione nazionale ed europea in materia di diritti fondamentali. Inoltre, la valutazione deve anticipare e gestire i rischi, considerando gli impatti prevedibili sui diritti fondamentali, i possibili danni alle persone emarginate o ai gruppi vulnerabili, e gli effetti negativi sull’ambiente;
• un piano dettagliato per mitigare i danni e gli impatti negativi deve essere elaborato e reso pubblico, sottolineando la necessità di responsabilità e trasparenza;

Inoltre se durante l’uso del sistema si rilevano cambiamenti significativi del sistema, l’implementatore è tenuto a condurre una nuova valutazione d’impatto. La collaborazione con le autorità nazionali, organizzazioni di pari opportunità, agenzie di tutela dei consumatori e altri portatori d’interesse viene considerata essenziale durante il processo di valutazione. Per promuovere la trasparenza, viene infine richiesta la pubblicazione di una sintesi dei risultati della valutazione.

Posizione del Trilogo: gli elementi essenziali del FRIA

L’accordo raggiunto durante la sessione di trilogo del 6-8 dicembre 2023 dai colegislatori europei amplia la decisione iniziale includendo l’obbligo di condurre una valutazione d’impatto sui diritti fondamentali per alcuni soggetti che impiegano sistemi di AI ad alto rischio. Quest’obbligo si applica agli enti di diritto pubblico o agli operatori privati che forniscono servizi pubblici, nonché agli operatori che forniscono sistemi ad alto rischio. Questi soggetti sono tenuti a eseguire una valutazione dell’impatto sui diritti fondamentali e a riferirne i risultati all’autorità nazionale.

L’obiettivo di questa valutazione comprende diversi elementi chiave:

• Descrizione del processo di implementazione: La valutazione deve includere una descrizione dettagliata del processo in cui verrà utilizzato il sistema di AI ad alto rischio
• Tempo di utilizzo e frequenza: Le organizzazione devono specificare la durata e la frequenza dell’utilizzo predisposto per il sistema di AI ad alto rischio.
• Categorie di persone o gruppi interessati: La valutazione deve identificare le categorie di persone fisiche e gruppi che potrebbero essere interessati dall’uso del sistema di AI nel contesto specifico.
• Rischi specifici di danno: è obbligatorio descrivere i rischi specifici di danno che possono avere un impatto sulle categorie di persone o gruppi identificati.
• Misure di supervisione umana: I responsabili dell’implementazione devono descrivere in dettaglio l’attuazione di misure di supervisione umana per monitorare il sistema di AI.
• Misure di rimedio alla concretizzazione del rischio: Le entità devono delineare le misure da adottare nel caso in cui i rischi identificati si concretizzino.

È importante notare che se l’implementatore ha già adempiuto a questi obblighi attraverso una valutazione d’impatto sulla protezione dei dati, la valutazione d’impatto sui diritti fondamentali deve essere condotta insieme a quella sulla protezione dei dati. Questo approccio integrato garantisce una valutazione approfondita delle implicazioni dell’impiego di sistemi di AI ad alto rischio, dando priorità alla protezione dei diritti fondamentali e alla sicurezza dei dati.

Si rileva infine che l’obbligo di condurre il FRIA è stato introdotto anche relativamente alla nuova categoria di GPAI con rischio sistemico. Anche noti come modelli GPAI ad alto impatto, tali modelli sono stati individuati durante le ultime negoziazioni che hanno delimitato un regime di regolamentazione più stringente per i modelli di GPAI caratterizzati da un addestramento particolarmente intenso, infatti per stabilire quale modello rientra in questa categoria è stata usata l’unita di misura che individua la potenza dei computer. Tale decisione nasce dal fatto che vi è spesso una diretta corrispondenza tra la potenza utilizzata nell’addestramento e dunque anche la mole di dati appresi e le capacità del modello finale. Il limite stabilito a 10^25 FLOPs, oggi includerebbe solamente il top-tier dei modelli di AI come GPT-4 e probabilmente Gemini di Google. Per questi modelli sono stati individuati requisiti ulteriori da attuare prima dell’implementazione che riguardano: la mitigazione dei rischi, la prontezza di risposta agli incidenti, la cybersicurezza, il livello dei test durante lo sviluppo, la documentazione sull’impatto ambientale e naturalmente la valutazione di impatto sui diritti fondamentali.

Esempi di FRIA

La conduzione di valutazioni d’impatto rappresenta un requisito previsto da vari regolamenti europei, tra cui il GDPR, che all’articolo 35 richiede al responsabile del trattamento di eseguire una valutazione d’impatto sulla protezione dei dati quando il trattamento potrebbe comportare un rischio elevato per i diritti e le libertà delle persone fisiche. Tali valutazioni hanno l’obiettivo generale di prevenire e ridurre potenziali danni, assicurando una protezione proattiva dei diritti e delle libertà individuali e garantendo che le misure di sicurezza siano considerate e integrate efficacemente nei processi di sviluppo.

Non è quindi sorprendente che sia stata esercitata pressione per l’inclusione del FRIA nell’AI Act, al fine di promuovere una gestione etica e responsabile degli impatti dell’intelligenza artificiale.

Il primo documento rilevante che ha promosso l’introduzione del FRIA nell’AI Act è “A Civil Society Statement”, pubblicato il 30 novembre 2021 e firmato da associazioni come Algorithm Watch, AccessNow, Anec e altre formalmente riconosciute come ONG, ma sponsorizzate da enti governativi e aziende private, e dirette da consigli direttivi che annoverano giornalisti, professori, avvocati e rappresentanti di startup. Il documento raccomanda fortemente l’introduzione dell’obbligo per chi impiega sistemi di AI ad alto rischio di condurre una valutazione di impatto sui diritti fondamentali prima di adottare qualsiasi sistema di AI ad alto rischio per qualsiasi utilizzo.

Il secondo documento da considerare è stato pubblicato il 14 luglio 2023 dall’associazione ALLAI, un’organizzazione indipendente con membri del consiglio di amministrazione provenienti da OCSE, Commissione Europea, Consiglio d’Europa ed enti governativi olandesi. Tale documento prende in considerazione il FRIA come introdotto nell’ultima versione dell’AI Act del Parlamento e suggerisce che, oltre alla “non discriminazione” e alla “privacy”, praticamente tutti i diritti fondamentali potrebbero essere colpiti dai sistemi di AI, o in alternativa, molte applicazioni di AI già in uso potrebbero esacerbare e amplificare l’impatto su scala, ampliando la portata a fette più ampie della società. In particolare, i sistemi di AI potrebbero avere un effetto negativo su diritti fondamentali quali:

– Dignità e integrità umana, attraverso il controllo, la manipolazione e l’inganno degli individui;

– Libertà dell’individuo, attraverso la sorveglianza (anche di massa) guidata dall’AI tramite il riconoscimento facciale, che può portare al c.d. effetto “Grande Fratello”, o il riconoscimento di microespressioni della nostra personalità tramite la voce, la frequenza cardiaca, la temperatura corporea che potrebbero essere utilizzati per prevedere il comportamento o le emozioni delle persone. Questi sistemi di monitoraggio potrebbero avere un impatto sull’integrità delle persone se adottate in contesti come le scuole, nelle assunzioni e nelle attività delle forze dell’ordine.

– Uguaglianza e solidarietà, attraverso la possibilità di amplificare o perpetuare pregiudizi discriminatori e inaccettabili, quando un sistema di AI basato sui dati è difficile da spiegare e i ragionamenti che hanno determinato un risultato non sono rintracciabili.

– Giustizia, attraverso il perpetuarsi di pregiudizi esistenti in situazioni in cui è in gioco la libertà fisica o la sicurezza personale, come nel caso della polizia predittiva. Inoltre, quando un sistema di AI viene utilizzato per la previsione del rischio di recidiva, può avere esiti distorti che mettono a rischio il diritto alla non discriminazione, determinando ulteriori difficoltà quando il sistema adotta ragionamenti non ripercorribili e di difficile comprensione.

– Democrazia, attraverso i sistemi di raccomandazione che determinano i contenuti mostrati agli utenti sulle piattaforme online, che aumentano la diffusione di deepfakes e disinformazione, che possono deteriorare il livello di veridicità e credibilità dei media e del discorso democratico, in particolare con l’attuale facilità di accesso ai sistemi di AI generativi.

– Stato di diritto, quando l’eventuale mancanza di moderazione nell’uso dei sistemi di AI, con l’obiettivo di aumentare l’efficienza di un’istituzione, determina un’erosione della legittimità procedurale e della fiducia nelle istituzioni e nelle autorità democratiche.

– L’ambiente, attraverso l’intenso consumo di energia richiesto durante le fasi di formazione e di funzionamento della maggior parte dei sistemi di AI, in particolare per la GPAI.

Il documento conclude ricordando che i requisiti per la realizzazione di una FRIA devono riguardare sia i fornitori che gli implementatori, poiché un impatto sui diritti fondamentali potrebbe verificarsi sia nella fase di sviluppo che in quella operativa.

Come prepararsi a gestire lo svolgimento dei FRIA: metodologia multifase

In previsione del testo definitivo, le imprese possono prepararsi in modo adeguato all’entrata in vigore dell’AI Act mediante la raccolta anticipata di informazioni utili per condurre il FRIA, ottimizzando gli sforzi e sfruttando al massimo quanto già mappato durante il processo di DPIA, specialmente nei casi in cui i sistemi di intelligenza artificiale comportano trattamenti potenzialmente rischiosi di dati personali.

Si propone di seguito una metodologia a fasi multiple per la valutazione d’impatto, comprendente elementi chiave per condurre un FRIA:

1. Identificazione del Perimetro:

• Cosa: Identificazione dell’ambito geografico e dell’ecosistema di implementazione del sistema AI
• Come: Descrizione dettagliata del sistema, con particolare attenzione a input, output, procedure di gestione dei dati, accessibilità, spiegabilità e potenziali impatti sui diritti fondamentali.
• Chi: Definizione del contesto operativo, identificazione delle parti interessate, categorie di individui coinvolti, con attenzione ai gruppi vulnerabili.
• Perché: Definizione degli scopi e degli obiettivi del sistema AI in allineamento con gli obiettivi dell’organizzazione.
• Quando: Definizione della durata operativa prevista del sistema, considerando cambiamenti tecnologici, normativi e di mercato.

2. Verifica del Quadro Legale:

• Identificazione dei requisiti normativi applicabili al sistema, inclusi obblighi di non discriminazione, protezione ambientale, standard di salute e sicurezza.
• Verifica della conformità con la legislazione UE e nazionale relativa ai diritti fondamentali.

3. Identificazione dell’Impatto e della Gravità:

• Valutazione della serietà dell’impatto potenziale del sistema sui diritti fondamentali delle categorie coinvolte, con particolare attenzione ai soggetti vulnerabili.

4. Mitigazione dei Rischi:

• Descrizione delle misure per rimuovere o mitigare i rischi identificati, con strategie per affrontare i rischi residui.

5. Monitoraggio dei Rischi e delle Mitigazioni:

• Impostazione di indicatori di rischio, metriche e soglie di sicurezza.
• Supervisione continua dei controlli e delle misure di mitigazione, con una pianificazione di aggiornamenti periodici.

La metodologia di FRIA dovrebbe integrarsi sinergicamente con i processi interni di gestione dei rischi e con la metodologia di DPIA nei casi di applicazione congiunta.

Conclusioni

Lo sviluppo di sistemi di AI richiede in taluni casi investimenti di risorse ingenti distribuite su lunghe finestre temporali. La possibilità di effettuare interventi di mitigazione post sviluppo o post rilascio sul mercato può rivelarsi estremamente costosa o addirittura tecnicamente difficoltosa in certe circostanze (ad. esempio a seguito del completamento del training di un modello di AI)  per cui anticipare lo svolgimento di tali valutazioni d’impatto nella fase di progettazione e prototipazione dei sistemi di AI può contribuire significativamente a realizzare o integrare soluzioni di AI che rispettino i diritti fondamentali degli individui e che siano conformi con i requisiti di legge.

Su simile argomento può essere di interesse: “L’AI Act è stato Approvato: Tutto Quello Che Dovete Sapere”.

Autori: Tommaso Ricci e Marco Guarna