Intelligenza artificiale: in attesa dell’Ai Act fervono le proposte normative nazionali

di GIUSELLA FINOCCHIARO (dal Sole 24 Ore)

Dopo l’approvazione del Regolamento europeo sull’intelligenza artificiale (Ai Act), che peraltro non è ancora stato pubblicato nella Gazzetta Ufficiale dell’Unione europea e che sarà applicabile integralmente dal 2026, si susseguono le iniziative legislative nazionali, come documentava domenica questo giornale. Queste proposte normative si muovono nello spazio lasciato libero dall’Ai Act il quale definisce l’accesso al mercato europeo dei sistemi e dei prodotti di intelligenza artificiale, classificandoli in base al rischio che essi possono causare, e richiedendo attività di compliance differenti a seconda del livello di rischio. Il legislatore europeo ha ritenuto di tutelare, con questo approccio, i valori e i diritti fondamentali.

Ma l’Ai Act, come più volte abbiamo sottolineato, non è una legge che affronta né potrebbe affrontare tutte le problematiche giuridiche poste dall’intelligenza artificiale. In Italia, si contano una decina di iniziative parlamentari, ma la più importante delle proposte legislative è certamente rappresentata dal ddl sull’intelligenza artificiale approvato dal Consiglio dei ministri il 23 aprile. Il ddl conferma e chiarisce alcuni principi generali, anticipa alcune disposizioni dell’Ai Act e, nello spazio lasciato libero dal Regolamento europeo, detta alcune norme nazionali.

È anticipata la scelta sulla governance dell’intelligenza artificiale: se ne occuperanno l’Agenzia per l’Italia digitale (AgID) e l’Agenzia per la cybersicurezza nazionale (Acn) che sono qualificate Autorità nazionali per l’intelligenza artificiale. Sarà centrale e delicatissimo il coordinamento fra queste e le Autorità già competenti in alcune materie comunque toccate dall’Ia, che per sua natura investe tutti i settori. Sono espressamente menzionate, per esempio, le competenze del Garante per la protezione dei dati personali, ma ovviamente non sono le sole.

Di grande importanza la disposizione sulle sandbox che, anche in questo caso, anticipando il Regolamento europeo, prevede uno spazio di sperimentazione normativa. È un metodo che consentirà di elaborare norme nuove in un ambito circoscritto: potrebbe essere il modo migliore di dettare regole adattando l’approccio normativo a un fenomeno che non conosciamo ancora completamente. Venendo a settori specifici, molte disposizioni sono dedicate al diritto d’autore e al diritto penale, ma un’enorme importanza rivestono le disposizioni sui dati sanitari. L’urgenza di semplificare le norme sul trattamento dei dati sanitari oggi è fortissima e anche il c.d. decreto PNRR-bis, entrato in vigore il 1° maggio, interviene in materia, facendo un passo avanti.

Il problema è noto: la vigente normativa italiana limita fortemente l’utilizzo di dati sanitari a fini di ricerca scientifica. Ciò rende i nostri eccellenti ricercatori meno competitivi a livello globale e finisce col penalizzare la ricerca italiana. Altrettanto noto è che i sistemi di Ia non si possono alimentare con dati trattati sulla base del consenso individuale, che non è, in questo caso, uno strumento né adeguato, né efficace. Basti pensare cosa comporterebbe gestire il consenso, fornito preventivamente, di migliaia o milioni di persone, per ogni singolo trattamento. Il ddl cerca, dunque, di semplificare la normativa sulla protezione dei dati personali concernente il trattamento dei dati per la ricerca e la sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale. I trattamenti di dati per finalità di ricerca e sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale «per finalità di prevenzione, diagnosi e cura di malattie, sviluppo di farmaci, terapie e tecnologie riabilitative, realizzazione di apparati medicali, incluse protesi e interfacce fra il corpo e strumenti di sostegno alle condizioni del paziente, di salute pubblica, incolumità della persona, salute e sicurezza sanitaria» sono definiti di “interesse pubblico”. Si costituisce così una base giuridica alternativa al consenso dell’interessato. Anche l’uso secondario dei dati è autorizzato, purché i dati siano privi di identificativi diretti.

* Articolo integrale pubblicato su Il Sole 24 Ore dell’8 maggio 2024 (In collaborazione con Mimesi s.r.l.)