La proposta di Regolamento sull’AI: impatto sulla videosorveglianza

di Roberta Rapicavoli - Avvocato esperto in Information Technology e privacy e Docente Ethos Academy

Il 21 aprile 2021 la Commissione europea ha presentato la proposta di Regolamento sull’intelligenza artificiale, con l’obiettivo di fornire un quadro giuridico che promuova lo sviluppo e l’uso di un’intelligenza artificiale affidabile, sicura, etica e rispettosa dei valori e dei diritti fondamentali. Siamo all’inizio dell’iter normativo, ma è importante conoscere quanto definito nella proposta per non lasciarsi cogliere impreparati da una regolamentazione che individua specifici obblighi per tutta la catena di operatori economici coinvolti nella fornitura, importazione, distribuzione e uso di sistemi di intelligenza artificiale che, come noto, sempre più spesso sono utilizzati anche nel settore della videosorveglianza.

La proposta di Regolamento sull’IA fissa regole per lo sviluppo, l’immissione sul mercato e l’utilizzo di sistemi di intelligenza artificiale nell’UE seguendo un approccio basato sul rischio per la salute e la sicurezza o per i diritti fondamentali delle persone.

Sulla base del rischio, nella proposta si distinguono:

• Sistemi IA che generano un rischio inaccettabile 

• Sistemi IA che generano un rischio elevato 

• Sistemi IA a rischio basso o minimo.

AI a rischio inaccettabile

La vendita e l’uso di sistemi di IA che presentano un rischio inaccettabile sono vietati, fatte salve specifiche eccezioni stabilite nella proposta di Regolamento.Nell’art. 5, tra i casi di divieto, è indicato l’uso in tempo reale di sistemi di identificazione biometrica da remoto - come i sistemi di riconoscimento facciale - in luoghi accessibili al pubblico a fini di attività di contrasto dei reati, a meno che e nella misura in cui tale uso sia strettamente necessario per alcuni obiettivi (quali: la ricerca mirata di potenziali vittime e la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l’incolumità fisica di persone fisiche o di un attacco terroristico).

Riconoscimento facciale

Proprio con riferimento ai sistemi di riconoscimento facciale in luoghi pubblici, peraltro, occorre considerare che già oggi sussiste un limite al loro uso, a fronte di quanto previsto dalla Legge 205 del 2021, che ha sospeso l’installazione e l’utilizzazione di tali sistemi da parte delle autorità pubbliche o di soggetti privati fino all’entrata in vigore di una disciplina specifica della materia e comunque non oltre il 31 dicembre 2023, fatti salvi i casi trattamenti effettuati dalle autorità competenti ai fini di prevenzione e repressione dei reati ai sensi del D. lgs. 51/2018, previo parere positivo del Garante privacy alla necessaria valutazione obbligatoria di impatto (DPIA).

AI a rischio elevato

Nella proposta di Regolamento sono individuate due categorie principali di sistemi di IA ad alto rischio: i sistemi destinati ad essere utilizzati come componenti di sicurezza di prodotti soggetti a valutazione della conformità ex ante da parte di terzi e i sistemi indipendenti individuati nell’allegato III al Regolamento. Tra tali sistemi vi sono anche i sistemi utilizzati per l’identificazione biometrica remota in tempo reale e a posteriori delle persone fisiche, quali sono i sistemi di riconoscimento facciale. 

I sistemi che generano un rischio elevato possono essere immessi sul mercato e utilizzati, a condizione però che siano sviluppati seguendo specifici criteri qualitativi per quanto riguarda i dati e i modelli utilizzati, che venga documentato in maniera adeguata come è avvenuto lo sviluppo del sistema e il suo funzionamento, che sia creato e mantenuto attivo un sistema di gestione del rischio, che siano osservati specifici obblighi di trasparenza verso gli utenti sul funzionamento dei sistemi, che si assicuri che i sistemi possano essere sottoposti a supervisione umana e che vengano garantiti l’attendibilità, l’accuratezza e la sicurezza di tali sistemi. Nella proposta di Regolamento vengono individuati specifici obblighi per gli operatori coinvolti nella fornitura, distribuzione, importazione e utilizzo di sistemi di IA ad alto rischio, volti ad assicurare che siano messi sul mercato i soli sistemi che abbiano i necessari requisiti e offrano le necessarie garanzie nel corso del loro utilizzo.

AI a rischio non alto

Per quanto riguarda i sistemi di IA non ad alto rischio, la proposta di Regolamento istituisce un quadro per la creazione di codici di condotta che mira a incoraggiare i fornitori ad applicare volontariamente i requisiti obbligatori previsti per i sistemi di IA ad alto rischio. 

Nella proposta di Regolamento si individua poi l’obbligo di trasparenza per quei sistemi che, a prescindere dal livello di rischio, interagiscono con gli esseri umani, che sono utilizzati per rilevare emozioni o stabilire un’associazione con categorie sociali sulla base di dati biometrici o che generano o manipolano i contenuti. Pensiamo, ad esempio, alla pubblicità in grado di rilevare le emozioni tramite telecamere dotate di sistemi di IA. Tali sistemi devono essere progettati e sviluppati in modo tale che le persone fisiche siano informate del fatto di stare interagendo con un sistema di IA, a meno che ciò non risulti evidente dalle circostanze e dal contesto di utilizzo o sia autorizzato dalla legge per accertamento e perseguimento di reato.

Intelligenza artificiale e privacy

Per quei sistemi di IA che comportano un trattamento di dati personali – come nel caso di sistemi di riconoscimento facciale - resta e resterà fermo anche quanto già stabilito dalla normativa privacy. Sul punto, nella relazione che accompagna la proposta di Regolamento sull’intelligenza artificiale, è espressamente indicato, infatti, che “la proposta non pregiudica il regolamento generale sulla protezione dei dati (Regolamento UE 2016/679) e la direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie (direttiva UE 2016/680) e li integra con una serie di regole armonizzate applicabili alla progettazione, allo sviluppo e all’utilizzo di determinati sistemi di IA ad alto rischio nonché di restrizioni concernenti determinati usi dei sistemi di identificazione biometrica remota”. 

La versione integrale dell’articolo riporta tabelle, box o figure, per visualizzarle apri il pdf allegato.