1. Introduzione

Il processo di digitalizzazione dell’Amministrazione è un lento cammino in corso da decenni. Le fasi di questa evoluzione si stanno susseguendo mediante la graduale trasformazione della “macchina dello Stato” in un vero e proprio “Stato delle macchine”^[1]. Come acutamente osservato in dottrina^[2], dall’Amministrazione ottocentesca fatta di stampa e macchine da scrivere, si è passati ad un’Amministrazione in grado di servirsi di computer, stampanti e fax, ad un’Amministrazione che impiega la rete internet ed i social network per perseguire i propri scopi, fino ad arrivare ad un’Amministrazione 4.0, caratterizzata dall’impiego di algoritmi e di soluzioni di Intelligenza artificiale (d’ora in poi IA).

Il passaggio che si vuole in questa sede evidenziare è proprio questo: la transizione dalla digitalizzazione all’automazione – quanto meno parziale – dell’attività della Pubblica Amministrazione^[3]. Ciò, invero, sebbene rappresenti un traguardo importante, che permetterà in un futuro prossimo un’azione più efficiente e imparziale, può cagionare dei rischi, giungendo finanche a provocare nuove forme di discriminazione^[4].

Si rende, così, necessario ripensare alcune categorie del costituzionalismo classico^[5], al fine di offrire una risposta più flessibile ed efficace alle sfide che l’erompere dei nuovi poteri e, soprattutto, dei nuovi mezzi di esercizio del potere, pongono dinanzi alla società odierna. A tal fine, un’autorevole dottrina rilevava, appunto, la nascita di un nuovo “costituzionalismo digitale” ^[6] a caratteri europei, il cui fine è proprio quello di porre dei vincoli e delle regole al progresso tecnologico.

Occorre, dunque, inquadrare tre elementi fondamentali di questa transizione: il principio di legalità, la tutela dei diritti fondamentali e la predisposizione di nuove forme di controllo sull’azione del potere pubblico “automatizzato”. Non mi soffermerò diffusamente sul primo aspetto in questa sede, ma mi limiterò soltanto a dare qualche coordinata di riferimento, né dedicherò un’approfondita analisi al secondo, preferendo, piuttosto, lambire il tema; invece, mi concentrerò in modo particolare sul tema dei controlli sulle decisioni algoritmiche da parte delle Autorità indipendenti, il quale rappresenta una delle novità al centro dell’attuale dibattito.

Il punto focale dell’analisi avrà chiaramente ad oggetto i possibili effetti sull’attività della Pubblica Amministrazione delle nuove proposte normative dell’Unione Europea sulla regolazione del digitale e della tecnologia, con un’attenzione specifica alla proposta di Regolamento sull’Intelligenza artificiale^[7].

Tuttavia, prima di entrare nel merito, occorre preliminarmente tracciare un breve quadro del contesto normativo europeo all’interno del quale ci si muove (rectius, ci si muoverà in un futuro prossimo a venire), evidenziandone pregi e criticità.

2. Le fonti in materia di automazione: in particolare, la proposta di Artificial Intelligence Act

In primo luogo, è bene notare che è in corso una sorta di vero e proprio processo di riaccentramento delle fonti nell’ambito del diritto eurounitario, così come giustamente rilevato in un recentissimo contributo^[8]. Infatti, l’Unione Europea sta mettendo a punto un’architettura normativa assai complessa al fine di regolare i fenomeni digitali. Se è vero che finora l’innovazione di maggiore portata è stata quella concernente il campo della protezione dei dati personali, avvenuta con l’adozione del Regolamento UE 2016/679 (d’ora in poi GDPR)^[9], vi sono importanti proposte relative anche ad altri aspetti del fenomeno digitale che sono in fase di discussione e di approvazione presso le istituzioni europee. Si prenda, ad esempio, il DMA^[10] e il DSA^[11] per quanto riguarda il mercato digitale, ovvero il DGA^[12] e il DA^[13] per quanto riguarda la “governance” dei dati, senza ignorare, peraltro, il Regolamento e-Privacy^[14] che andrà a completare il disegno tracciato dal GDPR.

Ciò che, però, più interessa in questa sede è la proposta di Regolamento sull’Intelligenza artificiale (il c.d. Artificial Intelligence Act, AIA), presentata dalla Commissione Europea nell’aprile del 2021 ed indirizzata al Parlamento europeo ed al Consiglio^[15].

La lettura del titolo ufficiale della Proposta, il quale reca “Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate in tema di Intelligenza artificiale e che modifica taluni atti legislativi dell’Unione” rende chiara la finalità, ulteriormente specificata ed argomentata per il tramite di due documenti: l’Explenatory memorandum, con funzione introduttiva, e la Comunicazione rivolta al Parlamento europeo, al Consiglio, al Comitato economico sociale e delle Regioni (Fostering a European approach to Artificial Intelligence)^[16].

Proprio nella Comunicazione, la Commissione passa in rassegna tutta la documentazione adottata a livello eurounitario negli ultimi anni: si tratta di atti di impulso e di soft law, prodromici alla Proposta^[17]. In primo luogo, occorre segnalare la Strategia Europea sull’IA (aprile 2018) e le Linee guida per un’IA affidabile (aprile 2019) – a cui ha poi fatto seguito l’Assessment List per l’IA affidabile (luglio 2020) – elaborate dal Gruppo di esperti di alto livello nominato dalla Commissione^[18]. Questi ultimi hanno individuato le tre componenti fondamentali perché un’IA possa dirsi “degna di fiducia”^[19], ovvero la legalità, l’eticità e la robustezza tecnica e sociale. Ancora, lo stesso Gruppo ha poi pubblicato anche una raccomandazione sulle policy e sugli investimenti in tema di IA^[20]. Tutti questi dati sono stati elaborati e sono confluiti nel c.d. “Libro Bianco della Commissione”^[21], pubblicato nel febbraio 2020, insieme ad un report in materia di sicurezza e responsabilità circa l’IA e la robotica^[22]. Già in tali documenti acquista un ruolo preminente l’intervento in tema di diritti fondamentali, di governance dei dati e sicurezza, nonché di determinazione dei regimi di responsabilità e di garanzia di effettività ed armonizzazione nella legislazione^[23].

Tutti questi materiali ed iniziative hanno portato alla Proposta di Regolamento, la quale ha beneficiato tanto dell’approvazione di un Gruppo di esperti di alto livello, quanto di una valutazione di impatto da parte del Regulatory Scrutinity Board della Commissione.

Occorre segnalare che tale attività normativa si inserisce in un contesto in cui l’unica disciplina al momento vigente in tema di IA è quella relativa alla tutela dei dati personali. Essa, peraltro, continuerà non solo a disciplinare in linea di massima l’IA, ma regolerà per intero, anche a seguito dell’approvazione del Regolamento, il settore della polizia e della giustizia, esclusi dall’ambito applicativo della Proposta^[24].

Tale coincidenza dipende dalla necessaria intersezione tra il trattamento dei dati e l’Intelligenza artificiale^[25], essendo i primi funzionali e necessari all’apprendimento ed all’esecuzione dell’attività dell’IA^[26]. Da ciò discende che un trattamento scorretto del dato inficia necessariamente il risultato dell’elaborazione algoritmica realizzata dalla macchina: è, quindi, evidente che di tale interrelazione dovrà tenersi conto, al fine di evitare antinomie normative^[27], tanto relativamente all’esame della Proposta, quanto in sede di attuazione interna.

Il fulcro della disciplina trova, dunque, la sua base normativa, già prima di uno specifico intervento in materia, nel GDPR, quale «essenziale statuto giuridico sull’IA»^[28]. Quest’ultimo sanciva, già a partire dal 2016, il diritto alla spiegazione, alla revisione umana della decisione automatizzata, nonché il divieto di discriminazione. La Proposta di Regolamento, quindi, si inserisce in questo retroterra giuridico e mostra una chiara preferenza per la regolazione del fenomeno, in un ambito in cui è frequente la tendenza alla “deregulation^”[29], delegando al mercato ed ai suoi operatori la delimitazione dell’operatività di diritti e libertà.

Anche il tipo di strumento prescelto – ovvero il Regolamento in luogo della Direttiva, come nel caso della tutela dei dati – denota la volontà normativa di istituire dei vincoli uniformi e direttamente applicabili sul territorio europeo, con lo scopo di creare un quadro comune per gli Stati membri, salvi taluni spazi di autonomia in tema di sanzioni, disciplina delle regulatory sandboxes e dei codici di condotta.

Occorre osservare, dunque, che la ratio del legislatore europeo è, da una parte, quella di regolare i fenomeni in maniera uniforme e rispettosa di diritti e libertà dei singoli, dall’altra, evitare che tale cornice possa pregiudicare lo sviluppo della tecnologia, nonché le capacità concorrenziali degli attori privati.

Al riguardo, non si può certo ignorare che tale progetto rechi in sé dei limiti – solo per citarne uno, il rischio di creare dei “compartimenti stagni”, dal momento che comporta difficoltà di integrazione tra le discipline e dubbi interpretativi per operatori economici ed interpreti giuridici – ma la valutazione complessiva di tale progetto non può che essere positiva, in quanto un’inversione di tendenza ragionevole rispetto ad un approccio basato sulla pura e semplice “deregulation” è ciò che realizza quell’integrazione tra l’Europa del mercato e l’Europa dei diritti^[30].

Tanto premesso, è possibile soffermarsi sul corpo della Proposta e sulle novità da questa introdotte.

3. Le novità dell’Artificial Intelligence Act

Le esigenze delle quali deve tenere conto la Proposta, come si accennava, sono molteplici: da una parte, la volontà di individuare un quadro di riferimento chiaro ed esaustivo, dall’altra quella di doversi confrontare con tecnologie in continuo mutamento, contraddistinte da un funzionamento imprevedibile e fonte di rischi non calcolabili ex ante.

Per tali ragioni, la Proposta si è mossa su due principali linee direttrici, volte ad attribuire flessibilità al testo^[31] e capacità di adattamento, parlandosi al riguardo di disciplina “future proof”^[32].

In primo luogo, si è individuato un innovativo obbligo generale di aggiornamento, conseguente alla revisione del Regolamento, previsto ogni cinque anni dalla sua entrata in vigore e successivamente con cadenza quinquennale. Tale meccanismo non è del tutto nuovo, infatti analogo sistema si è previsto anche nella Directive on Automated Decision-Making canadese, assoggettata ad un obbligo di revisione addirittura semestrale. Tale previsione risponde al chiaro intento di creare un diritto “stable but not still”, soprattutto in vista della particolare mobilità della suddetta materia, come evidenziato anche in una dettagliata ricostruzione della dottrina^[33].

In secondo luogo, la Proposta predispone una classificazione dell’IA in base al livello di rischio riscontrabile nel loro utilizzo e, soltanto relativamente a quelli ad alto rischio, richiede una peculiare procedura di verifica di conformità, prima dell’immissione sul mercato^[34]. La suddetta particolarità deriva dal fatto che la normativa non richiede, come di norma, il rilascio di un’autorizzazione pubblica, ma pone il controllo a carico del produttore, spostando su chi ha interesse a commercializzare il prodotto l’obbligo di verificare il rispetto dei requisiti^[35]. Con ciò, ingenerando non poche perplessità in capo a chi ritiene che l’organo di controllo dovrebbe essere un soggetto terzo ed imparziale.

Per quanto riguarda, invece, i sistemi non ad alto rischio e, dunque, non inficianti i diritti fondamentali ed i valori dell’Unione, il sistema suddetto richiede soltanto dei più lievi requisiti di trasparenza algoritmica.

Inoltre, è bene porre l’accento anche sulla previsione del meccanismo delle cc.dd. “regulatory sandboxes”^[36], ovvero di spazi di sperimentazione normativa, funzionali a testare nuove tecnologie su un mercato controllato, valutandone risultati, benefici e rischi, prima della loro effettiva immissione. Ciò, con l’idea di testare, altresì, i punti di contatto e conflitto eventuale con la disciplina già operante in materia.

In aggiunta, è bene precisare che larga parte della regolazione proposta mutua il suo contenuto dalla disciplina in tema di GDPR. Si pensi, per esempio, all’approccio regolatorio fondato sui fattori di rischio, ai doveri di trasparenza nei confronti degli utenti, alla determinazione della normativa applicabile in base al criterio della localizzazione del destinatario dell’offerta produttiva, alle certificazioni, nonché ai codici di condotta in funzione co-regolativa ed a molte altre ipotesi di contatto^[37].

La Proposta, inoltre, risulta basata su alcuni punti, che riprendono, in parte, i principi elaborati dal Gruppo di esperti sull’IA affidabile^[38]. Si tratta, innanzitutto, dell’individuazione di una nozione di IA che sia neutra ed il più ampia possibile. Si prevede, inoltre, la regolazione dei soli casi di IA ad alto rischio, con la finalità di evitare fenomeni di elefantiasi normativa, ed in relazione a questi si individuano dei requisiti da rispettare ai fini del superamento di test di conformità propedeutici all’immissione nel mercato. Ancora, si è prevista l’introduzione di divieti, nei casi di alto rischio di lesione per i valori dell’Unione e le libertà fondamentali, nonché requisiti di trasparenza basilare in tutte le altre ipotesi.

Tutte queste novità non risultano però sufficienti a superare le molte perplessità espresse recentemente nella richiamata memoria del Garante per la protezione dei dati personali sulla Proposta di Regolamento europeo sull’Intelligenza artificiale.

Motivi di dubbio derivano, innanzitutto, dagli obblighi di conformità per l’IA ad alto rischio, i quali dovrebbero, da una parte, essere valutati da un soggetto terzo ed imparziale, dall’altra, tenere conto dell’intera normativa europea, nel suo complesso, compresa quella in tema di protezione dei dati personali (minimizzazione e privacy by design), punto di riferimento e confronto ineludibile.

Ancora, in materia, occorrerebbe un più puntuale coordinamento con il GDPR, coinvolgendo le relative Autorità nella redazione di norme di armonizzazione; si auspicherebbe, a tal fine, anche l’introduzione di una clausola di salvaguardia, in favore del GDPR, in caso di contrasto tra apparati normativi in sede applicativa.

In ultimo, qualche dubbio sorge anche in ordine al sistema di “governance” tratteggiato e che sembra determinare un «sostanziale affievolimento delle garanzie e dei diritti fondamentali e, in particolare, del diritto alla protezione dei dati personali», posto che la tutela effettiva di questi ultimi, che, di regola, si basa sulla necessaria supervisione delle Autorità indipendenti, nel caso di specie, non individua queste quali unici soggetti supervisori^[39].

4. L’Autorità per l’Intelligenza artificiale: tra necessità regolatorie e contrasto alla proliferazione delle Autorità indipendenti

Al fine di sovrintendere e vigilare sulla corretta applicazione dell’Artificial Intelligence Act (AIA), così come già previsto in altre normative di derivazione europea, il legislatore istituisce diversi livelli di “governance”, sia a livello sovranazionale che nazionale.

Quanto al primo livello, viene individuato dall’art. 56 AIA il Comitato europeo per l’Intelligenza artificiale (il “Comitato”), costituito da rappresentanti delle omologhe Autorità nazionali e dalla Commissione, nonché dal Garante europeo per la protezione dei dati personali, a conferma del forte collegamento esistente tra le due materie. Tale Comitato ha il compito di facilitare un’attuazione agevole, efficace e armonizzata del Regolamento, contribuendo alla cooperazione tra le Autorità nazionali di controllo e la Commissione, nonché fornendo consulenza e competenze alla Commissione. Tuttavia, a potenziale scapito di questo compito, il funzionamento del Comitato non sembra essere completamente indipendente da qualsiasi influenza politica, nella misura in cui l’AIA ha assegnato un ruolo predominante alla Commissione europea, che non solo presiede il Board, ma possiede anche un diritto di veto per l’adozione del regolamento interno. Inoltre, il meccanismo di cooperazione tra le Autorità di vigilanza nazionali e i soggetti interessati dall’AIA o tra diverse Autorità di vigilanza nazionali, non risulta disciplinato dalla Proposta di Regolamento. Pertanto, è stata rilevata la necessità di rivedere le disposizioni dell’AIA, al fine di garantire una maggiore autonomia del Comitato, in funzione del più efficace svolgimento dei compiti che gli sono assegnati^[40].

Quanto alle Autorità nazionali, alle quali il legislatore, all’art. 59 della Proposta di Regolamento, demanda un “ruolo chiave” nell’applicazione concreta della normativa, si rileva che ad oggi non risulta esserci alcuna precisa disposizione che ne individui criteri per l’individuazione, lasciando così agli Stati ampia discrezionalità, se non la sola previsione che tali Autorità dovranno essere organizzate e gestite in modo che sia salvaguardata «l’obiettività e l’imparzialità dei loro compiti e attività» e formate da soggetti che abbiano «competenze e conoscenze che comprendono una comprensione approfondita delle tecnologie, dei dati e del calcolo dei dati di Intelligenza artificiale, dei diritti fondamentali, dei rischi per la salute e la sicurezza e una conoscenza delle norme e dei requisiti giuridici esistenti». Nel silenzio del legislatore nazionale, tuttavia, l’indicazione è interessante sotto due profili: da un lato, perché mostra la crescente tendenza del diritto dell’Unione europea a conformare i sistemi amministrativi nazionali anche in relazione ai profili organizzativi e procedurali, che storicamente erano riservati all’autonomia degli Stati; e dall’altro, perché conferma la necessità, sempre più avvertita, di competenze e abilità trasversali e interdisciplinari all’interno delle pubbliche amministrazioni in ragione della complessità tecnica delle funzioni da esercitare^[41].

Si rileva, quindi, che il problema dell’individuazione delle Autorità di controllo nazionali apre alla duplice e discussa opzione di creazione ex novo oppure di individuazione di una Autorità già esistente. Da tale scelta, tuttavia, possono derivare importanti conseguenze, relative alla disomogeneità delle caratteristiche delle Autorità dei rispettivi Paesi, con importanti ripercussioni sulla attività rispettivamente svolte e sulla concreta applicazione della normativa.

Al riguardo, anche l’European Data Protection Board (EDPB) e l’European Data Protection Supervisor (EDPS), mediante parere congiunto, sottolineano che risultano poco chiare quelle disposizioni della Proposta che definiscono i compiti e i poteri delle differenti Autorità competenti a norma del Regolamento sull’IA, i loro rapporti reciproci, la loro natura e, soprattutto, la garanzia della loro indipendenza^[42]. Inoltre, l’EDPB e l’EDPS rilevano che le Autorità nazionali per la protezione dei dati stanno già applicando il Regolamento UE 2016/679 (GDPR)^[43], il Regolamento UE 2018/1725 (EUDPR)^[44] e la Direttiva (UE) 2016/680 (LED)^[45] per quanto riguarda i sistemi di IA che interessano i dati personali, cosicché le suddette Autorità per la protezione dei dati dispongono già, in una certa misura, di conoscenze in materia di tecnologie basate sull’IA e delle competenze nella valutazione dei rischi che le nuove tecnologie comportano, requisiti, tra i pochi, richiamati dalla normativa.

Pertanto, «la designazione delle Autorità per la protezione dei dati come Autorità nazionali di controllo assicurerebbe un approccio normativo più armonizzato e contribuirebbe all’adozione di un’interpretazione coerente delle disposizioni in materia di trattamento dei dati, nonché ad evitare contraddizioni nella loro applicazione nei diversi Stati membri». Peraltro, «tutte le parti interessate della catena di valore dell’IA beneficerebbero dell’esistenza di un punto di contatto unico per tutte le operazioni di trattamento dei dati personali che rientrano nell’ambito di applicazione della Proposta, oltre che dalla limitazione delle interazioni tra due differenti organismi di regolamentazione dei trattamenti che sono sottoposti alla Proposta e al GDPR». Dunque, l’EDPB e l’EDPS «ritengono che le Autorità per la protezione dei dati dovrebbero essere designate come Autorità nazionali di controllo ai sensi dell’articolo 59 della Proposta»^[46].

Sul tema è intervenuto anche il legislatore nazionale, il quale ha recentemente emesso parere favorevole alla Proposta di Regolamento^[47], richiamando nuovamente l’attenzione sull’indispensabilità di dotare le Autorità nazionali di controllo delle risorse specialistiche necessarie, oltreché assicurarne la necessaria sfera di indipendenza, considerata la rilevanza dei diritti fondamentali, specie quelli individuali, che possono essere incisi da strumenti di IA non in linea con il Regolamento. Anche tale indirizzo, seppur non propendendo apertamente per alcuna opzione, sembra però essere più vicino alla possibilità di individuare l’Autorità di controllo in una Autorità già esistente, quale il Garante per la protezione dei dati personali.

Più apertamente, proprio quest’ultima Autorità, sentita in audizione di fronte la Camera dei Deputati lo scorso marzo^[48], ha richiamato la centralità in materia della disciplina a tutela dei dati personali, ricordando come la prima e attualmente vigente disciplina relativa ai sistemi IA sia rinvenibile proprio nel corpo del GDPR, il cui art. 22 regola il trattamento mediante processi interamente automatizzati. Inoltre, nel GDPR sono rintracciabili ulteriori numerosi punti di contatto con l’AIA, quali gli obblighi di informativa, lo strumento delle autorizzazioni preventive, il sistema di certificazione, nonché un sistema di sanzioni amministrative simile sia per quanto riguarda la forbice edittale che per i criteri di quantificazione.

Infine, come rileva sempre il Garante per la protezione dei dati personali, sarebbe funzionale l’apertura di una riflessione circa l’opportunità di individuare nel Garante stesso l’Autorità nazionale competente in tema di AI, al fine di dare una risposta alle preoccupazioni ed incertezze sollevate dal Governo – nella Relazione trasmessa al Parlamento in attuazione della legge n. 234/2012 – «in ordine agli oneri, amministrativi e finanziari, connessi all’attuazione del regolamento, nonché ai tempi eccessivamente lunghi di attuazione, imputabili alla complessità del meccanismo di governance, che “sposterebbe sulle autorità nazionali una serie di responsabilità e competenze al momento difficilmente rilevabili negli Stati membri”»^[49].

5. Decisioni del Garante Privacy in materia di processi automatizzati

Nelle loro diverse declinazioni i sistemi di Intelligenza artificiale si basano su processi automatizzati governati da appositi algoritmi alimentati da grandi quantità di dati; tra questi i più evoluti possono essere in grado anche di prendere decisioni autonomamente, bypassando il vaglio della mente umana, addirittura sostituendovisi, con importanti ricadute sui diritti fondamentali su cui le decisioni vanno ad impattare.

Come anticipato, l’art. 22 del GDPR, quale normativa originaria e attualmente in vigore in materia di Intelligenza artificiale, pone il divieto – salvo eccezioni, che per la verità lasciano aperti amplissimi spazi di intervento – di sottoporre l’interessato ad un processo decisionale automatizzato, richiedendo, dunque, il necessario intervento dell’essere umano.

A testimonianza dell’importanza che i sistemi di IA rivestono nell’impianto normativo del GDPR, si fa riferimento ai numerosi interventi dei diversi soggetti che sovrintendono alla materia: al riguardo si vedano, in primis, le Linee Guida emanate dal WP 29^[50], con le quali, da una parte, viene tracciata una linea sottile di confine con i fenomeni di profilazione, qualificando le decisioni automatizzate quali trattamenti ad alto rischio; ma, dall’altra parte, viene anche evidenziata l’importanza che l’Intelligenza artificiale può avere nell’ottica di miglioramento dell’efficienza e del risparmio di risorse.

L’Autorità Garante italiana è stata chiamata ad esprimersi molto spesso relativamente a trattamenti automatizzati inerenti all’ambito pubblico^[51], sia attraverso pareri preventivi che provvedimenti sanzionatori.

L’Autorità ha provveduto, infatti, ad inserire i trattamenti automatizzati finalizzati ad assumere decisioni che producono «effetti giuridici», oppure che incidono «in modo analogo significativamente sull’interessato» tra quei trattamenti che rientrano nell’applicazione del meccanismo di coerenza e preventiva valutazione di impatto previsto dal GDPR, riconoscendo, dunque, la necessità di analizzare preventivamente questi sistemi al fine di ridurre al minimo i rischi nei confronti degli interessati e, qualora ravvisata la necessità, vietarne l’uso^[52].

Molteplici sono poi i provvedimenti con i quali il Garante si è pronunciato su differenti sistemi di IA adottati da soggetti pubblici o privati al fine di adempiere compiti di interesse pubblico o connessi all’esercizio di pubblici poteri.

Si ricordi la pronuncia concernente il c.d Redditometro^[53], adottato dall’Agenzia delle Entrate per selezionare i contribuenti da sottoporre ad accertamento e rideterminazione del reddito. In quell’occasione il Garante ha richiamato l’Agenzia all’adozione di tutte le misure necessarie a tutelare i contribuenti rispetto al trattamento automatizzato o alla profilazione posta in essere.

Oppure al parere predisposto relativamente al c.d. sistema SARI Real Time^[54], che, ove fosse stato utilizzato, avrebbe consentito di analizzare in tempo reale i volti ripresi da telecamere installate in aree geografiche predeterminate, confrontandoli con una banca dati predefinita, a disposizione delle forze di polizia. In merito, il parere negativo del Garante ha evidenziato come con il trattamento biometrico di tutte le persone che circolano in uno spazio pubblico, anche quelle non attenzionate, si determini «una evoluzione della natura stessa dell’attività di sorveglianza, passando dalla sorveglianza mirata di alcuni individui alla possibilità di sorveglianza universale allo scopo di identificare alcuni individui».

Il Garante ha avuto ancora occasione di esprimersi in occasione di un parere preventivo relativo all’utilizzo di un sistema decisionale automatizzato da parte della Provincia autonoma di Trento, impiegato nell’ambito dell’erogazione di interventi di sostegno economico-finanziario^[55]. Nell’occasione, l’Autorità, ha ricordato, quale principio di generale applicazione, la necessità di verificare periodicamente la logica algoritmica sottesa ai sistemi IA, garantire la trasparenza^[56] dell’algoritmo e la possibilità di contestare le decisioni assunte sulla base dei medesimi, anche richiedendo l’intervento di un operatore umano, nonché consentire il facile accesso del cittadino alla possibilità di contestazione, anche attraverso un sistema parimenti automatizzato.

Più recente è la pronuncia emessa in merito a Clearview AI^[57], società statunitense che fornisce un software finalizzato alla ricerca facciale e basato su un meccanismo di machine learning, che peraltro, a seguito dell’istruttoria, è stato riconosciuto non costituire processo decisionale automatizzato.

Da ultimo, il Garante – interpellato dalla Banca di Italia sullo schema di regolamento concernente il trattamento dei dati personali effettuato nell’ambito della gestione degli esposti^[58] – ha dato parere favorevole allo schema di regolamento, in quanto conforme alla normativa e, nello specifico, poiché il sistema IA sotteso all’applicativo è risultato monitorato e controllato costantemente da parte di operatori umani, i quali possono intervenire anche a fini correttivi e di addestramento.

6. Considerazioni conclusive

In conclusione, è bene sottolineare il fatto che la digitalizzazione della Pubblica amministrazione è un presupposto necessario al fine di impiegare soluzioni di Intelligenza artificiale. Come già accennato in apertura, infatti, si tratta di due passaggi consequenziali: se l’Amministrazione non riesce a dotarsi delle necessarie infrastrutture digitali ed a gestire i dati in maniera efficiente, non è certo possibile compiere il passo successivo e procedere ad una progressiva automazione dell’attività amministrativa.

Occorre notare che, sebbene il processo di automazione della Pubblica Amministrazione sia stato definito come “ben avviato”^[59], in realtà rispetto all’impiego di algoritmi e di soluzione di IA bisogna tener presente che i ritardi sono ancora molti. Mi sia consentito fare rinvio allo studio realizzato dal CRISPEL insieme alla Fondazione per l’Innovazione COTEC, intitolato Il futuro della Pubblica Amministrazione nell’era delle nuove tecnologie: le prospettive dell’Intelligenza Artificiale e l’impatto su cittadini ed imprese, nell’ambito del quale è stato appurato come, soprattutto le Amministrazioni ministeriali, stiano avanzando a passo lento e faticoso verso tale meta^[60].

Tuttavia, nonostante le difficoltà e le non brevi tempistiche di attuazione, la sistematica introduzione di algoritmi e Intelligenze artificiali nell’attività amministrativa rappresenta il futuro dell’Amministrazione. È necessario, così, interrogarsi rispetto a quale saranno le prospettive regolative di questo fenomeno.

Ebbene, come abbiamo visto, anche la normativa sulla regolazione dell’Intelligenza artificiale è in fase di elaborazione e sviluppo. Nonostante non vi siano speciali norme rivolte alla Pubblica Amministrazione, le regole dettate dalla Proposta valgono anche in ambito pubblico e, dunque, occorrerà fare i conti con l’applicazione di tale disciplina. L’Amministrazione si troverà così a dover fare i conti con un costante aggiornamento delle norme, con la necessità di dover testare le tecnologie in spazi regolativi chiusi e delimitati come le “sandboxes”, nonché con un sempre più necessario approccio “by design”, in grado di far interiorizzare alla tecnologia quei principi giuridici necessari a garantire la centralità dell’uomo e dei suoi diritti.

Se è vero, come giustamente affermato in dottrina, che una dialettica servo-padrone, di hegeliana memoria, intercorre tra decisioni umane e tecnologia, occorre evitare un inaccettabile rovesciamento di prospettiva, in cui la macchina asservisce il padrone, secondo una logica efficientista, che smarrisce il senso dell’impiego della tecnologia^[61]. In quest’ottica, soltanto la regolazione del fenomeno e l’adozione di tutte le necessarie tutele a protezione dei diritti possono garantire la migliore forma di applicazione delle tecnologie. E ciò vale soprattutto in ambito pubblico.

1. La letteratura in materia di impiego di algoritmi nell’attività amministrativa è vasta: cfr., ex multis, R. Cavallo Perin, D. U. Galetta, Il diritto dell’amministrazione pubblica digitale, Giappichelli, Torino, 2020; G. Avanzini, Decisioni amministrative e algoritmi informatici: predeterminazione, analisi predittiva e nuove forme di intellegibilità, Editoriale Scientifica, Napoli, 2019; A. Simoncini, Profili costituzionali della amministrazione algoritmica, in Rivista trimestrale di diritto pubblico, 4, 2019, pp. 1149 ss.; Id., L’algoritmo incostituzionale: intelligenza artificiale e il futuro delle libertà, in BioLaw Journal, 1/2019; D. U. Galetta, J. C. Corvalàn, Intelligenza Artificiale per una Pubblica Amministrazione 4.0? Potenzialità, rischi e sfide della rivoluzione tecnologica in atto, in Federalismi.it, 3, 2019; L. Viola, L’intelligenza artificiale nel procedimento e nel processo amministrativo: lo stato dell’arte, in Federalismi.it, 7, 2018; M. Cavallaro, G. Smorto, Decisione pubblica e responsabilità dell’amministrazione nella società dell’algoritmo, in Federalismi.it, 16, 2019. Per quanto concerne i rapporti tra IA e protezione dei dati personali, cfr. F. Pizzetti, Intelligenza artificiale, protezione dei dati personali e regolazione, Giappichelli, Torino, 2018; G. Mobilio, L’intelligenza artificiale e le regole giuridiche alla prova: il caso paradigmatico del GDPR, in Federalismi.it, 16, 2020, p. 266 ed F. Laviola, Algoritmico, troppo algoritmico: decisioni amministrative automatizzate, protezione dei dati personali e tutela delle libertà dei cittadini alla luce della più recente giurisprudenza amministrativa, in BioLaw Journal, 3, 2020. Inoltre, per la letteratura internazionale concernente il tema, vedi C. Coglianese, D. Lehr, Regulating by robot: administrative decision making in the machine-learning era, in The Georgetown law journal, 2017; M. Veale, I. Brass, Administration by Algorithm? Public Management meets Public Sector Machine Learning, in K. Yeung, M. Lodge, Algorithmic Regulation, Oxford University Press, 2019; J. B. Auby, Contrôle de la puissance publique et gouvernance par algorithme, in D. U. Galetta, J. Ziller (Hrsg.) Das öffentliche Recht vor den Herausforderungen der Informations- und Kommunikationstechnologien jenseits des Datenschutzes, Nomos, Baden – Baden, 2018; W. Fröhlich, I. Spiecker, Können Algorithmen diskriminieren?, in https://verfassungsblog.de/koennen-algorithmen-diskriminieren/, 2018; H. Pauliat, La décision administrative et les algorithmes : une loyauté à consacrer, in Revue du droit public, 2018.; P. Tifine, Les algorithmes publics: rapport conclusif, in Revue générale du droit (https://www.revuegeneraledudroit.eu/blog/2019/03/15/rapport-conclusif/). ↑
2. Cfr. D. U. Galetta, J. C. Corvalàn, Intelligenza Artificiale per una Pubblica Amministrazione 4.0? Potenzialità, rischi e sfide della rivoluzione tecnologica in atto, cit., p. 2, ove si precisa che nel corso del XX secolo, «l’evoluzione delle tecnologie dell’informazione e della comunicazione (ICT) ha modellato una combinazione asimmetrica fra tre paradigmi della Pubblica Amministrazione: la Pubblica Amministrazione 1.0, che corrisponde al classico modello di Pubblica Amministrazione del diciannovesimo secolo, caratterizzato dall’utilizzo di carta, stampa e macchina da scrivere. La Pubblica Amministrazione 2.0, che incorpora computer, processori di testo, stampante e fax. La Pubblica Amministrazione 3.0 verso cui, nel XXI secolo, il settore pubblico ha iniziato a migrare grazie all’uso di internet, dei portali digitali, delle applicazioni mobili e dei social network». ↑
3. Oltre alla mera attività amministrativa, si pensi anche all’utilizzo delle nuove tecnologie anche in altri campi dell’attività dello Stato, ad esempio, in ambito giudiziario: sul punto va certamente richiamato il caso State vs. Loomis, ove si assiste all’impiego di un software con finalità predittive, con lo scopo di calcolare il rischio di recidiva e determinare ex ante l’ammontare della pena da applicare (per approfondimenti si veda J. Larson, S. Mattu, L. Kirchner, J. Angwin, How We Analyzed the COMPAS Recidivism Algorithm, in ProPublica, 23 maggio 2016, disponibile su https://www.propublica.org/article/how-we-analyzed-the-compas-recidivism-algorithm). Ancora, si pensi che in Italia vengono utilizzati software che, sulla base di calcoli probabilistici, sono in grado di prevenire la commissione di reati e consentire di migliorare le strategie di controllo del territorio: molto diffuso è il software XLAW, utilizzato da numerose questure, il quale impiega un algoritmo per prevedere scippi, furti e rapine., Per un’analisi completa, cfr. State v. Loomis: Wisconsin Supreme Court Requires Warning Before Use of Algorithmic Risk Assessments in Sentencing, in Harvard law review, 2017; K. Freeman, Algorithmic injustice: how the wisconsin supreme court failed to protect due process rights in State v. Loomis, in North Carolina journal of law & technology, 2016. Più in generale, sui rapporti tra decisione giudiziaria e Intelligenza artificiale cfr. M. Luciani, La decisione giudiziaria robotica, in Rivista AIC, 3, 2018; M. Fasan, L’intelligenza artificiale nella dimensione giudiziaria. Primi profili giuridici e spunti dall’esperienza francese per una disciplina dell’AI nel settore della giustizia, in La Rivista Gruppo di Pisa, fasc. spec. 3, 2021, p. 325 ss.; P. G. Puggioni, Il giudice e l’estraneo. Spigolature su intelligenza artificiale, giudizio e soggettività, in La Rivista Gruppo di Pisa, fasc. spec. n. 3, 2021, pp. 575 ss.; A. Valsecchi, La spersonalizzazione della funzione giudicante: un primo sguardo sulla giustizia algoritmica, in La Rivista Gruppo di Pisa, fasc. spec. n. 3, 2021, pp. 625 ss. ↑
4. G. De Minico, Towards an ‘Algorithm Constitutional by Design’, in Biolaw Journal, 1, 2021, p. 403, secondo cui «[…]the algorithmic anarchy reproduces the already heavy injustices on minorities, with the aggravating circumstance that discrimination does not appear as such, being hidden behind a “patina of fairness”». Peraltro, sotto il profilo dell’eguaglianza sostanziale, occorre osservare che se da una parte l’innovazione tecnologica – con particolare riferimento allo sviluppo dell’IA – può, in astratto, determinare un maggiore grado di eguaglianza tra gli individui rispetto al passato, intervenendo, ad esempio, sull’erogazione delle prestazioni sociali, sul contrasto ai fenomeni di evasione e sui modi attraverso cui le persone possono relazionarsi tra loro, dall’altra parte v’è, però, il pericolo di una recrudescenza delle disparità di trattamento a cui può essere sottoposto un individuo, sia rispetto alle tipologie di abusi tradizionalmente individuate, sia con riguardo all’innescarsi di nuovi meccanismi di discriminazione (sul punto sia consentito rinviare a C. Colapietro, A. Moretti, L’intelligenza artificiale nel dettato costituzionale: opportunità, incertezze e tutela dei dati personali, in BioLaw Journal – Rivista di BioDiritto, 3, 2021 ed a G. Resta, Governare l’innovazione tecnologica: decisioni algoritmiche, diritti digitali e principio di uguaglianza, in Politica del diritto, 2, 2019, p. 199 ss.). ↑
5. Al riguardo si veda quando sottolineato da C. Salazar, Umano troppo umano…o no?, BioLaw Journal, 1, 2014, p. 257, la quale osserva come «le norme giuridiche già esistenti siano inadeguate e insufficienti per regolare in tutte le sue implicazioni l’interazione tra gli uomini e queste macchine, all’evidenza diverse da tutte le altre». ↑
6. E. Cheli, Conclusioni, in Osservatoriosullefonti.it, 2, 2021, p. 956, che sottolinea la nascita di questo «nuovo costituzionalismo che, proprio per la dimensione dei problemi posti in campo dalla rivoluzione digitale, non potrà assumere le sue forme definitive altro che nello spazio sovranazionale utilizzando quel patrimonio delle “tradizioni costituzionali comuni” che la Carta dei diritti fondamentali dell’Unione ha già da tempo richiamato e che le giurisprudenze dei vari paesi dell’Unione stanno da tempo valorizzando. Una linea che […] negli anni più recenti è già emersa nelle normazioni europee varate o in corso di formazione in tema di disciplina dei dati e di regolamentazione dell’intelligenza artificiale e che si esprime con molta chiarezza attraverso l’enunciazione di principi diretti a garantire l’impiego di algoritmi trasparenti, affidabili e controllabili, idonei cioè a garantire un’intelligenza artificiale, come viene scritto nei documenti europei, “umanocentrica”»; sul punto si veda anche C. Casonato, Costituzione e intelligenza artificiale: un’agenda per il prossimo futuro, Biolaw Journal, 2, 2019, p. 713 ss., il quale presenta una panoramica delle aree del diritto costituzionale che risultano maggiormente interessate dal diffondersi dell’IA, evidenziando quali possano essere le opportunità ed i principali profili di criticità su cui è opportuno interrogarsi. ↑
7. Più approfonditamente sull’impatto delle soluzioni di IA sui paradigmi classici, vedi A. Simoncini, E. Cremona, La AI fra pubblico e privato, in DPCE online, 1, 2021, pp. 2331 ss., ove, rispetto ai profili pubblicistici, si precisa che «il diritto pubblico – e quello costituzionale in particolare – ha da sempre trovato nella normazione lo strumento principale per fissare tali limiti, ovverosia, per creare un ordine legale al quale ricondurre i rapporti di natura giuridica che si vengono a creare all’interno di un determinato contesto sociale. Per tale ragione, dinanzi all’“erompere” di questi nuovi poteri, oggi si ripropone una grande questione di natura costituzionale: quali fonti normative utilizzare e che tipo di regolazione può efficacemente delimitare l’esercizio del potere tecnologico, in particolare quando esso coinvolge le libertà o i diritti delle persone? La risposta a queste domande richiede un approccio di diritto costituzionale – altrove è stato definito un mindset – “ibrido”, capace cioè di utilizzare diverse forme di propulsione, così come un linguaggio ed un metodo di analisi comprensibili sia dal regolatore che dal regolato». ↑
8. Cfr. A. Iannuzzi, La governance europea dei dati nella contesa per la sovranità digitale: un ponte verso la regolazione dell’intelligenza artificiale, in Studi parlamentari e di politica costituzionale, 1, 2021, p. 51, secondo cui «la strada imboccata dall’Europa con questa poderosa operazione di recupero della centralità delle fonti del diritto è quella giusta, perché può consentire di affrontare correttamente il tema della sovranità e del potere nell’era digitale, che rappresenta uno dei problemi più rilevanti del costituzionalismo del XXI secolo». ↑
9. Sui rapporti tra IA e protezione dei dati personali si rimanda a F. Pizzetti, Intelligenza artificiale, protezione dei dati personali e regolazione, cit.; G. Mobilio, L’intelligenza artificiale e le regole giuridiche alla prova: il caso paradigmatico del GDPR, cit., p. 275 ss. ed A. Moretti, Algoritmi e diritti fondamentali della persona. Il contributo del Regolamento (UE) 2016/679, Diritto dell’informazione e dell’informatica, 2018. Si segnala anche, nell’ambito dell’ampia letteratura internazionale sul punto, S. Wachter, B. Mittelstand, C. Russell, Counterfactual Explanations Without Opening the Black Box: Automated Decisions and the GDPR, in Harvard Journal of Law & Technology, 2, 2018; S. Wachter, B. Mittelstadt, L. Floridi, Why a right to explanation of automated decision-making does not exist in the General Data Protection Regulation, in International Data Privacy Law, 2017; G. Malgieri, G. Comandè, Why a Right to Legibility of Automated Decision-Making Exists in the General Data Protection Regulation, in International Data Privacy Law, 2017; A. D. Selbst, J. Powles, Meaningful information and the right to explanation, in International Data Privacy Law, 2017, pp. 233-ss; L. Edwards, M. Veale, Slave to the algorithm? Why a right to an explanation is probably not the remedy you are looking for, in 16 Duke Law & Technology Review, 2017. ↑
10. Per approfondimenti, cfr. G. Bruzzone, Verso il Digital Markets Act: obiettivi, strumenti e architettura istituzionale, in Rivista della Regolazione dei mercati, 2, 2021; A. De Streel, P. Larouche, The European Digital Market Act Proposal: How to Improve a Regulatory Revolution, in Concurrences, 2, 2021, pp. 46 ss. ↑
11. Cfr. G. Caggiano, La proposta di Digital Service Act per la regolazione dei servizi e delle piattaforme online nel diritto dell’Unione europea, in Annali AISDUE, Focus “Servizi e piattaforme digitali”, 1, 2021; G. Abaldo, Una prospettiva di regolamentazione degli ISP attraverso il Digital Service Act, in MediaLaws, 2, 2022. ↑
12. Vedi F. Bravo, Intermediazione di dati personali e servizi di data sharing dal GDPR al Data Governance Act, in Contratto e impresa Europa,1, 2021. ↑
13. Sul Data Act e il nesso con il Data Governance Act si veda l’intervento del Vice Presidente del Garante per la protezione dei dati personali, Ginevra Cerrina Feroni, Luci e ombre della Data Strategy europea, in AgendaDigitale del 13 maggio 2022, consultabile sul sito del Garante Privacy al seguente collegamento (doc. web 9769786). ↑
14. Cfr. in proposito G. Scorza, Prospettive de iure condendo della protezione dei dati personali nel settore delle comunicazioni elettroniche, tra Regolamento generale 2016/679 e futuro Regolamento e-Privacy, in L. Califano, C. Colapietro (a cura di), Innovazione tecnologica e valore della persona. Il diritto alla protezione dei dati personali nel Regolamento UE 2016/679, Editoriale Scientifica, Napoli, 2018; si veda anche lo studio pubblicato dall’Istituto Italiano per la Privacy e la Valorizzazione dei Dati, sviluppato da L. Bolognini, C. Bistolfi, G. Crea, Il Regolamento e-Privacy tra principi giuridici e impatti sull’economia digitale, consultabile al seguente link: Paper-IIP_ePrivacy_2018_ITA.pdf (istitutoitalianoprivacy.it). ↑
15. Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’Intelligenza artificiale (legge sull’Intelligenza artificiale) e modifica alcuni atti legislativi dell’Unione, 21.4.2021, COM/2021/206 final (cfr. https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:52021PC0206). Ex multis, si veda in merito C. Casonato, B. Marchetti., Prime osservazioni sulla proposta di Regolamento dell’Unione europea in materia di Intelligenza artificiale, in Biolaw Journal, 3, 2021; F. Donati, Diritti fondamentali e algoritmi nella proposta di Regolamento sull’Intelligenza artificiale, in Il diritto dell’Unione Europea, 2, 2021; T. E. Frosini, L’orizzonte giuridico dell’Intelligenza artificiale, in BioLaw Journal, 1, 2022; K. Stuurman, E. Lachaud, Regulating AI. A label to complete the proposed Act on Artificial Intelligence, in Computer Law & Security Review, 44, 2022; M. Veale, F. Zuiderveen Borgesius, Demystifying the Draft EU Artificial Intelligence Act. Analysing the good, the bad, and the unclear elements of the proposed approach, in Computer Law Review International, 4, 2021. ↑
16. COM (2021) 205 final, consultabile al seguente collegamento: Communication on Fostering a European approach to Artificial Intelligence | Shaping Europe’s digital future (europa.eu). In merito alla suddetta comunicazione, si veda l’approfondimento di F.C. La Vattiata, Brevi note a caldo sulla recente proposta di regolamento UE in tema di intelligenza artificiale, in Diritto penale e uomo, 6, 2021. ↑
17. Come rilevato anche in C. Casonato, B. Marchetti., Prime osservazioni sulla proposta di Regolamento dell’Unione europea in materia di Intelligenza artificiale, cit., pp. 2 ss. ↑
18. Orientamenti etici per un’IA affidabile, pubblicato l’8 aprile 2019 e consultabile al link: Orientamenti etici per un’IA affidabile – Publications Office of the EU (europa.eu). ↑
19. Cfr. G. Contissa, F. Galli, F. Godano, G. Sartor, Il Regolamento Europeo sull’Intelligenza artificiale. Analisi informatico-giuridica, in i-lex. Scienze giuridiche, Scienze cognitive e Intelligenza artificiale, 2, 2021, p. 3 ss. ↑
20. High-Level Expert Group on Artificial Intelligence, Policy and Investment Recommendations for Trustworthy AI, pubblicata il 26 giugno 2019. ↑
21. Commissione Europea, Libro Bianco sull’Intelligenza artificiale. Un approccio europeo all’eccellenza e alla fiducia, 19 febbraio 2020, COM/2020/65 final. ↑
22. Relazione sulle implicazioni dell’Intelligenza artificiale, dell’Internet delle cose e della robotica in materia di sicurezza e di responsabilità, COM (2020) 64 final del 19.02.2020. ↑
23. Sempre funzionale alla regolazione dell’IA, è stata anche la creazione dell’AI Alliance, ovvero una piattaforma destinata alla discussione sulle implicazioni tecnologiche e sociali dell’IA. ↑
24. Cfr. in proposito la Memoria del Garante per la protezione dei dati personali – COM 2021(206) Proposta di regolamento (UE) sull’Intelligenza artificiale, esposta il 9 marzo 2022 in audizione alla Camera dei Deputati, Commissioni IX-X riunite. ↑
25. Il forte nesso tra trattamento di dati personali ed Intelligenza artificiale è messo in evidenza nell’interessante lavoro del Garante spagnolo per la protezione di dati personali (Agenzia spagnola per la protezione dei dati – AEPD), la Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial. Una introducción, Febbraio, 2020, pp. 12 ss., il quale individua diverse fasi in cui può aver luogo un trattamento di dati personali durante il processo di formazione di un sistema artificiale. Vedi anche O. Pollicino, F. Paolucci, La proposta di Regolamento sull’Intelligenza artificiale: verso una nuova governance europea, in Privacy&, 3/2021 ed F. Pizzetti (a cura di), Intelligenza artificiale, protezione dei dati personali e regolazione, cit. ↑
26. Si veda anche la Memoria del Garante per la protezione dei dati personali – COM 2021(206) Proposta di Regolamento (UE) sull’Intelligenza artificiale, già richiamata. Per approfondimenti sul tema si rinvia altresì a T.E Frosini, L’orizzonte giuridico dell’Intelligenza artificiale, cit. ↑
27. Sul punto sia consentito fare rinvio a C. Colapietro, Il diritto alla protezione dei dati personali in un sistema delle fonti multilivello. Il Regolamento UE 2016/679 parametro di legittimità della complessiva normativa sulla privacy, Napoli, 2018, p. 34, in cui si evidenzia come la privacy, nella sua dimensione dinamica di data protection, «assume il carattere di “garanzia presupposto” dell’esercizio di altri diritti fondamentali, al fine di rendere possibile lo sviluppo della persona, l’esplicazione reale ed effettiva delle sue libertà». La privacy come “costellazione di diritti” è un concetto già espresso da F. Modugno, I “nuovi diritti” nella giurisprudenza costituzionale, Giappichelli, Torino, 1995, pp. 20 e 21, che teorizza la ricomprensione «nelle singole fattispecie — che sono poi sempre quelle descritte o derivanti dalle norme costituzionali sui diritti – di un ‘vincolo alla riservatezza’ sia nei confronti dei pubblici poteri sia nei confronti dei privati nell’esercizio di altre libertà». Tale posizione è espressa anche nella International resolution on privacy as a fundamental human right and precondition for exercising other fundamental rights, adottata nell’ambito della 41esima International Conference of Data Protection and Privacy Commissioners tenutasi a Tirana dal 21 al 24 ottobre 2019, laddove si è sottolineata la necessità di proteggere «the right to privacy as a fundamental right and its role in both informing and serving as a foundation to other inalienable rights» e che «privacy is a precondition for citizens’ other freedoms as well as a keystone right for democracy and personal and social development». ↑
28. Memoria del Garante per la protezione dei dati personali – COM 2021(206) Proposta di Regolamento (UE) sull’Intelligenza artificiale, cit. ↑
29. Sul tema di veda G. De Minico, Towards an “Algorithm constitutional by design”, cit., pp. 381 ss. ↑
30. Cfr. G. Pitruzzella, L’Europa del mercato e l’Europa dei diritti, in Federalismi.it, 6, 2019, p. 10; vedi anche V. Kosta, Fundamental Rights in EU Internal Market Legislation, Hart, Oxford, 2018. ↑
31. Per una analisi del contenuto del testo cfr. G. Contissa, F. Galli., F. Godano, G. Sartor, Il Regolamento Europeo sull’Intelligenza artificiale. Analisi informatico-giuridica, cit. ↑
32. Si veda sul punto il contributo di S. Ranchordás, M. Van’t Schip, Future-Proofing Legislation for the Digital Age, in S. Ranchordas, Y. Roznai, Time, Law, and Change, Hart, Oxford, 2020, ed anche F. Laviola, Regolazione della tecnologia e dimensione del tempo, in Osservatorio sulle fonti, 3, 2021, pp. 1163 ss. ↑
33. Cfr. C. Casonato, B. Marchetti., Prime osservazioni sulla proposta di Regolamento dell’Unione europea in materia di Intelligenza artificiale, cit., pp. 419 ss, ove viene fatto riferimento a quanto affermato da R. Pound, Interpretations of Legal History (1923), Cambridge University Press, 2013, secondo cui «Law must be stable, and yet it cannot stand still». ↑
34. K. Stuurman, E. Lachaud, Regulating AI. A label to complete the proposed Act on Artificial Intelligence, cit., p. 3, ove si legge: «The underlying definition of ‘AI system’ is intended to be technology neutral.16 Driven by the nature of AI systems this definition is relatively open and can be amended with a view to ongoing technological change (intended ‘future proof’). Un- der Article 4 of the Act, the Commission is empowered to up- date the list of techniques and approaches listed in Annex I to market and technological developments.17 Furthermore, the Commission is under Article 7 of the Act empowered to adopt delegated acts to update Annex III by adding high-risk AI systems. The criterium is twofold: (a) the AI systems are intended to be used in any of the areas listed in points 1 to 8 of Annex III, and (b) the AI systems pose a risk of harm to the health and safety, or a risk of adverse impact on fundamental rights, that is, in respect of its severity and probability of occurrence, equivalent to or greater than the risk of harm or of adverse impact posed by the high-risk AI systems already referred to in Annex III.As set out in the Explanatory Memorandum18, the classification ‘high-risk’ is based on the intended purpose of the AI system, in line with existing EU product safety legislation. This classification hence does not only depend on the function of the system, but also on the specific purpose and modalities for which it is being used.Under the Act, systems considered ‘high-risk’ are per- mitted on the European market subject to compliance with mandatory requirements relating to19 data and data governance, documentation and recording keeping, transparency and provision of information to users, human oversight, robustness, accuracy and security, as well as ex-ante conformity assessment». ↑
35. Cfr. ancora C. Casonato, B. Marchetti., Prime osservazioni sulla proposta di Regolamento dell’Unione europea in materia di Intelligenza artificiale, cit., pp. 430 ss. ↑
36. Per approfondire l’argomento si veda: il contributo del Consiglio dell’Unione europea, Conclusioni sugli spazi di sperimentazione normativa e le clausole di sperimentazione come strumenti per un quadro normativo favorevole all’innovazione, adeguato alle esigenze future e resiliente che sia in grado di affrontare le sfide epocali nell’era digitale, 2020/C 447/01; nonché R. Parenti, Regulatory Sandboxes and Innovation Hubs for FinTech. Impact on innovation, financial stability and supervisory convergence – Study for the committee on Economic and Monetary Affairs, Policy Department for Economic, Scientific and Quality of Life Policies, Parlamento europeo, 24 settembre 2020. ↑
37. La similitudine di struttura e contenuti tra i due testi normativi è stata sottolineata nella Memoria del Garante per la protezione dei dati personali – COM 2021(206) Proposta di Regolamento (UE) sull’Intelligenza artificiale, cit. ↑
38. Orientamenti etici per un’IA affidabile, cit. ↑
39. Cfr. ancora la Memoria del Garante per la protezione dei dati personali – COM 2021(206) Proposta di Regolamento (UE) sull’Intelligenza artificiale, cit. ↑
40. Così Martin Ebers, Veronica R. S. Hoch, Frank Rosenkranz, Hannah Ruschemeier, Björn Steinrötter, The European Commission’s Proposal for an Artificial Intelligence Act – A Critical Assessment by Members of the Robotics and AI Law Society (RAILS), in Multidisciplinary Scientific Journal, n. 4, 2021. ↑
41. C. Casonato e B. Marchetti, Prime osservazioni sulla proposta di Regolamento dell’Unione europea in materia di intelligenza artificiale, in BioLaw Journal-Rivista di BioDiritto, 3, 2021. ↑
42. EDPB-GEPD, Parere congiunto sulla proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’Intelligenza artificiale (legge sull’Intelligenza artificiale), pubblicato il 5/2021 e consultabile al seguente link EDPB-EDPS_Joint_opinion_202105_AI_Regulation_IT_fv.docx (europa.eu). ↑
43. Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati). ↑
44. Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il Regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE. ↑
45. Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio. ↑
46. Si fa riferimento al punto n. 48 del Parere dell’EDPB-GEPD, Parere congiunto sulla proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’Intelligenza artificiale (legge sull’Intelligenza artificiale), cit. ↑
47. Parere della Camera dei Deputati, Commissioni Riunite IX e X, doc. XVIII, n. 39, approvato il 13 aprile 2022. ↑
48. Memoria del Garante per la protezione dei dati personali – COM 2021(206) Proposta di Regolamento (UE) sull’Intelligenza artificiale, cit. ↑
49. Così ancora la Memoria del Garante per la protezione dei dati personali – COM 2021(206) Proposta di Regolamento (UE) sull’Intelligenza artificiale, cit., secondo cui «l’individuazione nel Garante dell’autorità di controllo ai fini del presente regolamento consentirebbe, infatti, un adeguamento quantomai tempestivo agli obblighi ivi previsti, anche in assenza di ingenti stanziamenti, potendo esso avvalersi dell’esperienza già maturata rispetto a quell’aspetto così dirimente dell’IA che è rappresentato dal processo decisionale automatizzato». ↑
50. Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del Regolamento 2016/679, adottate dal Gruppo di Lavoro art. 29 per la protezione dei dati il 3 ottobre 2017, ed emendate il 6 febbraio 2018. ↑
51. V. Pagnanelli, Decisioni algoritmiche e tutela dei dati personali. Riflessioni intorno al ruolo del Garante, in Osservatorio sulle fonti, 2, 2021, pp. 783 ss. ↑
52. Si veda il provvedimento del Garante per la protezione dei dati personali n. 467 dell’11 ottobre 2018, [doc. web n. 9058979], Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679 – 11 ottobre 2018 e il relativo elenco contenuto nell’Allegato 1. ↑
53. Cfr. il provvedimento del Garante per la protezione dei dati personali, Redditometro: le garanzie dell’Autorità a seguito della verifica preliminare sul trattamento di dati personali effettuato dall’Agenzia delle entrate, pubblicato il 21 novembre 2013 [doc. web n. 2765110]. ↑
54. Cfr. il provvedimento del Garante per la protezione dei dati personali, Parere sul sistema Sari Real Time, pubblicato il 25 marzo 2021 [doc. web n. 9575877]. ↑
55. Si veda il provvedimento del Garante per la protezione dei dati personali, Parere favorevole sullo schema di norma predisposta dalla Provincia Autonoma di Trento in materia di trattamenti che implicano decisioni integralmente automatizzate, pubblicato il 15 ottobre 2020 [doc. web n. 9480921]. ↑
56. In proposito, si veda anche quanto stabilito nella recente sentenza della Corte di cassazione civile, 24 marzo 2021, n. 14381, con la quale è stata posta l’attenzione sulla necessità di garantire la trasparenza dell’algoritmo al fine di conoscerne il funzionamento e verificare l’impatto sul trattamento dei dati personali, quale diritto fondamentale. Con tale pronuncia la Corte ha poi previsto l’onere in carico a chi vuole fare uso di tecnologie algoritmiche di informare i soggetti interessati sulle modalità con cui i propri dati personali vengono trattati. ↑
57. Si veda il provvedimento sanzionatorio del Garante per la protezione dei dati personali, Ordinanza ingiunzione nei confronti di Clearview AI, pubblicato il 10 febbraio 2022 [doc. web n. 9751362]. Più diffusamente su Clearview, cfr. G. Mobilio, Tecnologie di riconoscimento facciale. Rischi per i diritti fondamentali e sfide regolative, Editoriale Scientifica, Napoli, 2021, p. 178; I. Neroni Rezende, Facial recognition in police hands: Assessing the ‘Clearview case’ from a European perspective, in New Journal of European Criminal Law, 3, 2020, pp. 375 ss.; K. Hill, G.J.X. Dance, Clearview’s Facial Recognition App is Identifying Child Victims of Abuse, in The New York Times, 10 febbraio 2020 [nyti.ms/39Nilef]. ↑
58. Cfr. il provvedimento del Garante per la protezione dei dati personali, Parere alla Banca d’Italia sullo schema di regolamento concernente il trattamento dei dati personali effettuato nell’ambito della gestione degli esposti, pubblicato il 24 febbraio 2022 [doc. web n. 9751895]. ↑
59. F. Patroni Griffi, La decisione robotica e il giudice amministrativo, in https://www.giustizia-amministrativa.it/-/patroni-griffi-la-decisione-robotica-e-il-giudice-amministrativo-28-agosto-2018, 2018, p. 8, che ritiene la decisione amministrativa robotizzata «indirizzata su un cammino che può essere ragionevolmente percorso in molti settori della vita quotidiana che richiedano l’intermediazione della pubblica amministrazione. È un percorso che impone cautele, che necessita di un adattamento del sindacato giurisdizionale sui provvedimenti amministrativi e che probabilmente richiede regole europee comuni; ma è una strada senz’altro percorribile»; più scettico, invece, E. Carloni, Algoritmi su carta. Politiche di digitalizzazione e trasformazione digitale delle amministrazioni, in Diritto pubblico, 2, 2019, pp. 365 ss. ↑
60. Report curato dalla Fondazione per l’Innovazione COTEC di concerto con il Centro di Ricerca Interdipartimentale per gli Studi Politico-costituzionali e di Legislazione comparata dell’Università degli Studi Roma Tre (CRISPEL), disponibile al link: https://cotec.it/it_IT/progetto-intelligenza-artificiale/. Dall’indagine condotta è emerso che «il processo di adozione di nuove tecnologie, ed in particolare di quelle di Intelligenza artificiale da parte delle Amministrazioni centrali, sebbene presenti un quadro fortemente disomogeneo, è complessivamente caratterizzato da una situazione di forte ritardo. Si riscontra, comunque, da parte di tutti i soggetti intervistati una chiara volontà di accelerare il processo e ciò è dimostrato anche da un numero crescente di iniziative in materia di nuove tecnologie e Intelligenza artificiale, avviate dalle varie Amministrazioni centrali. Tale processo può probabilmente essere agevolato da un previo sviluppo della digitalizzazione e di politiche mirate e lungimiranti sull’acquisizione dei dati (raccolta, archiviazione e consapevolezza), ed in tal senso i progetti e i fondi previsti dal PNRR potranno senz’altro contribuire a una significativa velocizzazione». ↑
61. Così A. Simoncini, Profili costituzionali della amministrazione algoritmica, cit., il quale ribadisce che sebbene «la tecnologia deve avere esclusivamente un valore “servente”, in realtà non possiamo ignorare la sua travolgente “forza pratica”, che tende a “rendere servo” il padrone». ↑