0
intelligenza artificiale e diritto

Intelligenza Artificiale e diritto UE: il possibile impatto dell’IA

Tecnologie ICTLuglio 10, 2019

Nell’aprile 2018 la Commissione europea ha presentato per la prima volta la sua posizione rispetto all’Intelligenza Artificiale (AI) e ciò ha segnato un momento cruciale essenzialmente perché l’AI è considerata una tecnologia in grado di portare enormi effetti trasformativi alle economie europee e alle società, che dovrebbero essere sfruttati a vantaggio delle persone.

In secondo luogo, la posizione della Commissione europea (COM(2018) 237) pone le basi per una serie di iniziative concrete da attuare nei prossimi anni, e offre una prima revisione delle aree regolatorie europee che permette di capire l’impatto estensivo ed espansivo che l’IA potrebbe avere sull’ordinamento giuridico europeo.

Uno dei primi passi da percorrere è quello di identificare quali sono le intersezioni emergenti tra le diverse forme e usi delle applicazioni di intelligenza artificiale e tutte le strutture legali rilevanti che esistono. Per iniziare, è bene partire dalle intersezioni che esistono tra l’AI e la legge europea in quattro aree, così come possono essere ricavate dalla Comunicazione della Commissione UE, e cioè:

A) Sicurezza dei prodotti;

B) Responsabilità da prodotto;

C) Protezione dei consumatori;

D) Protezione dei dati personali.

 

Sicurezza dei prodotti

L’obiettivo della legislazione sulla sicurezza dei prodotti è quello di assicurare che i prodotti che vengono messi sul mercato siano sicuri e non mettano in pericolo la vita, la salute o la sicurezza degli individui che li usano, ne entrano in contatto o che possano esserne in qualche modo influenzati. In Europa è presente una struttura regolatoria estensiva e di lunga data nel campo della sicurezza dei prodotti che virtualmente ricopre tutti i prodotti e che è immediatamente rilevante per l’emergenza dei prodotti alimentati da IA.

Questo quadro trova le sue origini dalla ragion d’essere del mercato unico europeo: assicurare la libera circolazione dei beni tra gli Stati Membri. La ratio delle misure di armonizzazione in questo campo, limitatamente ai prodotti che sono soggetti ai requisiti comuni nel mercato unico, è che venga impedito agli Stati Membri di restringere il commercio all’interno dei propri mercati.

Nel tempo, le tecniche di armonizzazione si sono evolute e sono diventate parte di una politica volta ad assicurare che i prodotti siano sicuri e conformi e che sia raggiunto il più alto livello di protezione nelle materie relative, tra le altre, a salute, sicurezza e protezione dei consumatori.

Nella Comunicazione su AI, la Commissione sottolinea il bisogno di una riflessione “sull’idoneità di alcune ormai assodate norme sulla sicurezza []” in connessione con l’emergenza dell’intelligenza artificiale. Inoltre, la Commissione evidenzia anche la preoccupazione secondo la quale “i robot più avanzati e l’Internet delle Cose potenziati da AI potrebbero agire in un modo che non poteva essere ipotizzato al tempo in cui il sistema è stato messo in pratica per la prima volta”.

Questo richiederebbe che, “dato il vasto utilizzo di IA dovrebbero essere riviste sia le norme orizzontali che quelle settoriali”. In linea di principio, i produttori hanno bisogno di assicurare “un livello di protezione corrispondente all’uso che prescrivono al prodotto sotto le condizioni d’uso che possono essere ragionevolmente previste”. I produttori quindi non potrebbero prendere in considerazione semplicemente l’uso previsto del prodotto, ma anche anticipare come un utente medio del prodotto potrebbe pensare di usarlo.

La Comunicazione su AI e il documento di lavoro sulla responsabilità per le tecnologie emergenti (COM(2018) 246) prevedono una lista di strumenti di sicurezza europei che sono potenzialmente applicabili ai prodotti emergenti attivati da IA. Una revisione di questi strumenti sembra confermare che in principio questi non richiedono ai produttori di assicurare protezione contro i pericoli che non sono previsti, anche se in connessione con un uso inteso o previsto o anche un possibile abuso del prodotto.

Il concetto di sicurezza nella legislazione europea è una nozione ampia che spazia tra diverse aree e approcci regolatori. La legislazione europea sulla sicurezza comprende norme che mirano a proteggere i soliti interessi essenziali come la salute e la sicurezza umana da diverse fonti di pericolo. Ma “l’imprevedibilità” dell’IA non sembra essere una nuova preoccupazione da un punto di vista della sicurezza perché, anche se sembra sfidare alcune norme esistenti, essa dovrebbe essere contestualizzata nei fondamentali della normativa sul rischio.

Nella misura in cui è dimostrato che l’applicazione di AI ad alcuni prodotti sia in grado di apportare benefici alla collettività e vantaggi che siano degni di essere conseguiti o incoraggiati, questa situazione deve essere indirizzata e gestita dalla prospettiva della legge sulla sicurezza dei prodotti con un approccio specifico non adatto per altri prodotti o applicazioni. Questo approccio specifico potrebbe ben ispirarsi a molteplici norme e soluzioni già presenti nel diritto europeo per risolvere problemi di sicurezza e gestione del rischio in molti settori.

 

Responsabilità da prodotto

La legge sulla responsabilità da prodotto è una degli strumenti di diritto civile che contribuisce all’obiettivo generale di proteggere le vittime dai danni dei prodotti nelle moderne società industriali. Tipicamente, la legge stabilisce il diritto della vittima di un prodotto difettoso di chiedere il risarcimento dei danni sofferti ai sensi di un regime speciale che completa il sistema generale del diritto civile. Nel sistema europeo, la normativa sulla responsabilità da prodotto è stata armonizzata dalla direttiva sulla Responsabilità da Prodotto (PLD, Direttiva 85/374/CEE).

Questa direttiva ha introdotto il sistema della responsabilità oggettiva, per la quale non c’è bisogno per la vittima di provare la colpa del produttore. Per rivendicare un diritto ai sensi della PLD, la vittima deve provare il danno, il difetto del prodotto e il nesso causale tra il difetto e il danno. Per capire bene questo quadro, è importante approfondire tre aspetti della direttiva: la nozione di difetto, l’onere della prova in capo alla vittima e la successiva difesa dal difetto.

Ai sensi del combinato disposto dell’art. 6 e il considerando 6 della direttiva PLD, un prodotto è difettoso quando non prevede quel grado di sicurezza che il pubblico ha il diritto di aspettarsi, prendendo tutte le circostanze in considerazione, includendo la presentazione del prodotto, l’uso che ci si aspetta venga fatto del prodotto e il momento in cui il prodotto viene messo in circolazione.

La valutazione del difetto da parte del giudice si riferisce a uno standard oggettivo ed è normativo, non semplicemente fattuale. In altri termini, il giudice non deve semplicemente identificare quali sono le aspettative di sicurezza del pubblico, ma deve determinare se e quando il pubblico ha diritto a queste aspettative.

In quelle situazioni in cui l’AI sostituisce integralmente l’intervento umano, si potrebbe sostenere che le legittime aspettative di sicurezza rispetto alla difettosità dei “prodotti AI”, dovrebbero essere almeno pari a quelle oggi esigibili dall’operatore umano.

Quindi, qualcuno potrebbe dire che in teoria i tribunali dovrebbero essere in grado di applicare agevolmente ai danni causati dai dispositivi AI le regole e i principi sviluppati in modo simile per le situazioni di danno che risultano dai dispostivi regolati dagli uomini. Da un punto di vista legale, lo standard della PLD non è un principio comparabile con lo standard del test basato sulla colpa che viene normalmente applicato agli operatori umani.

Quest’ultimo, infatti, si concentra sulla mancanza di conformità con lo standard di cura e condotta applicabile, il quale normalmente implica la prevedibilità e la possibilità di evitare il danno e che porta alla determinazione del fatto che colui che ha commesso l’illecito non sarà responsabile nei confronti della vittima se, malgrado il danno, non aveva colpa.

Il primo, invece, prescinde dalla considerazione del comportamento o della colpa del produttore e si focalizza sulla possibilità che il prodotto fosse difettoso. In altre parole, se ci sono sicuramente situazioni in cui l’esistenza del difetto in un sistema AI può essere identificato e dimostrato con l’applicazione dei principi esistenti sulla responsabilità da prodotto in materia intuitiva, rimangono domande su come il test sulla difettosità potrebbe funzionare per i prodotti emergenti AI, specialmente se le vittime dei sistemi AI hanno una ragionevole chance di risarcimento e la PLD continuerà a fornire un obiettivo essenziale per assicurare una giusta ripartizione dei rischi inerenti alla produzione tecnologica moderna.

Per quanto riguarda l’onere della prova, è la vittima che ha bisogno di provare l’esistenza del difetto, oltre al danno e alla relazione causale tra il difetto e il danno. La direttiva non definisce quale standard di prova debba essere rispettato dalla vittima, quindi si applicano le norme di prova nazionali. Tuttavia, la ECJ ha dichiarato che queste norme nazionali non dovrebbero minare la ripartizione dell’onere della prova stabilita dall’art. 4 PLD e neanche l’effettività del sistema di responsabilità ai sensi della PLD o gli obiettivi perseguiti dalla legislatura europea con quel sistema.

D’altra parte, anche se il ricorrente ha dimostrato di aver sofferto un danno causato da un prodotto difettoso, il produttore del prodotto non è responsabile se prova l’esistenza di una delle circostanze a favore esplicitamente previste dal legislatore. Ai sensi dell’art. 7 (b), il produttore non è responsabile se prova che “è probabile che il difetto che ha causato il danno non esisteva al momento della messa in circolazione del prodotto o che il difetto è venuto in essere in un momento successivo”.

Questa difesa è concettualmente connessa alla circostanza che la responsabilità del produttore venga valutata al momento in cui il prodotto veniva messo in circolazione e quindi il produttore non doveva essere ritenuto responsabile per la mancanza di sicurezza del prodotto che è sopraggiunta dopo. Tuttavia, se per i prodotti tradizionali la possibilità che un difetto sopraggiunga appare uno scenario residuale, le cose sembrano a priori differenti per i sistemi di intelligenza artificiale, a causa della loro complessità. Quindi, anche se questa difesa può continuare ad avere senso per i prodotti AI in termini astratti e per i prodotti tradizionali, le domande sorgono in merito alla loro pratica applicazione, anche dal punto di vista dei produttori.

 

Protezione dei consumatori

La Comunicazione AI stabilisce il principio per cui “l’uso su larga scala degli strumenti potenziati da AI nelle transazioni B-to-C devono essere giuste, trasparenti e conformi alla normativa sui consumatori”. Più specificatamente, la Commissione sottolinea il bisogno dei consumatori di ricevere informazioni chiare riguardo l’uso, le caratteristiche e le proprietà dei prodotti AI, che gli individui siano capaci di controllare i dati generati dall’uso di questi prodotti e che sappiano se stanno comunicando con una macchina o con un altro umano.

In termini generali, la legge sui consumatori fondamentalmente mira a proteggere i consumatori contro possibili situazioni indesiderate o ingiuste, di natura diversa e relative a diversi interessi protetti che possono risultare da un’asimmetria di informazioni, strumenti e potere tra consumatori e operatori commerciali nel contesto delle transazioni di mercato. Anche in questo caso, è necessario fare chiarezza su alcuni concetti.

In primo luogo, secondo numerose sentenze della Corte di Giustizia, è considerato “consumatore medio” colui che è “ragionevolmente ben informato e ragionevolmente attento e prudente, tenendo in considerazione i fattori sociali, culturali e linguistici”. L’adozione di questo standard significa che, quando applicabile, determinare se e quando una determinata pratica sia giusta o ingiusta dipende da quale sarebbe l’impatto di quella pratica sul consumatore medio. Il consumatore che non è ragionevolmente informato o ragionevolmente attento e prudente potrebbe non essere protetto, eccetto in alcune circostanze.

La scelta del legislatore europeo di adottare il concetto del consumatore medio non è stata priva di critiche. Per esempio, è stato osservato che l’immagine del consumatore medio non tiene in considerazione il comportamento reale del consumatore, basato su risultati di studi comportamentali e di psicologia del consumatore.

Andando avanti, in un mondo dove le transazioni BtoC sono sempre di più mediate da algoritmi setacciando innumerevoli dati con l’obiettivo di personalizzare l’esperienza del consumatore e indirizzando la stessa con pratiche commerciali più efficaci, qualcuno potrebbe chiedersi a cosa corrisponde il “consumatore ragionevolmente ben informato e ragionevolmente attento e prudente”.

È difficile essere ben informati, attenti e prudenti se il consumatore interagisce con un algoritmo che può ricavare, desumere, predire o valutare informazioni sconosciute sulle sue caratteristiche, attributi, interessi, identità, demografia, comprese informazioni sensibili su salute, opinioni politiche e orientamento sessuale.

Connesso al concetto di consumatore medio troviamo quello degli obblighi informativi. In principio, i consumatori rimangono liberi di scegliere d’accordo con le proprie preferenze, e gli operatori commerciali hanno meno vincoli e costi nel fare business. La direttiva sui diritti dei consumatori è probabilmente lo strumento più importante per discutere la natura e le caratteristiche degli obblighi informativi nel campo del diritto europeo sui consumatori.

Essa contiene le regole più dettagliate riguardanti il dovere del commerciante di fornire informazioni precontrattuali al consumatore. Anche in questo caso, come per il consumatore medio, sono state mosse delle critiche. La divulgazione di informazioni non è necessariamente uno strumento efficace per assicurare la protezione dei consumatori in tutte le circostanze.

I consumatori, come gli esseri umani in generale, hanno una capacità limitata di assorbire tutte le informazioni previste. Se il consumatore reale nel mondo dei big data appare essere distante dal consumatore medio preso come metro di valutazione nella legge sul consumatore, il ruolo delle politiche informative nel diritto europeo potrebbe essere forzato. Curiosamente, tuttavia, le stesse capacità degli strumenti AI e le tecniche usate dagli operatori commerciali per indirizzare i consumatori e personalizzare pratiche commerciali potrebbero essere usate per riattivare gli effettivi requisiti di informativa nell’interesse del rafforzamento del consumatore.

Infine, la direttiva sui termini ingiusti dei contratti con il consumatore (direttiva 1993/13/CEE) stabilisce il principio secondo il quale “Una clausola contrattuale, che non è stata oggetto di negoziato individuale, si considera abusiva se, malgrado il requisito della buona fede, determina, a danno del consumatore, un significativo squilibrio dei diritti e degli obblighi delle parti derivanti dal contratto”.

Ci sono mote ragioni per ritenere che la direttiva possa essere uno strumento promettente per valutare la correttezza dei termini e delle condizioni di uso con cui i sistemi IA possano essere impiegati per monitorare e valutare il comportamento del consumatore, causando o aggravando uno squilibrio tra i diritti e gli obblighi delle parti.

In ogni caso, la valutazione della natura ingiusta dei termini non deve riguardare né la definizione della materia principale del contratto, né l’adeguatezza del prezzo e della remunerazione. Nel contesto dei servizi e delle piattaforme online, dove gli utenti non pagano per i servizi da cui traggono beneficio ma al contrario permettono la raccolta e l’elaborazione dei loro dati, sorge la domanda su quando e se i dati così forniti costituiscono prezzo o remunerazione.

 

Protezione dei dati

Il regolamento UE n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati,  è considerato dalla posizione della Commissione europea (COM(2018) 237) come caposaldo dell’approccio sostenibile europeo alla tecnologia. Con l’adozione di questo regolamento, il legislatore europeo ha assunto un ruolo proattivo introducendo una struttura legale che ha il potenziale di sfidare certi usi e applicazioni indesiderate dell’intelligenza artificiale.

Si fa riferimento nello specifico ai sistemi algoritmici che, nel contesto dei big data, classificano, analizzano, identificano processi ed elaborano grandi numeri di informazioni, includendo informazioni personali. Il risultato è la generazione di spunti, inferenze e previsioni sugli individui che possono essere semplici e intuitive, ma anche invasive, inaspettate e fondamentalmente oltre l’abilità della mente umana di replicarle sulla base delle stesse informazioni. Senza ombra di dubbio, da un punto di vista legale l’intero sistema del regolamento è unicamente improntato a influenzare il modo in cui i sistemi di intelligenza artificiale possono essere costruiti e operare quando si elaborano i dati personali.

Ma qual è lo status legale delle conoscenze, inferenze e previsioni generate dai sistemi AI? Il Comitato europeo sulla protezione dei dati ha chiaramente optato per una interpretazione estensiva dei dati personali; i dati personali infatti non sarebbero solo i dati osservati su un individuo, ma anche dati che sono stati dedotti.

La Corte di Giustizia non si è ancora espressa sulla qualificazione delle conoscenze, inferenze e previsioni generate dai sistemi AI. Tuttavia, in due casi recenti la Corte ha deciso sull’interpretazione del concetto di dati personali ai sensi della direttiva sulla protezione dei dati. Nel caso YS. And others la Corte ha deciso che il concetto di dati personali secondo la direttiva non si estende all’analisi legale portata avanti dall’ufficiale dell’immigrazione o su una domanda per il permesso di soggiorno. In un altro caso, Nowak, al contrario, la Corte ha stabilito che i commenti e le valutazioni fatte da un esaminatore sul candidato sono dati personali.

Per la Corte, i soggetti interessati non esercitano necessariamente l’intero spettro di diritti garantiti dalla direttiva o li esercitano nella misura in cui lui o lei sarebbe in grado di farlo relativamente alle altre categorie di dati personali, come quelli che sono stati forniti dagli stessi soggetti.

Ritornando agli usi dell’intelligenza artificiale, nonostante la possibile interpretazione secondo la quale le persone interessate non avrebbero o avrebbero diritti limitati secondo la legge sulla protezione dei dati, le conoscenze, le inferenze e le previsioni generate dai sistemi IA sembrano preoccupanti alla luce dei seri rischi di privacy e di libertà individuale che quelle conoscenze, inferenze e previsioni creano.

D’altra parte, è difficile generalizzare situazioni come gli usi e le applicazioni di AI, perché sono significativamente diverse. Tuttavia, nonostante le differenze nell’analisi legale, le decisioni riflettono un approccio complessivo sensibile, consistente nell’interpretare le disposizioni sulla protezione dei dati in modo flessibile ed equilibrato.

 

Conclusione

La Comunicazione sull’Intelligenza Artificiale per l’Europa adottata dalla Commissione Europea nell’aprile 2018 è sicuramente un buon punto di partenza per affrontare il tema delle interazioni tra AI e diritto europeo. Il documento infatti segna una fase importante per capire il modo pervasivo ed estensivo con cui AI viene inserito nella nostra economia, società e sistema legale. Oggi, sono chiari due orientamenti: il primo, dove l’intelligenza artificiale sembra esercitare pressione sulle esistenti strutture regolatorie, come nella sicurezza dei prodotti, responsabilità e protezione dei consumatori.

Il secondo, invece, ritiene che AI sia catturato da un corpo completo di leggi che dovrebbe determinare il modo in cui le sue applicazioni verranno sviluppate e usate. In ogni caso, l’emergenza di AI – offrendo l’opportunità di rafforzare o erodere o sostituire un numero sempre maggiore di attività umane con forme più sofisticate di automazione – evoca una politica comune e sfide legali in tutti i settori così come dimensioni più ampie e più profonde, implicazioni e domande, per le quali un approccio coerente e sistematico si rivelerebbe la strada da seguire.

1 Star2 Stars3 Stars4 Stars5 Stars (3 votes, average: 5,00 out of 5)
Loading...

Lascia un commento

Your email address will not be published.