La scalata verso la regolamentazione legislativa e contrattuale dell'innovazione digitale

Non si può negare il fatto che la scalata verso la regolamentazione legislativa di tecnologie in continuo divenire, intervallata da innamoramenti verso alcuni strumenti (dai registri distribuiti alle chimere metaversiche fino ai miracoli delle intelligenze artificiali generative), sia in salita. Ma tale difficoltà è senz'altro amplificata dalla foga di legiferare nel merito di dettagli che ancora non si conoscono e che non avrebbe alcun senso regolamentare.

In realtà, è dagli anni '60 che il diritto si pone interrogativi sui Decision Support System, (anche detti DSS)...

I supporti (più o meno automatizzati) alle decisioni sempre più complesse da prendere in una società caratterizzata da una ipertrofia informativa, cioè da quel data deluge che oggi chiamiamo "Era dei BIG DATA", non sono spuntati oggi dal nulla come componenti di Intelligenza Aumentata. Infatti, per chi si occupa della materia da tempo, sono argomento di riflessione giuridica e di regolamentazione contrattuale.

Nel diritto -non posso non ricordarlo- non ci sono solo le leggi come strumento di regolamentazione, anzi, le leggi ordinarie dovrebbero guardare dall'alto, da un angolo di osservazione più ampio, per consentire appunto agli interpreti di utilizzare la lente di ingrandimento tecnica e contrattuale indispensabile per gestire con efficacia un cambiamento tecnologico così costante e complesso.

Gli smart contract, i sistemi di intelligenza articiale o gli esempi sempre più attuali e sofisticati di robotica, non possono sosprendere il giurista portandolo a cavalcare suggestioni che vorrebbero nuove forme di soggettività autonoma degli algoritmi, affidandone magari - a gran richiesta - l'inquadranmento a sempre più confuse e caotiche regolamentazioni UE.

In realtà, il giurista dovrebbe aspirare alla libertà interpretativa che ben può affidarsi a solidi principi generali in grado di piegarsi e riflettere le esigenze dell'innovazione.

E, quindi, non c'è bisogno di nuove, ennesime legislazioni per prevenire i pericoli di ciò che verrà o sta per arrivare, ma di solide menti, formate su tematiche interdisciplinari (filosofia, diritto, archivistica, matematica, economia, informatica, psicologia etc.), abituate a risolvere la complessità attraverso attente chiavi interpretative.

Come regolamentare contrattualmente, quindi, lo sviluppo di sistemi di intelligenza artificiale?

Sempre di più ci arrivano richieste su come sviluppare "in modo compliant" soluzioni di IA...

👉 I sistemi di IA restano nient'altro che sofisticate soluzioni software poggiate su piattaforme cloud e, quindi, essi sommano al loro interno le problematiche giuridiche e contrattuali dello sviluppo e del mantenimento di software, intrecciandosi con questioni di security e privacy (intesa quest'ultima come protezione dei dati personali che possono essere trattati all'interno di tali soluzioni).

L'architettura contrattuale è da tempo nota, quindi, a noi studiosi della materia, pur nella sua atipicità e le stesse clausole su cui confrontarsi sono sempre quelle proprie di chi conosce da tempo la contrattualistica informatica e telematica. Anche l'impianto giuridico su cui poggiare le fondamenta di una soluzione IA si dipana all'interno di principi generali (e di buon senso) che da tempo animano (o dovrebbero animare) le architetture digitali. La bussola per chi si occupa di queste questioni dovrebbe pertanto rimanere una accurata preparazione giuridica con esperienza acquisita nella contrattualistica, sommate -se possibile- a una dimestichezza verso i tecnicismi informatici e la dataprotection.

👉 Insomma le problematiche in punto di diritto sempre quelle sono...

Ovvio però che la tensione con i big player e lo strapotere da essi accumulato in questi anni, combinato con le paure verso scenari possibili di schiavitù digitale, hanno portato il legislatore europeo a regolamentare in modo bulimico i vari aspetti della digitalità imposta che ci riguarda.

🆕 I vari DSA, DGA, DMA, DataAct sino all'AIAct (e compreso il pur ottimo GDPR) sono ovviamente regolamentazioni stringenti, pensate per arginare una situazione potenzialmente pericolosa per i nostri diritti e libertà fondamentali. Ma molti di quegli adempimenti ivi previsti, a volte meticolosissimi, straripano verso il mondo delle PMI, rischiando di costruire prigioni normative che non sempre fanno bene al diritto e senz'altro possono danneggiare alla lunga il nostro piccolo mercato IT.

🙏 Non cadiamo, quindi, nella tentazione di regolamentare ancora ciò che pensiamo che ci serva per essere digitali senza rischi. Abbiamo fatto già anche troppo sotto questo punto di vista.

Ora invece è il momento di (ri-)studiare principi generali del diritto applicandoli con logica e buon senso a ciò che si va costruendo lungo le onde digitali che sembrano investirci, se possibile.

Di questo ha disperato bisogno il futuro digitale.

🆕 E per tutti questi motivi andrebbe accolta con estremo favore la Convenzione del Consiglio d’Europa sull'IA che è di fatto il primo trattato internazionale che si occupa della tematica in modo ampio (seppur sintetico) ed è stata firmata anche da USA e altri Paesi non UE. Questo testo normativo risulta inevitabilente molto più asciutto ed efficace rispetto all’AI ACT e sicuramente risulta essere molto più aperto alla cooperazione internazionale che su questa tematica è indispensabile per non isolarsi a livello europeo. Come rimane da apprezzare la Dichiarazione UE dei diritti e principi digitali, la quale ha declinato i nostri diritti e libertà digitali in chiave digitale.

Mi sono occupato proprio di queste importanti questioni in un articolo pubblicato sull'ultimo numero della Rivista trimestrale di divulgazione scientifica Digeat, nel quale ho ricordato l'importanza della fiducia, di favorire quell'indispensabile senso di fiducia in coloro che sono destinatari di servizi digitali, chiedendomi appunto come ottenerla.

E, sempre a proposito di questi importanti tematiche, è stato pubblicato qualche giorno fa, nella Rubrica "Bit Volant" da me curata e ospitata su Filodiritto, un bellissimo saggio, del prof. Giuseppe Gimigliano nel quale è condensato parte del pensiero del Prof. Paolo Cancelli , come sviluppato durante le lezioni da lui tenute nel Diploma universitario biennale su Etica e Intelligenza Artificiale, Pontificia Università Antonianum, nel quale anche io ho l'onore di insegnare.

Intelligenza Integrale, intesa come lente di ingrandimento trasversale e interdisciplinare per leggere la complessità del mondo digitale

Il pezzo merita una lettura attenta e approfondita perché insegna a declinare il proprio pensiero oltre le sintesi distorte offerte oggi dagli algoritmi generativi, offrendo così un punto di vista ampio, filosofico, etico e giuridico per accogliere le opportunità offerte dalla tecnologia nella pienezza garantita dai princìpi fondamentali su cui si basano gli ordinamenti europei.

La Fiducia, infondere un senso di fiducia, a mio avviso deve rimanere la Guida delle nostre azioni interpretative, senza ridurre il dibattito, appiattendolo su Regole e Mercati da arginare.

Approfondiremo questa tematica dell'Intelligenza Integrale in future pubblicazioni e in Laboratori sviluppati in seno al CUIRIF, Centro Universitario Internazionale di Ricerca e Innovazione “Integral Intelligence” Futuro, Diplomazia Culturale e Benessere Integrale, di cui il prof. Cancelli è presidente.

Per affrontare l'innovazione digitale nella sua complessità in continuo divenire è indispensabile sviluppare competenze nuove, manageriali, interdisciplinaro, vocate al confronto e alla coltivazione del dubbio...

⚠️ Essere o non essere DPO ⚠️

In questi anni di piena efficacia del GDPR ho accumulato una certa esperienza nell'assunzione del ruolo di DPO (Data Protection Officer o Responsabile della protezione dei dati) e mi sono reso conto che è un ruolo delicatissimo, spesso "azzoppato", non sempre strategico (come dovrebbe essere)

A proposito del delicato ruolo dei responsabili della protezione dei dati, anche quest'anno ho sviluppato la mia lezione in favore del Master PERF.ET, un Master sul management in ambito pubblico diretto con entusiasmo e attenzione dal Prof. Enrico Deidda Gagliardo presso l'Università degli Studi di Ferrara, e mai come in questo periodo c'è bisogno nel settore pubblico di manager preparati a progettare il cambiamento digitale, mantenendo il timone dritto verso la Legal Compliance.

Facile a dirsi, difficile a farsi.

👉 Questo del resto è proprio il compito delicatissimo dei DPO e dei Responsabili della conservazione, che devono riuscire a essere contemporaneamente custodi e manager del cambiamento digitale.

Le norme ci sono, sono tante, forse troppe e per questo occorre ripartire dai princìpi fondamentali che presidiano da tempo il cambiamento organizzativo. E troppo spesso questi principi sono ignorati del tutto da chi sviluppa progetti di cambiamento digitale.

Consiglio, in proposito, l'attenta lettura di questo splendido articolo del prof. Donato Limone, mio Maestro da tanti anni.

Per continuare sul ruolo del DPO, se viene assunto esternamente, tale va affrontato dotandosi di team interdisciplinari, sia interni all'organizzazione titolare che li ha designati, sia esterni (magari afferenti alla propria organizzazione o anche consulenti dello stesso titolare con cui confrontarsi).

Occorre essere in grado di esprimere autorevolezza, controllo, visione organizzativa, senza mai essere bloccanti, ma a volte intransigenti, se non si seguono procedure, metodo e ordine strategico. E capita spessissimo, se si viene relegati a ultimi controllori di un progetto partito da lontano.

Per questo occorre necessariamente imporre riunioni periodiche, individuare alleati all'interno dell'organizzazione titolare che possano avere sensibilità alla materia, e studiare tanto non solo la normativa, ma anche processi e opportunità.

E oggi la situazione per i DPO è resa ancora più complessa, perché un DPO non può ignorare altre regolamentazioni UE come, ad esempio, eIDAS, DSA, DMA, DGA, DataAct, NIS e ovviamente AIAct.

👉 Un DPO oggi è e deve essere (o almeno aspirare a essere) un Data Compliance Manager!

E, per poter esprimere questo ruolo, è necessario anche un adeguato riconoscimento economico ovviamente.

L'intransigenza deve esserci anche su quest'ultimo aspetto, anche per acquisire sin dall'inizio quell'autorevolezza indispensabile per avviare al meglio un laborioso cammino.

🆘Intelligenza Integrale, Sostenibilità e Tutela di nostri diritti e libertà fondamentali sono concetti separabili?

La sostenibilità digitale (ambientale, economica, sociale) è intrinsecamente, indissolubilmente correlata alla tutela di nostri diritti e libertà fondamentali che per poter essere applicati hanno ormai bisogno oggi, nella complessità digitale che viviamo, di menti, quindi analisi, fortemente interdisciplinari.

Ho letto qualche giorno fa un denso e interessante contributo in materia di sostenibilità digitale scritto dall'Amico Stefano Epifani e PA e subito dopo tale lettura ho ascoltato un inquietante e ben confezionato podcast condotto da Cecilia Sala e dedicato al progetto Worldcoin, progetto di acquisizione mondiale di dati biometrici dell'iride da parte di Sam Altman che va avanti indisturbato da 2 anni a livello internazionale.

Finalità astrattamente nobile quella di Altman, (costituire una sorta di reddito di cittadinanza digitale universale), ma portata avanti calpestando libertà e diritti fondamentali, tra i quali le più elementari regole di dataprotection.

Un progetto del genere dovrebbe essere ovviamente insostenibile non solo eticamente, ma soprattutto giuridicamente.

Oggi Sostenibilità, Tutela della Dignità della Persona, tensione costante e indispensabile verso il Bene Comune, Ecologia Integrale sono termini che hanno una fortissima connotazione giuridica e meritano un'applicazione multidisciplinare. Meritano, cioè, un'interpretazione piena a tutela di diritti e libertà fondamentali che da tempo ci appartengono, ma che sembrano evaporare sotto l'onda d'urto dell'AI.

Ma l'Intelligenza Artificiale racchiude solo Sistemi, Tecniche non teste pensanti.

🫸Recuperiamo, quindi, Intelligenza Artigianale, Integrale, per garantire in modo efficace la Sostenibilità Digitale🫷

Come conservare in modo affidabile documenti informatici?

È incredibile come - anche in società o pubbliche amministrazioni fortemente vocate all'innovazione digitale - ci sia scarsa propensione alla custodia di dati, informazioni e documenti digitali.

Quando veniamo designati Responsabili (esterni) alla conservazione dei documenti informatici una delle domande consuete (un po' timorose e/o infastidite) è sempre questa:

"Avvocato, ma anche questi documenti devo versare nel sistema di conservazione?"

E si tratta di contratti, PEC e documenti che nei fascicoli cartacei son ben custoditi in un armadio chiuso a chiave che mai ci si sognerebbe di ignorare.

Eppure ignoriamo le esigenze della custodia, della corretta archiviazione di tantissimi oggetti digitali di grande rilievo giuridico. E il rischio è altissimo nel momento in cui quell'oggetto poi ci servirà, in un contenzioso, in fase di esibizione o semplicemente per un qualsiasi procedimento o procedura amministrativa (o aziendale).

🆘 Nell'era dei big data ci siamo persi per strada l'esigenza insopprimibile della custodia affidabile proprio dei dati! E si procede alla rinfusa anche nella regolamentazione, concentrandosi sugli effetti dell'inaffidabilità di un processo digitale piuttosto che verificarne presupposti e finalità.

👉 Ma focalizzando l'attenzione sull'azione e non sul metodo per ottenere un determinato risultato continuiamo a partorire mostri normativi, in una corsa affannosa all'inseguimento dell'ultima tecnologia disponibile da arginare, magari umanizzandola, come nel caso dell'AI Act.

✒️ Ho fondato ANORC, la prima Associazione Nazionale che rappresenta gli interessi degli Operatori (cioè, i conservatori, i fornitori di servizi di gestione documentale) e dei Responsabili (cioè, i professionisti della digitalizzazione) della custodia dei contenuti digitali, nel lontano 2007 e mai come oggi questi interessi sono di tutti noi.

⚠️ Sostenete ANORC - Associazione Nazionale Operatori e Responsabili della Custodia di contenuti digitali. Avvicinatevi al suo mondo perché il mondo degli Archivi Digitali garantisce un futuro fondato sulla qualità delle informazioni di cui disponiamo. E senza di esse possono essere messi in crisi facilmente tutti i nostri diritti e libertà fondamentali.

👉 Link utile: www.anorc.eu

AI Act, GDPR e medical device

A febbraio diventerà efficace, secondo l'art. 4 dell'AI Act, l’obbligo generale di alfabetizzazione in materia di IA per fornitori e e deployer (cioè, gli utilizzatori professionali), relativamente al proprio personale e a chiunque altro si occupi del funzionamento dei sistemi di IA per loro conto.

Nulla di realmente nuovo, in realtà,, perchè già secondo il principio fondamentale di accountability contenuto nel gdpr (e anche in applicazione dei principi di privacybydesign e di PrivacybyDefault) era una buona abitudine assicurare, in qualità di DPO, la predisposizione di vademecum informativi che indirizzassero sviluppatori e manutentori e anche utilizzatori delle soluzioni informatiche, a maggior ragione quando relative al mondo medicale.

Posso riferire con un pizzico di orgoglio, che come DPO questa esigenza da tanto tempo l'abbiamo garantita in favore di chi ci ha designato?...e devo dire anche che chi oggi "scopre" questo mondo e sottolinea con una certa dose di presunzione le (relative) novità del Regolamento UE sull'IA, forse farebbe bene a ripassare con attenzione il GDPR, prima di tutto.

Un bravo DPO in questi anni ha già avuto cura di anticipare le esigenze di trasparenza, accountability, non discriminazione, di cui si blatera tanto oggi nel mondo sanitario (e non), leggendo con immotivato stupore l'AI Act.😉

Grazie per l'attenzione e alla prossima newsletter! Andrea

***

Gianni Penzo Doria Fabio Pistella Edoardo Limone Isabella Corradini Alessandro Selam Chiara Ramirez Alessandro Bottonelli Luca De Biase Giuseppe Corasaniti Luca Zorloni Livio Varriale Claudia Morelli Mario Catalano Alessandro Musumeci AGID - Agenzia per l'Italia Digitale Autorità Garante per la protezione dei dati personali Agostino Ghiglia Ginevra Cerrina Feroni