PAR 7.1 – Misure di trasparenza
Le Linee Guida stabiliscono determinati requisiti di trasparenza che devono essere rispettati dalle PPAA che adottano sistemi di intelligenza artificiale. Tra questi, il requisito della “documentazione tecnica” prevede che “i fornitori di sistemi di IA, in particolare quelli considerati ad alto rischio (es. riconoscimento biometrico, sistemi di valutazione per l’accesso ai servizi essenziali) DEVONO mantenere una documentazione che descriva il funzionamento del sistema; tale documentazione deve essere messa a disposizione delle autorità competenti in caso di necessità”. La disposizione risulta ancora ancora troppo generica, finendo così per realizzare una norma di solo programma. Inoltre, non risulta allineata a quanto prescritto dal par. 5.4 delle Linee Guida, secondo cui “l’AI Act stabilisce l’obbligo di conservazione documentazione tecnica sui sistemi di IA ad alto rischio, inclusa una descrizione del funzionamento, delle prestazioni e delle procedure di monitoraggio e controllo adottate per garantire la conformità ai requisiti di legge”. La documentazione tecnica è infatti oggetto di specifico articolo e conseguente allegato da parte del Reg. AI Act: le Linee Guida avrebbero dovuto adottare il medesimo modello nella descrizione del contenuto della documentazione tecnica, che risulta invece sparpagliato entro tutto il corpo del testo delle Linee Guida, considerando inoltre di integrare le disposizioni dell’AI Act con contenuti ritenuti necessari o indispensabili nel contesto di organizzazione e funzionamento di una PA nazionale. Allo stato attuale, la documentazione tecnica che deve essere conservata da una PA non risulta individuata in maniera completa ed autosufficiente così da facilitare le Amministrazioni nella governance dei sistemi di IA.
Inoltre, sarebbe utile prevedere un obbligo del fornitore a fornire la documentazione tecnica (e gli eventuali aggiornamenti della stessa) anche alla PA che utilizza regolarmente il sistema fornito o, qualora il modello o sistema di IA sia stato acquisito dalla PA o da essa sviluppato e posseduto, che sia la PA a detenere direttamente o aggiornare la documentazione tecnica. Questo obbligo potrebbe essere, a sua volta, oggetto di specifica clausola inserita nei contratti di fornitura conclusi tra PA e fornitore. In questo modo si faciliterebbe il compito di conservazione della documentazione intestato alle PPAA.
La detenzione da parte della PA, inoltre, consente di facilitare il cittadino nell’ottenere l’ostensione di tale documentazione tecnica, anche e soprattutto, ai fini difensivi di cui all’art. 24, L. n. 241/1990.
PAR 7.1 e 7.2 – Misure di trasparenza e obblighi di informativa
Nel paragrafo in commento si afferma che “le PA DEVONO essere trasparenti nell’utilizzi di sistemi di IA che trattano dati personali, dando adeguata, esaustiva e accessibile informativa agli interessati, come questi influenzano le decisioni e quali siano le conseguenze per gli utenti fruitori di servizi pubblici, rendendo note le finalità, i criteri e i metodi utilizzati dai sistemi di IA. Inoltre, devono assicurarsi che le informazioni fornite siano accessibili a tutti i soggetti interessati”.
Le Linee Guida trascurano che il contenuto dell’informativa sul trattamento dei dati personali può influenzare il contenuto della documentazione tecnica e, di conseguenza, non considerano le differenze di contenuto della documentazione tecnica in caso di utilizzo di sistemi di IA che trattano (o meno) dati personali. Sarebbe opportuno distinguere la documentazione tecnica che le PA devono detenere ai fini della trasparenza e della compliance alla normativa nazionale ed europea tra le ipotesi di sistemi di IA che trattano (o meno) dati personali, considerando inoltre le modalità specifiche di informativa a seconda delle ipotesi considerate. In questo senso, si suggerisce di modificare la prescrizione del par. 7.2 che stabilisce che “le PA DOVREBBERO elaborare informative dettagliate e personalizzate per ogni sistema di IA utilizzato, adattando la comunicazione alla specificità del contesto e alle esigenze degli utenti” nel senso di (I) porla come premessa introduttiva agli obblighi di informativa, (ii) formularla, anziché come una prescrizione di carattere indicativo, come un obbligo (DEVONO) e (iii) chiedendo altresì di considerare le specifiche differenze che riguardano i sistemi di IA che trattano, o meno, i dati personali. La modifica della prescrizione nei termini appena precisati dovrebbe, inoltre, comportare la suddivisione del par. 7.2 in due sezioni o più sezioni, che individuino i differenti contenuti dell’informativa a seconda del sistema di IA considerato.
Le Linee Guida non forniscono invece indicazioni sulle modalità e i tempi con cui tale informativa potrebbe essere fornita ai cittadini da parte delle PPAA: si suggerisce pertanto di modificare le Linee Guida nel senso di individuare uno (o più) strumenti con cui le PPAA possono rendere accessibile tale informativa, non solo ai soggetti direttamente incisi dal funzionamento del sistema di IA ma a tutti i soggetti interessati e, più in generale, alla totalità dei consociati, eventualmente distinguendo il contenuto dell’informativa a seconda dei soggetti cui è fornita. Si suggerisce inoltre di chiarire le tempistiche ovvero il momento (anche del procedimento) a partire dal quale l’informativa deve essere resa accessibile ai soggetti coinvolti o interessati.