Come gli Stati regolamentano l’AI al di fuori dell’Europa: il Canada e l'AIDA

Continua la nostra rubrica Non Solo AI ACT. Oggi analizziamo l'AIDA, la proposta di legge del Canada per regolamentare i sistemi di intelligenza artificiale e il trattamento dei dati.

L’Artificial Intelligence and Data Act (AIDA) è una proposta legislativa, inserita nel disegno di legge C-27 risalente al 2022, che rappresenta un primo tentativo, per il Canada, di regolamentare i sistemi di intelligenza artificiale ed il trattamento dei dati, avvertendo la necessità di fissare un quadro normativo per affrontare le nuove sfide etiche, giuridiche.

Photo by Hermes Rivera on Unsplash

AIDA ha l’obiettivo di tutelare i cittadini, garantire lo sviluppo di un’AI responsabile e posizionare il Canada come un leader globale nel settore. Non si propone soltanto di regolamentare la tecnologia, ma di creare un ecosistema che supporti innovazione e competitività, rispettando al contempo i diritti fondamentali dei cittadini.

L’approccio di AIDA si fonda su tre pilastri principali: un approccio basato sul rischio, la tutela dei diritti umani e la responsabilità delle imprese.

Il contesto normativo di AIDA

AIDA è un’iniziativa legislativa che mira a implementare la Canadian Digital Charter del 2022, costituita da un insieme di principi pensati per garantire che le tecnologie digitali siano utilizzate in modo sicuro, rispettoso e responsabile.

La Canadian Digital Charter stabilisce dieci principi fondamentali, tra cui il controllo dei dati personali, la protezione della privacy, la sicurezza digitale e la trasparenza e AIDA vuole essere lo strumento per regolamentare in modo specifico l’AI e il trattamento dei dati.

Fonte: https://ised-isde.canada.ca/site/innovation-better-canada/sites/default/files/attachments/1020_04_19-Website_Placemat_v09.pdf

Preso atto del crescente utilizzo dell’intelligenza artificiale in settori critici come la sanità, la finanza, i trasporti e l’amministrazione pubblica, l’obiettivo è impedire che le applicazioni  possano comportare rischi significativi per i diritti umani e la privacy, in particolare quando utilizzate senza un’adeguata supervisione.

La proposta di legge vuole adesso inserirsi in un quadro normativo in linea con le evoluzioni internazionali, come l’AI Act europeo e il quadro regolatorio sviluppato dall’OECD, l’Organizzazione per la Cooperazione e lo Sviluppo Economico.

Ambito di applicazione e struttura dell’AIDA

AIDA si applicherà principalmente ai sistemi di AI ad alto impatto ovvero a quei sistemi che possono influenzare significativamente i diritti e le libertà dei cittadini. L’articolo 5 del disegno di legge stabilisce che questi sistemi devono essere sottoposti a rigorose valutazioni di rischio e a controlli di trasparenza per evitare potenziali danni.  È importante sottolineare che il concetto di “alto impatto” viene delineato non solo in termini tecnici, ma anche in base agli effetti sociali ed economici che l’AI può avere sulla popolazione.

Gli obblighi imposti dall’AIDA possono essere suddivisi in quattro principali categorie:

1. Valutazione dei rischi e mitigazione. Le imprese che sviluppano o utilizzano sistemi di AI devono eseguire valutazione dei rischi per identificare potenziali impatti negativi sulla salute, sulla sicurezza e sui diritti umani. Devono, inoltre, implementare misure di mitigazione adeguate a prevenire tali rischi. Questo obbligo richiede un approccio proattivo alla gestione dei rischi e una revisione continua del sistema di AI durante il suo ciclo di vita.

2. Trasparenza e tracciabilità. Le aziende devono mantenere una documentazione completa che copra l’intero ciclo di vita del sistema di AI, inclusi i dati utilizzati per l’addestramento, le metodologie adottate e gli obiettivi del sistema. La documentazione deve essere resa disponibile su richiesta per le ispezioni governative, o in caso di audit, al fine di garantire la responsabilità e facilitare la supervisione normativa.

3. Governance interna e compliance. AIDA richiede che le imprese adottino meccanismi di governance interna per garantire il rispetto della legge. Questo include la nomina di responsabili interni per la gestione del rischio e la conformità normativa, nonché la creazione di politiche e procedure aziendali per garantire che i sistemi di AI siano sviluppati e utilizzati in modo responsabile.

4. Notifica degli incidenti. Le imprese sono tenute a notificare tempestivamente alle autorità competenti qualsiasi incidente che possa comportare danni significativi ai cittadini. Questo include, ad esempio, casi di discriminazione o violazioni della privacy causate da decisioni automatizzate.

Il ruolo del Commissario per l’AI e i Dati

Un elemento centrale di AIDA è l’istituzione di un Commissario per l’Intelligenza Artificiale e i Dati, un’autorità indipendente responsabile della supervisione e dell’applicazione della legge. Il Commissario, nominato dal Ministro dell’Innovazione, della Scienza e dell’Industria, avrà ampi poteri, tra cui la possibilità di effettuare ispezioni, richiedere documentazione e imporre sanzioni in caso di non conformità. Il ruolo del Commissario è duplice. Da un lato, deve fornire supporto alle imprese per aiutarle a comprendere e implementare le nuove normative, dall’altro, deve garantire che le regole vengano rispettate e applicare sanzioni dove necessario. Si prevede che nei primi anni di applicazione della legge, il Commissario si concentrerà principalmente sull’istruzione e sull’assistenza alle imprese, ma con il tempo acquisirà anche un ruolo più attivo nell’enforcement delle norme.

Allineamento internazionale e interoperabilità

L’interoperabilità tra diversi quadri giuridici internazionali è una priorità per il Canada, che ha cercato di allineare AIDA con le principali normative internazionali in materia di AI. AIDA è stata infatti progettata per essere compatibile con le regolamentazioni nell’Unione Europea, negli Stati Uniti e in altre giurisdizioni.

L’AI Act europeo, che si basa su un approccio simile di regolamentazione basata sul rischio, rappresenta un punto di riferimento importante per AIDA. Entrambi i quadri condividono l’obiettivo di regolare i sistemi di AI ad alto rischio e di garantire che questi rispettino gli standard di trasparenza, sicurezza e rispetto dei diritti umani. Allo stesso modo, AIDA tiene conto del Risk Management Framework del National Institute of Standards and Technology (NIST), adottato negli Stati Uniti, per facilitare l’integrazione dei sistemi di AI sviluppati e utilizzati da aziende canadesi su scala globale. Questo allineamento internazionale è cruciale non solo per garantire la protezione dei cittadini, ma anche per facilitare l’accesso delle imprese canadesi ai mercati internazionali. Senza un quadro normativo armonizzato, le imprese potrebbero trovarsi di fronte a ostacoli significativi quando cercano di espandersi all’estero o di collaborare con partner internazionali.

Sanzioni e misure di enforcement

AIDA prevede un robusto sistema di sanzioni per garantire la conformità delle imprese. Le violazioni gravi delle norme possono comportare multe fino a 25 milioni di dollari o il 5% del fatturato annuo globale dell’impresa, a seconda di quale importo sia maggiore. Le sanzioni pecuniarie mirano a creare un forte incentivo per le imprese a rispettare la normativa, soprattutto per le grandi aziende che gestiscono sistemi di AI con un impatto potenzialmente significativo sui cittadini.

Oltre alle sanzioni amministrative, AIDA introduce anche disposizioni di diritto penale per l’uso sconsiderato o malevolo dell’intelligenza artificiale. Queste disposizioni mirano a contrastare situazioni in cui i sistemi di AI vengono utilizzati per causare danni deliberati, come violazioni della privacy su larga scala o discriminazioni sistematiche.

Il futuro dell’AI in Canada: un equilibrio tra innovazione e regolamentazione

AIDA rappresenta un tentativo ambizioso di bilanciare la necessità di proteggere i diritti dei cittadini con la volontà di promuovere l’innovazione tecnologica. Il governo canadese è consapevole del fatto che un’eccessiva regolamentazione potrebbe soffocare la crescita dell’industria dell’AI, in particolare per le start-up e le piccole imprese. Per questo motivo, il disegno di legge prevede un’implementazione graduale, con un periodo di consultazioni della durata di due anni prima che la normativa entri pienamente in vigore. Questo periodo di transizione consentirà alle imprese di adattarsi ai nuovi requisiti senza subire uno shock regolamentare. Al contempo, l’approccio flessibile e adattivo di AIDA garantisce che la legge possa evolversi in linea con i progressi tecnologici. L’intelligenza artificiale è un settore in rapida evoluzione, e normative rigide e statiche rischierebbero di diventare obsolete in tempi brevi. AIDA, invece, prevede che il Commissario per l’AI e i Dati possa aggiornare le linee guida e i requisiti normativi man mano che emergono nuove tecnologie o rischi imprevisti. Questo approccio modulare è particolarmente importante per garantire che il quadro normativo non ostacoli l’innovazione, ma anzi favorisca uno sviluppo responsabile e sostenibile dell’AI.

Il governo canadese ha anche istituito una serie di incentivi per incoraggiare la conformità da parte delle imprese, tra cui programmi di finanziamento per la ricerca sull’AI etica e corsi di formazione per le aziende su come implementare sistemi di AI conformi alla legge. Questa combinazione di sanzioni per la non conformità e incentivi per il rispetto delle normative mira a creare un ambiente di collaborazione tra governo, industria e società civile.

Le sfide all’implementazione di AIDA

Nonostante l’approccio ben ponderato, l’implementazione della legge presenta diverse sfide. In primo luogo, molte piccole e medie imprese potrebbero trovare difficile adeguarsi ai requisiti normativi, in particolare per quanto riguarda la valutazione dei rischi e la trasparenza. Le PMI spesso non dispongono delle risorse necessarie per gestire la conformità normativa in modo efficiente, il che potrebbe ostacolare la loro capacità di innovare e competere con le grandi aziende tecnologiche. In secondo luogo, vi è il rischio che una regolamentazione troppo severa possa spingere alcune aziende ad adottare misure di compliance solo formali, senza realmente migliorare la sicurezza e l’etica dei loro sistemi di AI. Per evitare questo, sarà fondamentale che il Commissario per l’AI e i Dati effettui controlli regolari e promuova una cultura di responsabilità e trasparenza.

Infine, la legge dovrà fare i conti con le rapide evoluzioni dell’AI. Tecnologie emergenti come l’intelligenza artificiale generativa e i sistemi di apprendimento autonomo potrebbero sollevare nuovi tipi di problemi etici e giuridici, non previsti al momento dell’introduzione di AIDA. Sarà quindi essenziale mantenere un dialogo aperto e continuo tra le autorità regolatorie, gli sviluppatori di AI e la società civile per aggiornare la legge e garantire che continui a proteggere i diritti dei cittadini senza ostacolare l’innovazione.

Conclusioni

La creazione di un ambiente regolamentato, ma al tempo stesso favorevole all’innovazione, potrebbe posizionare il Canada come un leader globale nello sviluppo di tecnologie di intelligenza artificiale responsabili e rispettose dei diritti umani. L’evoluzione del quadro normativo nei prossimi anni sarà cruciale per garantire che le imprese possano continuare a innovare, proteggendo al tempo stesso i cittadini dagli abusi e dai rischi legati all’uso crescente dell’AI. In questo senso, AIDA non è solo una risposta normativa alle sfide attuali, ma anche una base flessibile e adattabile per affrontare il futuro dell’intelligenza artificiale in modo etico e sostenibile.

AI Act europeo e l’AIDA canadese a confronto

La tabella di confronto che vi proponiamo evidenzia come i due approcci, pur con differenze metodologiche, condividano l’obiettivo di bilanciare l’esigenza di innovare con quella di tutelare i diritti e le libertà individuali, in un settore in rapida evoluzione come quello dell’intelligenza artificiale. La principale differenza la ritroviamo nella classificazione del rischio, più articolato nell’AI Act, in quanto AIDA si concentra sui sistemi ad alto impatto. Entrambe le normative l’una già in vigore, l’altra ancora in fase di approvazione, cercano di bilanciare il progresso e la protezione dei diritti umani, prevedendo sanzioni severe per le violazioni. 

---

Grazie per aver letto LISP!

Nella rubrica Non Solo AI ACT analizzeremo e confronteremo i principali approcci che gli Stati stanno adottando per bilanciare i vari interessi in gioco: tutelare i diritti e incentivare l’innovazione.

Comments

[Antonella Mari]

Una proposta legislativa che tuteli, tra le altre cose, i diritti dei cittadini è sempre una buona cosa