Valutazione d’impatto sui diritti fondamentali: le ultime novità da Bruxelles

Introduzione

In generale, le valutazioni d'impatto sono procedure volte ad identificare le possibili conseguenze di iniziative (che, a seconda del settore, spaziano dalla proposta di nuove leggi, alla costruzione di impianti industriali, dallo sviluppo di farmaci all'introduzione di nuovi tipi di trattamento di dati personali, e molto altro) su varie tematiche di rilevanza sociale (come per esempio la coerenza di un sistema giuridico, la tutela dell'ambiente e della salute, la protezione dei dati personali, etc.), allo scopo di proteggerle. Si tratta di istituti giuridici abbastanza recenti, emersi negli anni '60 e '70 negli Stati Uniti in ambito ambientale e di regolamentazione tecnologica, ma oggi diffusi pressoché in tutti i sistemi giuridici occidentali.

La loro popolarità è connessa alla crescente diffusione dell'approccio basato sul rischio caratterizzante la regolamentazione UE in particolar modo nel settore digitale. Secondo tale paradigma, obblighi e doveri delle parti, anziché essere indifferenziati, devono essere modulati sulla base del rischio connesso alle attività svolte: maggiore il rischio, maggiori i requisiti da rispettare (De Gregorio et al., 2022).

Benché esistano vari tipi di valutazioni d'impatto potenzialmente rilevanti nel contesto digitale e dello sviluppo di nuove tecnologie (per esempio: valutazione d'impatto sulla privacy, valutazione d'impatto sociale, valutazione d'impatto di genere, etc.), pochi sono giuridicamente vincolanti. Tra questi, la valutazione d'impatto sulla protezione dei dati (maggiormente nota con l'acronimo DPIA, dall'inglese data protection impact assessment), introdotta dall'art. 35 GDPR.

Tuttavia, alla luce di recenti sviluppi legislativi, è ragionevole presumere che nei prossimi anni un nuovo tipo di valutazione d'impatto guadagnerà popolarità. Si tratta della valutazione d'impatto sui diritti fondamentali (maggiormente nota con l'acronimo inglese FRIA – fundamental rights impact assessment).   

A cosa servono le valutazioni d'impatto sui diritti fondamentali

Per FRIA si intende quella procedura volta ad analizzare preventivamente le possibili conseguenze di un'iniziativa (o insieme di iniziative), come per esempio lo sviluppo di un sistema di intelligenza artificiale, sui diritti fondamentali, allo scopo di fornire un parere circa le modalità in cui tale iniziativa dovrebbe essere plasmata in modo tale da assicurare, per quanto possibile, la protezione di tali diritti.

Questi strumenti hanno il potenziale per assumere una funzione chiave nella prevenzione di eventi negativi causati da algoritmi e sistemi di intelligenza artificiale, suscettibili di intaccare diritti quali dignità umana, diritto all'integrità della persona, non-discriminazione, diritto ad una buona amministrazione, etc. (Gerards et al., 2022; Mantelero, 2022).

Il quadro normativo europeo

A livello globale, le prime forme di valutazione d'impatto sui diritti umani sono emerse nel contesto delle Nazioni Unite in relazione alla responsabilità d'impresa (United Nations Human Rights - Office of the High Commissioner, 2011). Tuttavia, trattandosi di strumenti di soft law, non sono giuridicamente vincolanti.

A livello europeo, per la prima volta, si parla di FRIA obbligatorie in almeno due strumenti legislativi:  

- Il regolamento sui servizi digitali. Benché tale regolamento non utilizzi espressamente il termine FRIA, alcuni autori (Mantelero, 2023) ed organizzazioni non governative (European Center for Not-for-Profit Law & AccessNow, 2023) considerano l'obbligo di valutazione del rischio previsto dall'art. 34 alla stregua di una FRIA.  

Tra gli obblighi introdotti dall'art. 34 a carico dei fornitori di piattaforme e motori di ricerca online di dimensioni molto grandi, quello di valutare il rischio di eventuali effetti negativi per l'esercizio dei diritti fondamentali derivanti dalla progettazione o dal funzionamento o dall'uso dei loro servizi e dei loro relativi sistemi, compresi quelli algoritmici (art. 34(1)(b)).

- La proposta di regolamento sull'intelligenza artificiale. Il Parlamento Europeo, negli emendamenti alla proposta di regolamento sull'intelligenza artificiale approvati 14 giugno 2023, ha proposto l'introduzione di un obbligo di valutazione di impatto sui diritti fondamentali per i sistemi di intelligenza artificiale ad alto rischio a carico degli operatori (art. 29 bis). 

Da ultimo, una riflessione sul regolamento generale di protezione dati. Benché, anche in tale caso, il regolamento non menzioni la FRIA, è possibile identificare alcune sovrapposizioni tra tale strumento e la DPIA. Secondo l'art. 35, i titolari del trattamento sono obbligati ad intraprendere tale processo quando un tipo di trattamento è suscettibile di presentare un rischio elevato per i diritti e le liberta delle persone fisiche. Pertanto, si tratterebbe di un tipo di valutazione più approfondito di mere questioni di cybersecurity e compliance.

Come effettuare una valutazione d'impatto sui diritti fondamentali

Trattandosi di uno strumento relativamente nuovo, molte sono le incertezze su come portare a termine una valutazione d'impatto sui diritti fondamentali. Tali dubbi sono esacerbati dal fatto che le indicazioni fornite dai legislatori europei, oltre ad essere scarne, cambiano a seconda dello strumento legislativo in esame.

Ciò nonostante, facendo riferimento alle valutazioni d'impatto effettuate in altri settori, è possibile tracciare a grandi linee un metodo generale di valutazione d'impatto, che le parti potranno adattare sulla base delle proprie esigenze e dei requisiti legislativi (Kloza et al., 2021)

Fase 1: Preparazione della valutazione d'impatto

1) Analisi dei requisiti: per determinare se la procedura è necessaria o quantomeno desiderabile.

2) Definizione della portata della valutazione: per identificare, in via preliminare, quali diritti potrebbero essere impattati da un'iniziativa; i possibili portatori di interessi nonché il loro livello di coinvolgimento; i metodi per valutare gli impatti e le modalità di coinvolgimento dei portatori di interessi e/o del pubblico, compresi gli esperti; possibili altre valutazioni di impatto richieste dalla legge o comunque desiderabili.

3) Pianificazione e preparazione: per definire le risorse da destinare alla procedura, il team di valutatori, i criteri di accettabilità degli impatti negativi, la calendarizzazione delle consultazioni con i portatori di interessi e delle revisioni della procedura ed ogni altro aspetto pratico.

Fase 2: Valutazione d'impatto

4) Descrizione sistematica dell'iniziativa, sia contestuale che tecnica: si tratta di una descrizione più approfondita di quella preliminare, in modo tale da consentire la successiva valutazione d'impatto.

5) Valutazione d'impatto: i possibili impatti sui diritti fondamentali vanno identificati, analizzati e valutati nel dettaglio, sulla base delle tecniche previamente delineate al punto 2, che possono includere, per esempio, analisi del rischio, analisi di scenario, lungimiranza tecnologica, valutazioni giuridiche su necessità e proporzionalità, etc.   

6) Raccomandazioni: per definire in modo dettagliato misure (tecnico-organizzative) concrete per minimizzare gli impatti negativi (e massimizzare quelli positivi), i destinatari, le priorità.   

Fase 3: Riesame

7) Riesame: per valutare se ripetere in tutto od in parte la valutazione d'impatto, alla luce delle modifiche dell'iniziativa o di nuove conoscenze, o perché richiesto dalla legge.

Fase continua

8) Coinvolgimento delle parti interessate, degli esperti e del pubblico: può (e dovrebbe) avvenire in tutte le fasi della procedura, nelle modalità delineate nel punto 2. Particolare attenzione dovrebbe essere prestata all'inclusione di persone emarginate e gruppi vulnerabili.

9) Documentazione: coinvolge tutte le fasi ed attività intraprese nel corso della procedura, e culmina nella stesura di una relazione. Mantenere la documentazione è essenziale per dimostrare compliance in caso di richieste da parte di autorità regolatorie o giudiziarie. Tale documentazione dovrebbe inoltre, per quanto possibile, essere resa accessibile al pubblico.     

10) Controllo della qualità: può essere sia interno che esterno, per assicurare l'esaustività della valutazione d'impatto. 

Criticità

Nonostante il loro potenziale, le valutazioni d'impatto non dovrebbero tuttavia essere considerate una panacea. Infatti, in assenza di requisiti stringenti in merito alla loro esaustività, trasparenza e coinvolgimento del pubblico e delle parti interessate, inclusi gli esperti, potrebbero venire condotte con superficialità, al solo fine di evitare sanzioni. Esse comportano inevitabilmente un ingente dispendio di risorse e ritardi nei processi decisionali delle organizzazioni incaricate di portarle avanti (Kloza et al., 2021).

Trattandosi di forme di governance collettiva, per essere davvero efficaci, richiederebbero sia autorità di controllo con sufficienti risorse sia un sistema di accountability nei confronti di regolatori, esperti, parti interessate e pubblico in generale (Kaminski, 2019). Tuttavia, la sussistenza di tali requisiti rimane oggi opinabile.   

Infine, l'esistenza di diverse basi giuridiche legate alle valutazioni d'impatto che, a prescindere dalla terminologia adottata dal legislatore, comportano in qualche misura un'analisi degli impatti sui diritti fondamentali, potrebbe rivelarsi problematica in assenza di un sufficiente coordinamento tra i vari strumenti legislativi, soprattutto a livello sovranazionale. La tabella seguente (un adattamento da Calvi & Kotzinos, 2023) sintetizza le principali differenze esistenti tra la DPIA prevista dal regolamento generale sulla protezione dati, la valutazione del rischio prevista dal regolamento sui servizi digitali e la FRIA così come proposta dal Parlamento Europeo.

In conclusione 

La valutazione d'impatto sui diritti umani potrebbe diventare uno strumento rivoluzionario nel contesto digitale, garantendo uno sviluppo tecnologico concretamente incentrato sulla persona e sulla sua protezione. Le sua importanza è tale che una recente iniziativa di accademici in Europa (e non solo), si è appellata ai colegislatori Europei affinché la proposta del Parlamento Europeo di introdurre tale strumento nel futuro regolamento sull'intelligenza artificiale non venga accantonata, od edulcorata, durante i negoziati trilaterali.

Tuttavia, in assenza di un sufficiente coordinamento tra i vari strumenti legislativi, e di requisiti stringenti circa l'esaustività di tali valutazioni d'impatto, nonché di obblighi di trasparenza e coinvolgimento del pubblico, di esperti e delle parti interessate, tale potenziale rischia di rimanere inespresso.  

Guida all'approfondimento

- Calvi, A., & Kotzinos, D. (2023), Enhancing AI fairness through impact assessment in the European Union: a legal and computer science perspective. ACM Conference on Fairness, Accountability, and Transparency (FAccT '23), 1229–1245. https://doi.org/10.1145/3593013.3594076

- De Gregorio, G., Dunn, P., & Pollicino, O. (2022), Approccio basato sul rischio: come è applicato nelle normative UE sul digitale, Agenda Digitale, www.agendadigitale.eu/documenti/approccio-basato-sul-rischio-come-e-applicato-nelle-normative-ue-sul-digitale/

European Center for Not-for-Profit Law, & AccessNow (2023), Towards meaningful fundamental rights impact assessments under the dsa (pp. 1–34)

- Gerards, J., Schaefer, M. T., Vankan, A., & Muis, I. (2022), Fundamental Rights and Algorithms Impact Assessment (Issue March, pp. 1–99)

- Kaminski, M. E. (2019),  Binary Governance: Lessons from the GDPR 's Approach to Algorithmic Accountability. Southern California Law Review, 92(6), 1529–1616

- Kloza, D., van Dijk, N., Casiraghi, S., Vazquez Maymir, S., & Tanas, A. (2021), The concept of impact assessment. In Border Control and New Technologies (pp. 31–48), doi.org/10.46944/9789461171375.2

- Mantelero, A. (2022), Beyond Data - Human Rights, Ethical and Social Impact Assessment in AI

- Mantelero, A. (2023), Fundamental Rights Impact Assessment in the DSA. In Putting the DSA into Practice (pp. 108–119)

- United Nations Human Rights - Office of the High Commissioner. (2011), Guiding Principles on Business and Human Rights: Implementing the United Nations ‘Protect, Respect and Remedy' Framework. In The UN Guiding Principles on Business and Human Rights., doi.org/10.4337/9781800375673