Prime procedure aziendali necessarie per un corretto uso degli strumenti di Intelligenza Artificiale
a cura di Raffaella Aghemo
Alla vigilia dell’applicazione del Regolamento Europeo sull’Intelligenza Artificiale, il Reg. EU n. 1689/2024, altresì denominato l’Artificial Intelligence Act, le aziende che desiderino implementare i loro business con le nuove tecnologie devono attrezzarsi in linea con i dettami normativi.
Due dei pilastri, a sostegno del cambio di rotta in tal senso, sono sia la predisposizione di policy interne aziendali sull’utilizzo dell’IA, sia la creazione di un programma di governance dell’intelligenza artificiale.
Partiamo dalla necessità, in primis, visto il proliferare delle nuove IA generative, di stabilire solide policy interne che ne governino l’uso da parte dei dipendenti, e vediamo insieme i componenti principali:
1. Ambito di utilizzo: fondamentale è stabilire, ex ante, quali strumenti sia possibile utilizzare, fornendone un elenco esaustivo, comprendendo sia le soluzioni di IA disponibili in commercio (aziendali e gratuite) sia tutti i sistemi proprietari sviluppati internamente, nonché affrontando i contesti in cui l’uso dell’IA è appropriato, ove invece esistano eventuali restrizioni o limitazioni.
2. Gestione dei dati e privacy: qui è essenziale stabilire protocolli chiari per la raccolta, l’archiviazione e la protezione dei dati, includendo la garanzia della conformità alle normative sulla privacy dei dati, l’implementazione di misure di sicurezza dei dati rigorose e la creazione di linee guida per la conservazione e l’eliminazione dei dati.
3. Copyright e diritti di proprietà intellettuale: ogni policy dovrebbe affrontare chiaramente queste questioni, delineando chi possiede l’output dei sistemi di IA e come tale proprietà intellettuale sarà protetta e gestita.
4. Linee guida etiche: ove sarà necessario preoccuparsi di un utilizzo non discriminatorio degli strumenti di IA, una corretta applicazione della trasparenza, oltre che un uso responsabile dell’IA nelle interazioni con i clienti.
L’utilizzo di una policy aziendale rende più facile per l’azienda la mitigazione dei rischi, rischi quali la non compliance con i dettami normativi, le responsabilità in caso di controversie o problemi, oltre a fortificare la reputazione aziendale, in quanto a sostegno di un reale e continuo impegno nella salvaguardia dei diritti degli utenti.
Ulteriori corollari saranno un costante aggiornamento delle policy, visto il velocissimo progredire degli strumenti tecnologici e l’istituzione di un Comitato, dedito al monitoraggio delle tendenze dell’IA e dell’impatto interno all’azienda, nonché una formazione costante di tutto il personale della realtà aziendale per comprendere bene cause ed effetti dei nuovi strumenti a disposizione.
Il secondo pilastro, come dicevamo, è rappresentato da un programma di governance.
Qui quattro sono gli elementi chiave:
I. un Comitato di governance dell’AI: l’istituzione di un Comitato è un primo passo fondamentale verso la gestione e la supervisione dell’IA. Il Comitato dovrebbe includere membri di varie discipline, come esperti di IA, esperti di etica, consulenti legali, data scientist per garantire che vengano prese in considerazione diverse prospettive nel processo decisionale. Il Comitato supervisionerà lo sviluppo, l’implementazione e l’uso delle tecnologie di IA all’interno dell’organizzazione e garantirà che i sistemi di IA siano allineati con gli standard etici, i requisiti normativi e gli obiettivi strategici dell’organizzazione; inoltre, sarà responsabile dell’identificazione dei potenziali rischi associati alle tecnologie di IA e dello sviluppo di strategie per mitigare i rischi, con il compito pure di rivedere regolarmente i sistemi di IA per garantire che rimangano efficaci, sicuri e conformi agli standard e alle normative in evoluzione. Le sue responsabilità principali saranno incentrate su:
a) sviluppo di policy,
b) revisioni etiche dei progetti di IA per garantire che i progetti siano in linea con i valori e gli obiettivi dell’organizzazione,
c) approvazione dei progetti di IA prima dell’implementazione e
d) facilitazione della comunicazione e della collaborazione tra tutte le parti interessate coinvolte nelle iniziative di IA.
II. politiche e procedure di AI: atte a garantire che tutte le attività correlate all’IA siano conformi agli standard legali, normativi ed etici e stabilire la responsabilità delineando chiaramente ruoli e responsabilità per coloro che rientrano nel suo ambito. Qui risultano comprese tutte le procedure e le linee guida sulla gestione dei dati (ad esempio, raccolta dati, archiviazione, accesso, condivisione, protezione e privacy).
III. formazione sull’AI: creando programmi personalizzati a seconda del ruolo e del rischio della tecnologia. Gli individui all’interno dell’organizzazione dovrebbero essere formati regolarmente, non solo sull’IA in senso più ampio, ma anche sui programmi o sulle piattaforme specifici che saranno implementati prima della loro messa in funzione.
IV. audit e monitoraggio dell’AI: fase cruciale che preveda di apprendere:
1. quali membri della forza lavoro utilizzino l’IA,
2. quale tipo di IA venga utilizzato,
3. come venga utilizzata l’IA e
4. gli scopi del suo utilizzo.
Le pratiche di monitoraggio regolari dell’AI saranno cruciali e dovrebbero comportare la documentazione dell’uso e dei rischi dell’AI in base all’inventario AI dell’organizzazione, con l’AI a rischio più elevato monitorata con maggiore frequenza, nonché le procedure per eventuali reclami o incidenti.
Riproduzione Riservata
Avv. Raffaella Aghemo