I regolamenti europei ostacolano davvero l'industria della AI?
Sono stato assegnato ad un progetto per usare genAI, la AI generativa, e sto lavorando principalmente all'architettura e alla fattibilita', come fanno di solito i System Architect. Quindi sono nella posizione di poter dare una mia impressione (per quanto aneddotica) sul discorso regolatorio vs. AI, e in particolare con le AI generative. E la domanda che va piu' di moda e' “ma e' vero che tutti i regolamenti – GDPR + AI Act – frenano lo sviluppo di queste tecnologie? Faccio presente, pero', che io lavoro con aziende abbastanza globali, e normalmente enormi.
La mia risposta e' che ... si, lo fanno. Non la fermano completamente, ma se devo essere onesto sono anni che non vedevo una fase di fattibilita' cosi' grande ed estesa, per motivi di tipo regolatorio. C'e' una via di uscita per questo, ovviamente, ma e' abbastanza dispendiosa.
Ci sono ancora pochi usecase che abbiano impatto globale sulle aziende, ma vi parlo di uno dei piu' ricercati, e anche piu' implementati, poi proviamo, a grandi linee, a capire cosa succede in caso di implementazione.
Allora, abbiamo una corporation, diciamo 150.000 dipendenti, che fa una gamma di prodotti, costruendola in giro per il mondo. Avranno diversi sistemi di documentazione, diciamo per brevita' tutta una serie di confluence, jira, wiki, e tutto quanto, a spasso per il mondo, dove salvano la documentazione. L'accesso e' on “need to know” base, e poi c'e' il fatto che nessun singolo individuo conosce davvero dove sono scritte le cose o sa darvi un URL. Confluence, che non scala bene in nessuna dimensione, diventa inutile perche' il motore di ricerca e' penoso – non per nulla ha una AI , che cerca proprio di rendere utile la ricerca.
Avete un problema: volete sapere chi, in Vietnam, riceve la tal cosa dal Brasile, perche' dovete parlargli.
Se usate i normali sistemi corporate, se vi va bene avrete il nome domani. Domani, significa +8 ore. Se la persona esiste ancora in azienda.
Immaginate invece di poter scrivere “mi serve sapere, nella nostra Corporation INC, chi in Vietnam si occupa di ricevere la tal cosa dal Brasile.” E la risposta, immediatamente, sara' “Si tratta di Gianpiernaik Sganuz, che lavora nel ripartimento Sgnafuz, e che riceve la tal cosa da Ernesto Sbranz, che la spedisce dal Brasile, dipartimento CiufCiuf. Entrambi lavorano ancora per Corporation INC”
Voi direte che forse bastava un rolodex elettronico, ma se volete sapere la persona giusta, potete girare per l' LDAP aziendale per GIORNI, e non capire mai con chi parlare. La funzione di Olistic Enterprise (parola presa dall' Hype Cycle di Gartner, essenzialmente puo' ridurre il bisogno di tempo in maniera enorme, a patto di aver fatto learning da TUTTE le fonti aziendali. TUTTE.
Se invece installate una specie di ChatGPT che abbia tutte le informazioni, il risparmio di EFT, il tempo uomo, e' misurabile, e abbastanza corposo.
Andiamo a vedere l'impatto regolatorio.
Il GDPR richiede, innanzitutto, la compilazione preventiva di tutta una serie di moduli, il piu' rognoso dei quali (a mio avviso) e' il Privacy by Design. Perche' quando diamo interi database aziendali in input, buttando dentro di tutto e aspettandosi che tutto venga digerito, diventa un disastro ottemperare a questo obbligo, dal momento che non sappiamo bene in che forma stiamo inserendo dati. Un tempo erano log e tabelle di un database, quindi era semplice descrivere i dati. Come descrivere l'embedding di un prompt?
Una volta ottemperate le scartoffie per costruire il vostro sistema con i vostri vettori presi addestrando la VOSTRA AI (selfhosted, insomma) , adesso avete il problema che i dati si sono mossi. Per accumulare i dati aziendali dovete COMUNQUE chiedere il permesso al data owner, che potrebbe non avere possibilita' di darvi i dati per l'uso che ne volete fare, in quando il caso di addestramento della AI non e' previsto e il data owner non vi rilascia i dati. Voi siete data processor, quindi... dovete chiedere il permesso. A quel punto potrete muovere i dati da N nazioni diverse a voi. Ma chi e' “VOI”?
Perche' anche in Europa il GDPR non e' omogeneo. Nel senso che le leggi vanno comunque accolte dal parlamento locale, che decide di preciso in he modo implementare. E per esempio, la versione tedesca dal GDPR e' piu' stretta. Questo da' al governo tedesco una voce speciale sul mercato, e quindi e' piu' stretto del GDPR europeo, ma tanto per capire la mentalita', e' piu' stretto, ed e' stato accettato come compatibile perche' ottiene la stessa “protezione”, in piu' casi.
Quindi tutti i paesi europei hanno il GDPR, ma dice cose diverse. Il GDPR è un regolamento dell'UE, il che significa che si applica direttamente in tutti gli stati membri senza la necessità di essere recepito nelle legislazioni nazionali
. Questo garantisce un'applicazione uniforme delle norme sulla protezione dei dati in tutta l'Unione Europea.
Margini di manovra nazionali Nonostante l'uniformità di base, il GDPR lascia alcuni spazi di intervento ai legislatori nazionali:
Trattamento di dati sensibili: Gli stati possono legiferare su aspetti specifici relativi ai dati particolari come quelli genetici, sulla salute, l'orientamento sessuale, ecc . Autorità di controllo: Ogni stato ha la facoltà di stabilire le proprie regole per la nomina e il funzionamento dell'autorità nazionale garante della privacy . Codici nazionali: In alcuni paesi, come l'Italia, esistono ancora codici nazionali sulla privacy che integrano il GDPR su aspetti specifici1
Sino a qui avete prodotto la situazione per la quale potrete usare quei dati per il training della AI, muovendovi vero, diciamo, la Germania. Se potete. Per esempio, il GDPR cinese dice questo: i dati di cittadini cinesi non devono uscire dalla Cina, o veniamo a prendervi e vi attacchiamo un cucciolo di panda ai coglioni.
Simile cosa per la Turchia, e altre nazioni. Simpatici. MA anche se li lasciassero muovere, avete un problema: che nessuno dei dipendenti ha mai firmato una liberatoria per la quale i suoi dati possono essere usati per il training di AI. Forse altri paesi sono morbidi su questo, ma in EU quello e' un caso per il quale dovete chiedere consenso specifico. A maggior ragione se il dato va spostato all'estero.
Ma adesso il problema e' il secondo punto: AI act. Creare un'azienda olistica cosa che implica la conoscenza di ogni dettaglio tecnico documentato, e scritto da utenti stessi, e' una cosa che dovete fare voi, quindi voi dovete dimostrare che e' conforme con AI Act. O meglio, che lo sara', perche' AI Act entrera' in vigore gradualmente.
Valutazione del rischio
Il primo passo è determinare in quale categoria di rischio rientra il vostro sistema AI:
- Rischio inaccettabile
- Rischio elevato
- Rischio limitato
- Rischio minimo
La classificazione influenzerà significativamente gli obblighi da rispettare.
Sistemi ad alto rischio
Se il vostro sistema AI è classificato come ad alto rischio, dovrete adempiere a requisiti più stringenti:
Valutazione di conformità: Dovrete effettuare una valutazione di conformità prima di immettere il sistema sul mercato
Registrazione: I sistemi ad alto rischio dovranno essere registrati in un database dell'UE
Documentazione: Sarà necessario preparare documentazione tecnica dettagliata sul sistema
Monitoraggio: Dovrete implementare un sistema di monitoraggio post-commercializzazione
Trasparenza: Fornire informazioni chiare agli utenti sul funzionamento del sistema1
Sistemi a rischio limitato
Per i sistemi a rischio limitato, gli obblighi principali riguardano:
Trasparenza: Informare gli utenti che stanno interagendo con un sistema AI
Etichettatura: Indicare chiaramente che il contenuto è generato da AI
Sistemi a rischio minimo
Per i sistemi a rischio minimo, non sono previsti obblighi specifici oltre al rispetto delle normative generali esistenti3
- Adempimenti generali
Indipendentemente dalla categoria di rischio, tutti i fornitori di sistemi AI dovranno:
Designare un rappresentante: Se l'azienda è al di fuori dell'UE, nominare un rappresentante autorizzato nell'Unione
Conformità continua: Garantire che il sistema rimanga conforme durante tutto il suo ciclo di vita
Collaborazione: Cooperare con le autorità nazionali competenti quando richiesto
E dovete sapere come fare: dovete sapere che cartaccia riempire, a chi mandarla, cosa chiedere, eccetera.
E voi direte: beh, ma avrede dozzine di legulei che stanno a far nulla e fotocopiano il culo delle colleghe sedute sulla stampante senza mutande, quindi metteteli al lavoro. Eh no. Non e' cosi' semplice: questi processi NON ESISTONO ANCORA.
È importante notare che l'AI Act entrerà in vigore gradualmente:
– Dal 2 febbraio 2025: Applicazione delle disposizioni generali e dei divieti
– Dal 2 agosto 2026: Applicazione completa per la maggior parte dei sistemi AI
– Dal 2 agosto 2027: Applicazione completa per tutti i sistemi ad alto rischio
Non potete arrivare gia' pronti al traguardo sapendo gia' CHI vi certifica il rischio del sistema, perche' non e' ancora nato. Non c'e' ancora il processo. Potete solo rischiare, sperando poi che vi si offra la possibilita' di emendare.
E quel punto, sperate solo di non avere a che fare con filiali cinesi o indiane, ove la legge vieta esplicitamente l'uso di AI americane: perche' in quel caso dovrete costruirvi la vostra: e' assolutamente possibile che non vi sia consentito, per via di screzi passati, di usare roba di Oracle in Cina (si', anche Oracle e' nel business) , e tante altre regolette che vi renderanno la vita un inferno,e. che vi faranno togliere dalla lista meta' dei requisiti.
Comunque, alla fine installerete la vostre bella AI+modello linguistico on premise in Germania, per andare sul sicuro, e spererete di non essere ad alto rischio, visto che potete basarvi solo sul vostro giudizio, e poi non direte a nessuno che avete una simile AI per fare l'azienda olistica.
Giudicate voi se questo possa ostacolare o meno lo sviluppo delle AI.
Uriel Fanelli
Il blog e' visibile dal Fediverso facendo il follow a:
Contatti:
- Fediverse: @uriel@fedi.keinpfusch.net
- MATRIX: @uriel:mtrx.keinpfusch.net
- GNU JAMI: ufanelli