Art. 86 Reg. (UE) 2024/1689 — Diritto alla spiegazione dei singoli processi decisionali

Commento

Il diritto alla spiegazione nell'architettura dell'AI Act

L'articolo 86 introduce uno dei diritti individuali più significativi dell'AI Act: il diritto alla spiegazione dei singoli processi decisionali. È una norma che si inserisce nel filone europeo di protezione delle persone di fronte alle decisioni automatizzate o semi-automatizzate, inaugurato dall'articolo 22 del GDPR e ora esteso — con una logica diversa — al perimetro dei sistemi di IA ad alto rischio classificati nell'allegato III.

La norma è collocata nel capo VI dell'AI Act, dedicato alle misure a sostegno dell'innovazione, ma assolve in realtà una funzione di tutela individuale: è il contrappeso soggettivo agli obblighi oggettivi imposti ai fornitori e ai deployer nella catena di conformità. Se i sistemi di IA ad alto rischio devono essere progettati per essere trasparenti, accurati e soggetti a supervisione umana, l'articolo 86 garantisce che questa trasparenza si traduca anche in un diritto azionabile da parte delle persone fisiche interessate dalle decisioni.

Il perimetro di applicazione: quali decisioni e quali sistemi

L'ambito di applicazione dell'articolo 86 è delimitato con precisione su tre dimensioni. Prima dimensione: il sistema. Deve trattarsi di un sistema di IA classificato ad alto rischio ai sensi dell'allegato III, con una sola eccezione: il punto 2 dell'allegato III (gestione delle infrastrutture critiche come reti energetiche, idriche, di trasporto) è escluso dall'applicazione del diritto alla spiegazione. La ragione è che in quei contesti la decisione non riguarda tipicamente una singola persona fisica in modo diretto.

Seconda dimensione: la decisione. Non basta che il sistema di IA sia coinvolto nel processo: occorre che sia stata adottata una decisione da parte del deployer sulla base dell'output del sistema. La decisione deve produrre effetti giuridici (ad es. il rifiuto di un'istanza, la risoluzione di un contratto, la selezione o il rifiuto di un candidato) oppure incidere «in modo analogo significativamente» sulla persona. La significatività dell'incidenza è valutata in base all'impatto sulla salute, sulla sicurezza o sui diritti fondamentali della persona interessata.

Terza dimensione: la percezione dell'interessato. La norma introduce un elemento soggettivo non comune nel diritto europeo: la persona interessata deve «ritenere» che la decisione abbia un impatto negativo sulla propria salute, sicurezza o diritti fondamentali. Non occorre dimostrare oggettivamente il danno: è sufficiente la percezione soggettiva di un impatto negativo per attivare il diritto alla spiegazione. Questo abbassa significativamente la soglia di accesso al diritto, rendendolo accessibile anche nei casi in cui il danno sia difficile da provare.

Il contenuto della spiegazione: «chiara e significativa»

Il deployer è tenuto a fornire spiegazioni che abbiano due caratteristiche cumulative: devono essere chiare (comprensibili per una persona non esperta di IA) e significative (non generiche o tautologiche, ma capaci di far capire concretamente come il sistema ha contribuito alla decisione). La spiegazione deve coprire due aspetti: il ruolo del sistema di IA nella procedura decisionale (in che misura l'output del sistema ha influenzato la decisione finale) e i principali elementi della decisione adottata (quali fattori hanno pesato maggiormente nell'output del sistema).

Sul piano operativo, il deployer dovrà predisporre procedure interne per rispondere alle richieste di spiegazione in modo standardizzato ma personalizzato al caso concreto. Non è sufficiente una risposta generica sul funzionamento del sistema: la spiegazione deve essere riferita alla specifica decisione che ha interessato il richiedente. Questo richiede che il deployer abbia accesso ai log del sistema (obbligo di conservazione, art. 26, par. 6) e che il sistema sia sufficientemente interpretabile da consentire la ricostruzione del processo decisionale.

Il deployer come soggetto obbligato: responsabilità operative

È il deployer — non il fornitore — il destinatario dell'obbligo di fornire la spiegazione. Questa scelta legislativa è coerente con la logica dell'articolo 26: il deployer è il soggetto che ha adottato la decisione nel proprio contesto operativo, e che ha il rapporto diretto con la persona interessata. Il fornitore, che ha sviluppato e commercializzato il sistema, è fisicamente lontano dalla decisione concreta.

Questo crea però una dipendenza del deployer dal fornitore: per poter fornire spiegazioni significative, il deployer ha bisogno che il sistema di IA sia sufficientemente interpretabile e che le istruzioni per l'uso (art. 13) includano indicazioni su come spiegare gli output. In mancanza di tali strumenti, il deployer si troverebbe nell'impossibilità pratica di adempiere all'obbligo imposto dall'articolo 86. È quindi essenziale che i contratti tra fornitore e deployer disciplinino espressamente le modalità con cui il fornitore supporta il deployer nella gestione delle richieste di spiegazione.

Il rapporto con il GDPR e con altre fonti del diritto UE

I paragrafi 2 e 3 dell'articolo 86 definiscono il rapporto con le altre fonti del diritto UE che già prevedono diritti analoghi. Il paragrafo 2 esclude l'applicazione dell'articolo 86 quando il diritto dell'Unione o il diritto nazionale preveda «eccezioni o limitazioni» all'obbligo di spiegazione — purché in linea con il diritto dell'Unione.

Il paragrafo 3 stabilisce che l'articolo 86 si applica solo nella misura in cui il diritto alla spiegazione non sia altrimenti previsto dal diritto dell'Unione. Questa clausola di residualità è di primaria importanza: l'articolo 22, paragrafo 3, del GDPR già prevede un diritto a ottenere l'intervento umano, a esprimere il proprio punto di vista e a contestare le decisioni basate esclusivamente sul trattamento automatizzato di dati personali. Quando il sistema di IA rientra in quel perimetro, il GDPR prevale e l'articolo 86 non si aggiunge ma si sostituisce al vuoto normativo residuale.

In pratica, l'articolo 86 riempie lo spazio dove il GDPR non arriva: sistemi di IA che trattano dati non personali, o decisioni che non siano «basate unicamente» sul trattamento automatizzato, o contesti in cui il diritto nazionale non preveda protezioni equivalenti. È quindi un diritto di ultima istanza nell'architettura della tutela individuale di fronte ai sistemi di IA.

Applicazione e raccordo con le sanzioni

La violazione del diritto alla spiegazione da parte del deployer costituisce una violazione degli obblighi imposti dall'AI Act, sanzionabile ai sensi dell'articolo 99. In termini pratici, i deployer di sistemi di IA ad alto rischio dell'allegato III devono considerare questo diritto nella progettazione dei propri processi operativi: formazione del personale, procedure di risposta alle richieste, contrattualistica con i fornitori dei sistemi. È consigliabile adottare un modello standardizzato di risposta alle richieste di spiegazione, personalizzabile per ogni caso concreto, e integrarlo nelle procedure di gestione dei reclami già previste dal GDPR.