La California ha compiuto un passo rilevante nel governo dell’innovazione digitale approvando un pacchetto normativo che impone nuove regole sull’uso dell’intelligenza artificiale, la protezione dei dati personali e la sicurezza informatica. Si tratta di un aggiornamento del California Consumer Privacy Act, con tre assi portanti: il controllo sulle tecnologie decisionali automatizzate, l’obbligo di condurre valutazioni di rischio nei trattamenti più sensibili e l’introduzione di audit annuali per la cybersecurity. Le norme, adottate dalla California Privacy Protection Agency, attendono ora la revisione della Office of Administrative Law. Ma il segnale politico è già netto: trasparenza, supervisione umana reale e responsabilità non sono più opzioni negoziabili.
Uno degli snodi più significativi riguarda l’impiego delle cosiddette ADMT, tecnologie in grado di influenzare o sostituire decisioni normalmente affidate a persone. In questi casi, i consumatori acquisiscono il diritto di opporsi, mentre le imprese devono dimostrare che l’elemento umano coinvolto sia effettivamente in grado di comprendere, correggere e rivalutare gli esiti dell’algoritmo. La definizione di controllo umano efficace non lascia spazio a scorciatoie: non basta una supervisione di facciata, serve un intervento consapevole e documentabile.
Sul piano operativo, le aziende che utilizzano ADMT in settori delicati – come la profilazione, l’attribuzione di benefici o la gestione delle risorse umane – saranno obbligate a svolgere valutazioni di impatto. Queste analisi dovranno prendere in esame non solo la finalità e il funzionamento del sistema, ma anche i potenziali effetti discriminatori o sproporzionati sugli individui. L’obbligo scatterà entro il 31 dicembre 2027, e interesserà anche i casi di trattamento di dati sensibili o vendita di informazioni personali.
Il terzo pilastro della riforma è rappresentato dagli audit di sicurezza informatica. Le imprese saranno tenute a verificarne annualmente l’efficacia tramite valutazioni condotte da soggetti qualificati, interni o esterni. Le verifiche dovranno coprire ambiti quali la cifratura, i sistemi di autenticazione, i test di penetrazione, le policy di risposta agli incidenti e la formazione del personale. Le scadenze sono scaglionate: si parte nel 2028 con le aziende sopra i 100 milioni di fatturato, mentre quelle più piccole avranno tempo fino al 2030. Da quel momento, l’obbligo sarà permanente per tutte le realtà considerate ad alto rischio.
Nonostante le numerose osservazioni ricevute durante la consultazione pubblica – oltre 575 pagine di commenti da parte di imprese, associazioni e studiosi – la versione finale del testo non ha subito modifiche sostanziali. Nemmeno le perplessità espresse dal governatore Newsom, che in primavera aveva paventato un impatto economico negativo con costi iniziali stimati fino a 3,5 miliardi di dollari, hanno frenato l’agenzia. La scelta è stata quella di mantenere l’impianto originario, riaffermando un principio di fondo: le regole devono precedere i problemi, non inseguirli.
È emblematico che proprio la California, patria della Silicon Valley, abbia deciso di seguire le orme dell’Europa nella costruzione di un perimetro normativo stringente. Il segnale è duplice: da un lato, il riconoscimento che l’autoregolamentazione ha mostrato i suoi limiti; dall’altro, la consapevolezza che la fiducia degli utenti è un valore strategico. Chi innova, oggi, non può più ignorare le conseguenze giuridiche, sociali e tecniche del proprio operato.
