Qual è il ruolo assegnato alle autorità nazionali di controllo nel contesto del nuovo quadro normativo definito dall’AI Act? Quali le previsioni in caso di sistemi di IA ad alto rischio? Sul punto, è intervenuto il Comitato europeo per la protezione dei dati, “European Data Protection Board” (EDPB).
La dichiarazione n. 3/2024 dell’EDPB
Il 16 luglio 2024, il Comitato ha pubblicato la dichiarazione n. 3/2024 circa il ruolo delle Autorità nazionali di protezione dei dati (“Autorità”) nel contesto del quadro normativo delineato dall’AI Act.
Il ruolo chiave delle Autorità nazionali
Ricordando quanto previsto dal Considerando 153 del Regolamento[1] e richiamando quanto già affermato nel precedente “Parere congiunto 5/2021”, emesso assieme al Garante europeo per la protezione dei dati (“EDPS”), l’EDPB sottolinea come alle Autorità nazionali debba essere riconosciuto un ruolo di primaria importanza, soprattutto per l’esperienza e le competenze acquisite nel corso degli ultimi anni, con la pubblicazione di linee guida e con le iniziative intraprese per la tutela dei dati personali degli interessati, su questioni relative all’utilizzo dei sistemi di intelligenza artificiale.
Le Autorità sono, infatti, emerse come “attori indispensabili” per assicurare che le tecnologie e gli strumenti siano approntati nel rispetto dei diritti fondamentali e a tutela dei dati personali, nei diversi settori.
La designazione delle autorità di vigilanza
In tale contesto, il Comitato precisa come il Regolamento preveda la designazione di autorità nazionali – da parte dei singoli Stati membri – deputate a ricevere le richieste di notifica di eventuali violazioni nei sistemi di intelligenza artificiale da parte degli organismi di valutazione della conformità e di un’autorità di vigilanza sul mercato che sia in grado di supervisionare sulla adeguatezza dei medesimi sistemi nell’Unione Europea.
Ciò, conseguentemente, comporta la necessità di promuovere la collaborazione tra tali autorità e quelle preposte alla tutela dei dati personali, anche mediante l’adozione di ulteriori regole e procedure che consentano di coordinarsi nella valutazione dei sistemi di intelligenza artificiale.
Per queste ragioni, l’EDPB caldeggia la possibilità che siano le stesse Autorità ad essere designate come autorità di vigilanza del mercato: tale circostanza andrebbe a vantaggio di tutti gli stakeholders coinvolti nella catena di valore dell’IA, facilitando le interazioni tra i diversi enti regolatori interessati sia dall’AI Act che dal Regolamento (UE) 2016/679 (“GDPR”), tenuta in debito conto la competenza delle Autorità non solo nel settore della protezione dei dati ma anche nella conoscenza delle regole approntate dall’AI Act sui sistemi ad alto rischio.
L’EDPB ha, poi, evidenziato altri punti di particolare importanza.
Competenze delle autorità
Le Autorità, infatti, oltre alle competenze coltivate in tema di IA, sono esperte anche in settori quali la sicurezza dei dati e la valutazione dei rischi per i diritti fondamentali in relazione alle nuove tecnologie. Grazie all’imparzialità che le caratterizza, possono garantire un controllo capillare e “super partes” dei sistemi di IA. Ai sensi dell’art. 74, par. 8, dell’AI Act, devono poi essere designate come autorità di vigilanza del mercato per i sistemi di IA ad alto rischio – che saranno meglio analizzati in seguito – previsti ai punti 1, 6, 7 e 8 dell’Allegato III del Regolamento.
Valutazione d’impatto e cooperazione
L’EDPB ricorda poi come sia presente una forte correlazione tra la valutazione d’impatto sulla protezione dei dati – ai sensi dell’art. 35 del GDPR – e la valutazione d’impatto sui diritti fondamentali, prevista dall’art. 27 dell’AI Act. Il Comitato raccomanda anche che gli Stati membri possano nominare le Autorità come organismi di vigilanza anche per i restanti sistemi di IA ad alto rischio, soprattutto nei settori in cui possa maturare un significativo impatto sui diritti e le libertà delle persone fisiche, in relazione al trattamento dei dati personali. L’EDPB si è, poi, soffermata anche su quanto previsto dall’art. 70 par. 2, in merito ai cd. “punti di contatto unici”, sottolineando che dovrebbero essere nominate in questo ruolo le Autorità nazionali di protezione dei dati che agiscono come autorità di vigilanza sul mercato.
Coinvolgimento delle autorità nazionali
È necessario che le autorità di vigilanza del mercato e gli altri organismi attivi nella supervisione dei sistemi di IA, comprese le Autorità di protezione dei dati, cooperino tra di loro, anche per evitare possibili contraddizioni tra le decisioni assunte ed accrescere l’impatto dell’approccio sinergico ai vari livelli.
Infine, l’EDPB ha ricordato come, ogni qualvolta un sistema di IA per scopi generali tratti dei dati personali, il trattamento possa ricadere nel raggio di azione e di controllo delle Autorità nazionali e del Garante europeo. Pertanto, qualora sorgano questioni/dubbi/perplessità circa l’applicazione del GDPR, queste dovranno essere coinvolte in modo appropriato. L’EPDB ha, quindi, richiamato l’attenzione sul ruolo centrale della Commissione europea e dell’Ufficio europeo per l’IA, affinché cooperino con il Comitato stesso e con le Autorità nazionali di protezione dei dati, stabilendo, in accordo tra loro, adeguate misure di reciproco coinvolgimento e cooperazione. Si ricordi, infatti, che l’Ufficio europeo per l’IA – di cui all’art. 64 dell’AI Act – è stato istituito con la decisione della Commissione europea del 24 gennaio 2024[2].
Focus: i sistemi di IA ad alto rischio
Come già accennato in precedenza, un ruolo molto importante nella disciplina dei sistemi di intelligenza artificiale prevista dal Regolamento è giocato da quelli cd. “ad alto rischio” (Capo III, sezione 1).
Si tratta dei sistemi che, ai sensi dell’art. 6, siano destinati ad essere utilizzati come componenti di sicurezza di un prodotto o siano un prodotto disciplinato dalle normative di armonizzazione citate nell’Allegato I del Regolamento. Inoltre, sono considerati sistemi ad alto rischio anche quelli elencati dall’Allegato III.
Nell’Allegato da ultimo menzionato, si fa riferimento a quei sistemi impiegati nei settori:
- biometria;
- infrastrutture critiche: sistemi di IA destinati a essere utilizzati come componenti di sicurezza nella gestione e nel funzionamento delle infrastrutture digitali critiche, del traffico stradale o nella fornitura di acqua, gas, riscaldamento o elettricità;
- istruzione e formazione professionale;
- occupazione, gestione dei lavoratori e accesso al lavoro autonomo;
- accesso a servizi privati essenziali e a prestazioni e servizi pubblici essenziali e fruizione degli stessi;
- attività di contrasto;
- migrazione, asilo e gestione del controllo delle frontiere;
- amministrazione della giustizia e processi democratici.
Requisiti per i sistemi ad alto rischio
Per tali sistemi, la sezione II del Capo III del Regolamento (artt. 8-15) ha previsto requisiti quali:
- l’istituzione di un sistema di gestione dei rischi;
- lo sviluppo di una governance e gestione dei dati di addestramento;
- la redazione di una documentazione tecnica;
- la registrazione automatica dei log;
- la garanzia di un adeguato livello di trasparenza;
- la presenza di una sorveglianza umana;
- il rispetto dei principi di accuratezza, robustezza e cybersicurezza.
Inoltre, sono stati introdotti degli obblighi per i fornitori dei sistemi ad alto rischio (sezione III, artt. 16-22), quali l’introduzione di un sistema di gestione della qualità, la conservazione dei documenti e dei log generati automaticamente, l’adozione di eventuali misure correttive e la cooperazione con le autorità competenti. Anche per i deployer (sezione III, art. 26) sono stati inseriti obblighi analoghi, tra cui l’adozione di idonee misure tecniche e organizzative, oltre al dovere di informazione verso i fornitori per i monitoraggi successivi all’immissione sul mercato e verso i lavoratori interessati dall’utilizzo di questa tecnologia.
Applicazione graduale del regolamento
Tenuto conto della portata innovativa delle regole adottate – e delle difficoltà che potranno incontrare gli sviluppatori dei sistemi di IA e i soggetti pubblici e privati che vogliano implementarli – il legislatore europeo ha previsto un’applicazione graduale degli obblighi dell’AI Act.
L’art. 113 a chiusura del Regolamento, infatti, oltre a stabilire l’entrata in vigore al ventesimo giorno successivo alla pubblicazione in Gazzetta Ufficiale, statuisce quanto segue:
- l’applicazione del Regolamento a partire dal 2 agosto 2026;
- i capi I (oggetto, ambito di applicazione e definizioni) e II (pratiche di IA vietate) saranno applicabili a partire dal 2 febbraio 2025;
- il capo III (sistemi di IA ad alto rischio), sezione 4 (Autorità di notifica ed organismi notificati), il capo V (Modelli di IA per finalità generali), il capo VII (Governance), il capo XII (Sanzioni) e l’articolo 78 (rubricato “Riservatezza” ed afferente al compito della Commissione, delle autorità di vigilanza del mercato e degli organismi notificati, nonché delle altre persone fisiche o giuridiche che partecipano all’applicazione del Regolamento, a garantire la riservatezza delle informazioni e dei dati ottenuti nello svolgimento dei loro compiti e delle loro attività), si applicano a decorrere dal 2 agosto 2025, ad eccezione dell’articolo 101 (che contempla le sanzioni pecuniarie per i fornitori di modelli di IA per finalità generali);
- l’art. 6, par. 1, e i corrispondenti obblighi, saranno applicabili dal 2 agosto 2027.
Chiaramente, la previsione di periodi di applicazione graduali delle norme del Regolamento suggerisce, implicitamente, di attivare dei tavoli di lavoro specifici per l’implementazione dei progetti che prevedano l’utilizzo di sistemi di IA in modo da garantire la relativa compliance e non farsi trovare impreparati nel momento in cui le relative norme saranno effettivamente applicabili.
Conclusioni
Dopo il lungo iter a cui si è assistito negli ultimi tre anni, che ha finalmente portato all’entrata in vigore di un regolamento destinato ad assumere portata storica – per l’obiettivo ambizioso di attribuire organicità alla disciplina degli strumenti di intelligenza artificiale – non resta che assistere alle risposte degli attori coinvolti per l’adeguamento alle nuove regole. Come ha, giustamente, sottolineato l’EDPB, sarà di primaria importanza il ruolo attribuito alle Autorità, per giungere ad una compiuta e puntuale applicazione dell’AI Act. Allo stesso modo, anche gli sviluppatori dei sistemi di IA e i soggetti pubblici e privati che intenderanno avvalersene dovranno conformarsi agli obblighi previsti per evitare di incorrere nelle pesanti sanzioni previste dall’art. 99 par. 4 (in particolare, per i sistemi ad alto rischio, fino a 15 milioni di euro o al 3% del fatturato annuo mondiale dell’esercizio precedente). Ciò che ha, fin dal principio, caratterizzato l’operato dell’Unione nella materia dell’intelligenza artificiale è il rafforzamento della coerenza e della collaborazione nell’applicazione della normativa promanata, con l’obiettivo ultimo di uniformare le regole, garantire una disciplina armonizzata ed unitaria ed una risposta chiara, tempestiva ed efficace alle violazioni.
Note
[1] “Gli Stati membri svolgono un ruolo chiave nell’applicare ed eseguire il presente regolamento. A tale riguardo, è opportuno che ciascuno Stato membro designi almeno una autorità di notifica e almeno una autorità di vigilanza del mercato come autorità nazionali competenti al fine di controllare l’applicazione e l’attuazione del presente regolamento. Gli Stati membri possono decidere di nominare qualsiasi tipo di entità pubblica per svolgere i compiti delle autorità nazionali competenti ai sensi del presente regolamento, conformemente alle loro specifiche caratteristiche ed esigenze organizzative nazionali. Al fine di incrementare l’efficienza organizzativa da parte degli Stati membri e di istituire un punto di contatto unico nei confronti del pubblico e di altre controparti sia a livello di Stati membri sia a livello di Unione, è opportuno che ciascuno Stato membro designi un’autorità di vigilanza del mercato come punto di contatto unico.”
[2] C/2024/390, GU C, C/2024/1459 del 14.2.2024.
