Come scrivere una nomina a responsabile del trattamento dei dati conforme al GDPR? Le indicazioni del Garante   Da un provvedimento dell’Autorità Garante ricaviamo alcune importanti considerazioni su come sviluppare un contratto fra titolare e responsabile del trattamento che sia conforme…

Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale?   In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

Garante privacy: differita l’efficacia del documento di indirizzo sui metadati.Quando gli obblighi previsti diverranno applicabili?    A pochi giorni di distanza dal comunicato con cui il Garante diffondeva il “Documento di indirizzo sulla conservazione dei metadati”, la stessa Autorità ha deciso…

Con chi si interfaccia il DPO e con quali modalità? I risultati del CEF 2023    Dall’indagine condotta dalle Autorità europee sul ruolo del DPO (il CEF 2023, ne abbiamo parlato qui), sono emersi alcuni dati preoccupanti: spesso i Responsabili della…

Nuova Linea di Indirizzo del Garante per la Protezione dei Dati sul Trattamento dei metadati e mail nelle aziende    Il Garante per la protezione dei dati personali ha recentemente introdotto una nuova linea di indirizzo che riguardano la gestione dei…

Data Protection Officer e conflitto di interesse: DPO interno o DPO esterno? Questo è il problema    La recente indagine condotta dalle Autorità europee in materia di protezione dei dati ha rilevato molteplici situazioni di Responsabili della Protezione dei Dati (DPO)…

Colpa d’organizzazione e responsabilità D.Lgs. 231       La recente sentenza 4210/2024 della Cassazione ribadisce un principio fondamentale riguardo alla responsabilità amministrativa delle società e degli enti: l'essenza colposa della responsabilità dell'ente per reati commessi nell'interesse o a vantaggio…

La proposta di riforma della Direttiva ePrivacy è finita su un binario morto               La Direttiva ePrivacy del 2002 rappresenta uno strumento legale fondamentale per la privacy nell'era digitale, questa si concentra specificatamente sulla…

Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale?

 
 

In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA). Al fine di promuovere la diffusione di una IA affidabile e sicura, la norma prevede specifiche regole non solo in capo a fornitori, importatori e fabbricanti di IA, ma anche in capo ad enti ed imprese utilizzatori di questi sistemi.

Di cosa si tratta? Quali obblighi rispettare?

 
 
La rivoluzione della legge sull’IA

Come abbiamo visto in questo articolo , la legge sull’IA rappresenta la prima forma di regolamentazione onnicomprensiva dei sistemi e delle applicazioni innovative dell’Intelligenza Artificiale. È indubbio, infatti, che, sebbene da un lato l’IA possa contribuire al conseguimento di un’ampia gamma di benefici a livello economico, ambientale e sociale nell’intero spettro delle attività industriali e sociali (v. considerando 4), dall’altro lato può comportare dei rischi importanti per i diritti dei cittadini dell’Unione. Tali rischi derivano, in particolare, dalle circostanze relative all’applicazione dell’IA, dallo specifico livello di sviluppo tecnologico e dal suo utilizzo. Lo scopo del regolamento, pertanto, è quello di istituire un quadro giuridico uniforme europeo non solo per quanto riguarda lo sviluppo, l’immissione sul mercato e la messa in servizio dei sistemi di Intelligenza Artificiale, ma anche per quanto riguarda il corretto utilizzo di questi sistemi.

 

La nozione di “deployer”: l’utilizzatore

Al fine di circoscrivere l’ambito di applicazione della norma, è quindi bene definire sin da subito il concetto di “deployer”. La nozione di “deployer”, si legge al considerando 13, dovrebbe essere interpretata come qualsiasi persona fisica o giuridica, compresi un’autorità pubblica, un’agenzia o altro organismo, che utilizza un sistema di IA sotto la sua autorità.

L’articolo 2, al paragrafo 1, chiarisce ulteriormente l’ambito di applicazione soggettivo, specificando l’elenco di soggetti a cui la legge sull’IA è destinata ad applicarsi. Fra questi vi rientrano, oltre a fornitori, importatori, distributori e fabbricanti di sistemi di IA, anche:

  • i deployer dei sistemi di IA che hanno il loro luogo di stabilimento o sono situati all’interno dell’Unione;
  • i deployer di sistemi di IA che hanno il loro luogo di stabilimento o sono situati in un paese terzo, laddove l’output prodotto dal sistema di IA sia utilizzato nell’Unione.
 
I sistemi di IA vietati

La Legge sull’IA introduce specifiche regole per i deployer, in qualità di utilizzatori dei sistemi di IA. Vi sono, tuttavia, dei sistemi il cui utilizzo è vietato a prescindere. Pensiamo, ad esempio a:

  • sistemi che ricorrono a tecniche subliminali che agiscono senza che una persona ne sia consapevole o a tecniche volutamente manipolative o ingannevoli;
  • sistemi che sfruttano le vulnerabilità di una persona o di uno specifico gruppo di persone, dovute all’età, alla disabilità o a una specifica situazione sociale o economica, con l’obiettivo o l’effetto di distorcere materialmente il comportamento di tale persona;
  • sistemi utilizzati per valutare o prevedere la probabilità che una persona commetta un reato;
  • sistemi di riconoscimento delle emozioni utilizzati sul luogo di lavoro e negli istituti scolastici, eccetto per motivi medici o di sicurezza (ad esempio il monitoraggio dei livelli di stanchezza di un pilota);
 
La classificazione dei sistemi di IA e le condizioni d’uso

La valutazione del rischio intrinseco ai sistemi di IA rappresenta un passaggio fondamentale nella legge sull’IA: le regole previste, infatti, si adattano in base all’intensità e alla portata del livello di rischio. Senza entrare troppo nel dettaglio, è importante sapere che la nuova disciplina stabilisce obblighi a seconda del livello di rischio che l’IA può generare, ovvero un rischio inaccettabile, un rischio alto o un rischio basso o minimo.

Fra i sistemi di IA classificati come “ad alto rischio” vi rientrano, ad esempio:

  • sistemi di identificazione biometrica remota;
  • sistemi utilizzati come componenti di sicurezza nella gestione e nel funzionamento delle infrastrutture digitali critiche, del traffico stradale e della fornitura di acqua, gas, riscaldamento ed elettricità;
  • sistemi finalizzati a determinare l’accesso, l’ammissione o l’assegnazione agli istituti di istruzione e formazione professionale;
  • sistemi relativi alla valutazione dell’occupazione, ad ottimizzare la gestione dei lavoratori e l’accesso al lavoro autonomo;

I criteri per la qualificazione di un sistema di IA come “ad alto rischio” sono riportati all’articolo 6, mentre un elenco più ampio è inserito fra gli allegati al regolamento. I sistemi così classificati possono essere legittimamente utilizzati solo a determinate condizioni ed in presenza di specifici requisiti obbligatori.

 

Dalla teoria alla pratica

Come abbiamo sinteticamente visto, il Regolamento sull’IA presenta un quadro ampio, complesso e innovativo di disposizioni che entreranno in vigore secondo un approccio graduale. Non conformarsi significa rischiare di incorrere in sanzioni fissate – alla stregua del GDPR – in una percentuale del fatturato della società.

Le soglie da considerare sono:

  • fino a 35 milioni di euro di sanzione o al 7% del fatturato, per violazioni relative a pratiche vietate o per l’inosservanza di requisiti in materia di dati;
  • fino a 15 milioni di euro o al 3% del fatturato per l’inosservanza di qualsiasi altro requisito o obbligo del regolamento;
  • fino a 7,5 milioni di euro o all’1,5% del fatturato mondiale toper la fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità nazionali competenti in risposta a una richiesta.

Il relatore del Regolamento, l’europarlamentare Brando Benifei (S&D, Italia) ha dichiarato: “Grazie al Parlamento europeo, le pratiche inaccettabili di IA saranno proibite in Europa. […] Dovremo ora accompagnare le aziende a conformarsi alle regole prima che entrino in vigore”. Anche Dragos Tudorache, correlatore della commissione per le libertà civili, ha sottolineato l’esigenza di concentrare i prossimi sforzi nel trasformare la norma “da legge sui libri a realtà sul campo”.

 

Sfruttare la sinergia con il GDPR per l’adeguamento

Se è vero, da un lato, che la legge sull’IA introduce nuove misure, obblighi e previsioni mirate, dall’altro lato è caratterizzata da un approccio alla compliance, by risk, che viaggia su un binario molto vicino al GDPR. Nel testo del regolamento, i riferimenti al GDPR sono molteplici (se ne contano ben 29), in particolare in relazione ad adempimenti connessi agli obblighi di trasparenza e agli assessment previsti.

Ad esempio, ai sensi dell’articolo 27, paragrafo 4, della legge sull’IA, la valutazione d’impatto sui diritti fondamentali può andare ad integrare la valutazione d’impatto sulla protezione dei dati (ove già presente). Pertanto, riuscire a sfruttare le sinergie reciproche fra i due complessi normativi, rappresenta la chiave per conformarsi.

Da oltre vent’anni Labor Project opera nel settore della protezione dei dati personali. Il tema dell’IA e le sue implicazioni privacy è da sempre stato oggetto di massima attenzione da parte del nostro team, al punto che abbiamo deciso di implementare un servizio dedicato, in funzione delle esigenze derivanti dalla nuova legge sull’IA.

Follow us on
Our Gallery