Introduzione
Il Garante europeo della protezione dei dati personali (GEPD) ha recentemente pubblicato un parere d’iniziativa sulla legge europea in materia di intelligenza artificiale (IA). Il documento contiene importanti raccomandazioni per lo sviluppo e l’uso dei sistemi di IA nell’Unione Europea, con l’obiettivo di proteggere i diritti fondamentali delle persone.
Tra le principali raccomandazioni del Garante, vi è l’importanza di vietare l’uso di sistemi di IA che comportino rischi inaccettabili per le persone e i loro diritti fondamentali. Inoltre, il GEPD si è soffermato sulla sua designazione in quanto ente preposto e autorità di sorveglianza del mercato per valutare la conformità dei sistemi di IA ad alto rischio sviluppati o utilizzati dalle istituzioni, organi, uffici e agenzie dell’UE.
Il Garante ha inoltre sottolineato la necessità di disporre di risorse finanziarie e umane adeguate per svolgere il suo ruolo di garante dell’IA. Ha anche chiesto che i suoi compiti e i suoi poteri siano chiariti nell’ambito della legge sull’IA.
Un altro punto importante toccato dal GEPD riguarda il diritto di presentare un reclamo a un’autorità competente nel caso in cui i fornitori e gli utenti di sistemi di IA violino la legge sull’IA. Secondo il Garante, non solo dovrebbe essere riconosciuto tale diritto alle persone interessate all’uso dei sistemi di IA, ma il regolamento dovrebbe anche prevedere esplicitamente la competenza del GEPD a ricevere tali reclami.
Il Garante ha accolto con favore la creazione dell’Ufficio europeo dell’IA e ne sostiene l’obiettivo di centralizzare l’applicazione della legge in determinati casi e di armonizzarne l’applicazione in tutti gli Stati membri dell’UE. Inoltre, il GEPD si è dichiarato pronto a svolgere indagini congiunte su un piano di parità con le autorità di controllo nazionali e a partecipare alle altre attività dell’Ufficio IA. A tal proposito, il Garante chiede al co-legislatore di attribuirgli il diritto di voto come membro a pieno titolo del consiglio di amministrazione dell’Ufficio AI.
L’evoluzione dell’intelligenza artificiale (IA) è in costante progresso, e le leggi stanno cercando di tenere il passo con questa rapida innovazione. Tuttavia, la velocità dello sviluppo tecnologico ha sempre un passo avanti rispetto alla regolamentazione.
Il recente draft del regolamento europeo sull’intelligenza artificiale, noto come AI Act, è un esempio lampante di questo fenomeno. Previsto per entrare in vigore nell’estate del 2024, l’AI Act sta ancora attraversando un lungo percorso legislativo, con possibili modifiche entro la fine dell’anno.
Una volta approvato definitivamente, sarà necessario dare ai Paesi membri un termine, forse superiore all’anno, per prepararsi a dare diretta applicazione alle sue regole. Di conseguenza, è probabile che le nuove regole non diventeranno legge effettiva prima del 2025.
Nel frattempo, lo sviluppo e la diffusione dell’IA sui mercati globali non si fermeranno in attesa di questa data.
Questa situazione presenta due conseguenze significative. La prima è che le nuove regole, quando entreranno in vigore, potrebbero non essere in grado di governare applicazioni di IA che oggi non sono ancora emerse o non sembrano meritevoli di un intervento normativo specifico.
Un esempio è rappresentato dalle intelligenze artificiali generative, come la Chat Gpt, che non erano state originariamente considerate nella proposta iniziale dell’AI Act. Questa discrepanza temporale tra i ritmi della produzione regolamentare e quelli dello sviluppo tecnologico rappresenta una sfida significativa per la regolamentazione dell’IA.
La seconda conseguenza riguarda la necessità di trovare un modo di governare l’intelligenza artificiale nei prossimi mesi o anni. Se non si trovano soluzioni adeguate, c’è il rischio che la tecnologia diventi essa stessa regolamentazione, plasmando le nostre vite più delle regole tradizionali.
È già accaduto con Internet: molti dei nostri comportamenti quotidiani nel mondo digitale sono governati dalla tecnologia più che dalle leggi. Le regole imposte dalla tecnologia nascono nei laboratori tecnologici o negli studi legali delle aziende e sono adottate per servire interessi privati, a differenza delle leggi che dovrebbero servire l’interesse pubblico.
Per mitigare questo rischio, l’Unione Europea sta proponendo l’AI Pact, un esercizio che incoraggia i giganti tecnologici dell’IA a rispettare le regole dell’AI Act prima della sua applicazione diretta. Questa sorta di pre-applicazione volontaria potrebbe aiutare a guidare lo sviluppo e l’uso dell’IA in una direzione sostenibile.
Tuttavia, l’efficacia dell’AI Pact è ancora da verificare. Sarà interessante vedere quanti protagonisti globali dell’IA aderiranno, e quanto tempo impiegheranno per conformarsi alle regole. Inoltre, la vigilanza su un esercizio basato sulla volontarietà potrebbe essere debole.
Nel frattempo ll Garante europeo della protezione dei dati (GEPD) ha pubblicato un parere riguardante la proposta di legge sull’intelligenza artificiale dell’UE, fornendo raccomandazioni ai legislatori dell’UE riguardo ai ruoli e ai compiti del GEPD nella legge sull’IA.
1. Il GEPD è un’istituzione indipendente dell’UE che si occupa di garantire il rispetto dei diritti e delle libertà fondamentali delle persone fisiche, in particolare per quanto riguarda la protezione dei dati personali. È anche responsabile di fornire consulenza a tutte le parti interessate su questioni relative al trattamento dei dati personali.
2 Secondo l’articolo 42, paragrafo 1, del regolamento (UE) 2018/1725, la Commissione deve consultare il GEPD su questioni che potrebbero avere un impatto sulla protezione dei diritti e delle libertà delle persone fisiche in relazione al trattamento dei dati personali.
4. Il GEPD ha il potere di emettere pareri, sia su propria iniziativa che su richiesta, su qualsiasi questione relativa alla protezione dei dati personali.
5. Il GEPD ha recentemente espresso un parere di iniziativa sulla proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce norme armonizzate sull’intelligenza artificiale (legge sull’intelligenza artificiale). Questo parere mira a fornire ulteriori raccomandazioni ai legislatori dell’UE mentre i negoziati sulla proposta entrano nella fase finale.
6. Questo parere non pregiudica qualsiasi azione futura che potrebbe essere intrapresa dal GEPD nell’esercizio dei suoi poteri ai sensi del regolamento (UE) 2018/1725. Si concentra solo sulle disposizioni della proposta che sono rilevanti dal punto di vista della protezione dei dati.
AI Act: Cosa è e cosa prevede?
1. Presentazione dell’AI Act
Il 21 aprile 2021 la Commissione europea ha pubblicato una proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce norme armonizzate in materia di intelligenza artificiale (legge sull’intelligenza artificiale).
2. Obiettivi dell’AI Act
La proposta mira a regolamentare l’uso dell’IA in Europa e a garantire la protezione dei diritti fondamentali delle persone.
3. Livelli di rischio previsti dall’AI Act
La proposta prevede la definizione di tre livelli di rischio per l’uso dell’IA: basso, medio e alto. In base al livello di rischio, vengono introdotte misure di controllo e di garanzia differenti.
4. Limitazioni all’uso dell’IA
L’uso dell’IA è vietato in alcune situazioni, come ad esempio l’utilizzo di tecnologie di riconoscimento facciale per la sorveglianza di massa.
5. Trasparenza e responsabilità nell’uso dell’IA
La proposta prevede anche l’obbligo per i fornitori di IA di fornire informazioni sulla tecnologia utilizzata e di garantire la trasparenza dell’algoritmo.
6. Sanzioni per violazione delle norme
In caso di violazione delle norme, sono previste sanzioni pecuniarie fino al 6% del fatturato annuo mondiale dell’azienda.
7. Il ruolo del GEPD e dell’EDPB
Il 18 giugno 2021 il comitato europeo per la protezione dei dati (“EDPB”) e il garante europeo della protezione dei dati (“GEPD”) hanno espresso un parere comune sulla proposta.
8. Il GEPD e la legge sull’IA
Il GEPD ha successivamente emesso un parere di propria iniziativa, concentrato sui compiti e sul ruolo del Garante nella legge sull’IA alla luce degli sviluppi legislativi e delle posizioni negoziali del Parlamento europeo.
9. Cooperazione tra autorità nazionali
Il GEPD ha sottolineato l’importanza della cooperazione tra le autorità nazionali per la protezione dei dati e della creazione di un sistema di coordinamento europeo per garantire l’applicazione uniforme della legge sull’IA.
10. Protezione dei diritti fondamentali
Il GEPD ha anche evidenziato la necessità di garantire la tutela dei diritti fondamentali delle persone, come la protezione della privacy e della dignità umana, nell’uso dell’IA.
11. Stato attuale della proposta di regolamento sull’IA
La proposta di regolamento sull’IA è attualmente in fase di discussione presso il Parlamento europeo e il Consiglio dell’Unione europea.
Preoccupazioni e Obiettivi della Commissione e del Parlamento Europeo sull’IA
1. Impatto dell’IA sui diritti fondamentali
L’uso dell’Intelligenza Artificiale (IA), con le sue specifiche caratteristiche come opacità, complessità, dipendenza dai dati e autonomia, può avere un impatto negativo su una serie di diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’UE.
2. Obiettivo dell’AI Act
L’AI Act mira a rafforzare e promuovere la tutela dei diritti protetti dalla Carta.
3. Supporto del GEPD
Il Gruppo Europeo di Protezione dei Dati (GEPD) sostiene l’approccio di creare un quadro giuridico per i sistemi di IA basato sui valori dell’UE sanciti dalla Carta e dalla Convenzione europea sui diritti dell’uomo (CEDU).
4. Rispetto dei diritti fondamentali
Il GEPD sottolinea che il rispetto dei diritti fondamentali alla vita privata e alla protezione dei dati personali, come sancito dalla CEDU e dalla Carta, è un prerequisito essenziale per l’esercizio di altri diritti fondamentali, come la libertà di espressione e di riunione.
5. Legame tra privacy e dignità umana
I diritti fondamentali alla privacy e alla protezione dei dati personali sono strettamente legati alla dignità umana e al diritto all’integrità della persona, compresi i diritti al rispetto della sua integrità fisica e mentale.
6. Utilizzo dell’IA che dovrebbe essere vietato
Nel loro parere congiunto, il GEPD e l’EDPB hanno individuato diversi usi dell’IA che dovrebbero essere vietati perché comportano rischi inaccettabili per i diritti fondamentali. Questi includono:
- L’utilizzo dell’IA per effettuare qualsiasi tipo di “social scoring”.
- L’utilizzo dell’IA per il riconoscimento automatizzato di caratteristiche umane in spazi pubblici.
- L’uso dell’IA per dedurre le emozioni di una persona fisica, ad eccezione di alcuni casi d’uso ben specificati.
- L’utilizzo di sistemi di IA che categorizzino gli individui in base alla biometria in gruppi in base all’etnia, al genere, all’orientamento politico o sessuale, o ad altri motivi di discriminazione.
- L’utilizzo di sistemi di IA destinati a essere utilizzati dalle autorità di contrasto come poligrafi e strumenti simili.
- L’utilizzo di sistemi destinati ad essere utilizzati dalle autorità di contrasto per effettuare valutazioni del rischio individuale delle persone fisiche.
Sistemi di Intelligenza Artificiale già sul mercato o in uso
1. Applicabilità della legge sull’IA
Secondo l’articolo 83, paragrafo 2, della proposta di legge sull’IA, la stessa non si applicherebbe agli operatori di sistemi di IA ad alto rischio già presenti sul mercato o in uso prima della data di applicabilità della legge sull’AI.
2. Esonero per i sistemi preesistenti
Questa esenzione è valida tranne nei casi in cui tali sistemi subiscano cambiamenti significativi nella loro progettazione o finalità, o, secondo il mandato negoziale del Parlamento Europeo (PE), in caso di “modifiche sostanziali”.
3. Mancanza di chiarezza
Il Gruppo Europeo di Protezione dei Dati (GEPD) rileva che queste disposizioni mancano di chiarezza riguardo ai criteri che dovrebbero essere applicati per determinare cosa costituisce un “cambiamento significativo” o una “modifica sostanziale”.
4. Incertezza giuridica
Questo potrebbe portare a notevole incertezza giuridica riguardo a quando la legge sull’AI si applicherà effettivamente ai sistemi di IA già presenti sul mercato o in uso.
5. Rischio di danni o impatto negativo sui diritti fondamentali
Il GEPD teme che tale approccio possa portare a situazioni in cui determinati sistemi di IA, che presentano un rischio elevato di danni o di impatto negativo sui diritti fondamentali ai sensi dell’articolo 7 della proposta, potrebbero non rientrare mai nell’ambito di applicazione della legge sull’AI perché continuano a funzionare senza “cambiamenti significativi” o “modifiche sostanziali”.
6. Raccomandazione del GEPD
Di conseguenza, il GEPD raccomanda di eliminare l’esenzione dall’ambito di applicazione della legge sull’AI per i sistemi di IA esistenti ad alto rischio prevista all’articolo 83, paragrafo 2, della proposta. Invece, la legge sull’AI dovrebbe applicarsi ai sistemi di IA esistenti ad alto rischio alla data di entrata in vigore della legge sull’AI.
Fornitori di Sistemi di Intelligenza Artificiale
1. Applicazione di requisiti giuridici ai fornitori di sistemi di IA
La proposta di legge sull’Intelligenza Artificiale prevede l’applicazione di requisiti giuridici alla maggior parte dei “fornitori” di sistemi di IA.
2. Definizione di “fornitore”
La definizione di “fornitore” nella proposta di legge si riferisce allo “sviluppo” di un sistema di IA, senza fornire una definizione precisa del termine “sviluppo”.
3. Formazione dei sistemi di IA
L’elaborazione dei dati a fini di formazione è un’attività fondamentale per lo sviluppo di sistemi di intelligenza artificiale basati sull’apprendimento automatico. Quindi, chiunque si occupi della formazione di un sistema di intelligenza artificiale potrebbe essere considerato un fornitore.
4. Riqualificazione dei sistemi di IA
I sistemi di intelligenza artificiale possono essere sottoposti a ripetuti addestramenti nel corso del loro ciclo di vita. Questa riqualificazione può rendersi necessaria per diverse ragioni, come la carenza di dati di addestramento o un deterioramento delle prestazioni del sistema.
5. Definizione del ruolo degli operatori di IA
La proposta attuale non fornisce una chiara definizione del ruolo degli operatori di IA che si occupano della riqualificazione dei sistemi preaddestrati o dell’utilizzo di sistemi di IA con apprendimento continuo.
6. Considerazioni del Gruppo Europeo di Protezione dei Dati (GEPD)
Il GEPD ritiene importante definire il ruolo degli operatori di intelligenza artificiale (IA) che riqualificano i sistemi di IA, in particolare se questi “riqualificatori” debbano essere considerati fornitori. Secondo il GEPD, gli operatori di IA che riqualificano sistemi di IA preaddestrati dovrebbero essere considerati “fornitori” per garantire la conformità ai requisiti della legge sull’IA.
Sistemi IT su larga scala dell’UE e cooperazione internazionale in materia di applicazione della legge
1. Estensione dell’ambito della legge sull’Intelligenza Artificiale (IA)
Il Gruppo Europeo di Protezione dei Dati (GEPD) sostiene che la legge sull’IA dovrebbe essere applicata a tutti i settori in cui i sistemi di IA sono utilizzati, inclusi quelli legati all’applicazione della legge e alla migrazione.
2. Ruolo di eu-LISA
eu-LISA, l’agenzia dell’Unione Europea responsabile della gestione operativa dei sistemi di banche dati su larga scala dell’UE nel settore dei Affari Giustizia e Interni (GAI), gestisce attualmente alcuni componenti di IA dei sistemi per la gestione della migrazione e il controllo delle frontiere.
3. Preoccupazione per l’esclusione dei sistemi di IA
Il GEPD ha espresso preoccupazione per l’esclusione dei sistemi di IA, che sono componenti dei sistemi IT su larga scala dell’Unione Europea, dall’ambito di applicazione della legge sull’IA. Questi sistemi possono elaborare grandi quantità di dati personali, inclusi quelli sensibili.
4. Rimozione dell’esenzione per i sistemi di IA
Il GEPD raccomanda di rimuovere l’esenzione per questi sistemi di IA al fine di garantire una maggiore protezione dei dati personali.
5. Preoccupazione per le eccezioni ai sistemi di IA ad alto rischio
Il GEPD ha espresso preoccupazione per l’eccezione proposta all’articolo 6, paragrafo 3, del regolamento europeo sulla IA, che potrebbe mettere a repentaglio le garanzie applicabili ai sistemi di IA.
6. Rischio di danno alla salute, alla sicurezza o ai diritti fondamentali delle persone
Il GEPD ha espresso preoccupazione per il fatto che le modifiche proposte potrebbero compromettere l’efficacia delle garanzie previste per i sistemi ad alto rischio, aumentando il rischio per la privacy e la sicurezza delle persone coinvolte.
7. Certificazione dei sistemi di IA ad alto rischio
Il GEPD consiglia che i sistemi di IA ad alto rischio siano certificati tenendo in considerazione la protezione dei dati fin dalla fase di progettazione e per impostazione predefinita.
8. Valutazione della conformità
Il GEPD suggerisce una modifica della procedura di valutazione della conformità per i sistemi di intelligenza artificiale ad alto rischio, raccomandando una valutazione ex ante da parte di terzi.
Ruoli e Compiti del Garante Europeo per la Protezione dei Dati nel Controllo dei Sistemi di Intelligenza Artificiale
1. Controllo pre-commercializzazione (valutazione della conformità)
Il GEPD dovrebbe essere designato come organismo di valutazione della conformità per i sistemi di IA ad alto rischio destinati a essere utilizzati dalle istituzioni, organi, uffici e agenzie dell’Unione Europea o sviluppati da un’istituzione dell’Unione.
2. Controllo post-commercializzazione
Nel contesto del controllo post-commercializzazione, il GEPD svolge il ruolo di autorità di vigilanza del mercato per le istituzioni dell’Unione.
3. Autorità di controllo competente
Il GEPD è l’autorità competente per il controllo del rispetto della legge sull’IA da parte delle istituzioni dell’Unione. Questo ruolo comprende il monitoraggio e il rispetto della conformità delle istituzioni dell’Unione alla legge sull’IA e la creazione di sandbox normativi sull’IA.
4. Ulteriori chiarimenti necessari
Nonostante il GEPD accolga favorevolmente il suo ruolo designato, sottolinea che i suoi ruoli e compiti nella legge sull’IA, compresi i poteri di cui sarebbe a disposizione per il controllo dei sistemi di IA, devono essere ulteriormente chiariti per rendere operative le pertinenti disposizioni.
5. Conformità dei sistemi di IA alla legge sull’IA
Gli Stati membri devono valutare la conformità dei sistemi di IA alla legge sull’IA prima di essere immessi sul mercato. Gli organismi notificati svolgono compiti relativi alle procedure di valutazione della conformità per garantire che i prodotti siano conformi alla normativa di armonizzazione dell’Unione Europea.
6. Ruolo del GEPD come organismo notificato
Quando il sistema di IA è destinato a essere utilizzato dalle autorità di contrasto, dalle autorità di immigrazione o di asilo, nonché dalle istituzioni o organi dell’UE, l’autorità di vigilanza del mercato funge da organismo notificato. Tuttavia, è necessario chiarire ulteriormente la competenza del GEPD come organismo notificato ai sensi della legge sull’IA.
7. Definizione di “fornitore”
Si raccomanda di definire in modo inequivocabile la nozione di “fornitore” e di chiarire che il GEPD sia l’organismo notificato solo quando il fornitore è un’istituzione, un organo o un organismo dell’UE.
8. Supervisione del GEPD in caso di modifiche al sistema di IA
Nel caso di riqualificazione del modello di fondazione o modifiche sostanziali al sistema di IA, l’IUE come fornitore sarà sotto la supervisione del GEPD come organismo notificato. Un distributore, importatore, utente o altro terzo che apporta modifiche sostanziali a un sistema di IA ad alto rischio sarà considerato un fornitore e dovrà adempiere agli obblighi previsti dalla proposta.
Il Ruolo del Garante Europeo per la Protezione dei Dati nella Vigilanza dei Sistemi di Intelligenza Artificiale
1. Definizione di Autorità di Vigilanza del Mercato
Il GEPD, designato come autorità di vigilanza del mercato da uno Stato membro secondo il regolamento sulla vigilanza del mercato dell’UE, è responsabile dell’esercizio della vigilanza del mercato nel suo territorio.
2. Ambito di Applicazione
L’ambito di applicazione del GEPD non è definito geograficamente, ma piuttosto dalla natura dei fornitori e degli utenti coinvolti. Questo include istituzioni, agenzie e organismi dell’Unione.
3. Territorio Nazionale
Il termine “territorio nazionale” è ambiguo per il GEPD. Pertanto, il GEPD suggerisce di chiarire nella legge sull’IA che per “territorio nazionale” si intende “dove il sistema di IA è fornito o utilizzato da istituzioni, organi, uffici e agenzie dell’Unione”.
4. Misure Provvisorie
Se il fornitore di un sistema di IA non adotta azioni correttive adeguate, l’autorità di vigilanza del mercato deve adottare tutte le misure provvisorie adeguate per vietare o limitare la disponibilità del sistema di IA sul mercato.
5. Definizione del Mercato Rilevante
Il GEPD suggerisce che il “mercato rilevante” dovrebbe essere definito come “il luogo in cui il sistema di IA è fornito o diffuso da istituzioni, organi e organismi dell’Unione”. Questa definizione sarebbe essenziale per evitare incertezze giuridiche.
6. Poteri del GEPD
Il GEPD dovrebbe avere poteri come autorità di vigilanza del mercato per le IUE. Questi poteri dovrebbero essere esplicitamente specificati nella legge sull’IA.
Queste considerazioni evidenziano l’importanza del ruolo del GEPD nella vigilanza dei sistemi di IA e la necessità di una chiara definizione dei suoi poteri e responsabilità.
Raccomandazioni del Garante Europeo per la Protezione dei Dati sul Progetto di Legge sull’Intelligenza Artificiale
Il Garante Europeo per la Protezione dei Dati (GEPD) ha fornito una serie di raccomandazioni per le disposizioni da includere nel progetto di legge sull’Intelligenza Artificiale (IA).
1. Disposizioni Generali
Il GEPD suggerisce che il regolamento dovrebbe rispettare le competenze, i compiti, i poteri e l’indipendenza delle autorità pubbliche nazionali o degli organismi che vigilano sull’applicazione del diritto dell’Unione che tutela i diritti fondamentali, compresi gli organismi per la parità e le autorità di protezione dei dati.
2. Poteri del GEPD
Il GEPD dovrebbe esercitare i propri poteri secondo la legge sull’IA, compresi i poteri di autorità di vigilanza del mercato secondo il regolamento sulla vigilanza del mercato dell’UE, rispettando i suoi compiti e poteri secondo l’EUDPR o altri diritti dell’Unione applicabili.
3. Monitoraggio Post-commercializzazione
Il GEPD dovrebbe agire come autorità di vigilanza del mercato per quanto riguarda lo sviluppo, la diffusione e l’uso dei Sistemi di IA sviluppati o utilizzati da istituzioni, organi, uffici o agenzie dell’Unione.
4. Definizione di “Territorio Nazionale”
Per il GEPD, “territorio nazionale” ai fini della vigilanza del mercato significa: “dove il sistema di IA è fornito o utilizzato da istituzioni, organi, uffici e agenzie dell’Unione.
5. Accesso ai Dati e alla Documentazione
Il GEPD esprime preoccupazione per le modifiche apportate agli emendamenti di compromesso del PE e all’approccio generale dell’articolo 64 della proposta riguardante l’accesso ai dati e alla documentazione.
6. Eliminazione dell’Articolo 64
L’orientamento generale proposto elimina l’articolo 64, paragrafi 1 e 2, della proposta che avrebbe concesso alle autorità di vigilanza del mercato l’accesso ai dati di formazione, convalida e prova e al “codice sorgente” del sistema di intelligenza artificiale (IA).
7. Accesso Limitato ai Dati
Il GEPD rileva che l’accesso a tali informazioni sembra essere limitato, consentito solo su richiesta motivata e per i dati strettamente necessari. Inoltre, l’accesso al modello addestrato e ai relativi parametri verrebbe concesso solo dopo che tutti gli altri modi ragionevoli per verificare la conformità siano stati esauriti e si siano rivelati insufficienti.
8. Poteri di Indagine delle Autorità
Il GEPD suggerisce che la legge sull’Intelligenza Artificiale dovrebbe includere norme chiare sui poteri di indagine delle autorità di vigilanza del mercato. Queste regole devono includere il potere dell’autorità di accedere ai dati di formazione, convalida e test. Inoltre, tali autorità dovrebbero essere in grado di rivedere il codice sorgente dei sistemi di IA.
9. Ispezioni in Loco e a Distanza
La legge sull’IA dovrebbe anche conferire alle autorità il potere di effettuare ispezioni in loco e a distanza senza preavviso dei sistemi di IA ad alto rischio, come previsto dall’art. 63, paragrafo 3 bis, lettera a), del mandato negoziale del PE.
10. Accesso ai Dati per Verifica
Senza l’accesso ai dati di formazione, convalida e test, nonché al codice sorgente, le autorità di vigilanza non sarebbero in grado di verificare, ad esempio, che i dati di formazione, convalida e test siano “pertinenti, rappresentativi, privi di errori e completi” (come prescritto all’articolo 10, paragrafo 3, della proposta).
11. Garanzie Adeguate
L’esercizio dei poteri esecutivi da parte di queste autorità dovrebbe essere soggetto a garanzie adeguate, come rigorosi requisiti di riservatezza e mezzi di ricorso giurisdizionali effettivi e garanzie di giusto processo, stabiliti dal diritto dell’Unione.
Diritti e Reclami nell’Uso dei Sistemi di Intelligenza Artificiale: Il Punto di Vista del GEPD
Il Gruppo Europeo per la Protezione dei Dati (GEPD) ha presentato le sue considerazioni riguardo ai diritti e ai reclami legati all’uso dei sistemi di Intelligenza Artificiale (IA). Ecco i punti chiave:
1. Diritto di Presentare Reclami
L’articolo 63, paragrafo 11 dell’approccio generale all’IA stabilisce che qualsiasi persona fisica o giuridica ha il diritto di presentare un reclamo all’autorità di vigilanza del mercato competente se sospetta una violazione della legge sull’IA. Il GEPD apprezza questa disposizione che garantisce la tutela dei diritti dei cittadini.
2. Autorità di Controllo Nazionale
Il mandato negoziale del Parlamento Europeo (PE) prevede il diritto delle persone colpite dall’uso dei sistemi di IA di presentare un reclamo a un’autorità di controllo nazionale, specialmente nello Stato membro di residenza, in caso di violazione della legge sull’IA che li riguarda.
3. Ricorso Giurisdizionale
Viene garantito il diritto a un ricorso giurisdizionale effettivo contro una decisione dell’autorità di controllo. Il GEPD sostiene che sarebbe più appropriato per l’autorità di controllo gestire i reclami delle persone interessate all’utilizzo di sistemi di IA ad alto rischio.
4. Definizione di “Persona Interessata”
Il GEPD acclama l’inclusione della definizione di “persona interessata” come “qualsiasi persona fisica o gruppo di persone che è soggetto o altrimenti interessato da un sistema di IA”, avente diritto al ricorso giurisdizionale.
5. Trasparenza e Informazione
Per garantire un’adeguata tutela dei diritti delle persone soggette a sistemi di IA, è fondamentale che esse siano sempre informate sulla loro eventuale esposizione a tali sistemi e sulle sedi di ricorso disponibili. Il GEPD propone un obbligo di trasparenza più ampio per i fornitori e gli utilizzatori di sistemi di IA.
6. Diritto all’Intervento Umano
Il GEPD raccomanda l’inclusione del diritto della persona interessata all’utilizzo di un sistema di IA, soprattutto se si tratta di sistemi ad alto rischio, di richiedere l’intervento umano da parte dell’utente del sistema di IA. Questo diritto consente all’individuo di influenzare il processo decisionale che lo riguarda e di contestare il risultato di tale processo.
7. Diritto a Ricevere Spiegazioni
Il GEPD accoglie con favore l’inclusione nel mandato negoziale del PE del diritto a ricevere spiegazioni da parte degli utilizzatori del sistema di IA riguardo al processo decisionale che influisce in modo significativo sull’IA. Questo diritto si aggiunge ai diritti stabiliti dal GDPR, in particolare all’articolo 22 del GDPR, e ai diritti previsti dalla legislazione applicabile in settori come il credito al consumo, i servizi assicurativi, il lavoro, eccetera.
L’Importanza dei Sandbox Normativi nella Legge sull’IA: Il Punto di Vista del GEPD
Il Gruppo Europeo per la Protezione dei Dati (GEPD) ha espresso il suo punto di vista in merito all’importanza dei sandbox normativi nella legge sull’Intelligenza Artificiale (IA). Ecco i punti salienti:
1. Definizione di Sandbox Normativo
Un “sandbox normativo” è un ambiente controllato in cui le aziende possono testare prodotti, servizi o tecnologie innovativi per un periodo di tempo limitato. Questo permette alle autorità di osservare le dinamiche dello sviluppo tecnologico e di individuare gli interventi normativi più opportuni ed efficaci.
2. Autorità Competenti e Requisiti
Le autorità competenti lavorano per garantire il rispetto dei requisiti della legge sull’IA, nonché di altre normative dell’Unione e degli Stati membri. Questo processo avviene all’interno dei sandbox normativi, prima dell’introduzione sul mercato o della messa in servizio dei sistemi di IA.
3. Obiettivi dei Sandbox Normativi
Il GEPD accoglie favorevolmente il mandato negoziale del Parlamento Europeo (PE), che include tra gli obiettivi dei sandbox normativi: aumentare la comprensione degli sviluppi tecnici da parte delle autorità che istituiscono i sandbox, migliorare i metodi di vigilanza e fornire orientamenti ai fornitori di sistemi di IA sulla conformità normativa.
4. Effetto Giuridico del Sandboxing
Il PE specifica l’effetto giuridico dell’esercizio di sandboxing, che comporta una presunzione di conformità (limitata ai requisiti normativi testati) per i fornitori di sistemi di IA che escono dal sandboxing. Questo aumenta la certezza del diritto e incentiva ulteriormente la creazione di sandbox normativi.
5. Ruolo delle Autorità di Protezione dei Dati
Il GEPD accoglie positivamente il riferimento al ruolo delle autorità di protezione dei dati e del GEPD, incluso nel mandato negoziale del PE. Tale riferimento garantisce il rispetto della normativa sulla protezione dei dati durante l’esercizio di sandboxing.
6. Funzioni del GEPD
Le funzioni del GEPD come organismo notificato, autorità di vigilanza del mercato e autorità di controllo per la supervisione di sviluppo, fornitura e uso di sistemi di IA richiederanno competenze specifiche risorse.
7. Processo di Certificazione
Il GEPD ha rilevato che il processo di certificazione eseguito dagli organismi notificati non è un evento isolato. I certificati rilasciati dagli organismi notificati avranno una validità massima di cinque anni e i sistemi di IA ad alto rischio dovranno essere sottoposti a una nuova valutazione di conformità ogni volta che subiscono modifiche sostanziali.
8. Monitoraggio Continuo
Il GEPD, in qualità di organismo notificato, dovrà effettuare audit periodici sui fornitori di IA per garantire il rispetto dei requisiti stabiliti nella legge sull’IA. Questi obblighi richiederanno un monitoraggio continuo da parte del GEPD.
9. Risorse Finanziarie
Il processo di certificazione richiederà uno stanziamento significativo di risorse finanziarie affinché il GEPD possa svolgere il suo ruolo in modo efficace. Inoltre, gli organismi notificati devono stipulare un’adeguata assicurazione di responsabilità civile per le loro attività di valutazione della conformità.
L’Importanza delle Autorità per la Protezione dei Dati come Autorità Nazionali di Controllo: Le Raccomandazioni del GEPD
Il Gruppo Europeo per la Protezione dei Dati (GEPD) ha ribadito la sua raccomandazione di designare le autorità di protezione dei dati come autorità nazionali di controllo. Questo articolo esplora le ragioni dietro questa raccomandazione.
1. Applicazione del GDPR e dell’EUDPR
Le autorità per la protezione dei dati applicano il Regolamento Generale sulla Protezione dei Dati (GDPR) e il Regolamento Europeo sulla Protezione dei Dati (EUDPR) insieme ad altre normative settoriali quando i sistemi di intelligenza artificiale trattano dati personali. Questo compito è svolto per garantire i diritti fondamentali alla privacy e alla protezione dei dati personali.
2. Tutela dei Diritti Fondamentali
I diritti alla privacy e alla protezione dei dati personali sono strettamente legati alla tutela di altri diritti fondamentali come il diritto alla dignità, il diritto a un ricorso giurisdizionale effettivo e il diritto a un giusto processo. Le autorità per la protezione dei dati hanno il compito di valutare i rischi per questi diritti derivanti dalle nuove tecnologie, tra cui l’intelligenza artificiale.
3. Supervisione Indipendente
Grazie alla loro completa indipendenza, le autorità per la protezione dei dati possono garantire una supervisione efficace e indipendente dei sistemi di intelligenza artificiale che possono incidere sui diritti e sulle libertà fondamentali.
4. Cooperazione tra Autorità
Il GEPD sottolinea l’importanza della cooperazione tra le autorità di protezione dei dati e altre autorità di controllo che hanno competenze specifiche nel campo di diffusione dell’IA. Ad esempio, nel caso di un sistema di IA per la gestione del lavoro, le autorità di protezione dei dati dovrebbero collaborare strettamente con l’autorità di vigilanza competente in materia di salute e sicurezza sul lavoro. In caso di sistema di IA per il triage delle cure mediche d’urgenza, invece, le autorità di protezione dei dati dovrebbero collaborare con l’autorità di vigilanza sanitaria.
5. Articolo 59 della Proposta
Il GEPD raccomanda di specificare all’articolo 59 della proposta che le autorità di protezione dei dati coopereranno strettamente con le autorità di controllo che hanno competenze e responsabilità nel campo specifico di diffusione del sistema di IA. Questa specifica promuoverebbe una cooperazione più stretta e più efficace tra le varie autorità di controllo.
L’Importanza dell’Ufficio Europeo per l’Intelligenza Artificiale: Il Punto di Vista del GEPD
1. Creazione dell’Ufficio AI
Il Gruppo Europeo per la Protezione dei Dati (GEPD) ha espresso sostegno alla proposta di creare un Ufficio europeo per l’intelligenza artificiale (Ufficio AI). Questo organismo dovrebbe operare come un’entità indipendente dell’Unione Europea, con una personalità giuridica propria e responsabilità consultive e di coordinamento.
2. Ruolo dell’Ufficio AI
L’Ufficio AI avrà il compito di emettere pareri, raccomandazioni, consigli o orientamenti su questioni relative all’attuazione della legge sull’AI. L’organismo sarà dotato di competenze tecniche e giuridiche necessarie per garantire un’applicazione efficace della legge sull’AI.
3. Indipendenza dell’Ufficio AI
L’indipendenza dell’Ufficio AI è fondamentale per garantire un elevato livello di protezione dei diritti fondamentali, della democrazia e dello Stato di diritto in tutta l’Unione Europea. Inoltre, l’Ufficio AI garantirà un ambiente imparziale in cui l’applicazione della legge non sarà influenzata dalle direzioni politiche del momento.
4. Cooperazione tra Ufficio AI e GEPD
Il GEPD ha espresso il desiderio di lavorare in modo coordinato con l’Ufficio AI. Nonostante il GEPD non abbia diritto di voto nel consiglio di amministrazione dell’Ufficio AI, è favorevole al coordinamento delle indagini congiunte svolte dall’Ufficio AI.
5. Ruolo del GEPD
Il GEPD ha raccomandato l’inclusione di una specifica chiara ed esplicita nella legge sull’Intelligenza Artificiale, che equipari il GEPD alle autorità di vigilanza nazionali ai fini della legge sull’AI.
6. Visione Europea
Il GEPD sostiene l’adozione di un approccio europeo all’attuazione delle regole sull’Intelligenza Artificiale. L’Ufficio AI rappresenta un punto di partenza valido per tale approccio, ma dovrebbe essere dotato di maggiori poteri di attuazione.
7. Compiti dell’Ufficio AI
L’Ufficio AI avrà una serie di compiti importanti, tra cui fungere da mediatore nelle discussioni sui gravi disaccordi tra le autorità competenti, facilitare la creazione e il mantenimento di un pool di esperti dell’Unione e garantirne il controllo, assistere le autorità nella creazione di linee guida per l’implementazione della legge sull’AI e nello sviluppo di sandbox normativi.
8. Protezione dei Dati
Il GEPD sottolinea l’importanza di considerare adeguatamente la protezione dei dati nelle decisioni dell’Ufficio AI, dato che la maggior parte dei sistemi nell’ambito di applicazione della legge sull’AI sono o saranno basati sul trattamento dei dati personali.
9. Cooperazione tra Autorità
Il GEPD enfatizza la necessità di cooperare come autorità di controllo a pieno titolo, in particolare nelle aree sensibili come la polizia e la giustizia, la migrazione, il controllo delle frontiere europee e la Guardia Costiera, l’Ufficio europeo di sostegno per l’asilo, il settore sanitario, dove le agenzie dell’UE come l’Agenzia europea per i medicinali e il Centro europeo per la prevenzione e il controllo delle malattie svolgono un ruolo chiave.
Il Ruolo del GEPD nella Creazione del Segretariato dell’Ufficio AI
1. Fornitura di Supporto all’Ufficio AI
Il segretariato dell’Ufficio AI avrebbe il compito di fornire supporto analitico, amministrativo e logistico all’Ufficio AI. Questo modello è analogo a quello del segretariato dell’EDPB, che assiste attualmente i suoi membri. Il GEPD si è offerto di sostenere questa iniziativa, proponendo di mettere a disposizione il segretariato dell’Ufficio AI.
2. Uso Efficace delle Risorse
L’offerta del GEPD di fornire il segretariato dell’Ufficio AI permetterebbe un uso più efficace delle risorse. Questo approccio sfrutterebbe le strutture amministrative esistenti, evitando i costi aggiuntivi legati alla creazione di una nuova entità. Inoltre, gestirebbe le risorse umane e gli aspetti di bilancio, contribuendo alla sana gestione delle finanze dell’UE.
3. Garanzie di Imparzialità
Incorporare l’Ufficio AI all’interno di un’autorità indipendente come il GEPD offrirebbe garanzie di imparzialità a tutte le parti interessate. Questa struttura consentirebbe inoltre di realizzare risparmi significativi.
4. Esperienza del GEPD
Il GEPD ha accumulato una vasta esperienza nella creazione di una nuova struttura amministrativa per un organismo europeo indipendente, il comitato europeo per la protezione dei dati. Questa esperienza può essere utilizzata per facilitare l’istituzione del segretariato dell’Ufficio AI.
5. Distinzione dei Ruoli
Il GEPD ha sottolineato l’importanza di mantenere una chiara distinzione tra il suo ruolo amministrativo come fornitore del segretariato e il suo ruolo come membro dell’Ufficio AI. Questa distinzione è già in atto nel contesto dell’EDPB.
6. Proposta del GEPD
Il GEPD ha proposto che la legge sull’AI incarichi il GEPD di fornire il segretariato dell’Ufficio AI, sfruttando la sua esperienza nella creazione di strutture interne come il gruppo di esperti di supporto alla protezione dei dati.
Divieti e Certificazioni per la Protezione dei Dati nella Legge sull’IA: Le Raccomandazioni del GEPD
Il Gruppo Europeo per la Protezione dei Dati (GEPD) ha raccomandato l’inclusione di divieti espliciti nella legge sull’IA e la certificazione dei sistemi di IA per garantire la protezione dei dati.
1. Divieti Espliciti nella Legge sull’IA
Il GEPD ha raccomandato l’inclusione di divieti espliciti nella legge sull’IA per prevenire l’utilizzo dell’IA per scopi discriminatori. Questi divieti includono l’utilizzo dell’IA per effettuare qualsiasi tipo di “punteggio sociale”, il riconoscimento automatizzato di caratteristiche umane in spazi accessibili al pubblico, l’uso dell’IA per dedurre le emozioni di una persona fisica, e qualsiasi utilizzo di sistemi di IA che classificano gli individui in base ai dati biometrici in cluster in base all’etnia, al genere, nonché all’orientamento politico o sessuale, o ad altri motivi di discriminazione vietati dall’articolo 21 della Carta, tra gli altri.
2. Certificazioni dei Sistemi di IA
Il GEPD ha proposto che la certificazione dei sistemi di IA includa una verifica del rispetto della protezione dei dati fin dalla progettazione e per impostazione predefinita. Ciò garantirebbe che i sistemi di IA siano conformi alle norme sulla protezione dei dati fin dall’inizio del processo di sviluppo.
3. Potere dell’Autorità di Vigilanza del Mercato
La legge sull’IA dovrebbe prevedere il potere dell’autorità di vigilanza del mercato di accedere ai dati di formazione, di accedere a tutti i dati, documentazione e software necessari, di effettuare ispezioni in loco e remote senza preavviso e di rivedere il codice sorgente dei sistemi di IA. Ciò garantirebbe che l’autorità abbia la capacità di monitorare l’utilizzo dei sistemi di IA e verificare la conformità alle norme sulla protezione dei dati.
4. Diritti delle Persone Interessate
La legge sull’IA dovrebbe anche prevedere il diritto delle persone interessate dall’utilizzo del sistema di IA di presentare un reclamo dinanzi all’autorità di controllo competente e di un ricorso giurisdizionale effettivo contro la decisione dell’autorità. Ciò garantirebbe che le persone interessate abbiano la possibilità di far valere i propri diritti in caso di violazioni della protezione dei dati.
In sintesi, il GEPD ha raccomandato l’inclusione di divieti espliciti nella legge sull’IA e la certificazione dei sistemi di IA per garantire la protezione dei dati fin dalla progettazione e per impostazione predefinita. Inoltre, la legge dovrebbe prevedere il potere dell’autorità di vigilanza del mercato di monitorare l’utilizzo dei sistemi di IA e il diritto delle persone interessate di presentare un reclamo contro le decisioni dell’autorità.
