AI Act - Terza e ultima parte - Governance, vigilanza e sanzioni
In quest’ultima parte della nostra analisi del Progetto di regolamento europeo sull’intelligenza artificiale esamineremo i Titoli dal IV al XII, riguardanti gli obblighi di trasparenza, le misure a sostegno dell’innovazione, la governance AI in seno all’Unione Europea, le disposizioni riguardanti l’istituzione della banca dati europea per i sistemi AI indipendenti ad alto rischio, il monitoraggio e la vigilanza, i codici di condotta, le disposizioni sulla riservatezza, le sanzioni relative alle violazioni del Regolamento, nonché le disposizioni finali.
TITOLO IV - OBBLIGHI DI TRASPARENZA PER DETERMINATI SISTEMI DI AI
I fornitori di sistemi di AI destinati a interagire con le persone devono assicurarsi che queste ultime siano informate del fatto che stanno interagendo con un sistema di AI, a meno che non sia ovvio dal contesto. Questo non si applica ai sistemi di AI utilizzati legalmente per scopi legati all'applicazione della legge, a meno che tali sistemi non siano disponibili al pubblico per segnalare reati.
Gli utenti di un sistema di riconoscimento delle emozioni o di un sistema di categorizzazione biometrica devono informare le persone che sono esposte a tali sistemi. Tuttavia, questo obbligo non si applica ai sistemi di AI usati per la categorizzazione biometrica che sono autorizzati per scopi di applicazione della legge.
Gli utenti di sistemi di AI che generano o manipolano contenuti come immagini o video ("deep fake") che assomigliano molto a persone, oggetti o eventi reali e potrebbero apparire falsamente autentici sono obbligati a dichiarare che il contenuto è stato generato o manipolato artificialmente. Tuttavia, ci sono delle eccezioni se l'uso è autorizzato per l'applicazione della legge o per esercitare il diritto alla libertà di espressione e di arte e scienza, sempre nel rispetto dei diritti e delle libertà di terzi.
TITOLO V - MISURE A SOSTEGNO DELL'INNOVAZIONE
Gli spazi di sperimentazione normativa per l'AI istituiti da autorità competenti degli Stati membri o dal Garante europeo della protezione dei dati offrono un ambiente controllato per lo sviluppo, i test e la convalida di sistemi di AI innovativi per un periodo di tempo limitato. Tutto ciò avviene sotto la guida e il controllo diretti delle autorità competenti per garantire la conformità ai requisiti del presente Regolamento. Inoltre, gli Stati membri devono garantire che le autorità nazionali per la protezione dei dati e altre autorità competenti siano coinvolte nel funzionamento dello spazio di sperimentazione.
Nel caso in cui lo sviluppo e le prove di tali sistemi presentino un rischio significativo per la salute, la sicurezza o i diritti fondamentali, devono essere adottate misure di attenuazione immediate o, in caso contrario, il processo di sviluppo e di prova deve essere sospeso. I partecipanti allo spazio di sperimentazione rimangono responsabili per eventuali danni a terzi a seguito della sperimentazione.
Gli Stati membri che hanno istituito spazi di sperimentazione normativa per l'AI devono coordinare le loro attività e presentare relazioni annuali sui risultati dell'attuazione di tali sistemi. Le modalità e le condizioni di funzionamento degli spazi di sperimentazione normativa per l'AI sono stabilite in atti di esecuzione. Nello spazio di sperimentazione normativa per l'AI, i dati personali legalmente raccolti per altre finalità possono essere utilizzati per lo sviluppo e le prove di determinati sistemi di AI innovativi, a condizione che siano soddisfatte una serie di condizioni. Queste condizioni riguardano, tra le altre cose, la necessità di garantire un ambiente di trattamento dei dati separato, isolato e protetto, il rispetto dei diritti fondamentali durante la sperimentazione e la cancellazione dei dati personali una volta terminata la partecipazione allo spazio di sperimentazione.
Gli Stati membri devono intraprendere azioni per fornire ai fornitori di piccole dimensioni e alle start-up un accesso prioritario agli spazi di sperimentazione normativa per l'AI, organizzare attività di sensibilizzazione specifiche e, se opportuno, istituire un canale dedicato per la comunicazione con questi fornitori. Inoltre, nel fissare le tariffe per la valutazione della conformità, si tiene conto degli interessi e delle esigenze specifici dei fornitori di piccole dimensioni.
TITOLO VI - GOVERNANCE
Questo Titolo stabilisce un quadro di governance per l'AI. È istituito un Comitato Europeo per l'Intelligenza Artificiale. Il Comitato ha il compito di fornire consulenza e assistenza alla Commissione Europea per coordinare e contribuire agli orientamenti e all'analisi della Commissione, delle autorità nazionali di controllo e di altre autorità competenti sulle questioni emergenti nel mercato interno. L'obiettivo è di garantire una applicazione uniforme del Regolamento sull'Intelligenza Artificiale.
La struttura del Comitato include le autorità nazionali di controllo e il Garante europeo della protezione dei dati. Questo comitato è presieduto dalla Commissione Europea, che convoca le riunioni, prepara l'ordine del giorno e fornisce supporto amministrativo e analitico. Il Comitato ha la possibilità di invitare esperti e osservatori esterni a partecipare alle sue riunioni e può istituire sottogruppi per esaminare questioni specifiche.
Tra i compiti del Comitato vi è la raccolta e la condivisione di conoscenze e migliori pratiche tra gli Stati membri. Contribuisce all'uniformità delle pratiche amministrative negli Stati membri e formula pareri, raccomandazioni o contributi scritti su questioni relative all'attuazione del Regolamento.
Ogni Stato membro è tenuto a designare autorità nazionali competenti per garantire l'applicazione e l'attuazione del Regolamento. Queste autorità devono essere organizzate e gestite in modo da salvaguardare l'obiettività e l'imparzialità dei loro compiti e attività. Devono anche essere adeguatamente dotate di risorse finanziarie e umane, tra cui personale con una comprensione approfondita delle tecnologie di intelligenza artificiale, dei diritti fondamentali, dei rischi per la salute e la sicurezza e una conoscenza delle norme e dei requisiti giuridici esistenti.
Le autorità nazionali competenti possono fornire orientamenti e consulenza sull'attuazione del Regolamento. Gli Stati membri sono tenuti a riferire annualmente alla Commissione sullo stato delle risorse finanziarie e umane delle autorità nazionali competenti. Inoltre, il Garante europeo della protezione dei dati agisce come autorità competente per le istituzioni, le agenzie e gli organismi dell'Unione.
TITOLO VII - BANCA DATI DELL'UE PER I SISTEMI DI AI INDIPENDENTI AD ALTO RISCHIO
La Commissione Europea, collaborando con gli Stati membri, istituisce una banca dati dell'UE specificamente dedicata ai sistemi di Intelligenza Artificiale (AI) ad alto rischio. I fornitori di questi sistemi di AI sono tenuti a inserire nella banca dati le informazioni richieste, come elencato nell'allegato VIII, per i quali la Commissione offre supporto tecnico e amministrativo.
Le informazioni contenute nella banca dati dell'UE sono accessibili al pubblico. Tuttavia, la banca dati contiene dati personali solo nella misura necessaria per la raccolta e il trattamento delle informazioni in conformità con il Regolamento. Queste informazioni possono includere i nomi e i dati di contatto delle persone fisiche responsabili della registrazione del sistema e aventi l'autorità legale di rappresentare il fornitore.
La Commissione Europea è il titolare del trattamento della banca dati dell'UE e assicura un adeguato sostegno tecnico e amministrativo ai fornitori.
TITOLO VIII - MONITORAGGIO SUCCESSIVO ALL'IMMISSIONE SUL MERCATO, CONDIVISIONE DELLE INFORMAZIONI, VIGILANZA DEL MERCATO
I fornitori di sistemi di intelligenza artificiale (AI) ad alto rischio devono istituire e documentare un sistema di monitoraggio successivo all'immissione sul mercato. Questo sistema deve essere proporzionato alla natura delle tecnologie di intelligenza artificiale e ai rischi associati a tali sistemi. L'obiettivo è raccogliere, documentare e analizzare attivamente i dati pertinenti sulle prestazioni di questi sistemi per tutta la durata del loro ciclo di vita.
Il sistema di monitoraggio si basa su un piano di monitoraggio successivo all'immissione sul mercato, che fa parte della documentazione tecnica. La Commissione definirà le disposizioni dettagliate per questo piano. Nei casi in cui la legislazione prevista in allegato II fornisca già un sistema e un piano di monitoraggio, questi saranno integrati come opportuno.
Per i sistemi di AI ad alto rischio immessi sul mercato, i fornitori devono segnalare qualsiasi incidente grave o malfunzionamento che possa violare gli obblighi legali di tutela dei diritti fondamentali. Queste segnalazioni vengono inviate alle Autorità di vigilanza del mercato degli Stati membri. La notifica deve avvenire non appena il fornitore stabilisce un nesso causale tra il sistema di AI e l'incidente o malfunzionamento, e in ogni caso, entro 15 giorni dall’acquisizione di consapevolezza dell'incidente.
L'Autorità Nazionale di Controllo ha il compito di riferire alla Commissione sui risultati delle attività di vigilanza del mercato. Inoltre, deve comunicare alla Commissione e alle autorità nazionali garanti della concorrenza qualsiasi informazione che possa essere di interesse per l'applicazione del diritto dell'Unione in materia di concorrenza.
Nei casi in cui i sistemi di AI ad alto rischio siano collegati a prodotti sottoposti a legislazione specifica, l'Autorità di vigilanza del mercato è l'ente responsabile designato secondo tale legislazione. Per i sistemi di AI utilizzati da istituti finanziari, l'autorità di vigilanza è l'ente responsabile della vigilanza finanziaria. Per sistemi di AI utilizzati a fini di contrasto o di immigrazione o asilo, gli Stati membri designano come autorità di vigilanza le autorità di controllo competenti per la protezione dei dati o le autorità nazionali che controllano tali attività.
Le Autorità di vigilanza del mercato devono avere accesso completo ai set di dati di addestramento, convalida e prova utilizzati dal fornitore di AI. Nel caso sia necessario valutare la conformità del sistema di AI, possono anche accedere al codice sorgente. Le autorità nazionali che controllano l'adempimento degli obblighi previsti dal diritto dell'Unione possono richiedere o accedere a qualsiasi documentazione relativa ai sistemi di AI. Entro tre mesi dall'entrata in vigore del Regolamento, ciascuno Stato membro deve identificare le autorità o gli organismi pubblici pertinenti e pubblicare un elenco sul sito web dell'Autorità nazionale di controllo. Se la documentazione fornita non è sufficiente per accertare una violazione, l'autorità può organizzare una prova del sistema di AI.
Qualora un'Autorità di vigilanza del mercato ritenga che un sistema di AI presenti un rischio per la salute, la sicurezza o i diritti fondamentali delle persone, deve effettuare una valutazione di conformità. Se il sistema non è conforme, l'operatore deve adottare misure correttive, ritirare il sistema dal mercato o richiamarlo. Se l'operatore non adotta misure correttive, l'autorità può adottare misure provvisorie per limitare la messa a disposizione del sistema di AI sul mercato.
L'articolo 66 stabilisce una procedura di salvaguardia dell'Unione. Se uno Stato membro solleva obiezioni contro la misura adottata da un altro Stato membro, o se la Commissione ritiene che la misura sia contraria al diritto dell'Unione, la Commissione deve consultare lo Stato membro e l'operatore e valutare la misura nazionale. Se la misura è giustificata, tutti gli Stati membri devono garantire che il sistema di AI non conforme sia ritirato dal mercato. Se la misura è ingiustificata, lo Stato membro deve ritirarla.
Se l'Autorità di vigilanza del mercato ritiene che un sistema di AI presenti un rischio, nonostante sia conforme al Regolamento, può chiedere all'operatore di adottare misure adeguate per eliminare tale rischio. L'operatore deve garantire l'adozione di misure correttive per tutti i sistemi di AI interessati.
TITOLO IX - CODICI DI CONDOTTA
Codici di condotta sono promossi e favoriti dalla Commissione e dagli Stati membri al fine di supportare l'applicazione volontaria dei requisiti del titolo III, capo 2, ai sistemi di AI che non siano ad alto rischio. Questi codici di condotta si basano su specifiche tecniche e soluzioni, considerate mezzi adeguati a garantire la conformità con tali requisiti, in relazione all'uso previsto dei sistemi di AI.
Oltre a ciò, questi codici possono avere l'obiettivo di promuovere l'applicazione volontaria dei requisiti per i sistemi di AI in questioni come la sostenibilità ambientale, l'accessibilità per le persone con disabilità, la partecipazione degli interessati alla progettazione e allo sviluppo dei sistemi di AI, e la diversità dei gruppi coinvolti nello sviluppo. Questi codici si basano su obiettivi ben definiti e su indicatori di prestazione per misurare il raggiungimento di tali obiettivi.
I codici di condotta possono essere sviluppati da singoli fornitori di sistemi di AI, dalle organizzazioni che li rappresentano, o da una combinazione di entrambi, e possono anche includere la partecipazione degli utenti e di tutti gli altri interessati e delle loro organizzazioni rappresentative. Essi possono riguardare uno o più sistemi di AI, tenendo in considerazione la similitudine dell'uso previsto dei sistemi rilevanti.
Infine, la Commissione e il comitato, nel promuovere e facilitare l'elaborazione di codici di condotta, considerano gli interessi e le esigenze specifiche dei fornitori di piccole dimensioni e delle start-up.
TITOLO X - RISERVATEZZA E SANZIONI In termini di riservatezza, le autorità nazionali competenti e gli organismi notificati sono tenuti a rispettare la confidenzialità delle informazioni e dei dati raccolti durante l'adempimento dei loro compiti. Questa misura è cruciale per la protezione dei diritti di proprietà intellettuale, delle informazioni commerciali riservate o dei segreti commerciali di un individuo o di un'entità legale, nonché per salvaguardare l'attuazione efficace del Regolamento, gli interessi di sicurezza pubblica e nazionale e l'integrità dei procedimenti penali o amministrativi.
Nei casi in cui i sistemi di intelligenza artificiale (AI) ad alto rischio siano impiegati dalle autorità di contrasto o dalle autorità competenti in materia di immigrazione o asilo, le informazioni scambiate in via riservata non sono divulgate senza il previo consenso dell'autorità nazionale competente e dell'utente che hanno generato tali informazioni. Questo serve per prevenire il rischio di compromettere gli interessi pubblici e di sicurezza nazionale.
Per quanto riguarda le sanzioni, gli Stati membri devono istituire norme relative alle sanzioni, incluse le sanzioni amministrative pecuniarie, da applicare in caso di violazione del Regolamento. Le sanzioni devono essere efficaci, proporzionate e dissuasive, tenendo particolare considerazione degli interessi dei fornitori di piccole dimensioni e delle start-up.
In particolare, le seguenti violazioni possono comportare pesanti sanzioni pecuniarie:
Violazione del divieto di pratiche di AI come stabilito nell'articolo 5 (pratiche AI vietate), o non conformità del sistema di AI ai requisiti dell'articolo 10: fino a 30 milioni di EUR o fino al 6% del fatturato mondiale totale annuo dell'ultimo anno fiscale (se l’autrice della violazione è una società), se superiore.
Non conformità del sistema di AI ad altri requisiti o obblighi previsti dal Regolamento, diversi da quelli degli articoli 5 e 10: fino a 20 milioni di EUR o fino al 4% del fatturato mondiale totale annuo dell'ultimo anno fiscale (se l’autrice della violazione è una società), se superiore.
Fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità nazionali competenti: fino a 10 milioni di EUR o fino al 2% del fatturato mondiale totale annuo dell'ultimo anno fiscale (se l’autrice della violazione è una società), se superiore.
Infine, il Garante europeo della protezione dei dati può infliggere sanzioni amministrative pecuniarie a istituzioni, agenzie e organismi dell'Unione che rientrano nell'ambito di applicazione del Regolamento. Anche qui, vengono prese in considerazione la natura, la gravità e la durata della violazione. Le sanzioni specifiche includono:
Violazione del divieto di pratiche di AI come stabilito nell'articolo 5, o non conformità del sistema di AI ai requisiti dell'articolo 10: fino a 500.000 EUR.
Non conformità del sistema di AI ad altri requisiti o obblighi previsti dal Regolamento, diversi da quelli degli articoli 5 e 10: fino a 250.000 EUR.
Le sanzioni pecuniarie vengono versate al bilancio generale dell'Unione.
TITOLO XI - DELEGA DI POTERE E PROCEDURA DI COMITATO
Al fine di garantire un'adeguata regolamentazione dei sistemi di intelligenza artificiale nell'ambito dell'Unione Europea, vari articoli sono stati proposti per la modifica di vari regolamenti e direttive esistenti.
I sistemi di intelligenza artificiale (AI) sono ora considerati componenti di sicurezza fondamentali all'interno di diversi settori regolamentati. Pertanto, è stato proposto di modificare una serie di regolamenti e direttive per tenerne conto. In particolare, le modifiche riguardano il Regolamento (CE) n. 300/2008, il Regolamento (UE) n. 167/2013, il Regolamento (UE) n. 168/2013, la direttiva 2014/90/UE, la direttiva (UE) 2016/797, il Regolamento (UE) 2018/858, il Regolamento (UE) 2018/1139, il Regolamento (UE) 2019/2144 e altri.
Per quanto riguarda i sistemi di AI già immessi sul mercato o messi in servizio, il nuovo Regolamento non si applica a meno che non vi siano modifiche significative nella progettazione o nella finalità prevista del sistema di AI. Inoltre, si applica ai sistemi di AI ad alto rischio se sono soggetti a modifiche significative dopo la data di applicazione del Regolamento.
La Commissione è incaricata di valutare annualmente l'elenco di cui all'allegato III e di presentare ogni quattro anni una relazione di valutazione e riesame del presente Regolamento al Parlamento europeo e al Consiglio. Questa relazione deve concentrarsi su vari aspetti, tra cui lo stato delle risorse finanziarie e umane necessarie per lo svolgimento efficace dei compiti assegnati dalle autorità nazionali competenti e lo stato delle sanzioni applicate in caso di violazione delle disposizioni del presente Regolamento.
TITOLO XII - DISPOSIZIONI FINALI
Il Regolamento proposto entrerà in vigore il ventesimo giorno successivo alla sua pubblicazione nella Gazzetta ufficiale dell'Unione europea e sarà applicato a decorrere da 24 mesi dopo l'entrata in vigore del Regolamento.