Data protection

Regolamento europeo sulla intelligenza artificiale: le pratiche di intelligenza artificiale sono vietate a decorrere dal 2 febbraio 2025.

premessa

Il regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, che stabilisce norme armonizzate sull’intelligenza artificiale e che modifica alcuni regolamenti (“legge sull’intelligenza artificiale”)1 è entrato in vigore il 1° agosto 2024. La legge sull’AI stabilisce norme armonizzate per l’immissione sul mercato, la messa in servizio e l’uso dell’intelligenza artificiale (“AI”) nell’Unione2. Il suo obiettivo è promuovere l’innovazione e l’adozione di L’IA, garantendo nel contempo un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali nell’Unione, compresi la democrazia e lo Stato di diritto.

La legge sull’IA segue un approccio basato sul rischio, classificando i sistemi di IA in quattro diverse categorie di rischio:

i) Rischio inaccettabile: i sistemi di IA che comportano rischi inaccettabili per i diritti fondamentali e i valori dell’Unione sono vietati ai sensi dell’articolo 5 della legge sull’IA.

ii) Rischio elevato: i sistemi di IA che presentano rischi elevati per la salute, la sicurezza e i diritti fondamentali sono soggetti a una serie di requisiti e obblighi. Questi sistemi sono classificati come «ad alto rischio» ai sensi dell’articolo 6 della legge sull’AI in combinato disposto con gli allegati I e III della legge sull’AI.

(iii) Rischio di trasparenza: i sistemi di IA che presentano un rischio di trasparenza limitato sono soggetti agli obblighi di trasparenza ai sensi dell’articolo 50 della legge sull’AI.

(iv) Rischio minimo o nullo: i sistemi di IA che presentano un rischio minimo o nullo non sono regolamentati, ma i fornitori e gli operatori possono aderire volontariamente a codici di condotta volontari.3

Ai sensi dell’articolo 96, paragrafo 1, lettera b), della legge sull’AI, la Commissione adotta orientamenti sull’attuazione pratica delle pratiche vietate ai sensi dell’articolo 5 della legge sull’AI. Tali divieti si applicano sei mesi dopo l’entrata in vigore della legge sull’AI, ossia a partire dal 2 febbraio 2025.

L’art. 5 del Regolamento IA2024/1689

Come noto, l’art. 5 del Regolamento 2024/1689 sulla intelligenza artificiale, che contiene il divieto dell’uso delle tecniche di intelligenza artificiale (IA) vietate, è entrato in vigore dal 2 febbraio 2025.

L’articolo 5 della legge sull’IA vieta l’immissione sul mercato dell’UE, la messa in servizio o l’uso di determinati sistemi di IA per pratiche di manipolazione, sfruttamento, controllo sociale o sorveglianza, che per loro natura intrinseca violano i diritti fondamentali e i valori dell’Unione.

Il considerando 28 della legge sull’AI chiarisce che tali pratiche sono particolarmente dannose e abusive e dovrebbero essere vietate perché contraddicono i valori dell’Unione di rispetto della dignità umana, della libertà, dell’uguaglianza, della democrazia e dello Stato di diritto, nonché i diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea (“la Carta”), compreso il diritto alla non discriminazione (articolo 21 Carta) e all’uguaglianza (articolo 20), alla protezione dei dati (articolo 8 Carta) e alla vita privata e familiare (articolo 7 Carta) e i diritti del bambino (articolo 24 Carta). I divieti di cui all’articolo 5 della legge AI mirano anche a tutelare il diritto alla libertà di espressione e di informazione (articolo 11 Carta), la libertà di riunione e di associazione (articolo 12 Carta), la libertà di pensiero, di coscienza e di religione (articolo 10 Carta), il diritto a un ricorso effettivo e a un giusto processo (articolo 47 Carta) e la presunzione di innocenza e il diritto di difesa (articolo 48 Carta).

Base giuridica dei divieti

La legge sull’AI si fonda su due basi giuridiche: l’articolo 114 del trattato sul funzionamento dell’Unione europea (“TFUE”) (la base giuridica sul mercato interno) e l’articolo 16 TFUE (la base giuridica sulla protezione dei dati). L’articolo 16 TFUE funge da base giuridica per le norme specifiche sul trattamento dei dati personali in relazione al divieto di uso di sistemi di identificazione biometrica a distanza («RBI») a fini di contrasto, di sistemi di categorizzazione biometrica a fini di contrasto e di rischio individuale valutazioni a fini di contrasto. Tutti gli altri divieti elencati nell’articolo 5 della legge sull’AI trovano la loro base giuridica nell’articolo 114 TFUE.

Ambito materiale: pratiche relative all’“immissione sul mercato”, alla “messa in servizio” o all’“utilizzo” di un sistema di IA

Le pratiche vietate dall’articolo 5 della legge sull’AI riguardano l’immissione sul mercato, la messa in servizio o l’uso di specifici sistemi di IA. Per quanto riguarda i sistemi di identificazione biometrica remota in tempo reale («RBI»), il divieto di cui all’articolo 5, paragrafo 1, lettera h), della legge sull’AI si applica solo al loro utilizzo. L’articolo 3, paragrafo 1, della legge sull’IA definisce cosa costituisce un sistema di IA. Gli orientamenti sulla definizione di un sistema di IA forniscono l’interpretazione della Commissione di tale definizione.

A norma dell’articolo 3, paragrafo 9, della legge sull’AI, l’immissione sul mercato di un sistema di IA è «la prima messa a disposizione di un sistema di IA […] sul mercato dell’Unione». Per “messa a disposizione” si intende la fornitura del sistema “per la distribuzione o l’uso sul mercato dell’Unione nel corso di un’attività commerciale, a titolo oneroso o gratuito”.6 La messa a disposizione di un sistema di IA è coperta indipendentemente dai mezzi di fornitura, come l’accesso al sistema e al suo servizio tramite un’interfaccia di programmazione dell’applicazione (“API”), tramite cloud, download diretti, come copie fisiche o incorporati in prodotti fisici.

Ad esempio, un sistema RBI sviluppato al di fuori dell’Unione da un fornitore di un paese terzo viene immesso sul mercato dell’Unione per la prima volta quando viene offerto a pagamento o gratuitamente in uno o più Stati membri. Tale immissione sul mercato può avvenire fornendo l’accesso al sistema online tramite un’API o altra interfaccia utente.

L’articolo 3, paragrafo 11, della legge sull’AI definisce la messa in servizio come “la fornitura di un sistema di IA per il primo utilizzo all’operatore o per uso proprio nell’Unione per lo scopo previsto”, coprendo quindi sia la fornitura per il primo utilizzo a terzi, sia lo sviluppo e la diffusione interni. Lo scopo previsto del sistema è “l’uso a cui è destinato un sistema di IA da parte del fornitore, compresi il contesto specifico e le condizioni d’uso, come specificato nelle informazioni fornite dal fornitore nelle istruzioni per l’uso, nei materiali e nelle dichiarazioni promozionali o di vendita, nonché nella documentazione tecnica.”

Ad esempio, un fornitore costruisce un sistema RBI al di fuori dell’Unione e fornisce tale sistema a un’autorità di contrasto o a una società privata stabilita in uno Stato membro affinché venga utilizzato per la prima volta, mettendolo così in servizio.

Ad esempio, un’autorità pubblica sviluppa internamente un sistema di punteggio e lo utilizza per prevedere il rischio di frode dei beneficiari degli assegni familiari, mettendolo così in servizio.

Sebbene l’«uso» di un sistema di IA non sia definito esplicitamente nella legge sull’AI, dovrebbe essere inteso in senso lato per coprire l’uso o la diffusione del sistema in qualsiasi momento del suo ciclo di vita dopo essere stato immesso sul mercato o messo in servizio. Ciò può riguardare anche l’integrazione del sistema di IA nei servizi e nei processi delle persone che lo utilizzano, anche come parte di sistemi, processi o infrastrutture più complessi.

Mentre i fornitori di sistemi di IA devono considerare le condizioni d’uso che possono essere ragionevolmente previste prima di immettere i loro sistemi di IA sul mercato (uso previsto e uso improprio ragionevolmente prevedibile8), gli operatori restano responsabili di tenere conto delle condizioni legali per l’uso del sistema. Ai fini dell’articolo 5 della legge sull’AI, il riferimento all’“uso” dovrebbe essere inteso come includere qualsiasi uso improprio di un sistema di IA (“ragionevolmente prevedibile” o meno) che possa costituire una pratica vietata.

Ad esempio, un sistema di intelligenza artificiale utilizzato da un datore di lavoro per dedurre emozioni sul posto di lavoro è vietato, tranne quando utilizzato per scopi medici o di sicurezza (articolo 5, paragrafo 1, lettera f), legge sull’AI). Il divieto si applica agli operatori indipendentemente dal fatto che il fornitore (il fornitore del sistema) abbia escluso tale utilizzo nei suoi rapporti contrattuali con l’operatore (il datore di lavoro), cioè nelle condizioni di utilizzo.

Ambito personale: attori responsabili

La legge sull’AI distingue tra diverse categorie di operatori in relazione ai sistemi di IA: fornitori, utilizzatori, importatori, distributori e fabbricanti di prodotti. Le presenti linee guida si concentreranno solo sui fornitori e sugli operatori, data la portata delle pratiche vietate di cui all’articolo 5 della legge sull’AI.

A norma dell’articolo 3, paragrafo 3, della legge sull’AI, i fornitori sono persone fisiche o giuridiche, autorità pubbliche, agenzie o altri organismi che sviluppano sistemi di IA o li fanno sviluppare e li immettono sul mercato dell’Unione o li mettono in servizio con il proprio nome o marchio. Prestatori stabiliti o ubicati al di fuori dell’Unione sono soggetti alle disposizioni della legge sull’AI se immettono tali sistemi sul mercato o li mettono in servizio nell’Unione o se i risultati del sistema AI sono utilizzati nell’Unione. I fornitori devono garantire che i loro sistemi di IA soddisfino tutti i requisiti pertinenti prima di immetterli sul mercato o metterli in servizio.

Ad esempio, un fornitore di un sistema RBI è il produttore del sistema che lo commercializza nell’Unione con il proprio marchio. Il fornitore di tale sistema potrebbe anche essere un’autorità pubblica che sviluppa il sistema internamente e lo mette in servizio per proprio uso.

Gli utilizzatori sono persone fisiche o giuridiche, autorità pubbliche, agenzie o altri organismi che utilizzano sistemi di IA sotto la loro autorità, a meno che l’uso non sia per un’attività personale non professionale. Per “autorità” su un sistema di IA dovrebbe essere intesa l’assunzione della responsabilità della decisione di realizzare il sistema e delle modalità del suo utilizzo effettivo. Gli operatori rientrano nell’ambito di applicazione della legge sull’AI se il loro luogo di stabilimento o ubicazione è all’interno dell’Unione o, se sono ubicati in un paese terzo, il risultato del sistema di IA è utilizzato nell’Unione.

Se l’utilizzatore di un sistema di IA è una persona giuridica sotto la cui autorità è utilizzato il sistema, vale a dire un’autorità di contrasto o una società di sicurezza privata, i singoli dipendenti che agiscono nell’ambito delle procedure e sotto il controllo di tale persona non dovrebbero essere considerati l’utilizzatore. Una persona giuridica rimane un operatore anche se coinvolge terzi (ad esempio, appaltatori, personale esterno) nella gestione del sistema per suo conto e sotto la sua responsabilità e controllo.

Gli operatori possono svolgere più di un ruolo contemporaneamente in relazione a un sistema di IA. Ad esempio, se un operatore sviluppa il proprio sistema di IA che utilizza successivamente, sarà considerato sia il fornitore che l’operatore di quel sistema, anche se tale sistema è utilizzato anche da altri operatori ai quali il sistema è stato fornito a titolo oneroso o gratuito.

È richiesto il rispetto continuo della legge sull’IA durante tutte le fasi del ciclo di vita dell’IA. Ciò richiede un monitoraggio e aggiornamenti continui dei sistemi di IA immessi sul mercato o messi in servizio nell’Unione per garantire che un sistema di IA rimanga conforme alla legge sull’AI durante tutto il suo ciclo di vita e che non si traduca in una pratica vietata ai sensi dell’articolo 5 della legge sull’AI. I fornitori e gli utilizzatori di sistemi di IA hanno responsabilità diverse a seconda del loro ruolo e del controllo sulla progettazione, sullo sviluppo e sull’uso effettivo del sistema per evitare una pratica vietata. Per ciascuno dei divieti, tali ruoli e responsabilità dovrebbero essere interpretati in modo proporzionato, tenendo conto

chi nella catena del valore è nella posizione migliore per adottare specifiche misure preventive e di mitigazione e garantire uno sviluppo e un utilizzo conformi dei sistemi di IA in linea con gli obiettivi e l’approccio della legge sull’AI.

Le Linee guida

Gli orientamenti ivi contenuti mirano ad aumentare la chiarezza giuridica e a fornire approfondimenti sull’interpretazione da parte della Commissione dei divieti di cui all’articolo 5 della legge sull’AI al fine di garantirne un’applicazione coerente, efficace e uniforme. Dovrebbero fungere da guida pratica per assistere le autorità competenti ai sensi della legge sull’AI nelle loro attività di applicazione delle norme, nonché i fornitori e gli utilizzatori di sistemi di IA nel garantire il rispetto dei loro obblighi ai sensi della legge sull’AI. Si sforzano di interpretare i divieti in modo proporzionato per raggiungere gli obiettivi della legge sull’AI di proteggere i diritti fondamentali e la sicurezza, promuovendo al contempo l’innovazione e fornendo certezza giuridica

Le linee guida non sono vincolanti. Qualsiasi interpretazione autorevole della legge sull’AI può, in definitiva, essere data solo dalla Corte di giustizia dell’Unione europea (“CGUE”).

L’elaborazione degli orientamenti si è basata sui contributi di diversi portatori di interessi, ad esempio fornitori e utilizzatori di sistemi di IA, organizzazioni della società civile, mondo accademico, autorità pubbliche, associazioni imprenditoriali, ecc., raccolti durante un ampio processo di consultazione organizzato dalla Commissione. Sono stati consultati anche gli Stati membri del comitato AI e il Parlamento europeo. Le presenti linee guida saranno regolarmente riviste alla luce dell’esperienza acquisita con l’attuazione pratica dell’articolo 5 della legge sull’AI e degli sviluppi tecnologici e di mercato.

L’applicazione dell’articolo 5 della legge sull’AI richiederà una valutazione caso per caso, che tenga debitamente conto della situazione specifica in questione in ogni singolo caso. Pertanto, gli esempi forniti nelle presenti Linee Guida sono meramente indicativi e non pregiudicano la necessità di tale valutazione caso per caso.

Al netto della corposità del testo, parliamo di circa 150 pagine per commentare un solo articolo! Si ritiene che il documento sia utile a coloro che deve applicare la norma comunitaria in quanto risulta essere sufficientemente operativo.

Per approfondimenti si fornisce il link al testo: https://artificialintelligenceact.eu/article/5/

Istruzioni per gli enti e le aziende

L’elenco dei sistemi di intelligenza artificiale che sono vietati a decorrere dal 2 febbraio 2025, impone agli enti ed alle aziende, dopo avere compiuto una mappatura dei sistemi di IA, di individuare i sistemi di IA che rientrano in questo divieto per disporne la dismissione.

La Commissione europea è intervenuta con delle Linee guida che forniscono indicazioni operative a favore degli enti e delle aziende per agevolarle al rispetto del suddetto divieto.

Di seguito si riportano le tipologie di sistemi di IA il cui impiego è vietato.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

cybersicurezza
informazioni

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

minaccecibernetiche
La minaccia cibernetica al settore sanitario. Relazione di ACN.
23 Dicembre 2024
informazioni
Linee guida relative all’identificazione delle informazioni commercialmente confidenziali e dei dati personali, adottate da EMA e HMA.
14 Marzo 2025
violazione-normativa-protezione-dati
Violazione della normativa in materia di protezione dei dati personali dovuta al mancato svolgimento delle Valutazioni di Impatto (D.P.I.A.) prescritte dall’art. 35 GDPR.
13 Aprile 2024

Start typing and press Enter to search