E’ stato approvato dal Parlamento Europeo il Regolamento sull’Intelligenza Artificiale

L’AI Act rappresenta la prima regolamentazione vincolante a livello mondiale sull’Intelligenza Artificiale che stabilisce un quadro comune per l’uso e la fornitura di sistemi IA nell’UE.

Il Regolamento sull’Intelligenza ha adottato un approccio basato sul concetto di rischio:  (inaccettabile, alto, rischio limitato e basso) e da ciò dipenderanno i termini di applicazione di questa nuova normativa europea.

Il Regolamento vieta l’uso di sistemi IA per tecniche manipolative subliminali, la valutazione sociale da parte delle Autorità pubbliche e l’identificazione biometrica remota in tempo reale in spazi pubblici, con limitate eccezioni.

Definisce e regolamenta sistemi IA ad alto rischio in settori sensibili e impone obblighi precisi in termini di gestione del rischio, robustezza tecnica, formazione, governance dei dati, trasparenza, supervisione umana e sicurezza informatica.

Sistemi IA a rischio limitato sono soggetti a obblighi di trasparenza, mentre quelli a basso o minimo rischio operano senza vincoli aggiuntivi, con la possibilità di aderire volontariamente a codici di condotta specifici.

Intelligenza Artificiale di uso generale ( GPAI)

Il regolamento sull’IA stabilisce norme specifiche per i modelli di IA di uso generale (GPAI), inclusi quelli che presentano rischi sistemici.

I fornitori di GPAI devono mantenere una documentazione tecnica aggiornata, rispettare le leggi sul diritto d’autore dell’UE e rendere pubbliche le sintesi dettagliate dei contenuti usati per l’addestramento dei modelli algoritmici.

Qualora il fornitore sia fuori dall’UE vi sarà l’obbligo di nomina di un rappresentante allo scopo di garantire i diritti riconosciuti dall’ordinamento.

I termini di adeguamento

Dall’entrata in vigore dell’IA Act, le aziende avranno sei mesi per rimuovere i sistemi di IA vietati, un anno per garantire l’applicazione della governance dell’I.A per scopi generali.

Due anni, invece, per la commercializzazione e l’implementazione degli strumenti di I.A alto rischio che impattano sui settori sensibili come ad esempio la sanità, il mondo del lavoro, l’educazione, la giustizia e le forze di polizia.

Gli adempimenti

Prima della vendita e dell’uso nell’UE, i fornitori di sistemi IA ad alto rischio dovranno sottoporre i loro prodotti a una procedura di valutazione di conformità.

L’adeguamento ai sensi dell’A.I. Act, prevede l’applicazione di una serie di misure volte a comprovare il rispetto delle prescrizioni regolamentate che includono, tra l’altro, la verifica, obblighi di trasparenza, la cybersicurezza, lo svolgimento di una valutazione d’impatto, oltre la necessaria valutazione di conformità e marchio CE senza la quale il prodotto non può essere commercializzato e implementato nell’organizzazione.

Se l’implementazione dei sistemi di AI prevede la raccolta di dati personali, restano fermi gli adempimenti del GDPR.

Quindi le valutazioni d’impatto saranno due:

Ulteriormente, essendo il sistema di Intelligenza Artificiale un processo decisionale automatizzato dovranno essere garantite le misure di cui all’art. 22 del GDPR.

L’ambito di applicazione

L’A.I. Act si estende sia ai soggetti pubblici che privati, indipendentemente dalla loro ubicazione geografica, a prescindere dal fatto che il fornitore appartenga o meno ad uno Stato dell’UE.

Ogni fornitore sarà soggetto a tale normativa se il sistema di IA viene immesso sul mercato dell’UE o se il suo utilizzo impatta (anche indirettamente) sulle persone all’interno Unione europea.

Gli obblighi del datore di lavoro e la compliance integrata

Gli oneri previsti dall’A.I. Act non ricadono solo sui fornitori, ma anche sui datori di lavoro (operatori) che dovranno, prima dell’implementazione del sistema, darne notizia ai lavoratori e ai loro rappresentanti nella forma dell’informazione e consultazione.

Ulteriormente, sono molteplici gli adempimenti connessi come la gestione dei dati all’interno dell’organizzazione, la creazione di procedure di trasparenza, il diritto di accesso ai dati processati dalla macchina e sulla logica utilizzata dalla stessa, le regole di sicurezza e tutela dei diritti del lavoratore.

Anche in questo contesto, gli adempimenti connessi alla gestione dei dati personali si allargano.

L’art. 22 del GDPR impone l’adozione di specifiche misure di sicurezza e  trasparenza circa i dati trattati dai processi decisionali automatizzati e si aggiunge l’obbligo di compiere una valutazione di impatto che in alcuni casi disciplinati dal paragrafo 9 devono prevedere la consultazione delle rappresentanze sindacali in considerazione del grande impatto che un processo decisionale ha sui diritti e le libertà dei lavoratori.

Particolare attenzione dovrà essere rivolta al monitoraggio effettuato dalla macchina sull’attività dei lavoratori che resta disciplinato dall’art. 4 primo comma dello Statuto dei lavoratori e dal Decreto trasparenza.