AI-Act:  la Segnalazione del Garante sul regolamento UE per l’intelligenza artificiale

Dopo l’approvazione del Regolamento europeo sull’Intelligenza artificiale (AI-Act) il 13 marzo scorso, il Garante Privacy si rivolge al Parlamento e al Governo con un atto di Segnalazione, per ricordare alcuni adeguamenti che aspettano ora gli Stati (e anche l’Italia) ed in particolare l’individuazione dell’Autorità che dovrà vigilare e ricevere le notifiche di controllo.

Ricordiamo che l’Ai-act, formalmente approvato dal parlamento il 13 marzo 2024, aspetta l’ok definitivo entro il 24 aprile 2024: qui il testo provvisorio approvato.

Ai-Act: cosa prevede il Regolamento per le attività di controllo e vigilanza

Il Garante Privacy ricorda che l’articolo 70 del Regolamento UE sull’intelligenza artificiale richiede la designazione della (o delle) autorità nazionali competenti per l’applicazione delle sue norme, con funzioni di vigilanza del mercato e ricezione delle notifiche previste a fini di controllo. E di garantire che l’esercizio, da parte di tali autorità, dei propri poteri possa svolgersi “in modo indipendente, imparziale e senza pregiudizi, in modo da salvaguardare i principi di obiettività delle loro attività e dei loro compiti e garantire l’applicazione e l’attuazione” del regolamento stesso

Si punta dunque ad “una regolazione volta a coniugare l’innovazione con la tutela dei diritti e delle libertà fondamentali dai rischi potenzialmente derivanti da un uso scorretto dell’i.a” spiega il Garante.

Quale Autorità può vigilare sul Regolamento Ai ACT?

Il Garante ricorda che, secondo quanto confermato dal Comitato europeo per la protezione dati e dal Garante europeo, le Autorità che dovrebbero svolgere questa funzione sono le Autorità di protezione dati competenti per la protezione dei dati a norma del regolamento (UE) 2016/679 o della direttiva (UE) 2016/680.

Il Garante rivendica anche le funzioni di “vaglio autorizzatorio” da parte di autorità giudiziarie o amministrative indipendenti previsto dall’art.5 per le identificazioni biometriche per le attività di contrasto, in ragione della sua competenza sulle norme da applicare e delle sue caratteristiche di indipendenza.

Il Garante ricorda anche una riserva di competenza sancita dal Regolamento e varie clausole di salvaguardia che lascerebbero intendere un’attribuzione al Garante delle funzioni di controllo di cui all’art.70 dell’Ai-Act, mentre al Governo resterebbe la   promozione e regolazione secondaria della materia.

In termini più generali, come chiarito nel citato parere congiunto, la “designazione delle autorità per la protezione dei dati come autorità nazionali di controllo assicurerebbe (..) un approccio normativo più armonizzato e contribuirebbe all’adozione di un’interpretazione coerente delle disposizioni in materia di trattamento dei dati nonché a evitare contraddizioni nella loro applicazione nei diversi Stati membri”.

Garante Privacy: perché dovrebbe essere competente per l’Ai-Act

Secondo l’Authority italiana, la designazione, quali autorità competenti per l’i.a., di organi diversi determinerebbe infatti una frammentazione eccessiva della governance, con inevitabili conflitti di competenza e duplicazione ingiustificata degli oneri amministrativi per soggetti pubblici e privati.

Il Garante rivendica quei requisiti di competenza e, assieme, indipendenza necessari per garantire un’attuazione del Regolamento coerente con l’obiettivo di garanzia di un livello elevato di tutela dei diritti fondamentali

E’, del resto, significativo che lo stesso art. 74, p.9, del Regolamento designi il Garante europeo per la protezione dei dati quale autorità competente, in ambito UE.