Il Comitato per la protezione dei dati (EDPB) nel corso di una sessione plenaria dello scorso 16 luglio ha adottato una dichiarazione concernente il ruolo delle autorità di protezione dei dati nel nuovo contesto introdotto dalla legge sull’IA. La dichiarazione, oltre a sviluppare questa tematica, si concentra sulle differenze di approccio alla privacy tra Unione Europea e Stati Uniti in e sul nuovo sigillo europeo per la protezione dei dati.
Con questa dichiarazione, l’EDPB approfondisce le questioni inerenti alla supervisione e al coordinamento che scaturiscono dalla designazione di autorità competenti da parte degli Stati membri in settori che sono strettamente collegati all’ambito della protezione dei dati personali. È da tenere a mente che, a livello nazionale, l’applicazione della legge sull’IA comporta la definizione, l’ideazione e la nomina di una o più autorità statali competenti, a cui sarà richiesto di controllare e vigilare sull’applicazione statale dell’IA. In particolare, tali autorità di vigilanza del mercato interagiscono tra di loro, con le autorità di protezione dei dati e con quelle che si occupano della tutela dei diritti fondamentali. Tale condivisione risponde a una necessaria interoperabilità tra i vari soggetti che agiscono in un determinato settore, al fine di meglio tutelare gli utenti; ciò consente, inoltre, lo scambio di nozioni, conoscenze e verifiche, volto a efficientare il processo di applicazione dell’IA.
Come già affermato in un parere congiunto dell’EDPB e dell’EDPS (European Data Protection Supervisor), in questo quadro emergente dovrebbe essere riconosciuto un ruolo di primaria rilevanza alle autorità di protezione dei dati a livello nazionale, le quali grazie alla formazione e alle competenze acquisite possono rivestire un’importanza fondamentale nella stesura di linee guida e nella predisposizione di best practice e suggerimenti che gli utenti dovrebbero seguire. Le autorità di protezione dovrebbero, pertanto, essere designate come autorità di vigilanza del mercato in una serie di casi, in modo tale da fungere da anello di congiunzione nella lunga e complessa catena di implementazione dell’IA; esse, inoltre, si attestano come attori indispensabili nel processo di una sana diffusione dell’intelligenza artificiale.
In aggiunta, la designazione delle autorità di protezione dei dati come soggetti vigilanti del mercato comporterebbe dei benefici per tutti i portatori di interessi che si interfacciano con l’IA, fungendo da punti di contatto unici, facilitando le interazioni tra differenti organi regolatori che sono coinvolti da un lato dall’AI Act, e dall’altro dalla legislazione comunitaria europea sulla protezione dei dati (tra cui il GDPR).
In aggiunta, la designazione delle autorità di protezione dei dati come soggetti vigilanti del mercato comporterebbe dei benefici per tutti i portatori di interessi che si interfacciano con l’IA, fungendo da punti di contatto unici, facilitando le interazioni tra differenti organi regolatori che sono coinvolti da un lato dall’AI Act, e dall’altro dalla legislazione comunitaria europea sulla protezione dei dati (tra cui il GDPR).
Nel rispetto della legge sull’IA, l’EDPB considera come estremamente importanti alcuni aspetti, il cui comune denominatore risiede nei concetti di interoperabilità, efficienza e tutela dei dati personali. Il primo punto cardine riguarda le competenze delle autorità di protezione dei dati: nello specifico, l’EDPB sottolinea che tali organismi sono estremamente competenti oltre che nell’ambito dell’IA, anche – e soprattutto – nell’informatica, nella sicurezza dei dati e nell’ambito della valutazione dei rischi connessi ai diritti fondamentali comportati dalle nuove tecnologie.
Stando a quanto sostenuto dall’EDPB, le autorità di protezione dei dati, grazie alla loro piena indipendenza, possono fornire un’efficace supervisione dei sistemi di intelligenza artificiale, scevra da qualsiasi interferenza da terze parti come richiesto dall’articolo 70 dell’AI Act. Ai sensi dell’articolo 74 del succitato regolamento, le autorità di protezione dei dati (DPA) – o altre autorità con gli stessi requisiti di indipendenza – devono essere designate come autorità di vigilanza per i sistemi di IA ad alto rischio elencati dall’allegato 3 dell’AI Act, nella misura in cui sono utilizzati a fini di applicazione della legge e di gestione delle frontiere e di giustizia, elementi chiave dell’ordine democratico.
Molto importante ai nostri fini è, tra gli altri, il punto 8 dell’Allegato 3 all’AI Act, in quanto esso detta l’ambito di applicazione del regolamento, confrontandolo con l’amministrazione della giustizia e i processi democratici. In particolare, si apprende che i sistemi di IA possono essere utilizzati da un’autorità giudiziaria o da chi per suo conto per assistere nella ricerca e nell’interpretazione dei fatti e del diritto e nella sua applicazione a un insieme concreto di fatti, o a essere utilizzati in modo analogo per la risoluzione alternativa delle controversie.
In conclusione, l’EDPB insiste sulla necessaria cooperazione tra tutte le parti che compongono la complessa catena di soggetti impegnati nell’implementazione dell’IA; essa dovrà essere reciproca e mossa da un comune spirito di efficienza e un obiettivo unitario di progresso. L’EDPBauspica inoltre che ciò possa avvenire in maniera celere e mediante l’utilizzo di procedure chiare, che possano non ostacolare la corretta e controllata fruizione dell’IA da parte di tutti.
Hai un articolo nel cassetto? Legal Tech Magazine è sempre alla ricerca di nuove voci attraverso cui raccontare l’evoluzione del settore. Puoi sottoporci la tua proposta attraverso il seguente form: avremo cura di leggerla e di valutarne la pubblicazione.
Non solo un Magazine, ma anche una Mappa, un Forum, un Report e un’Academy. Se ti interessano i progetti di Legal Tech Italy e desideri ricevere aggiornamenti sulle sue iniziative presenti e future, iscriviti alla newsletter e non perderti nessuna novità.
