Alla scoperta delle norme dedicate all’intelligenza artificiale
Obblighi per tutti!
Oggi affrontiamo alcuni articoli (23 e seguenti) dell’AI Act, che stabiliscono gli obblighi di alcune categorie di soggetti: importatori, distributori e utilizzatori.
Obblighi dei Deployer: gli utilizzatori
Come abbiamo accennato in precedenza, un deployer utilizza un sistema di intelligenza artificiale sotto la propria autorità.
Non vi sono ricompresi gli utilizzi a titolo non professionale, quindi privati e personali.
Gli utilizzatori devono garantire l’uso conforme alle istruzioni, affidare la sorveglianza umana a personale competente e mantenere il controllo sui dati di input.
Devono monitorare il funzionamento dei sistemi, conservare i log, informare i lavoratori e rispettare gli obblighi di registrazione.
Devono effettuare valutazioni d’impatto sulla protezione dei dati e ottenere autorizzazioni per l’uso di sistemi di identificazione biometrica remota.
Infine, devono informare le persone soggette a decisioni assistite da IA e cooperare con le autorità competenti.
-
Misure tecniche e organizzative:
- I deployer devono adottare misure tecniche e organizzative idonee per garantire l’uso conforme alle istruzioni per l’uso.
-
Sorveglianza umana:
- La sorveglianza deve essere affidata a persone con competenza, formazione, autorità e sostegno necessari.
-
Obblighi supplementari:
- Gli obblighi di cui ai punti 1 e 2 non escludono altri obblighi previsti dal diritto dell’Unione o nazionale.
-
Controllo sui dati di input:
- Se il deployer esercita il controllo sui dati di input, deve garantirne la pertinenza e rappresentatività in relazione alla finalità del sistema di AI.
-
Monitoraggio del funzionamento:
- I deployer devono monitorare il sistema in base alle istruzioni per l’uso e informare i fornitori in caso di rischi. Devono sospendere l’uso del sistema e informare le autorità in caso di incidenti gravi.
-
Conservazione dei log:
- I log generati automaticamente devono essere conservati per un periodo adeguato alla finalità del sistema, di almeno sei mesi, salvo diversa disposizione normativa.
-
Informazione dei lavoratori:
- Prima di utilizzare un sistema di IA sul luogo di lavoro, i deployer devono informare i rappresentanti dei lavoratori e i lavoratori interessati.
-
Registrazione dei sistemi:
- I deployer pubblici o istituzionali devono rispettare gli obblighi di registrazione. Se il sistema non è registrato, non devono utilizzarlo e devono informare il fornitore o il distributore.
-
Valutazione d’impatto:
- I deployer devono utilizzare le informazioni fornite per adempiere all’obbligo di valutazione d’impatto sulla protezione dei dati.
-
Uso dell’identificazione biometrica remota:
- In caso di utilizzo per identificazione biometrica remota a posteriori, i deployer devono ottenere autorizzazione giudiziaria o amministrativa e limitare l’uso a quanto strettamente necessario. Devono interrompere l’uso in caso di rifiuto dell’autorizzazione.
-
Informazione sulle decisioni:
- I deployer devono informare le persone soggette a decisioni assistite o adottate tramite sistemi di IA ad alto rischio.
-
Cooperazione con le autorità:
- I deployer devono cooperare con le autorità competenti per l’attuazione del regolamento.
Gli obblighi degli importatori
Gli importatori di sistemi di AI ad alto rischio devono garantire che i prodotti siano conformi alle normative vigenti prima di immetterli sul mercato.
Devono verificare la conformità attraverso documentazione adeguata, assicurare condizioni appropriate di stoccaggio e trasporto e mantenere la documentazione per 10 anni.
In caso di non conformità o rischio, devono agire per correggere e informare le autorità competenti. Gli importatori sono tenuti a cooperare con le autorità per mitigare i rischi e garantire la sicurezza del prodotto.
-
Conformità dei sistemi ad alto rischio:
- Gli importatori devono garantire che i sistemi ad alto rischio rispettino il regolamento.
- Verifiche necessarie:
- Il fornitore ha eseguito la valutazione della conformità come da articolo 43.
- La documentazione tecnica è conforme all’articolo 11 e all’allegato IV.
- Il sistema ha la marcatura CE e la dichiarazione di conformità UE dell’articolo 47.
- Nomina di un rappresentante autorizzato come da articolo 22, paragrafo 1.
-
Azioni in caso di non conformità:
- Se un importatore ha motivi per credere che il sistema non sia conforme, non deve immetterlo sul mercato finché non è conforme.
- Se il sistema presenta un rischio, l’importatore deve informare il fornitore, i rappresentanti autorizzati e le autorità di vigilanza del mercato.
-
Identificazione degli importatori:
- Gli importatori devono indicare nome, denominazione commerciale, marchio registrato e indirizzo di contatto sul sistema di IA ad alto rischio e sul suo imballaggio.
-
Condizioni di stoccaggio e trasporto:
- Gli importatori devono assicurarsi che le condizioni di stoccaggio e trasporto non compromettano la conformità del sistema.
-
Conservazione della documentazione:
- Gli importatori devono conservare una copia della documentazione pertinente (certificato, istruzioni per l’uso, dichiarazione di conformità UE) per 10 anni dalla data di immissione sul mercato.
-
Fornitura di informazioni alle autorità:
- Gli importatori devono fornire tutte le informazioni necessarie alle autorità competenti, su richiesta, per dimostrare la conformità del sistema di IA.
- Devono garantire che la documentazione tecnica sia disponibile per le autorità.
-
Cooperazione con le autorità:
- Gli importatori devono cooperare con le autorità competenti per qualsiasi azione riguardante un sistema di IA ad alto rischio, specialmente per ridurre e mitigare i rischi.
Obblighi dei distributori
I distributori di sistemi di AI ad alto rischio devono verificare la conformità del prodotto prima di metterlo sul mercato, garantendo la presenza della marcatura CE e della dichiarazione di conformità UE.
Devono assicurare che le condizioni di stoccaggio e trasporto non compromettano la conformità del sistema.
In caso di non conformità o rischi, devono prendere misure correttive e informare le autorità competenti. I distributori sono inoltre obbligati a cooperare con le autorità per garantire la sicurezza e la conformità dei sistemi di AI ad alto rischio.
-
Verifiche preliminari:
- Prima di mettere sul mercato un sistema di AI ad alto rischio, i distributori devono verificare che:
- Il sistema rechi la marcatura CE.
- Sia accompagnato da una copia della dichiarazione di conformità UE (articolo 47) e dalle istruzioni per l’uso.
- Il fornitore e l’importatore abbiano rispettato i loro obblighi (articolo 16, lettere b) e c), e articolo 23, paragrafo 3).
- Prima di mettere sul mercato un sistema di AI ad alto rischio, i distributori devono verificare che:
-
Azione in caso di non conformità:
- Se un distributore ritiene che il sistema non sia conforme, non deve metterlo a disposizione sul mercato finché non è conforme.
- Se il sistema presenta un rischio (articolo 79, paragrafo 1), il distributore deve informare il fornitore o l’importatore.
-
Condizioni di stoccaggio e trasporto:
- I distributori devono garantire che le condizioni di stoccaggio e trasporto non compromettano la conformità del sistema ai requisiti.
-
Misure correttive:
- Se un distributore ritiene che un sistema già sul mercato non sia conforme, deve adottare misure correttive per renderlo conforme, ritirarlo o richiamarlo.
- Se il sistema presenta un rischio, il distributore deve informare immediatamente il fornitore o l’importatore e le autorità competenti, fornendo dettagli sulla non conformità e sulle misure correttive adottate.
-
Fornitura di informazioni alle autorità:
- Su richiesta motivata di un’autorità competente, i distributori devono fornire tutte le informazioni e la documentazione relative alle loro azioni per dimostrare la conformità del sistema.
-
Cooperazione con le autorità:
- I distributori devono cooperare con le autorità competenti per qualsiasi azione relativa a un sistema di AI ad alto rischio, specialmente per ridurre e mitigare i rischi.
Molti obblighi, molte precauzioni.
Nelle prossime uscite analizzeremo alcuni aspetti ulteriormente rilevanti, come l’analisi di rischio dei sistemi e dei modelli di AI e l’analisi dell’impatto.
Temi affascinanti, ma complessi.
A presto.
👾
p.s.: come sempre, ogni suggerimento o correzione, come sempre, è più che ben accetta!
👾 👾 👾 👾 👾
Questa newsletter si propone di esaminare le principali disposizioni in arrivo con un linguaggio semplice e chiaro, accompagnato il più possibile da esempi concreti.
Se sei interessato, iscriviti. 👾