Alla scoperta delle norme dedicate all’intelligenza artificiale

 

Obblighi per tutti!

 

Oggi affrontiamo alcuni articoli (23 e seguenti) dell’AI Act, che stabiliscono gli obblighi di alcune categorie di soggetti: importatori, distributori e utilizzatori.

 

 

Obblighi dei Deployer: gli utilizzatori

Come abbiamo accennato in precedenza, un deployer utilizza un sistema di intelligenza artificiale sotto la propria autorità. 

Non vi sono ricompresi gli utilizzi a titolo non professionale, quindi privati e personali.

Gli utilizzatori devono garantire l’uso conforme alle istruzioni, affidare la sorveglianza umana a personale competente e mantenere il controllo sui dati di input. 

Devono monitorare il funzionamento dei sistemi, conservare i log, informare i lavoratori e rispettare gli obblighi di registrazione. 

Devono effettuare valutazioni d’impatto sulla protezione dei dati e ottenere autorizzazioni per l’uso di sistemi di identificazione biometrica remota.

Infine, devono informare le persone soggette a decisioni assistite da IA e cooperare con le autorità competenti.

  1. Misure tecniche e organizzative:

    • I deployer devono adottare misure tecniche e organizzative idonee per garantire l’uso conforme alle istruzioni per l’uso.
  2. Sorveglianza umana:

    • La sorveglianza deve essere affidata a persone con competenza, formazione, autorità e sostegno necessari.
  3. Obblighi supplementari:

    • Gli obblighi di cui ai punti 1 e 2 non escludono altri obblighi previsti dal diritto dell’Unione o nazionale.
  4. Controllo sui dati di input:

    • Se il deployer esercita il controllo sui dati di input, deve garantirne la pertinenza e rappresentatività in relazione alla finalità del sistema di AI.
  5. Monitoraggio del funzionamento:

    • I deployer devono monitorare il sistema in base alle istruzioni per l’uso e informare i fornitori in caso di rischi. Devono sospendere l’uso del sistema e informare le autorità in caso di incidenti gravi.
  6. Conservazione dei log:

    • I log generati automaticamente devono essere conservati per un periodo adeguato alla finalità del sistema, di almeno sei mesi, salvo diversa disposizione normativa.
  7. Informazione dei lavoratori:

    • Prima di utilizzare un sistema di IA sul luogo di lavoro, i deployer devono informare i rappresentanti dei lavoratori e i lavoratori interessati.
  8. Registrazione dei sistemi:

    • I deployer pubblici o istituzionali devono rispettare gli obblighi di registrazione. Se il sistema non è registrato, non devono utilizzarlo e devono informare il fornitore o il distributore.
  9. Valutazione d’impatto:

    • I deployer devono utilizzare le informazioni fornite per adempiere all’obbligo di valutazione d’impatto sulla protezione dei dati.
  10. Uso dell’identificazione biometrica remota:

    • In caso di utilizzo per identificazione biometrica remota a posteriori, i deployer devono ottenere autorizzazione giudiziaria o amministrativa e limitare l’uso a quanto strettamente necessario. Devono interrompere l’uso in caso di rifiuto dell’autorizzazione.
  11. Informazione sulle decisioni:

    • I deployer devono informare le persone soggette a decisioni assistite o adottate tramite sistemi di IA ad alto rischio.
  12. Cooperazione con le autorità:

    • I deployer devono cooperare con le autorità competenti per l’attuazione del regolamento.

 

 

 

Gli obblighi degli importatori

Gli importatori di sistemi di AI ad alto rischio devono garantire che i prodotti siano conformi alle normative vigenti prima di immetterli sul mercato. 

Devono verificare la conformità attraverso documentazione adeguata, assicurare condizioni appropriate di stoccaggio e trasporto e mantenere la documentazione per 10 anni. 

In caso di non conformità o rischio, devono agire per correggere e informare le autorità competenti. Gli importatori sono tenuti a cooperare con le autorità per mitigare i rischi e garantire la sicurezza del prodotto.

  1. Conformità dei sistemi ad alto rischio:

    • Gli importatori devono garantire che i sistemi ad alto rischio rispettino il regolamento.
    • Verifiche necessarie:
      • Il fornitore ha eseguito la valutazione della conformità come da articolo 43.
      • La documentazione tecnica è conforme all’articolo 11 e all’allegato IV.
      • Il sistema ha la marcatura CE e la dichiarazione di conformità UE dell’articolo 47.
      • Nomina di un rappresentante autorizzato come da articolo 22, paragrafo 1.
  2. Azioni in caso di non conformità:

    • Se un importatore ha motivi per credere che il sistema non sia conforme, non deve immetterlo sul mercato finché non è conforme.
    • Se il sistema presenta un rischio, l’importatore deve informare il fornitore, i rappresentanti autorizzati e le autorità di vigilanza del mercato.
  3. Identificazione degli importatori:

    • Gli importatori devono indicare nome, denominazione commerciale, marchio registrato e indirizzo di contatto sul sistema di IA ad alto rischio e sul suo imballaggio.
  4. Condizioni di stoccaggio e trasporto:

    • Gli importatori devono assicurarsi che le condizioni di stoccaggio e trasporto non compromettano la conformità del sistema.
  5. Conservazione della documentazione:

    • Gli importatori devono conservare una copia della documentazione pertinente (certificato, istruzioni per l’uso, dichiarazione di conformità UE) per 10 anni dalla data di immissione sul mercato.
  6. Fornitura di informazioni alle autorità:

    • Gli importatori devono fornire tutte le informazioni necessarie alle autorità competenti, su richiesta, per dimostrare la conformità del sistema di IA.
    • Devono garantire che la documentazione tecnica sia disponibile per le autorità.
  7. Cooperazione con le autorità:

    • Gli importatori devono cooperare con le autorità competenti per qualsiasi azione riguardante un sistema di IA ad alto rischio, specialmente per ridurre e mitigare i rischi.

 

 

Obblighi dei distributori

I distributori di sistemi di AI ad alto rischio devono verificare la conformità del prodotto prima di metterlo sul mercato, garantendo la presenza della marcatura CE e della dichiarazione di conformità UE. 

Devono assicurare che le condizioni di stoccaggio e trasporto non compromettano la conformità del sistema. 

In caso di non conformità o rischi, devono prendere misure correttive e informare le autorità competenti. I distributori sono inoltre obbligati a cooperare con le autorità per garantire la sicurezza e la conformità dei sistemi di AI ad alto rischio.

  1. Verifiche preliminari:

    • Prima di mettere sul mercato un sistema di AI ad alto rischio, i distributori devono verificare che:
      • Il sistema rechi la marcatura CE.
      • Sia accompagnato da una copia della dichiarazione di conformità UE (articolo 47) e dalle istruzioni per l’uso.
      • Il fornitore e l’importatore abbiano rispettato i loro obblighi (articolo 16, lettere b) e c), e articolo 23, paragrafo 3).
  2. Azione in caso di non conformità:

    • Se un distributore ritiene che il sistema non sia conforme, non deve metterlo a disposizione sul mercato finché non è conforme.
    • Se il sistema presenta un rischio (articolo 79, paragrafo 1), il distributore deve informare il fornitore o l’importatore.
  3. Condizioni di stoccaggio e trasporto:

    • I distributori devono garantire che le condizioni di stoccaggio e trasporto non compromettano la conformità del sistema ai requisiti.
  4. Misure correttive:

    • Se un distributore ritiene che un sistema già sul mercato non sia conforme, deve adottare misure correttive per renderlo conforme, ritirarlo o richiamarlo.
    • Se il sistema presenta un rischio, il distributore deve informare immediatamente il fornitore o l’importatore e le autorità competenti, fornendo dettagli sulla non conformità e sulle misure correttive adottate.
  5. Fornitura di informazioni alle autorità:

    • Su richiesta motivata di un’autorità competente, i distributori devono fornire tutte le informazioni e la documentazione relative alle loro azioni per dimostrare la conformità del sistema.
  6. Cooperazione con le autorità:

    • I distributori devono cooperare con le autorità competenti per qualsiasi azione relativa a un sistema di AI ad alto rischio, specialmente per ridurre e mitigare i rischi.

 

 

Molti obblighi, molte precauzioni.

Nelle prossime uscite analizzeremo alcuni aspetti ulteriormente rilevanti, come l’analisi di rischio dei sistemi e dei modelli di AI e l’analisi dell’impatto.

Temi affascinanti, ma complessi.

A presto.

👾

p.s.: come sempre, ogni suggerimento o correzione, come sempre, è più che ben accetta! 

👾 👾 👾 👾 👾

Questa newsletter si propone di esaminare le principali disposizioni in arrivo con un linguaggio semplice e chiaro, accompagnato il più possibile da esempi concreti.

Se sei interessato, iscriviti. 👾