Bruxelles, 17 luglio - Nel corso della sua ultima sessione plenaria, il comitato europeo per la protezione dei dati (EDPB) ha adottato una dichiarazione sul ruolo delle autorità di protezione dei dati nel quadro della legge sull'intelligenza artificiale (legge sull'intelligenza artificiale).
Secondo l'EDPB, le autorità di protezione dei dati hanno già esperienza e competenza nel trattare l'impatto dell'IA sui diritti fondamentali, in particolare il diritto alla protezione dei dati personali, e dovrebbero pertanto essere designate come autorità di vigilanza del mercato in una serie di casi. Ciò garantirebbe un migliore coordinamento tra le diverse autorità di regolamentazione, rafforzerebbe la certezza del diritto per tutte le parti interessate e rafforzerebbe la vigilanza e l'applicazione sia della legge sull'IA che della normativa dell'UE in materia di protezione dei dati.
Ai sensi della legge sull'IA, gli Stati membri nominano le autorità di vigilanza del mercato a livello nazionale prima del 2 agosto 2025, al fine di supervisionare l'applicazione e l'attuazione della legge sull'IA.
Nella sua dichiarazione, l'EDPB raccomanda che:
- Come già indicato nella legge sull'IA, le autorità di protezione dei dati dovrebbero essere designate come autorità di vigilanza del mercato per i sistemi di IA ad alto rischio utilizzati per l'applicazione della legge, la gestione delle frontiere, l'amministrazione della giustizia e i processi democratici;
- Gli Stati membri dovrebbero prendere in considerazione la possibilità di designare le autorità di protezione dei dati come autorità di vigilanza del mercato anche per altri sistemi di IA ad alto rischio, tenendo conto del parere dell'autorità nazionale di protezione dei dati, in particolare quando tali sistemi di IA ad alto rischio si trovano in settori che possono incidere sui diritti e sulle libertà delle persone fisiche per quanto riguarda il trattamento dei dati personali;
- Le autorità di protezione dei dati, se designate come autorità di vigilanza del mercato, dovrebbero essere designate come punti di contatto unici per il pubblico e le controparti a livello degli Stati membri e dell'UE;
- È opportuno stabilire procedure chiare per la cooperazione tra le autorità di vigilanza del mercato e le altre autorità di regolamentazione incaricate della supervisione dei sistemi di IA, comprese le autorità di protezione dei dati. Inoltre, dovrebbe essere istituita un'adeguata cooperazione tra l'Ufficio dell'UE per l'IA e le autorità di protezione dei dati/EDPB.
La vicepresidente dell'EDPB Irene Loizidou Nicolaidou ha dichiarato: "Le agenzie per la protezione dei dati dovrebbero svolgere un ruolo di primo piano nell'applicazione della legge sull'IA, in quanto la maggior parte dei sistemi di IA comporta il trattamento di dati personali. Sono fermamente convinto che le autorità di protezione dei dati siano adatte a questo ruolo grazie alla loro piena indipendenza e alla loro profonda comprensione dei rischi dell'IA per i diritti fondamentali, sulla base della loro esperienza esistente."
Successivamente, il comitato ha adottato due documenti sulle domande frequenti (FAQ) riguardanti il quadro UE-USA per la protezione dei dati personali (DPF), al fine di fornire maggiori chiarimenti sul funzionamento del DPF.
Le FAQ per le persone fisiche forniscono informazioni sul funzionamento del DPF: come beneficiarne, come presentare un reclamo e come sarà gestito.
Allo stesso modo, le FAQ per le imprese spiegano quali aziende statunitensi sono idonee ad aderire al DPF: cosa fare prima di trasferire dati personali a un'azienda negli Stati Uniti certificata DPF e dove trovare ulteriori indicazioni.
Infine, l'EDPB ha adottato un parere che approva il catalogo dei criteri EuroPriSe per la certificazione delle attività di trattamento da parte dei responsabili del trattamento, che si traduce in un sigillo europeo per la protezione dei dati.* I sigilli europei per la protezione dei dati sono strumenti importanti che contribuiscono alla conformità al GDPR.
Nel settembre 2022 l'EDPB aveva adottato un parere sui criteri di certificazione EuroPriSe, consentendone il riconoscimento in Germania come criteri di certificazione per le operazioni di trattamento da parte dei responsabili del trattamento. A seguito di un aggiornamento del sistema, il nuovo parere approva i criteri in quanto applicabili in tutta l'UE/SEE e in quanto sigillo europeo per la protezione dei dati.
La certificazione GDPR contribuisce a dimostrare gli sforzi di conformità e ad aumentare la trasparenza e la fiducia. Consente una migliore valutazione del grado di protezione offerto da prodotti, servizi, processi o sistemi utilizzati dalle organizzazioni che trattano dati personali.
Nota per gli editori:
*Il sigillo europeo di protezione dei dati EuroPrise sarà aggiunto al registro dei meccanismi di certificazione e dei sigilli di protezione dei dati in conformità con l'articolo 42, paragrafo 8, GDPR.
Il parere sull'approvazione del sistema di certificazione EuroPriSe come sigillo europeo per la protezione dei dati, adottato durante la plenaria dell'EDPB, è soggetto alle necessarie verifiche giuridiche, linguistiche e di formattazione e sarà reso disponibile sul sito web dell'EDPB una volta completato.
Il comunicato stampa qui pubblicato è stato tradotto automaticamente dall'inglese. L'EDPB non garantisce l'esattezza della traduzione. Si prega di fare riferimento al testo ufficiale nella sua versione inglese in caso di dubbi.