L'EDPB e il GEPD sostengono la razionalizzazione dell'attuazione della legge sull'IA, ma chiedono garanzie più rigorose per tutelare i diritti fondamentali

L'EDPB e il GEPD sostengono la razionalizzazione dell'attuazione della legge sull'IA, ma chiedono garanzie più rigorose per tutelare i diritti fondamentali

Bruxelles, 21 gennaio - Il comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (GEPD) hanno adottato un parere congiunto sulla proposta della Commissione europea relativa all'"omnibus digitale sull'IA". La proposta mira a semplificare l'attuazione di determinate norme armonizzate ai sensi della legge sull'IA per garantirne l'effettiva applicazione.

L'EDPB e il GEPD sostengono l'obiettivo di affrontare le sfide pratiche relative all'attuazione della legge sull'IA. La semplificazione amministrativa non deve tuttavia ridurre la tutela dei diritti fondamentali. Il parere congiunto riconosce la complessità del panorama dell'IA e accoglie con favore gli sforzi volti ad alleggerire gli oneri per le organizzazioni. Tuttavia, alcune modifiche proposte potrebbero compromettere la protezione delle persone nel contesto dell'IA. 

"L'innovazione e l'efficienza sono fondamentali e possono coesistere con il mantenimento della responsabilità dei fornitori di IA. Accogliamo con favore gli spazi di sperimentazione normativa a livello dell'UE e le procedure semplificate per promuovere l'innovazione e sostenere le PMI in Europa. Tuttavia, le autorità di protezione dei dati devono mantenere un ruolo centrale quando si tratta del trattamento dei dati personali delle persone fisiche. La cooperazione tra le autorità di protezione dei dati, l'ufficio per l'IA e le autorità di vigilanza del mercato è essenziale per garantire la certezza del diritto per le organizzazioni e promuovere l'innovazione, nel rispetto dei diritti fondamentali delle persone".

Presidente dell'EDPB, Anu Talus

 "La semplificazione è accolta con favore quando chiarisce gli obblighi, conferisce poteri ai singoli e rafforza la fiducia. Occorre mantenere un attento equilibrio riducendo, ove possibile, gli oneri amministrativi, senza compromettere la tutela dei diritti fondamentali. Inoltre, dobbiamo garantire che il ruolo dell'Ufficio per l'IA sia chiaramente definito e non incida sulla vigilanza indipendente sull'uso dei sistemi di IA da parte delle istituzioni dell'Unione europea."

Garante europeo della protezione dei dati, Wojciech Wiewiórowski

La proposta estenderebbe la possibilità di trattare categorie particolari di dati personali (come i dati relativi all'etnia o alla salute) per l'individuazione e la correzione delle distorsioni ai fornitori e agli operatori di qualsiasi sistema e modello di IA, fatte salve adeguate garanzie. L'EDPB e il GEPD raccomandano di specificare che tali dati possono essere utilizzati per l'individuazione e la correzione delle distorsioni solo in situazioni circoscritte in cui il rischio di effetti negativi di tali distorsioni è considerato sufficientemente grave.

L'EDPB e il GEPD sconsigliano la proposta soppressione dell'obbligo di registrare i sistemi di IA quando rientrano nelle categorie elencate come ad alto rischio, anche se i fornitori ritengono che i loro sistemi siano "non ad alto rischio". L'EDPB e il GEPD ritengono che tale modifica pregiudicherebbe in modo significativo la responsabilità e creerebbe un incentivo indesiderato per i fornitori a chiedere indebitamente esenzioni per evitare il controllo pubblico.

L'EDPB e il GEPD accolgono con favore la creazione di spazi di sperimentazione normativa per l'IA a livello dell'UE per promuovere l'innovazione. Per garantire la certezza del diritto, il parere congiunto raccomanda il coinvolgimento diretto delle autorità competenti per la protezione dei dati nella supervisione del trattamento dei dati all'interno degli spazi di sperimentazione. Inoltre, all'EDPB dovrebbe essere conferito un ruolo consultivo e lo status di osservatore presso il comitato europeo per l'intelligenza artificiale al fine di garantire la coerenza in relazione agli spazi di sperimentazione a livello dell'UE. Inoltre, il ruolo di supervisione dell'Ufficio per l'IA per quanto riguarda i sistemi di IA basati su un modello di IA per finalità generali dovrebbe essere chiaramente delineato nel dispositivo e non dovrebbe sovrapporsi alla supervisione indipendente da parte del GEPD dei sistemi di IA sviluppati o utilizzati dalle istituzioni, dagli organi o dagli organismi dell'Unione.

L'EDPB e il GEPD sostengono l'obiettivo di razionalizzare la cooperazione tra le autorità o gli organismi per i diritti fondamentali e le autorità di vigilanza del mercato e il ricorso a un punto di contatto centrale per aumentare l'efficienza. Tuttavia, raccomandano di chiarire il ruolo delle autorità di protezione dei dati in quanto punti di contatto amministrativi per l'esecuzione e la trasmissione delle richieste ai fornitori e agli operatori e di garantire che l'indipendenza e i poteri delle autorità di protezione dei dati non siano pregiudicati.

L'EDPB e il GEPD raccomandano inoltre di mantenere l'obbligo per i fornitori e gli operatori di IA di garantire l'alfabetizzazione in materia di IA tra il loro personale. Qualsiasi nuovo obbligo di promuovere l'alfabetizzazione in materia di IA imposto alla Commissione o agli Stati membri dovrebbe integrare, e non sostituire, le responsabilità delle organizzazioni che effettivamente sviluppano e utilizzano tali sistemi.

Infine, l'EDPB e il GEPD esprimono preoccupazione per il proposto rinvio delle disposizioni fondamentali per i sistemi di IA ad alto rischio. Data la rapida evoluzione del panorama dell'IA, invitano i colegislatori a valutare se il calendario originario possa essere mantenuto per determinati obblighi, quali i requisiti di trasparenza, e a ridurre al minimo i ritardi nella misura del possibile.