Il nuovo Regolamento sull’Intelligenza Artificiale (Regolamento IA) è stato definitivamente approvato dal Parlamento europeo il 21 maggio 2024 e se ne attende ora la pubblicazione ufficiale nella Gazzetta dell’Unione Europea.
Nonostante, quindi, le sue norme non siano ancora applicabili, è utile sin d’ora fare una panoramica dei soggetti coinvolti dalla normativa, per arrivare adeguatamente preparati.
Abbiamo già analizzato la definizione di Intelligenza Artificiale contenuta nel Regolamento (https://www.studiolegalestefanelli.it/it/approfondimenti/ai-la-definizione-giuridica/) e quando un sistema di IA sia da considerarsi “ad alto rischio” (https://www.studiolegalestefanelli.it/it/approfondimenti/sistemi-di-ia-ad-alto-rischio-e-dispositivi-medici/).
Nel presente articolo, quindi, elencheremo le varie figure individuate dal Regolamento AI, per tracciarne i confini definitori ed evidenziarne obblighi e responsabilità.
Definizione art. 3 para. 3
“una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che sviluppa un sistema di IA o un modello di IA per finalità generali o che fa sviluppare un sistema di IA o un modello di IA per finalità generali e immette tale sistema o modello sul mercato o mette in servizio il sistema di IA con il proprio nome o marchio, a titolo oneroso o gratuito”
Riprendendo la definizione classica di “fabbricante” delle normative di prodotto del New Legislative Framework, il Regolamento IA lega il ruolo di Fornitore allo svolgimento di due attività:
Quindi, se il sistema di IA è immesso sul mercato o messo in servizio in Europa, non rileva dove il soggetto sia stabilito o ubicato (e dunque se dentro l’Unione o in un paese terzo) (art. 2 c. 1 lett. a)).
Da segnalare poi che il Regolamento IA si applicherà anche ai Fornitori stabiliti o situati extra UE quando l’output del sistema di IA viene utilizzato nell’Unione (art. 2 c. 1 lett. c.).
Attraverso questa previsione (analoga a quella contenuta nel GDPR), il legislatore comunitario allarga l’ambito di applicazione del Regolamento anche alle aziende extra UE, cercando di ottenere quello che comunemente si chiama “effetto Bruxelles”: cioè l’indiretta estensione della disciplina comunitaria anche fuori dalla spazio UE.
Il Regolamento IA prevede poi in capo ai Fornitori numerosi obblighi che devono essere rispettati quando il sistema di IA è considerato ad alto rischio.
In particolare, ai sensi dell’art. 16 questi devono:
Inoltre, si continueranno ad applicare regolarmente gli obblighi previsti dal GDPR in materia di trattamento dei dati personali per i Fornitori, nel loro ruolo di titolari del trattamento o responsabili, eventualmente ricoperto (Considerando 10).
Infine, il Fornitore dovrebbe individuare le misure di sorveglianza umana adeguate prima dell’immissione in commercio (Considerando 73), che saranno poi adottate dai Deployers.
Definizione art. 3 para. 4
“una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che utilizza un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un’attività personale non professionale”
I Deployers sono quindi i soggetti che utilizzano sistemi di IA e sono assoggettati ai particolari obblighi elencati nell’art. 26 quanto tali sistemi siano ad alto rischio.
In particolare, essi dovranno adottare “idonee misure tecniche e organizzative per garantire di utilizzare tali sistemi conformemente alle istruzioni per l’uso che accompagnano i sistemi”.
A questo riguardo, in particolare, essi dovranno nominare una persona fisica responsabile della sorveglianza umana del sistema di IA ad alto rischio (art. 14), che sia dotata di:
Della possibilità di qualificare la struttura sanitaria come Deployer ci occuperemo in un prossimo articolo.
Definizione art. 3 para. 7
“una persona fisica o giuridica nella catena di approvvigionamento, diversa dal fornitore o dall’importatore, che mette a disposizione un sistema di IA sul mercato dell’Unione”
Il Distributore è quindi il soggetto che compra il sistema di IA e lo rivende a terzi (c.d. messa a disposizione).
Il Regolamento IA prevede una serie di obblighi per i Distributori all’art. 24.
In particolare, dovrà verificare:
***
Ci sono, infine, due figure che esistono soltanto quando il Fornitore (del sistema di IA ad alto rischio o del modello di IA per finalità generali) sia situato extra UE.
Definizione art. 3 para. 5
“una persona fisica o giuridica ubicata o stabilita nell’Unione che ha ricevuto e accettato un mandato scritto da un fornitore di un sistema di IA o di un modello di IA per finalità generali al fine, rispettivamente, di adempiere ed eseguire per suo conto gli obblighi e le procedure stabiliti dal presente regolamento”
Il Rappresentante Autorizzato è dunque un soggetto che agisce su suolo europeo per conto del Fornitore, per i compiti indicati nel mandato.
L’art. 22 prevede che venga conferito mandato scritto, con indicati i compiti da eseguire per conto del Fornitore extra UE. Tra questi, devono obbligatoriamente rientrare:
Definizione art. 3 para. 6
“una persona fisica o giuridica ubicata o stabilita nell’Unione che immette sul mercato un sistema di IA recante il nome o il marchio di una persona fisica o giuridica stabilita in un paese terzo”
Anche per la definizione di importatore, il Regolamento IA utilizza la definizione ordinariamente fornita dalle discipline di prodotto del nuovo approccio.
L’Importatore è una figura che partecipa al ciclo di vita del sistema di IA ad alto rischio soltanto quando il Fornitore o in generale il soggetto che appone il marchio commerciale sul prodotto sia stabilita extra UE.
Questa figura si occupa di immettere in commercio il sistema nel mercato europeo acquistandolo dal Fornitore extra UE, dal momento che è il soggetto che per la prima volta fornisce il prodotto per il consumo o l’uso in Europa.
I suoi obblighi sono quelli elencati nell’art. 23, e in particolare deve apporre il proprio nome o marchio commerciale sul sistema di IA e sull’imballaggio/documentazione di accompagnamento e verificare che:
Inoltre, l’Importatore dovrà anche evitare di immettere in commercio il sistema di IA ad alto rischio qualora abbia un motivo sufficiente per ritenere che non sia conforme al Regolamento o sia falsificato o sia accompagnato da documentazione falsificata. Allo stesso modo, dovrà informare il Fornitore, i Rappresentanti Autorizzati e le Autorità di vigilanza se identifica un possibile rischio posto dal prodotto.
Avv. Noemi Conditi