“I soggetti coinvolti dall’AI ACT: uno sguardo d’insieme” a cura dello Studio Legale Stefanelli&Stefanelli

Il nuovo Regolamento sull’Intelligenza Artificiale (Regolamento IA) è stato definitivamente approvato dal Parlamento europeo il 21 maggio 2024 e se ne attende ora la pubblicazione ufficiale nella Gazzetta dell’Unione Europea.

Nonostante, quindi, le sue norme non siano ancora applicabili, è utile sin d’ora fare una panoramica dei soggetti coinvolti dalla normativa, per arrivare adeguatamente preparati.

Abbiamo già analizzato la definizione di Intelligenza Artificiale contenuta nel Regolamento (https://www.studiolegalestefanelli.it/it/approfondimenti/ai-la-definizione-giuridica/) e quando un sistema di IA sia da considerarsi “ad alto rischio” (https://www.studiolegalestefanelli.it/it/approfondimenti/sistemi-di-ia-ad-alto-rischio-e-dispositivi-medici/).

Nel presente articolo, quindi, elencheremo le varie figure individuate dal Regolamento AI, per tracciarne i confini definitori ed evidenziarne obblighi e responsabilità.

  1. Il Fornitore

Definizione art. 3 para. 3

“una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che sviluppa un sistema di IA o un modello di IA per finalità generali o che fa sviluppare un sistema di IA o un modello di IA per finalità generali e immette tale sistema o modello sul mercato o mette in servizio il sistema di IA con il proprio nome o marchio, a titolo oneroso o gratuito”

Riprendendo la definizione classica di “fabbricante” delle normative di prodotto del New Legislative Framework, il Regolamento IA lega il ruolo di Fornitore allo svolgimento di due attività:

  • sviluppare un modello di IA o farlo sviluppare a terzi, e contestualmente
  • immetterlo sul mercato dell’Unione con il proprio nome o marchio commerciale (a titolo oneroso o gratuito).

Quindi, se il sistema di IA è immesso sul mercato o messo in servizio in Europa, non rileva dove il soggetto sia stabilito o ubicato (e dunque se dentro l’Unione o in un paese terzo) (art. 2 c. 1 lett. a)).

Da segnalare poi che il Regolamento IA si applicherà anche ai Fornitori stabiliti o situati extra UE quando l’output del sistema di IA viene utilizzato nell’Unione (art. 2 c. 1 lett. c.).

Attraverso questa previsione (analoga a quella contenuta nel GDPR), il legislatore comunitario allarga l’ambito di applicazione del Regolamento anche alle aziende extra UE, cercando di ottenere quello che comunemente si chiama “effetto Bruxelles”: cioè l’indiretta estensione della disciplina comunitaria anche fuori dalla spazio UE.

 

Il Regolamento IA prevede poi in capo ai Fornitori numerosi obblighi che devono essere rispettati quando il sistema di IA è considerato ad alto rischio.

In particolare, ai sensi dell’art. 16 questi devono:

  • dotarsi di un sistema di gestione della qualità conforme all’art. 17, documentato in modo sistematico e ordinato sotto forma di politiche, procedure e istruzioni scritte;
  • garantire che il sistema di IA ad alto rischio sia
    • conforme ai requisiti del Regolamento IA;
    • sottoposto alla pertinente procedura di valutazione della conformità (ex art. 43) per poter essere immesso in commercio;
  • redigere una dichiarazione di conformità UE (ex art. 47);
  • apporre la marcatura CE sul sistema di IA ad alto rischio oppure, se ciò non è possibile, su un imballaggio/documento di accompagnamento (ex art. 48);
  • indicare sul sistema di IA o su un imballaggio/documento di accompagnamento siano indicati i propri dati identificativi, di contatto e il marchio commerciale;
  • rispettare gli obblighi di registrazione (ex art. 49 para. 1);
  • conservare la documentazione elencata nell’art. 18, e in particolare la dichiarazione di conformità UE e la documentazione
    • tecnica sul prodotto (art. 11);
    • del sistema di gestione della qualità (art. 17);
    • sulle modifiche approvate dagli ON;
    • sulle decisioni degli ON, e quella da questi ultimi eventualmente rilasciata;
  • conservare, quando sono sotto il loro controllo, i log generati automaticamente dai sistemi di IA ad alto rischio di cui all’art. 19;
  • garantire che il sistema di IA ad alto rischio sia conforme ai requisiti di accessibilità ex Direttive 2016/2102 e 2019/992;
  • adottare eventualmente misure correttive relative ad un sistema di IA ad alto rischio che hanno immesso sul mercato e che ritengono non essere conforme, eventualmente informandone distributori e deployers (art. 20). Inoltre, i Fornitori dovranno indagare sulle cause di eventuali rischi del sistema di IA, di cui vengano a conoscenza, e fornire le informazioni necessarie, collaborando con deployers e informandone l’autorità di vigilanza e l’ON, se del caso (art. 20);
  • cooperare con le autorità competenti, ai sensi dell’art. 21.

Inoltre, si continueranno ad applicare regolarmente gli obblighi previsti dal GDPR in materia di trattamento dei dati personali per i Fornitori, nel loro ruolo di titolari del trattamento o responsabili, eventualmente ricoperto (Considerando 10).

Infine, il Fornitore dovrebbe individuare le misure di sorveglianza umana adeguate prima dell’immissione in commercio (Considerando 73), che saranno poi adottate dai Deployers.

 

  1. Il Deployer

Definizione art. 3 para. 4

“una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che utilizza un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un’attività personale non professionale”

I Deployers sono quindi i soggetti che utilizzano sistemi di IA e sono assoggettati ai particolari obblighi elencati nell’art. 26 quanto tali sistemi siano ad alto rischio.

In particolare, essi dovranno adottare “idonee misure tecniche e organizzative per garantire di utilizzare tali sistemi conformemente alle istruzioni per l’uso che accompagnano i sistemi”.

A questo riguardo, in particolare, essi dovranno nominare una persona fisica responsabile della sorveglianza umana del sistema di IA ad alto rischio (art. 14), che sia dotata di:

  • Competenza e formazione idonee;
  • Autorità necessaria;
  • Sostegno necessario.

Della possibilità di qualificare la struttura sanitaria  come Deployer ci occuperemo in un prossimo articolo.

 

  1. Il Distributore

Definizione art. 3 para. 7

“una persona fisica o giuridica nella catena di approvvigionamento, diversa dal fornitore o dall’importatore, che mette a disposizione un sistema di IA sul mercato dell’Unione”

Il Distributore è quindi il soggetto che compra il sistema di IA e lo rivende a terzi (c.d. messa a disposizione).

Il Regolamento IA prevede una serie di obblighi per i Distributori all’art. 24.

In particolare, dovrà verificare:

  • che vi sia la marcatura CE, la dichiarazione di conformità UE e le istruzioni per l’uso;
  • che il Fornitore sia dotato di un sistema di gestione della qualità e abbia apposto il proprio nome/marchio commerciale sul prodotto;
  • che l’eventuale Importatore abbia apposto il proprio nome/marchio commerciale sul prodotto.

***

Ci sono, infine, due figure che esistono soltanto quando il Fornitore (del sistema di IA ad alto rischio o del modello di IA per finalità generali) sia situato extra UE.

 

  1. Il Rappresentante Autorizzato

Definizione art. 3 para. 5

“una persona fisica o giuridica ubicata o stabilita nell’Unione che ha ricevuto e accettato un mandato scritto da un fornitore di un sistema di IA o di un modello di IA per finalità generali al fine, rispettivamente, di adempiere ed eseguire per suo conto gli obblighi e le procedure stabiliti dal presente regolamento”

Il Rappresentante Autorizzato è dunque un soggetto che agisce su suolo europeo per conto del Fornitore, per i compiti indicati nel mandato.

L’art. 22 prevede che venga conferito mandato scritto, con indicati i compiti da eseguire per conto del Fornitore extra UE. Tra questi, devono obbligatoriamente rientrare:

  • Verificare che il Fornitore abbia redatto la dichiarazione di conformità UE e la documentazione tecnica, e che abbia seguito l’appropriata procedura di valutazione della conformità;
  • Conservare per 10 anni dopo la data di immissione in commercio
    • I dati di contatto del Fornitore;
    • Copia della dichiarazione di conformità UE;
    • Documentazione tecnica;
    • Certificato CE (se presente);
  • Fornire all’autorità competente su richiesta motivata tutte le informazioni e la documentazione necessarie per dimostrare la conformità di un sistema di IA ad alto rischio al Regolamento IA;
  • Cooperare con le autorità competenti su richiesta motivata in merito a qualsiasi azione intrapresa da queste ultime in relazione al sistema di IA ad alto rischio, in particolare per ridurre/attenuare possibili rischi posti dal sistema;
  • Rispettare gli obblighi di registrazione ex art. 49, se previsti;
  • Interloquire, anche in sostituzione del Fornitore, con le autorità competenti.

 

  1. L’importatore

Definizione art. 3 para. 6

“una persona fisica o giuridica ubicata o stabilita nell’Unione che immette sul mercato un sistema di IA recante il nome o il marchio di una persona fisica o giuridica stabilita in un paese terzo”

Anche per la definizione di importatore, il Regolamento IA utilizza la definizione ordinariamente fornita dalle discipline di prodotto del nuovo approccio.

L’Importatore è una figura che partecipa al ciclo di vita del sistema di IA ad alto rischio soltanto quando il Fornitore o in generale il soggetto che appone il marchio commerciale sul prodotto sia stabilita extra UE.

Questa figura si occupa di immettere in commercio il sistema nel mercato europeo acquistandolo dal Fornitore extra UE, dal momento che è il soggetto che per la prima volta fornisce il prodotto per il consumo o l’uso in Europa.

I suoi obblighi sono quelli elencati nell’art. 23, e in particolare deve apporre il proprio nome o marchio commerciale sul sistema di IA e sull’imballaggio/documentazione di accompagnamento e verificare che:

  • sia stata seguita la procedura di valutazione della conformità;
  • sia stata redatta la documentazione tecnica del prodotto, il prodotto stesso rechi la marcatura CE e sia accompagnato dalla dichiarazione di conformità UE e dalle istruzioni per l’uso;
  • sia stato nominato il Rappresentante Autorizzato.

Inoltre, l’Importatore dovrà anche evitare di immettere in commercio il sistema di IA ad alto rischio qualora abbia un motivo sufficiente per ritenere che non sia conforme al Regolamento o sia falsificato o sia accompagnato da documentazione falsificata. Allo stesso modo, dovrà informare il Fornitore, i Rappresentanti Autorizzati e le Autorità di vigilanza se identifica un possibile rischio posto dal prodotto.

Avv. Noemi Conditi