L’ AI Act è un Regolamento europeo sviluppato in modo analogo al GDPR sul concetto di rischio, i rischi sulla IA sono suddivisi in quattro livelli: inaccettabile, alto, limitato e minimo.
Maggiore è il rischio, maggiori sono le responsabilità e i limiti per chi sviluppa o usa questi sistemi.
Il cronoprogramma indicato dal Regolamento sulla IA è il seguente:
| 20 giorni dopo la pubblicazione nella Gazzetta ufficiale | Entrata in vigore della legge |
| 6 mesi (2 febbraio 2025) | Divieto sui sistemi di IA con rischio inaccettabile |
| 9 mesi (2 maggio 2025) | Applicazione dei codici di condotta |
| 12 mesi (2 febbraio 2026) | Applicazione delle regole di governance e degli obblighi per l’AI di scopo generale |
| 24 mesi (2 febbraio 2027) | Inizio dell’applicazione dell’AI Act per i sistemi di IA (incluso l’Allegato III) |
| 36 mesi (2 febbraio 2028) | Applicazione dell’intero Regolamento per tutte le categorie di rischio (incluso l’Allegato II) |
Dal 2 febbraio 2025, scattano i primi divieti sui sistemi AI con rischio inaccettabile che includono i sistemi di “categorizzazione biometrica” che utilizzano caratteristiche sensibili (ad esempio, convinzioni politiche, filosofiche, religiose, orientamento sessuale e razza); la raccolta non mirata di immagini del volto da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale; il riconoscimento delle emozioni sul posto di lavoro e nelle scuole; il social scoring; la polizia predittiva individuale basata esclusivamente sulla profilazione delle persone; lo sfruttamento delle vulnerabilità delle persone (legate a età, disabilità, situazione sociale o economica), la manipolazione e l’uso di tecniche subliminali.
Le nuove norme non consentono l’utilizzo di sistemi di identificazione biometrica a distanza in tempo reale in spazi accessibili al pubblico da parte delle forze dell’ordine, come il riconoscimento facciale, tranne in alcune situazioni specifiche espressamente previste dalla legge.
Gli usi ammessi includono, ad esempio, la ricerca di una persona scomparsa o la prevenzione di un attacco terroristico.
Lo scorso novembre la Commissione ha avviato una consultazione sui divieti previsti nell’AI Act per redigere delle linee guida sull’attuazione delle pratiche, attendiamo i codici di condotta entro il mese di maggio.
L’unico caso in cui l’identificazione biometrica è ammessa è quello in cui “l’unica finalità è confermare che una determinata persona fisica è la persona che dice di essere”, definizione che lascia aperti molti spazi all’uso della sorveglianza digitale da parte degli Stati, lo prevede l’articolo 5 sui divieti: “Uno Stato membro può decidere di prevedere la possibilità di autorizzare in tutto o in parte l’uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto”.
Il legame tra privacy e GDPR viene introdotto dalla raccomandazione sull’intelligenza artificiale dell’OCSE (OECD Recommendation of the Council on Artificial Intelligence, “OECD AI Principles”) in cui vengono stabiliti i principi che rendono un sistema di IA affidabile e in linea con il GDPR (crescita inclusiva, sostenibilità e benessere, valori incentrati sulla persona, equità, trasparenza, spiegabilità, robustezza, sicurezza e responsabilità) e dai principi etici individuati dal gruppo di esperti sull’intelligenza artificiale HLEG.
Valutazione d’Impatto sui Diritti Fondamentali (FRIA) e Valutazione di Impatto della Protezione dei dati (DPIA)
I due Regolamenti europei usano lo stesso approccio basato sul rischio, la Valutazione d’Impatto sui Diritti Fondamentali (FRIA) è richiesta dall’AI ACT per i sistemi ad alto rischio, da non confondersi con la Valutazione di Impatto della Protezione dei dati (DPIA) richiesta dal GDPR.
La DPIA è prevista dal GDPR all’art. 35 che impone al titolare di effettuare una valutazione sulla necessità e sulla proporzionalità del trattamento dei dati personali e dei rischi che da questo possono derivare. La DPIA è obbligatoria quando il trattamento dei dati può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, tra questi casi, secondo l’ex Gruppo Art. 29 (ora EDPB), rientrano i trattamenti valutativi o di scoring, compresa la profilazione, così come le decisioni automatizzate che producono effetti giuridici.
Allo stesso modo, il Regolamento sull’intelligenza artificiale prevede che prima che un sistema ad alto rischio possa essere messo in commercio è necessario che il produttore esegua autonomamente una Valutazione d’Impatto sui Diritti Fondamentali (FRIA).
La FRIA ha lo scopo di garantire che i sistemi di IA siano conformi ai requisiti di trasparenza, sicurezza e affidabilità, assicurando che non violino i diritti fondamentali degli individui.
Entrambe le valutazioni sono considerate necessarie quando le attività di trattamento o i sistemi di intelligenza artificiale sono ad “alto rischio”, cioè possono avere impatti significativi sui diritti e le libertà.
La DPIA si concentra principalmente sui rischi legati al trattamento dei dati personali, la FRIA estende il suo campo di applicazione a una gamma più ampia di diritti fondamentali, tra cui la non discriminazione, la protezione dalla sorveglianza eccessiva, e il diritto alla trasparenza e all’equità.
Un altro aspetto da sottolineare è che diversi strumenti di intelligenza artificiale inevitabilmente tratteranno quelli che la legislazione privacy considera dati particolari o giudiziari, ad esempio, la possibilità che l’IA venga utilizzata in ambito sanitario rende inevitabile la raccolta di dati relativi alla salute.
