L’European Data Protection Board (“EDPB”) con la Dichiarazione 3/2024 (la “Dichiarazione”) ha espresso il proprio parere in merito al ruolo delle autorità di protezione dei dati personali (“DPA”) nel nuovo quadro regolatorio previsto dal Regolamento (UE) 1689/2024 (“AI Act”). Richiamando il Parere Congiunto 5/2021 rilasciato dall’EDPB e dall’European Data Protection Supervisor (“EDPS”), l’EDPB sottolinea la necessità di attribuire un ruolo centrale alle DPA nella governance dell’AI Act, riconoscendo l’esperienza e le competenze dalle stesse maturate in materia di trattamento dei dati personali connessi ai sistemi di intelligenza artificiale (“IA”). L’EDPB, dopo aver chiarito il contesto e lo scopo della Dichiarazione, conclude con alcune raccomandazioni in merito al ruolo delle DPA nel contesto dell’AI Act. Ma perché, a parere dell’EDPB, dovrebbe essere riconosciuto un ruolo cruciale alle DPA nella governance dell’AI Act? Il sistema di governance dell’AI Act Per comprendere appieno la Dichiarazione dell’EDPB, è fondamentale delineare brevemente il funzionamento del sistema di governance istituito dall’AI Act. In considerazione della complessità e della trasversalità dei sistemi di IA, il legislatore europeo ha previsto un articolato sistema di organi e uffici, sia a livello europeo che nazionale, a cui demandare le attività di governance. Tali attività vengono descritte nel Capo VII dell’AI Act, la cui applicazione è prevista a partire dal 2 agosto 2025. Nello specifico, a livello europeo l’AI Act individua i seguenti enti (artt. 64-69 dell’AI Act): A livello nazionale, ciascuno Stato membro deve istituire o designare almeno un’autorità di notifica e almeno un’autorità di vigilanza del mercato (Market surveillance authority(ies) – “MSA”) come autorità nazionali competenti. Inoltre, gli Stati membri devono designare una MSA che funge da punto di contatto unico per l’AI Act (art. 70, par. 2, dell’AI Act). In particolare, in Italia, lo schema di disegno di legge sull’IA approvato lo scorso 23 aprile dal Consiglio dei Ministri (“DDL IA” – per un maggior approfondimento sul tema, si veda il nostro precedente contributo, disponibile qui, in inglese), individua: Per assicurare il coordinamento e la collaborazione con le altre pubbliche amministrazioni e autorità indipendenti, nonché tra AgID e ACN, il DDL IA prevede che venga istituto un Comitato di coordinamento, composto dai direttori generali delle due Agenzie e dal Capo del dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri. Il DDL IA preserva inoltre i compiti, i poteri e le competenze del Garante per la protezione dei dati personali. Infine, all’art. 22, il DDL AI affida al Governo il compito di designare le autorità nazionali competenti, tra cui la MSA, l’autorità di notifica e il punto di contatto con le istituzioni dell’Unione europea. Contesto e scopo della Dichiarazione L’EDPB chiarisce che l’AI Act e la disciplina comunitaria in materia di protezione dei dati personali – ovvero il Regolamento (UE) 679/2016 (“GDPR”), il Regolamento (UE) 1725/2018 (“EUDPR”), la Direttiva (UE) 680/2016 (“LED”)[1] e la Direttiva 58/2002/CE (“Direttiva ePrivacy”) (complessivamente intese come “Normativa Privacy”) – devono essere considerati e interpretati come strumenti complementari, in grado di rafforzarsi reciprocamente. In particolare, l’AI Act mira a garantire la protezione dei diritti fondamentali alla privacy e alla protezione dei dati personali, conformemente agli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione europea. Il trattamento di dati personali coinvolge, infatti, l’intero ciclo di vita dei sistemi di IA, specialmente se si tratta di sistemi di IA ad alto rischio. L’EDPB sottolinea che il trattamento “è chiaramente (e continuerà ad essere) un elemento centrale delle diverse tecnologie coperte della definizione di IA”, prevista dall’art. 3, par. 1, dell’AI Act. Per tale motivo, alcune DPA si sono già attivate e l’EDPB ha seguito da vicino l’iter legislativo dell’AI Act, vista la sua “multiforme interazione” con la Normativa Privacy. Gli Stati membri possono designare qualsiasi ente come autorità di notifica e MSA per controllare l’applicazione e l’attuazione dell’AI Act. Tuttavia, l’EDPB suggerisce che la nomina della DPA come MSA garantirebbe un migliore coordinamento tra le diverse autorità di regolamentazione, rafforzerebbe la certezza del diritto per tutte le parti interessate e migliorerebbe la vigilanza e l’applicazione sia della legge sull’IA che della Normativa Privacy. L’EDPB basa queste affermazioni su diversi elementi: Le raccomandazioni dell’EDPB 1. Designazione delle DPA come MSA per sistemi di IA ad alto rischio L’EDPB raccomanda agli Stati membri di considerare la nomina delle DPA come MSA anche per i sistemi di IA ad alto rischio operanti nei settori elencati nell’Allegato III dell’AI Act, diversi da quelli specificati nell’art. 74, par. 8, dell’AI Act. Tali settori includono infrastrutture critiche, istruzione e formazione professionale, occupazione, gestione dei lavoratori e accesso al lavoro autonomo, accesso a servizi privati essenziali e a prestazioni e sevizi pubblici essenziali. Questa raccomandazione è particolarmente rilevante nei casi in cui tali sistemi siano in grado di impattare sui diritti e sulle libertà degli interessati in relazione al trattamento dei dati personali, escludendo quei settori dove l’AI Act prevede come obbligatoria la nomina di un’autorità specifica (ad esempio, per il settore finanziario, dove la MSA è l’autorità nazionale pertinente responsabile della vigilanza finanziaria di tali enti – art. 74, par. 6, dell’AI Act). 2. Designazione delle DPA come punto di contatto unico Secondo l’EDPB, le DPA, in qualità di MSA, dovrebbero essere designate quale punto di contatto unico per il pubblico e per le controparti degli altri Stati membri e dell’Unione. Questo consentirebbe di avere un approccio unificato, coerente ed efficace nei diversi settori di applicazione dell’IA. 3. Dotazione di risorse umane e finanziarie aggiuntive La designazione delle DPA come MSA implica l’assegnazione di nuovi poteri e funzioni, che richiedono l’assegnazione di risorse umane e finanziarie aggiuntive. L’EDPB sottolinea l’importanza di fornire alle DPA le risorse necessarie per svolgere efficacemente i nuovi compiti assegnati. 4. Cooperazione tra tutte le autorità coinvolte e procedure chiare Da ultimo, l’EDPB insiste sulla necessità di promuovere e stabilire un’adeguata ed efficace cooperazione tra tutte le autorità coinvolte nel rispetto del principio di leale cooperazione, sancito dall’art. 4, par. 3, del Trattato dell’Unione europea, come richiamato dalla Corte di Giustizia dell’Unione europea[2], adottando a tal fine procedure chiare. Tale cooperazione non riguarda solo le DPA, ma dovrebbe avvenire anche tra le DPA e la Commissione e l’Ufficio dell’IA. Le considerazioni finora svolte, secondo l’EDPB, si applicano in maniera analoga anche ai modelli di IA ad uso generale (general purpose AI models – “GPAI”), i quali potrebbero essere addestrati su dati personali e i cui output sono in grado di influire sui diritti alla privacy e alla protezione dei dati personali. L’EDPB sottolinea infatti come nell’AI Act non è stabilita una chiara coordinazione tra l’Ufficio dell’IA e le DPA e/o l’EDPB. Al contrario, un coordinamento è in questi casi indispensabile ogni qual volta un modello o sistema GPAI comporti il trattamento di dati personali, ricadendo automaticamente sotto la supervisione delle DPA e dell’EDPS (quando rientra nell’ambito dell’EUDPR). Conclusioni La Dichiarazione dell’EDPB pone in evidenza la necessità di attribuire un ruolo centrale alle DPA all’interno del nuovo quadro regolatorio previsto dall’AI Act. Riconoscendo l’esperienza e le competenze acquisite dalle DPA in materia di trattamento dei dati personali, l’EDPB ritiene che tali autorità siano le più indicate per garantire una supervisione efficace e coordinata dei sistemi di IA, specialmente se si tratta di sistemi ad alto rischio. L’integrazione delle DPA nel sistema di governance dell’AI Act rappresenta non solo una scelta logica ma anche una misura essenziale per assicurare la protezione dei diritti fondamentali alla privacy e alla protezione dei dati personali. In un contesto in cui l’IA gioca un ruolo sempre più pervasivo, il riconoscimento delle DPA come pilastri della vigilanza e dell’applicazione normativa non solo rafforza la protezione dei dati personali, ma assicura anche un’applicazione coerente ed efficace delle norme europee. L’EDPB invita dunque gli Stati membri e le istituzioni dell’Unione a considerare attentamente queste raccomandazioni per realizzare un sistema di governance dell’IA che sia al contempo robusto, coordinato e rispettoso dei diritti fondamentali. [1] L’EUDPR prevede le regole applicabili al trattamento dei dati personali da parte delle istituzioni, degli organismi, degli uffici e delle agenzie dell’Unione europea in linea con gli standard di protezione dei dati prescritti dal GDPR. La LED riguarda invece la tutela dei dati personali usati dalla polizia e dalle autorità di giustizia penale. [2] CGUE, sentenza del 4 luglio 2023, Meta Platforms e altri.
