L’attuazione dell’AI Act entra in una fase di assestamento politico e tecnico che riguarda direttamente imprese, sviluppatori e autorità di controllo. Con la proposta di Digital Omnibus, la Commissione europea punta a rendere più agevole l’applicazione delle regole sull’intelligenza artificiale, riducendo oneri amministrativi e complessità procedurali. Il parere congiunto di EDPB ed EDPS interviene proprio su questo passaggio, chiarendo che la semplificazione può funzionare solo se accompagnata da confini normativi solidi e verificabili.
Le autorità europee per la protezione dei dati riconoscono la difficoltà di governare un ecosistema tecnologico in rapida evoluzione e guardano con favore a strumenti come i sandbox regolatori a livello europeo, pensati per favorire sperimentazione e sviluppo. Allo stesso tempo, mettono in guardia da alcune modifiche che rischiano di rendere meno leggibili le responsabilità, soprattutto quando l’uso dell’intelligenza artificiale incide direttamente sui diritti delle persone.
AI Act e responsabilità delle imprese nell’uso dei sistemi ad alto rischio
Uno dei punti più sensibili riguarda l’ipotesi di ridurre o eliminare l’obbligo di registrazione dei sistemi di intelligenza artificiale classificati come ad alto rischio, qualora i fornitori li considerino autonomamente non tali. Secondo EDPB ed EDPS, questa impostazione può indebolire i meccanismi di trasparenza e incentivare valutazioni discrezionali difficili da controllare ex post. Per le imprese che sviluppano o adottano soluzioni AI, il tema si traduce in un problema concreto di certezza giuridica: meno obblighi formali non significano automaticamente meno responsabilità, soprattutto in caso di impatti sui diritti fondamentali.
Nel parere emerge anche una forte attenzione al ruolo delle autorità di protezione dei dati. Le autorità chiedono che restino centrali nei processi di supervisione, anche all’interno dei sandbox regolatori, e che il perimetro di intervento del nuovo AI Office venga definito con precisione. L’obiettivo dichiarato è evitare sovrapposizioni di competenze che possano creare confusione per chi deve rispettare le regole e per chi è chiamato a farle applicare.
Uso dei dati personali e controllo dei rischi nei sistemi di intelligenza artificiale
Un altro passaggio chiave riguarda l’estensione delle possibilità di trattamento di categorie particolari di dati personali, come quelli relativi alla salute o all’origine etnica, per attività di rilevazione e correzione dei bias. Le autorità riconoscono l’importanza di affrontare le distorsioni nei sistemi automatizzati, ma chiedono che l’uso di questi dati resti circoscritto a situazioni ben delimitate, in presenza di rischi concreti e con garanzie adeguate.
La preoccupazione è che un ampliamento troppo generico delle basi di trattamento possa normalizzare pratiche invasive, soprattutto in contesti dove l’intelligenza artificiale viene integrata in processi decisionali su larga scala. Per chi opera nel digitale, questo significa dover progettare sistemi che tengano insieme esigenze tecniche, rispetto delle regole e capacità di dimostrare, in modo documentato, le scelte effettuate.
