I bollettini di House of Data Imperiali sono degli estratti delle Puntate del servizio Dati in Primo Piano (DPP), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il DPP è fruibile tramite abbonamento.

SCOPRI GLI ABBONAMENTI

Autorità indipendenti tra protezione dati personali e AI Act

Il Comitato europeo per la protezione dei dati personali (“EDPB”) ha rilasciato, in data 16 luglio 2024, la dichiarazione 3/2024 sul ruolo delle autorità di protezione dei dati personali nel quadro dell’AI Act.

Il regolamento (UE) 2024/1689 sull’intelligenza artificiale (“AI Act”), pubblicato sul GUCE del 12 luglio 2024, prevede alcune autorità amministrative con specifici compiti.

Sebbene lo stesso AI Act stabilisca per queste un obbligo di cooperazione, anche in ottemperanza al principio di sincera cooperazione sancito dall’art. 4(3) del TUE e ribadito dalla CGUE nel caso Bunderkartellamt (c-252/21, del 4 luglio 2023, parr. 53-63), la compresenza di tali distinte autorità solleva un problema di efficiente coordinamento e adeguata sinergia tra le stesse.

La puntata odierna fa una ricognizione delle autorità amministrative previste dall’AI Act e dei punti di interazione con le autorità nazionali sulla protezione dati, l’EDPB e l’EDPS.

Autorità nazionale competente

Il Regolamento sull’IA prevede l’istituzione o la designazione, cioè l’assegnazione di specifici compiti a una “autorità nazionale competente”. La scelta tra l’istituzione di una nuova autorità e l’opzione dell’attribuzione a un’autorità indipendente già esistente, dei compiti previsti dal regolamento, è rimessa a ciascuno Stato membro «conformemente alle loro specifiche caratteristiche ed esigenze organizzative nazionali».

Il punto 48) dell’articolo 3, in tema di definizioni, stabilisce che la “autorità nazionale competente” può essere una “autorità di notifica” oppure una “autorità di vigilanza del mercato” e l’articolo 70 sulla designazione delle autorità nazionali competenti e dei punti di contatto unici prescrive che ciascuno Stato membro istituisce o designa almeno una autorità di notifica e almeno una autorità di vigilanza del mercato come autorità nazionali competenti al fine di controllare l’applicazione e l’attuazione del regolamento (v. anche Considerando (153) e (154)).

L’identità di tali autorità ed i poteri loro attribuiti sono comunicati dagli Stati membri alla Commissione, insieme al punto di contatto unico nei confronti del pubblico e delle altre controparti, individuato dallo Stato in un’autorità di vigilanza del mercato.

Quando il sistema di IA riguarda istituzioni, organi o organismi della UE, l’autorità nazionale competente è sempre l’EDPS, con potere di infliggere sanzioni pecuniarie in caso di violazioni (Considerando (156) (168) e articoli 70(9) e 100), come già previsto dal regolamento 2018/1725 sulla protezione dei dati in ambito istituzioni UE (EUDPR).

Il personale delle “autorità IA” deve disporre di competenze e conoscenze che permettano «una comprensione approfondita delle tecnologie, dei dati e del calcolo dei dati di IA, della protezione dei dati personali, della cibersicurezza, dei diritti fondamentali, dei rischi per la salute e la sicurezza e una conoscenza delle norme e dei requisiti giuridici esistenti» (art. 70(3)). Competenze più estese, quindi, di quelle richieste ai componenti delle autorità nazionali di protezione dei dati in base al GDPR.

Continua…

Per continuare a leggere questo articolo devi essere abbonato al servizio Dati in Primo Piano.

ABBONATI ORA

Sei già abbonato?

ACCEDI

Abbonati al DPP

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form

Logo_HouseofData_tutto_bianco_home1

CONTATTI

segreteria@imperialida.com

Via Santa Maria Valle, 3, 20123, Milano

Iscriviti al bollettino

Info4