Questo post fa parte del punto di vista dell’Osservatorio sull’AI Act
Molte disposizioni dell’AI Act prevedono una stretta collaborazione tra soggetti privati e pubblici per attuare il regolamento. Un aspetto centrale riguarda il rapporto tra autorità di notifica e organismi notificati, in cui il delicato equilibrio tra pubblico e privato può essere garantito attraverso l’imposizione di stringenti obblighi di indipendenza e di trasparenza.
Come possono coesistere pubblico e privato nell’ambito dell’AI Act? La questione è sicuramente rilevante, poiché il regolamento prevede vari meccanismi di supervisione e di responsabilità che coinvolgono anche soggetti privati.
Molte disposizioni del regolamento evidenziano infatti la necessità di una collaborazione tra il settore pubblico e privato per la sua attuazione. Viene sottolineato, per esempio, che l’Ufficio per l’IA e gli Stati membri promuovano l’elaborazione di codici di condotta da parte di fornitori o deployer di sistemi di AI (o delle loro organizzazioni rappresentative). Questi codici di condotta potrebbero favorire l’applicazione volontaria da parte degli interessati di determinati requisiti e standard.
Un esempio rilevante di questa collaborazione riguarda il rapporto tra le autorità di notifica e gli organismi notificati. Questi ultimi, dotati di personalità giuridica, sono responsabili della valutazione della conformità dei sistemi di IA classificati come ad alto rischio. Tali sistemi infatti sono consentiti, ma sono assoggettati a determinati obblighi e responsabilità. Gli organismi notificati verificano, dunque, in modo imparziale, che tali sistemi siano conformi ai requisiti previsti dal regolamento. Possono inoltre rilasciare un certificato di valutazione di conformità, valido per un periodo non superiore ai quattro o cinque anni, a seconda del sistema di AI, e prorogabile su richiesta a seguito di nuova valutazione. Qualora l’organismo notificato accerti che il sistema di IA non soddisfi più i requisiti previsti dal regolamento, esso può motivatamente sospendere o ritirare il certificato o imporre limitazioni, a meno che il fornitore non adotti procedure correttive. È sempre proponibile ricorso contro le decisioni degli organismi notificati.
Gli enti interessati a svolgere attività di valutazione della conformità dei sistemi di AI ad alto rischio devono presentare una domanda di notifica all’autorità di notifica dello Stato in cui sono stabiliti, allegando una descrizione dettagliata delle attività di valutazione, dei moduli utilizzati, dei tipi di sistemi che essi sono competenti a valutare, e un certificato di accreditamento o altra documentazione. Le autorità di notifica trasmettono quindi la domanda alla Commissione e agli altri Stati membri nel caso in cui ritengano che l’ente rispetti i requisiti previsti dal regolamento. In assenza di obiezioni da parte della Commissione o di altri Stati membri entro un termine stabilito, l’ente può operare come organismo notificato.
In ciascuno Stato membro viene quindi istituita o individuata un’autorità competente a valutare la sussistenza dei requisiti per il riconoscimento della qualifica degli organismi notificati, a procedere con la notifica e a monitorare le attività di tali enti. Le autorità di notifica possono inoltre limitare, sospendere o revocare la qualifica di organismo notificato, qualora accertino il mancato rispetto degli obblighi o la perdita dei requisiti.
In che modo, dunque, viene assicurata un’equilibrata convivenza tra pubblico e privato?
In primo luogo, attraverso l’imposizione di requisiti di indipendenza e competenza sia per le autorità di notifica sia per gli organismi notificati. Il regolamento sottolinea, da un lato, l’importanza dell’obiettività e dell’imparzialità dell’attività delle autorità di notifica, e dell’assenza di conflitti di interesse con gli organismi di valutazione della conformità. Si prevede, in particolare, che le decisioni relative alla notifica dell’organismo siano assunte da persone diverse da coloro che hanno effettuato la valutazione dell’organismo stesso. Le autorità di notifica devono poi astenersi dallo svolgere attività proprie degli organismi di valutazione della conformità e dallo svolgere le attività di consulenza. E’ indispensabile poi che si avvalgano di personale con le competenze necessarie per svolgere efficacemente le loro attività. Gli organismi notificati, dall’altro lato, devono essere indipendenti dai fornitori dei sistemi di AI ad alto rischio, da altri operatori con interessi economici nel sistema di AI e da eventuali concorrenti del fornitore. Essi devono adottare delle procedure e un’organizzazione interna che possano salvaguardare la loro imparzialità e obiettività oltre alla riservatezza delle informazioni che ricevono. Si richiede, a tal fine, anche il rispetto di requisiti idonei di cibersicurezza. Inoltre, devono svolgere la loro attività di valutazione con “il più elevato grado di integrità professionale e di competenza” che possa essere richiesto nello specifico settore, e munirsi di un’assicurazione di responsabilità civile adeguata.
L’equilibrio tra pubblico e privato viene perseguito, in secondo luogo, mediante l’imposizione di specifici obblighi di informazione in capo agli organismi notificati, che possano, in qualche modo, promuovere maggiore trasparenza nell’attività di valutazione. Gli obblighi di informazione devono essere assolti non solo nei confronti dell’autorità di notifica, ma anche verso gli altri organismi di valutazione, a cui devono ad esempio essere comunicati eventuali certificati di valutazione rifiutati o ritirati.
In terzo luogo, per garantire l’efficienza del sistema, è necessario promuovere un coordinamento efficace sia tra le autorità di notifica sia tra gli organismi notificati di tutti gli stati membri. Solo in questo modo è possibile evitare un’applicazione divergente del regolamento, riducendo così il rischio, già osservato nel settore sanitario, che i prodotti non approvati in una regione possano ottenere approvazione in un’altra (C. Novelli et al., A Robust Governance for the AI Act: AI Office, AI Board, Scientific Panel, and National Authorities).
Questo sistema, tuttavia, potrebbe non essere privo di criticità, come del resto è già stato osservato in altri settori. D’altronde, la previsione di autorità di notifica e organismi notificati non è una novità, essendo stata già sperimentata, ad esempio, per le valutazioni di conformità sui dispositivi medici. Disposizioni simili a quelle dell’AI Act sono state introdotte, da ultimo, anche dal regolamento (UE) 2023/1542 per quanto riguarda le valutazioni di conformità che gli organismi notificati devono effettuare sulle batterie. Alcuni studiosi hanno evidenziato che l’AI Act non prevede meccanismi specifici per garantire l’imparzialità e l’assenza di conflitti di interesse (C. Novelli et al., A Robust Governance for the AI Act: AI Office, AI Board, Scientific Panel, and National Authorities). Pur stabilendo che le autorità di notifica debbano essere organizzate e gestite in modo da evitare tali conflitti, il regolamento non specifica quale sia l’autorità incaricata di vigilare sul rispetto di questi requisiti, né prevede efficaci meccanismi di supervisione. Inoltre, i controlli condotti dalle autorità di notifica sugli organismi notificati si concentrano sopratutto sulla competenza e sul rispetto degli standard di qualità degli organismi notificati, senza dare sufficiente rilievo all’imparzialità e alla prevenzione dei conflitti di interesse. Anche la trasparenza delle loro attività è stata messa in discussione: precedenti esperienze in altri settori mostrano come vi sia poca visibilità sulle loro attività e procedure interne, spesso caratterizzate da un frequente ricorso all’esternalizzazione dei compiti assegnati (J-P. Galland, The difficulties of Regulating Markets and Risks in Europe through Notified Bodies).
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0
