Si stringe il cerchio intorno alla versione finale delle leggi che regoleranno gli ambiti del trattamento dei dati e dell’utilizzo dell’intelligenza artificiale in Europa. Rispetto ai primi cinque capitoli del Data Act, la presidenza ceca del Consiglio dell’Unione europea ha presentato una serie di revisioni per raggiungere un nuovo compromesso. Il testo, letto da Euractiv, è stato diffuso venerdì scorso e sarà discusso nella riunione del gruppo di lavoro Telecom domani giovedì 27 ottobre.
Le nuove proposte sul Data Act
Le revisioni, in particolare, chiariscono che gli utenti di un dispositivo connesso potranno accedere ai dati che hanno contribuito a generare indipendentemente dal luogo di stabilimento. Nell’ambito di applicazione rientrano anche gli operatori che utilizzano contratti intelligenti all’interno di spazi dati.
La formulazione è stata modificata per chiarire che il regolamento non preclude accordi volontari sullo scambio di dati tra enti pubblici e privati. Inoltre, non pregiudica la direttiva dell’Ue sulle clausole abusive nei contratti con i consumatori. I dispositivi indossabili non medici sono stati inclusi come esempio di prodotti fisici coperti dal regolamento. Sono esclusi dall’ambito di applicazione i prodotti progettati per visualizzare contenuti, come le smart Tv, e per elaborare e archiviare dati, come personal computer e smartphone. I dati generati comprendono quelli registrati intenzionalmente dagli utenti e quelli risultanti come sottoprodotto delle azioni degli utenti, come i dati di diagnostica, e senza alcuna interazione, anche quando il prodotto è in modalità standby o spento.
Rispetto alle pratiche di condivisione dei dati, è stato aggiunto il concetto di ‘prontamente disponibile’, in modo da definire i dati generati dai prodotti Internet of Things che il produttore del prodotto “può ottenere senza uno sforzo sproporzionato, andando oltre la semplice operazione”. Il produttore del dispositivo sarà obbligato a condividere gratuitamente tali dati prontamente disponibili e a mantenere lo stesso livello di qualità. Questi diritti di accesso non possono essere limitati da alcun accordo o accordo contrattuale tra il produttore e l’utente. Al momento dell’acquisto del dispositivo connesso, l’utente dovrebbe avere il diritto di conoscere le condizioni di accesso, inclusa la politica di conservazione e conservazione dei produttori.
La portata delle disposizioni che autorizzano gli enti pubblici a richiedere l’accesso ai dati detenuti da privati, inoltre, è stata ristretta per le istituzioni dell’Ue alla Commissione europea, alla Banca centrale europea e alle agenzie comunitarie, mentre le autorità nazionali responsabili dell’applicazione della legge sui dati sono state escluse dall’ambito di applicazione per evitare un conflitto di interessi. Tali istituzioni pubbliche possono richiedere l’accesso a dati privati in circostanze eccezionali, anche quando la mancanza di tali dati impedisce loro di svolgere uno specifico compito di interesse pubblico.
In caso di dispute, produttore e utente possono deferire la questione a un organismo di risoluzione delle controversie certificato. Tale possibilità è stata estesa anche alle Pmi cui sono state imposte clausole contrattuali abusive. Gli organismi di risoluzione delle controversie devono disporre di regole procedurali non discriminatorie e valutare condizioni di accesso eque, compreso un compenso per aver messo i dati a disposizione di un’impresa che non è una Pmi.
I compromessi sull’AI Act
Anche la proposta di regolamento sull’Intelligenza Artificiale è al centro di una serie di emendamenti di compromesso, condivisi da Dragoș Tudorache e Brando Benifei insieme ai rappresentanti degli altri gruppi politici. I correlatori stanno attualmente cercando di raggiungere una posizione comune con gli altri gruppi politici, apportando diverse modifiche significative alla formulazione originale.
Uno dei nuovi emendamenti punta a estendere notevolmente i poteri di revisione della Commissione dopo l’entrata in vigore della normativa. I due legislatori vogliono conferire alla Commissione il potere di estendere l’elenco delle aree ad alto rischio che definirebbe se un sistema di AI deve soddisfare requisiti più severi. Nel testo originale, la Commissione poteva solo modificare o eliminare i casi d’uso nelle aree ad alto rischio, come l’istruzione o l’occupazione, ma l’elenco delle aree ad alto rischio era fisso. Inoltre, il compromesso consentirebbe all’esecutivo dell’Ue di estendere le applicazioni di intelligenza artificiale vietate come il punteggio sociale e il tipo di sistemi che dovrebbero rispettare ulteriori misure di trasparenza.
L’AI Board, un organismo che riunirà le autorità nazionali competenti, dovrebbe sviluppare una metodologia per effettuare queste revisioni. Le revisioni dovrebbero aver luogo ogni anno dopo l’entrata in vigore delle norme sull’AI, su consiglio del consiglio e delle autorità nazionali. Inoltre, due anni dopo l’entrata in vigore del regolamento, e d’ora in poi ogni due anni, la Commissione dovrebbe presentare una relazione che analizzi lo stato di sviluppo delle norme armonizzate, il livello degli investimenti in ricerca e sviluppo, la competitività dell’ecosistema europeo dell’AI, e l’impatto ambientale del regolamento.
Il nuovo compromesso sembra poi differenziare tra sanzioni pecuniarie e altre sanzioni, precisando che “le sanzioni possono essere inflitte in aggiunta o in sostituzione di misure non monetarie come ordinanze o diffide”. Secondo una nota a margine del documento, la sanzione amministrativa potrebbe essere innescata da una serie di criteri che potrebbero essere elencati in un nuovo articolo. L’approccio alle sanzioni sembra più basato sul rischio, poiché è stato innalzato il tetto massimo per le violazioni più gravi mentre sono state ridotte quelle per le violazioni minori. Sono stati aggiunti ulteriori elementi da considerare nella decisione sull’importo della sanzione, come il carattere doloso o colposo della violazione, eventuali azioni attenuanti, la collaborazione con l’autorità competente, il grado di responsabilità, il rispetto dei codici di condotta e la traccia disco.
In termini di riservatezza, i deputati hanno proposto che i principi di limitazione delle finalità e minimizzazione dei dati si applichino alla richiesta di informazioni presentata dalle autorità competenti al fornitore di AI.
Viene infine proposto di modificare il regolamento sulla vigilanza del mercato e la conformità dei prodotti per conferire alle autorità di vigilanza del mercato la capacità di esercitare i propri poteri a distanza per adattare le indagini e le richieste di informazioni alle tecnologie digitali, mentre la questione della governance non è ancora stata risolta.
