COMMISSIONE EUROPEA

Bruxelles, 21.4.2021

COM(2021) 206 final

2021/0106(COD)

Proposta di

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO CHE STABILISCE REGOLE ARMONIZZATE SULL'INTELLIGENZA ARTIFICIALE (LEGGE SULL'INTELLIGENZA ARTIFICIALE) E MODIFICA ALCUNI ATTI LEGISLATIVI DELL'UNIONE

{SEC(2021) 167 final} - {SWD(2021) 84 final} - {SWD(2021) 85 final}

RELAZIONE

1.CONTESTO DELLA PROPOSTA

1.1.Motivi e obiettivi della proposta

La presente relazione accompagna la proposta di regolamento che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale). Con il termine intelligenza artificiale (IA) si indica una famiglia di tecnologie in rapida evoluzione in grado di apportare una vasta gamma di benefici economici e sociali in tutto lo spettro delle attività industriali e sociali. L'uso dell'intelligenza artificiale, garantendo un miglioramento delle previsioni, l'ottimizzazione delle operazioni e dell'assegnazione delle risorse e la personalizzazione dell'erogazione di servizi, può contribuire al conseguimento di risultati vantaggiosi dal punto di vista sociale e ambientale nonché fornire vantaggi competitivi fondamentali alle imprese e all'economia europea. Tale azione è particolarmente necessaria in settori ad alto impatto, tra i quali figurano quelli dei cambiamenti climatici, dell'ambiente e della sanità, il settore pubblico, la finanza, la mobilità, gli affari interni e l'agricoltura. Tuttavia gli stessi elementi e le stesse tecniche che alimentano i benefici socio-economici dell'IA possono altresì comportare nuovi rischi o conseguenze negative per le persone fisiche o la società. In considerazione della velocità dei cambiamenti tecnologici e delle possibili sfide, l'UE si impegna a perseguire un approccio equilibrato. L'interesse dell'Unione è quello di preservare la leadership tecnologica dell'UE e assicurare che i cittadini europei possano beneficiare di nuove tecnologie sviluppate e operanti in conformità ai valori, ai diritti fondamentali e ai principi dell'Unione.

Con la presente proposta si tiene fede all'impegno politico della presidente von der Leyen che, nei suoi orientamenti politici per la Commissione 2019-2024 "Un'Unione più ambiziosa" 1 , ha annunciato che la Commissione avrebbe presentato una normativa per un approccio europeo coordinato alle implicazioni umane ed etiche dell'intelligenza artificiale. A seguito di tale annuncio la Commissione ha pubblicato il 19 febbraio 2020 il Libro bianco sull'intelligenza artificiale - Un approccio europeo all'eccellenza e alla fiducia 2 . Il Libro bianco definisce le opzioni strategiche su come conseguire il duplice obiettivo di promuovere l'adozione dell'IA e affrontare i rischi associati a determinati utilizzi di tale tecnologia. La presente proposta mira ad attuare il secondo obiettivo al fine di sviluppare un ecosistema di fiducia proponendo un quadro giuridico per un'IA affidabile. La proposta si basa sui valori e sui diritti fondamentali dell'UE e si prefigge di dare alle persone e agli altri utenti la fiducia per adottare le soluzioni basate sull'IA, incoraggiando al contempo le imprese a svilupparle. L'IA dovrebbe rappresentare uno strumento per le persone e un fattore positivo per la società, con il fine ultimo di migliorare il benessere degli esseri umani. Le regole per l'IA disponibili sul mercato dell'Unione o che comunque interessano le persone nell'Unione dovrebbero pertanto essere incentrate sulle persone, affinché queste ultime possano confidare nel fatto che la tecnologia sia usata in modo sicuro e conforme alla legge, anche in termini di rispetto dei diritti fondamentali. In seguito alla pubblicazione del Libro bianco, la Commissione ha lanciato un'ampia consultazione dei portatori di interessi, accolta con grande attenzione da un gran numero di questi ultimi, che ha espresso il proprio favore a un intervento normativo volto ad affrontare le sfide e le preoccupazioni sollevate dal crescente utilizzo dell'IA.

La presente proposta risponde altresì alle richieste esplicite del Parlamento europeo e del Consiglio europeo, che hanno ripetutamente chiesto un intervento legislativo che assicuri il buon funzionamento del mercato interno per i sistemi di intelligenza artificiale ("sistemi di IA"), nel contesto del quale tanto i benefici quanto i rischi legati all'intelligenza artificiale siano adeguatamente affrontati a livello dell'Unione. Essa contribuisce all'obiettivo dell'Unione di essere un leader mondiale nello sviluppo di un'intelligenza artificiale sicura, affidabile ed etica, come dichiarato dal Consiglio europeo 3 , e garantisce la tutela dei principi etici, come richiesto specificamente dal Parlamento europeo 4 . 

Nel 2017 il Consiglio europeo ha invitato a dimostrare la "consapevolezza dell'urgenza di far fronte alle tendenze emergenti", comprese "questioni quali l'intelligenza artificiale …, garantendo nel contempo un elevato livello di protezione dei dati, diritti digitali e norme etiche" 5 . Nelle sue conclusioni del 2019 sul piano coordinato sullo sviluppo e l'utilizzo dell'intelligenza artificiale "Made in Europe" 6 , il Consiglio ha inoltre posto l'accento sull'importanza di garantire il pieno rispetto dei diritti dei cittadini europei e ha esortato a rivedere la normativa pertinente in vigore con l'obiettivo di garantire che essa sia idonea allo scopo alla luce delle nuove opportunità e sfide poste dall'intelligenza artificiale. Il Consiglio europeo ha inoltre invitato a definire in maniera chiara le applicazioni di IA che dovrebbero essere considerate ad alto rischio 7 .

Nelle conclusioni più recenti del 21 ottobre 2020 si esortava inoltre ad affrontare l'opacità, la complessità, la faziosità, un certo grado di imprevedibilità e un comportamento parzialmente autonomo di taluni sistemi di IA, onde garantirne la compatibilità con i diritti fondamentali e agevolare l'applicazione delle norme giuridiche 8 .

Anche il Parlamento europeo ha intrapreso una quantità considerevole di attività nel settore dell'IA. Nell'ottobre del 2020 ha adottato una serie di risoluzioni concernenti l'IA, anche in relazione ad etica 9 , responsabilità 10 e diritti d'autore 11 . Nel 2021 tali risoluzioni sono state seguite da risoluzioni sull'IA in ambito penale 12 nonché nell'istruzione, nella cultura e nel settore audiovisivo 13 . La risoluzione del Parlamento europeo concernente un quadro relativo agli aspetti etici dell'intelligenza artificiale, della robotica e delle tecnologie correlate raccomanda specificamente alla Commissione di proporre una misura legislativa per sfruttare le opportunità e i benefici dell'IA, ma anche per assicurare la tutela dei principi etici. Tale risoluzione comprende il testo di una proposta legislativa di regolamento sui principi etici per lo sviluppo, la diffusione e l'utilizzo dell'IA, della robotica e delle tecnologie correlate. Conformemente all'impegno politico assunto dalla presidente von der Leyen nei suoi orientamenti politici per quanto concerne le risoluzioni adottate dal Parlamento europeo ai sensi dell'articolo 225 TFUE, la presente proposta tiene conto della summenzionata risoluzione del Parlamento europeo nel pieno rispetto dei principi di proporzionalità e sussidiarietà, nonché di quelli dell'accordo "Legiferare meglio".

In tale contesto politico, la Commissione presenta il quadro normativo proposto sull'intelligenza artificiale con i seguenti obiettivi specifici:

·assicurare che i sistemi di IA immessi sul mercato dell'Unione e utilizzati siano sicuri e rispettino la normativa vigente in materia di diritti fondamentali e i valori dell'Unione;

·assicurare la certezza del diritto per facilitare gli investimenti e l'innovazione nell'intelligenza artificiale;

·migliorare la governance e l'applicazione effettiva della normativa esistente in materia di diritti fondamentali e requisiti di sicurezza applicabili ai sistemi di IA;

·facilitare lo sviluppo di un mercato unico per applicazioni di IA lecite, sicure e affidabili nonché prevenire la frammentazione del mercato.

Al fine di conseguire tali obiettivi la presente proposta presenta un approccio normativo orizzontale all'IA equilibrato e proporzionato, che si limita ai requisiti minimi necessari per affrontare i rischi e i problemi ad essa collegati, senza limitare od ostacolare indebitamente lo sviluppo tecnologico o altrimenti aumentare in modo sproporzionato il costo dell'immissione sul mercato di soluzioni di IA. La proposta definisce un quadro giuridico solido e flessibile. Da un lato, è completa e adeguata alle esigenze future per quanto concerne le sue scelte normative fondamentali, compresi i requisiti basati sui principi che i sistemi di IA dovrebbero soddisfare. Dall'altro, mette in atto un sistema normativo proporzionato incentrato su un approccio normativo ben definito basato sul rischio che non crea restrizioni inutili al commercio, motivo per cui l'intervento legale è adattato alle situazioni concrete nelle quali sussiste un motivo di preoccupazione giustificato o nelle quali tale preoccupazione può essere ragionevolmente prevista nel prossimo futuro. Allo stesso tempo il quadro giuridico comprende meccanismi flessibili che fanno sì che esso possa essere adeguato dinamicamente all'evoluzione della tecnologia e all'emergere di nuove situazioni di preoccupazione.

La proposta fissa regole armonizzate per lo sviluppo, l'immissione sul mercato e l'utilizzo di sistemi di IA nell'Unione seguendo un approccio proporzionato basato sul rischio. Essa propone un'unica definizione di IA adeguata alle esigenze future. Talune pratiche di IA particolarmente dannose sono vietate in quanto in contrasto con i valori dell'Unione, mentre sono proposte restrizioni e tutele specifiche in relazione a determinati usi dei sistemi di identificazione biometrica remota a fini di attività di contrasto. La proposta stabilisce una solida metodologia per la gestione dei rischi impiegata per definire i sistemi di IA "ad alto rischio" che pongono rischi significativi per la salute e la sicurezza o per i diritti fondamentali delle persone. Tali sistemi di IA dovranno rispettare una serie di requisiti obbligatori orizzontali per un'IA affidabile nonché seguire le procedure di valutazione della conformità prima di poter essere immessi sul mercato dell'Unione. Obblighi prevedibili, proporzionati e chiari sono posti in capo anche a fornitori e utenti di tali sistemi con l'obiettivo di assicurare la sicurezza e il rispetto della normativa vigente che tutela i diritti fondamentali durante l'intero ciclo di vita dei sistemi di IA. Per taluni sistemi specifici di IA, vengono proposti soltanto obblighi minimi di trasparenza, in particolare quando vengono utilizzati chatbot o "deep fake".

Le regole proposte saranno applicate tramite un sistema di governance a livello di Stati membri, sulla base di strutture già esistenti, e un meccanismo di cooperazione a livello dell'Unione con l'istituzione di un comitato europeo per l'intelligenza artificiale. Vengono inoltre proposte misure aggiuntive per sostenere l'innovazione, in particolare attraverso spazi di sperimentazione normativa per l'IA e altre misure per ridurre gli oneri normativi e sostenere le piccole e medie imprese ("PMI") e le start-up.

1.2.Coerenza con le disposizioni vigenti nel settore normativo interessato

La natura orizzontale della proposta richiede un'assoluta coerenza con la normativa vigente dell'Unione applicabile ai settori nei quali i sistemi di IA ad alto rischio sono già utilizzati o saranno probabilmente utilizzati in un prossimo futuro.

È inoltre assicurata la coerenza con la Carta dei diritti fondamentali dell'Unione europea e il diritto derivato dell'UE in vigore in materia di protezione dei dati, tutela dei consumatori, non discriminazione e parità di genere. La proposta non pregiudica il regolamento generale sulla protezione dei dati (regolamento (UE) 2016/679) e la direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie (direttiva (UE) 2016/680) e li integra con una serie di regole armonizzate applicabili alla progettazione, allo sviluppo e all'utilizzo di determinati sistemi di IA ad alto rischio nonché di restrizioni concernenti determinati usi dei sistemi di identificazione biometrica remota. La presente proposta integra inoltre il diritto dell'Unione in vigore in materia di non discriminazione con requisiti specifici che mirano a ridurre al minimo il rischio di discriminazione algoritmica, in particolare in relazione alla progettazione e alla qualità dei set di dati utilizzati per lo sviluppo dei sistemi di IA, integrati con obblighi relativi alle prove, alla gestione dei rischi, alla documentazione e alla sorveglianza umana durante l'intero ciclo di vita dei sistemi di IA. La presente proposta non pregiudica l'applicazione del diritto dell'Unione in materia di concorrenza.

Per quanto concerne i sistemi di IA ad alto rischio che sono componenti di sicurezza dei prodotti, la presente proposta sarà integrata nella normativa settoriale vigente in materia di sicurezza, al fine di assicurare la coerenza, evitare duplicazioni e ridurre al minimo gli oneri aggiuntivi. In particolare, per quanto concerne i sistemi di IA ad alto rischio collegati a prodotti soggetti al nuovo quadro normativo (ad esempio macchine, dispositivi medici, giocattoli), i requisiti per i sistemi di IA stabiliti nella presente proposta saranno verificati nel contesto delle procedure di valutazione della conformità esistenti ai sensi della legislazione pertinente di detto nuovo quadro normativo. Per quanto concerne l'interazione dei requisiti, mentre i rischi per la sicurezza specifici dei sistemi di IA sono destinati a essere soggetti ai requisiti della presente proposta, la legislazione del nuovo quadro normativo mira a garantire la sicurezza complessiva del prodotto finale e può pertanto contenere requisiti specifici concernenti l'integrazione sicura di un sistema di IA nel prodotto finale. La proposta di regolamento sulle macchine, adottata nella medesima data della presente proposta, riflette pienamente questo approccio. Per quanto concerne i sistemi di IA ad alto rischio collegati a prodotti soggetti all'applicazione della pertinente normativa del "vecchio approccio" (ad esempio aviazione, autovetture), la presente proposta non si applicherebbe direttamente. Tuttavia i requisiti essenziali ex ante per i sistemi di IA ad alto rischio stabiliti nella presente proposta dovranno essere presi in considerazione al momento dell'adozione della pertinente normativa di esecuzione o delegata ai sensi di tali atti.

Per quanto concerne i sistemi di IA forniti o utilizzati da enti creditizi regolamentati, le autorità competenti per il controllo sulla normativa dell'Unione in materia di servizi finanziari dovrebbero essere designate come autorità competenti per il controllo sui requisiti della presente proposta al fine di assicurare un'applicazione coerente degli obblighi previsti dalla presente proposta e dalla normativa dell'Unione in materia di servizi finanziari laddove i sistemi di IA siano in una certa misura implicitamente regolamentati in relazione al sistema di governance interna degli enti creditizi. Al fine di migliorare ulteriormente la coerenza, la procedura di valutazione della conformità e taluni degli obblighi procedurali dei fornitori a norma della presente proposta sono integrati nelle procedure ai sensi della direttiva 2013/36/UE sull'accesso all'attività degli enti creditizi e sulla vigilanza prudenziale 14 .

La presente proposta è altresì coerente con la legislazione dell'Unione applicabile ai servizi, compresi i servizi di intermediazione regolati dalla direttiva sul commercio elettronico (direttiva 2000/31/CE) 15 e la recente proposta della Commissione per la legge sui servizi digitali 16 .

In relazione ai sistemi di IA che sono componenti di sistemi informatici su larga scala nello spazio di libertà, sicurezza e giustizia gestiti dall'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala (eu-LISA), la proposta non si applicherà ai sistemi di IA immessi sul mercato o messi in servizio prima che sia trascorso un anno dalla data di applicazione del presente regolamento, fatto salvo il caso in cui la sostituzione o la modifica di tali atti giuridici comporti una modifica significativa della progettazione o della finalità prevista del sistema di IA o dei sistemi di IA interessati.

1.3.Coerenza con le altre normative dell'Unione

La proposta fa parte di un pacchetto più ampio di misure destinate ad affrontare i problemi posti dallo sviluppo e dall'utilizzo dell'IA, come esaminato nel Libro bianco sull'intelligenza artificiale. Sono pertanto garantite la coerenza e la complementarità rispetto ad altre iniziative in corso o previste della Commissione, volte anch'esse ad affrontare tali problemi, comprese la revisione della normativa settoriale sui prodotti (ad esempio la direttiva macchine, la direttiva sulla sicurezza generale dei prodotti) e le iniziative che affrontano le questioni connesse alla responsabilità in relazione alle nuove tecnologie, compresi i sistemi di IA. Tali iniziative si baseranno sulla presente proposta e la integreranno al fine di apportare chiarezza giuridica e favorire lo sviluppo di un ecosistema di fiducia nei confronti dell'IA in Europa.

La proposta è inoltre coerente con la strategia digitale globale della Commissione nel contesto del suo contributo alla promozione della tecnologia al servizio delle persone, uno dei tre pilastri principali dell'orientamento politico e degli obiettivi annunciati nella comunicazione "Plasmare il futuro digitale dell'Europa" 17 . Stabilisce un quadro coerente, efficace e proporzionato per assicurare che l'IA si sviluppi secondo modalità che rispettano i diritti delle persone e ne guadagnano la fiducia, rendendo l'Europa adatta all'era digitale e trasformando i prossimi dieci anni nel decennio digitale 18 .

Inoltre la promozione dell'innovazione basata sull'IA è strettamente legata all'Atto sulla governance dei dati 19 , alla direttiva sull'apertura dei dati 20 e ad altre iniziative nell'ambito della strategia dell'UE per i dati 21 , che stabiliranno meccanismi e servizi affidabili per il riutilizzo, la condivisione e la messa in comune dei dati, essenziali per lo sviluppo di modelli di IA di alta qualità basati sui dati.

La proposta rafforza inoltre in maniera significativa il ruolo dell'Unione per quanto riguarda il contributo alla definizione di norme e standard globali e la promozione di un'IA affidabile che sia coerente con i valori e gli interessi dell'Unione. Essa fornisce all'Unione una base solida per impegnarsi ulteriormente con i suoi partner esterni, compresi i paesi terzi, e nei consessi internazionali in merito a questioni relative all'IA.

2.BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ

2.1.Base giuridica

La base giuridica della proposta è costituita innanzitutto dall'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE), che prevede l'adozione di misure destinate ad assicurare l'instaurazione ed il funzionamento del mercato interno.

La presente proposta costituisce una parte fondamentale della strategia dell'Unione per il mercato unico digitale. L'obiettivo principale della presente proposta è assicurare il buon funzionamento del mercato interno fissando regole armonizzate, in particolare per quanto concerne lo sviluppo, l'immissione sul mercato dell'Unione e l'utilizzo di prodotti e servizi che ricorrono a tecnologie di intelligenza artificiale o forniti come sistemi di IA indipendenti ("stand-alone"). Taluni Stati membri stanno già prendendo in considerazione l'adozione di regole nazionali destinate ad assicurare che l'IA sia sicura e venga sviluppata e utilizzata nel rispetto dei diritti fondamentali. È probabile che ciò determini due problemi principali: i) una frammentazione del mercato interno su elementi essenziali concernenti in particolare i requisiti dei prodotti e dei servizi di IA, la loro commercializzazione, il loro utilizzo, la responsabilità e il controllo da parte delle autorità pubbliche; ii) la riduzione sostanziale della certezza del diritto tanto per i fornitori quanto per gli utenti dei sistemi di IA in merito alle modalità secondo cui le regole nuove e quelle esistenti si applicheranno a tali sistemi nell'Unione. Data l'ampia circolazione di prodotti e servizi a livello transfrontaliero, questi due problemi possono essere risolti al meglio attraverso l'armonizzazione della legislazione a livello UE.

La presente proposta definisce infatti dei requisiti obbligatori comuni applicabili alla progettazione e allo sviluppo di alcuni sistemi di IA prima della loro immissione sul mercato, che saranno resi ulteriormente operativi attraverso norme tecniche armonizzate. La presente proposta contempla altresì la situazione successiva all'immissione sul mercato dei sistemi di IA armonizzando le modalità secondo cui sono eseguiti i controlli ex post.

Inoltre, considerando che la presente proposta contiene talune regole specifiche sulla protezione delle persone fisiche per quanto concerne il trattamento di dati personali, in particolare restrizioni sull'utilizzo di sistemi di IA per l'identificazione biometrica remota "in tempo reale" in spazi accessibili al pubblico a fini di attività di contrasto, è opportuno basare il presente regolamento, per quanto concerne tali regole specifiche, sull'articolo 16 TFUE.

2.2.Sussidiarietà (per la competenza non esclusiva)

La natura dell'IA, che si basa spesso su set di dati di grandi dimensioni e varietà che possono essere integrati in qualsiasi prodotto o servizio che circola liberamente nel mercato interno, implica che gli obiettivi della presente proposta non possano essere conseguiti in maniera efficace dai singoli Stati membri. Il formarsi di un mosaico di regole nazionali potenzialmente divergenti potrebbe inoltre ostacolare la circolazione senza soluzione di continuità di prodotti e servizi collegati ai sistemi di IA in tutta l'UE e potrebbe dimostrarsi inefficace nel garantire la sicurezza e la protezione dei diritti fondamentali e dei valori dell'Unione nei diversi Stati membri. Gli approcci nazionali destinati ad affrontare tali problemi creerebbero soltanto incertezza e ostacoli ulteriori e rallenterebbero l'adozione dell'IA da parte del mercato.

Gli obiettivi della presente proposta possono essere meglio conseguiti a livello dell'Unione per evitare un'ulteriore frammentazione del mercato unico in quadri nazionali potenzialmente contraddittori che impediscono la libera circolazione di beni e servizi in cui è integrata l'IA. Un solido quadro normativo europeo per un'IA affidabile assicurerà altresì parità di condizioni e tutelerà tutte le persone, rafforzando allo stesso tempo la competitività e la base industriale dell'Europa nel settore dell'IA. Soltanto un'azione comune a livello di Unione può altresì tutelare la sovranità digitale dell'Unione e sfruttare gli strumenti e i poteri di regolamentazione di quest'ultima per plasmare regole e norme di portata globale.

2.3.Proporzionalità

La proposta si basa sui quadri giuridici esistenti ed è proporzionata e necessaria per il conseguimento dei suoi obiettivi dato che segue un approccio basato sul rischio e impone oneri normativi soltanto laddove un sistema di IA possa comportare rischi alti per i diritti fondamentali e la sicurezza. Per altri sistemi di IA non ad alto rischio sono imposti soltanto obblighi di trasparenza molto limitati, ad esempio in termini di fornitura di informazioni per segnalare l'utilizzo di un sistema di IA nelle interazioni con esseri umani. Per i sistemi di IA ad alto rischio i requisiti di qualità elevata dei dati, documentazione e tracciabilità, trasparenza, sorveglianza umana, precisione e robustezza sono strettamente necessari per attenuare i rischi per i diritti fondamentali e la sicurezza posti dall'IA e che non sono oggetto di altri quadri giuridici in vigore. Norme armonizzate e strumenti di sostegno per l'orientamento e la conformità forniranno assistenza a fornitori e utenti ai fini del rispetto dei requisiti stabiliti dalla presente proposta e della riduzione dei costi. I costi sostenuti dagli operatori sono proporzionati agli obiettivi conseguiti e ai benefici economici e reputazionali che gli operatori possono aspettarsi dalla presente proposta.

2.4.Scelta dell'atto giuridico

La scelta di un regolamento come atto giuridico è giustificata dalla necessità di un'applicazione uniforme delle nuove regole, come la definizione di IA, il divieto di talune pratiche dannose consentite dall'IA e la classificazione di taluni sistemi di IA. L'applicabilità diretta di un regolamento, conformemente all'articolo 288 TFUE, ridurrà la frammentazione giuridica e faciliterà lo sviluppo di un mercato unico per sistemi di IA leciti, sicuri e affidabili. Tale obiettivo sarà conseguito in particolare introducendo una serie armonizzata di requisiti di base per quanto concerne i sistemi di IA classificati come ad alto rischio e di obblighi riguardanti fornitori e utenti di tali sistemi, migliorando la tutela dei diritti fondamentali e garantendo certezza del diritto tanto per gli operatori quanto per i consumatori.

Allo stesso tempo, le disposizioni del regolamento non sono eccessivamente prescrittive e lasciano spazio a diversi livelli di azione da parte degli Stati membri in relazione ad aspetti che non pregiudicano il conseguimento degli obiettivi dell'iniziativa, in particolare l'organizzazione interna del sistema di vigilanza del mercato e l'adozione di misure destinate a promuovere l'innovazione.

3.RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D'IMPATTO

3.1.Consultazione dei portatori di interessi

La presente proposta è il risultato di un'ampia consultazione di tutti i principali portatori di interessi, nel contesto della quale sono stati applicati i principi generali e le norme minime per la consultazione delle parti interessate da parte della Commissione.

Una consultazione pubblica online è stata avviata il 19 febbraio 2020, unitamente alla pubblicazione del Libro bianco sull'intelligenza artificiale, ed è durata fino al 14 giugno 2020. L'obiettivo di tale consultazione era raccogliere opinioni e pareri sul Libro bianco. Tale consultazione è stata rivolta a tutti i portatori di interessi coinvolti del settore pubblico e di quello privato, compresi governi, autorità locali, organizzazioni commerciali e non, parti sociali, esperti, accademici e cittadini. Dopo aver analizzato tutte le risposte pervenute, la Commissione ha pubblicato una sintesi dei risultati, così come le singole risposte, sul proprio sito web 22 .

Complessivamente sono pervenuti 1 215 contributi, di cui 352 da imprese od organizzazioni/associazioni di imprese, 406 da persone fisiche (92 % persone fisiche dell'UE), 152 a nome di istituzioni accademiche/di ricerca e 73 da autorità pubbliche. I pareri della società civile sono stati rappresentati da 160 partecipanti (tra cui 9 organizzazioni di consumatori, 129 organizzazioni non governative e 22 sindacati); 72 partecipanti hanno invece contribuito classificandosi come "altri". Dei 352 rappresentanti di imprese e dell'industria, 222 sono stati imprese e rappresentanti di imprese, il 41,5 % delle quali apparteneva alla categoria delle micro, piccole e medie imprese. Nel resto dei casi si è trattato di associazioni di imprese. Complessivamente l'84 % delle risposte ricevute da imprese e dall'industria è pervenuto dall'UE-27. A seconda della domanda, tra 81 e 598 partecipanti hanno utilizzato l'opzione di testo libero per inserire osservazioni. Oltre 450 documenti di sintesi sono stati presentati tramite il sito web EUSurvey, in aggiunta alle risposte al questionario (oltre 400) oppure sotto forma di contributi indipendenti (oltre 50).

Complessivamente è stato registrato un consenso generale tra i portatori di interessi in merito alla necessità di intervenire. Una grande maggioranza dei portatori di interessi si è detta concorde in merito al fatto che esistano lacune legislative o che sia necessaria una normativa nuova. Tuttavia diversi portatori di interessi hanno avvertito la Commissione di evitare duplicazioni, obblighi contrastanti e una regolamentazione eccessiva. Sono pervenute numerose osservazioni nelle quali è stata sottolineata l'importanza di un quadro normativo proporzionato e neutro dal punto di vista tecnologico.

I portatori di interessi hanno richiesto per lo più una definizione restrittiva, chiara e precisa del concetto di intelligenza artificiale. I portatori di interessi hanno altresì sottolineato che, oltre al chiarimento del termine "intelligenza artificiale", è importante definire anche "rischio", "alto rischio", "basso rischio", "identificazione biometrica remota" e "danno".

La maggior parte dei partecipanti si è detta esplicitamente a favore dell'approccio basato sul rischio. Il ricorso a un quadro basato sul rischio è stato considerato un'opzione migliore rispetto a una regolamentazione di natura generale applicabile a tutti i sistemi di IA. I tipi di rischi e minacce dovrebbero essere basati su un approccio per singolo settore e per singolo caso. I rischi dovrebbero inoltre essere calcolati tenendo conto del loro impatto su diritti e sicurezza.

Disporre di spazi di sperimentazione normativa potrebbe essere molto utile per promuovere l'IA e tale possibilità è stata accolta con favore da taluni portatori di interessi, in particolare le associazioni di imprese.

Tra coloro che hanno formulato la loro opinione in merito ai modelli di applicazione, più del 50 %, in particolare appartenenti ad associazioni di imprese, si è detto a favore di una combinazione di un'autovalutazione ex-ante del rischio e un'applicazione ex post per i sistemi di IA ad alto rischio.

3.2.Assunzione e uso di perizie

La proposta si basa su due anni di analisi e uno stretto coinvolgimento dei portatori di interessi, tra i quali figurano accademici, imprese, parti sociali, organizzazioni non governative, Stati membri e cittadini. I lavori preparatori sono iniziati nel 2018 con la creazione di un gruppo di esperti ad alto livello sull'intelligenza artificiale (AI HLEG), avente una configurazione ampia e inclusiva, costituito da 52 esperti di chiara fama incaricati di fornire consulenza alla Commissione in merito all'attuazione della sua strategia sull'intelligenza artificiale. Nell'aprile del 2019 la Commissione ha sostenuto 23 i requisiti fondamentali stabiliti negli orientamenti etici dell'AI HLEG per un'IA affidabile 24 , che erano stati rivisti per tenere conto di più di 500 osservazioni formulate da portatori di interessi. I requisiti fondamentali riflettono un approccio diffuso e comune, come evidenziato da una pletora di codici etici e principi sviluppati da numerose organizzazioni private e pubbliche in Europa e al di fuori dei suoi confini, secondo il quale lo sviluppo e l'utilizzo di IA dovrebbero essere guidati da alcuni principi essenziali orientati ai valori. L'elenco di valutazione per un'intelligenza artificiale affidabile (ALTAI, dal titolo inglese della pubblicazione) 25 ha reso operativi tali requisiti nel contesto di un processo pilota che ha coinvolto oltre 350 organizzazioni.

È stata inoltre istituita l'Alleanza per l'IA 26 , costituita da una piattaforma destinata a consentire a circa 4 000 portatori di interessi di discutere le implicazioni tecnologiche e sociali dell'IA, che culmina in un'assemblea annuale sull'IA.

3.3.Valutazione d'impatto

In linea con la sua politica "Legiferare meglio", la Commissione ha condotto una valutazione d'impatto in relazione alla presente proposta, esaminata dal comitato per il controllo normativo della Commissione. Il 16 dicembre 2020 si è tenuta una riunione con tale comitato, alla quale è seguita la formulazione di un parere negativo. Dopo una revisione sostanziale volta ad affrontare le osservazioni formulate e ripresentare la valutazione d'impatto, il 21 marzo 2021 il comitato per il controllo normativo ha emesso un parere positivo. I pareri del comitato per il controllo normativo, le raccomandazioni e una spiegazione di come queste ultime sono state prese in considerazione sono presentati nell'allegato 1 della valutazione d'impatto.

La Commissione ha esaminato diverse opzioni strategiche destinate al conseguimento dell'obiettivo generale della presente proposta, ossia quello di assicurare il buon funzionamento del mercato unico creando le condizioni per lo sviluppo e l'utilizzo di un'IA affidabile nell'Unione.

Sono state valutate quattro opzioni strategiche che presentano gradi diversi di intervento normativo:

·opzione 1: strumento legislativo dell'UE che istituisce un sistema di etichettatura volontario;

·opzione 2: approccio settoriale "ad hoc";

·opzione 3: strumento legislativo orizzontale dell'UE che segue un approccio proporzionato basato sul rischio;

·Opzione 3+: strumento legislativo orizzontale dell'UE che segue un approccio proporzionato basato sul rischio + codici di condotta per i sistemi di IA non ad alto rischio;

·opzione 4: strumento legislativo orizzontale dell'UE che stabilisce requisiti obbligatori per tutti i sistemi di IA, indipendentemente dal rischio che pongono.

Secondo la metodologia stabilita dalla Commissione, ciascuna opzione strategica è stata valutata rispetto agli impatti economici e sociali, prestando un'attenzione particolare all'impatto sui diritti fondamentali. L'opzione prescelta è l'opzione 3+ che prevede un quadro normativo soltanto per i sistemi di IA ad alto rischio, con la possibilità per tutti i fornitori di sistemi di IA non ad alto rischio di seguire un codice di condotta. I requisiti riguarderanno i dati, la documentazione e la tracciabilità, la fornitura di informazioni e la trasparenza, la sorveglianza umana nonché la robustezza e la precisione e saranno obbligatori per i sistemi di IA ad alto rischio. Le imprese che introducessero codici di condotta per altri sistemi di IA lo farebbero su base volontaria.

L'opzione prescelta è stata considerata adeguata per affrontare nel modo più efficace gli obiettivi della presente proposta. Richiedendo una serie limitata ma efficace di interventi da parte di sviluppatori e utenti dell'IA, l'opzione prescelta limita i rischi di violazione dei diritti fondamentali e della sicurezza delle persone e promuove attività efficaci di controllo e applicazione, concentrando i requisiti soltanto sui sistemi che presentano un rischio alto di occorrenza di tali violazioni. Di conseguenza tale opzione mantiene i costi di conformità al minimo, evitando così un inutile rallentamento dell'adozione dovuto a prezzi e costi di conformità più elevati. Al fine di affrontare i possibili svantaggi per le PMI, tale opzione comprende diverse disposizioni destinate a sostenere la loro conformità e ridurre i loro costi, tra le quali la creazione di spazi di sperimentazione normativa e l'obbligo di considerare gli interessi delle PMI quando si fissano le tariffe relative alla valutazione della conformità.

L'opzione prescelta aumenterà la fiducia delle persone nei confronti dell'IA, le imprese otterranno vantaggi in termini di certezza del diritto e gli Stati membri non avranno motivo per intraprendere azioni unilaterali che potrebbero frammentare il mercato unico. L'incremento della domanda, in ragione di una fiducia maggiore, e delle offerte disponibili, grazie alla certezza del diritto, nonché l'assenza di ostacoli alla circolazione transfrontaliera dei sistemi di IA faranno probabilmente sì che il mercato unico per l'IA sia fiorente. L'Unione europea continuerà a sviluppare un ecosistema di servizi e prodotti innovativi di IA in rapida crescita che integrano la tecnologia dell'IA o sistemi di IA indipendenti, con conseguente aumento dell'autonomia digitale.

Imprese o autorità pubbliche che sviluppano o utilizzano applicazioni di IA che rappresentano un rischio alto per la sicurezza o i diritti fondamentali dei cittadini dovrebbero rispettare requisiti e obblighi specifici. Entro il 2025 il rispetto di tali requisiti comporterebbe costi compresi, circa, tra 6 000 EUR e 7 000 EUR per la fornitura di un sistema di IA medio ad alto rischio del valore di circa 170 000 EUR. Per gli utenti di IA andrebbe altresì considerato il costo annuale del tempo impiegato per assicurare la sorveglianza umana, ove opportuno, a seconda del caso d'uso. Secondo le stime, tale costo tale costo sarebbe compreso, circa, tra 5 000 EUR e 8 000 EUR l'anno. I costi di verifica potrebbero ammontare a ulteriori 3 000 EUR - 7 500 EUR per i fornitori di IA ad alto rischio. Le imprese o le autorità pubbliche che sviluppano o utilizzano una qualsiasi applicazione di IA non classificata come ad alto rischio sarebbero soggette soltanto ad obblighi minimi di informazione. Potrebbero tuttavia scegliere di riunirsi ad altri soggetti e adottare congiuntamente un codice di condotta per seguire requisiti adeguati e per assicurare che i loro sistemi di IA siano affidabili. In tal caso i costi sarebbero al massimo pari a quelli dei sistemi di IA ad alto rischio, ma molto probabilmente inferiori.

Gli impatti delle opzioni strategiche su diverse categorie di portatori di interessi (operatori economici/imprese; organismi di valutazione della conformità, organismi di normazione e altri enti pubblici; persone fisiche/cittadini; ricercatori) sono spiegati in dettaglio nell'allegato 3 della valutazione d'impatto a sostegno della presente proposta.

3.4.Efficienza normativa e semplificazione

La presente proposta stabilisce gli obblighi che si applicheranno a fornitori e utenti di sistemi di IA ad alto rischio. Per i fornitori che sviluppano e immettono tali sistemi sul mercato dell'Unione, la presente proposta creerà certezza del diritto e assicurerà l'assenza di ostacoli alla fornitura transfrontaliera di servizi e prodotti collegati all'IA. Per le imprese che utilizzano l'IA, promuoverà la fiducia tra i loro clienti, mentre per le amministrazioni pubbliche nazionali la presente proposta promuoverà la fiducia del pubblico nell'utilizzo dell'IA e rafforzerà i meccanismi di applicazione (introducendo un meccanismo di coordinamento europeo, fornendo capacità adeguate e facilitando l'audit dei sistemi di IA con requisiti nuovi per quanto concerne la documentazione, la tracciabilità e la trasparenza). Inoltre il quadro prevedrà misure specifiche a sostegno dell'innovazione, tra le quali spazi di sperimentazione normativa e misure specifiche per sostenere utenti e fornitori di piccole dimensioni di sistemi di IA ad alto rischio affinché possano conformarsi alle nuove regole.

La presente proposta mira inoltre specificamente a rafforzare la competitività e la base industriale dell'Europa nel settore dell'IA. È assicurata la piena coerenza con la vigente normativa settoriale dell'Unione applicabile ai sistemi di IA (ad esempio su prodotti e servizi), il che apporterà ulteriore chiarezza e semplificherà l'applicazione delle nuove regole.

3.5.Diritti fondamentali

L'utilizzo dell'IA con le sue caratteristiche specifiche (ad esempio opacità, complessità, dipendenza dai dati, comportamento autonomo) può incidere negativamente su una serie di diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell'Unione europea ("la Carta"). La presente proposta mira ad assicurare un livello elevato di protezione di tali diritti fondamentali e ad affrontare varie fonti di rischio attraverso un approccio basato sul rischio chiaramente definito. Definendo una serie di requisiti per un'IA affidabile e di obblighi proporzionati per tutti i partecipanti alla catena del valore, la presente proposta migliorerà e promuoverà la protezione dei diritti tutelati dalla Carta: il diritto alla dignità umana (articolo 1), al rispetto della vita privata e alla protezione dei dati di carattere personale (articoli 7 e 8), alla non discriminazione (articolo 21) e alla parità tra donne e uomini (articolo 23). Essa mira a prevenire un effetto dissuasivo sui diritti alla libertà di espressione (articolo 11) e alla libertà di riunione (articolo 12), nonché ad assicurare la tutela del diritto a un ricorso effettivo e a un giudice imparziale, della presunzione di innocenza e dei diritti della difesa (articoli 47 e 48), così come il principio generale di buona amministrazione. La presente proposta inciderà inoltre positivamente, secondo quanto applicabile in determinati settori, sui diritti di una serie di gruppi speciali, quali i diritti dei lavoratori a condizioni di lavoro giuste ed eque (articolo 31), un livello elevato di protezione dei consumatori (articolo 38), i diritti del minore (articolo 24) e l'inserimento delle persone con disabilità (articolo 26). Rilevante è anche il diritto a un livello elevato di tutela dell'ambiente e al miglioramento della sua qualità (articolo 37), anche in relazione alla salute e alla sicurezza delle persone. Gli obblighi di prova ex ante, di gestione dei rischi e di sorveglianza umana faciliteranno altresì il rispetto di altri diritti fondamentali, riducendo al minimo il rischio di decisioni errate o distorte assistite dall'IA in settori critici quali l'istruzione e la formazione, l'occupazione, servizi importanti, le attività di contrasto e il sistema giudiziario. Nel caso in cui si verifichino comunque violazioni dei diritti fondamentali, un ricorso efficace a favore delle persone lese sarà reso possibile assicurando la trasparenza e la tracciabilità dei sistemi di IA unitamente a rigidi controlli ex post.

La presente proposta impone alcune restrizioni alla libertà d'impresa (articolo 16) e alla libertà delle arti e delle scienze (articolo 13) al fine di assicurare il rispetto di motivi imperativi d'interesse pubblico quali la salute, la sicurezza, la tutela dei consumatori e la protezione di altri diritti fondamentali ("innovazione responsabile") nel momento in cui si diffonde e si utilizza una tecnologia di IA. Tali restrizioni sono proporzionate e limitate al minimo necessario per prevenire e attenuare rischi gravi per la sicurezza e probabili violazioni dei diritti fondamentali.

4.INCIDENZA SUL BILANCIO

Gli Stati membri dovranno designare autorità di controllo incaricate di attuare i requisiti legislativi. La loro funzione di controllo potrebbe basarsi su accordi esistenti, ad esempio per quanto riguarda gli organismi di valutazione della conformità o la vigilanza del mercato, ma richiederebbe competenze tecnologiche e risorse umane e finanziarie sufficienti. A seconda della struttura preesistente in ciascuno Stato membro, ciò potrebbe rappresentare da 1 a 25 equivalenti a tempo pieno per Stato membro.

5.ALTRI ELEMENTI

5.1.Piani attuativi e modalità di monitoraggio, valutazione e informazione

Prevedere un solido meccanismo di monitoraggio e valutazione è fondamentale per assicurare che la presente proposta sia efficace nel conseguire i suoi obiettivi specifici. La Commissione sarà incaricata di monitorare gli effetti della proposta. Stabilirà un sistema di registrazione delle applicazioni di IA ad alto rischio indipendenti in una banca dati pubblica a livello dell'UE. Tale registrazione consentirà altresì alle autorità competenti, agli utenti e ad altre persone interessate di verificare se il sistema di IA ad alto rischio è conforme ai requisiti stabiliti nella presente proposta nonché di esercitare una sorveglianza rafforzata sui sistemi di IA che presentano un alto rischio per i diritti fondamentali. Al fine di alimentare tale banca dati, i fornitori di IA saranno tenuti a fornire informazioni significative sui loro sistemi e sulla valutazione della conformità condotta su tali sistemi.

I fornitori di IA saranno inoltre tenuti a informare le autorità nazionali competenti in merito a incidenti gravi o malfunzionamenti che costituiscono una violazione degli obblighi in materia di diritti fondamentali non appena ne vengono a conoscenza, nonché in merito a qualsiasi richiamo o ritiro di sistemi di IA dal mercato. Le autorità nazionali competenti indagheranno quindi sugli incidenti o sui malfunzionamenti, raccoglieranno tutte le informazioni necessarie e le trasmetteranno periodicamente alla Commissione con metadati adeguati. La Commissione integrerà tali informazioni sugli incidenti con un'analisi completa del mercato globale per l'IA.

La Commissione pubblicherà una relazione di valutazione e sul riesame del quadro proposto per l'IA cinque anni dopo la data in cui quest'ultimo diventa applicabile.

5.2.Illustrazione dettagliata delle singole disposizioni della proposta

5.2.1.AMBITO DI APPLICAZIONE E DEFINIZIONI (TITOLO I)

Il titolo I definisce l'oggetto del regolamento e l'ambito di applicazione delle nuove regole concernenti l'immissione sul mercato, la messa in servizio e l'utilizzo di sistemi di IA. Stabilisce inoltre le definizioni utilizzate in tutto l'atto. La definizione di sistema di IA nel quadro giuridico mira ad essere il più possibile neutrale dal punto di vista tecnologico e adeguata alle esigenze future, tenendo conto dei rapidi sviluppi tecnologici e di mercato relativi all'IA. Al fine di fornire la necessaria certezza del diritto, il titolo I è integrato dall'allegato I, contenente un elenco dettagliato di approcci e tecniche per lo sviluppo dell'IA che deve essere adattato dalla Commissione in linea con i nuovi sviluppi tecnologici. Anche i partecipanti chiave lungo l'intera catena del valore dell'IA sono chiaramente definiti, quali i fornitori e gli utenti di sistemi di IA, considerando tanto gli operatori pubblici quanto quelli privati in maniera da assicurare parità di condizioni.

5.2.2.PRATICHE DI INTELLIGENZA ARTIFICIALE VIETATE (TITOLO II)

Il titolo II stabilisce un elenco di pratiche di IA vietate. Il regolamento segue un approccio basato sul rischio, differenziando tra gli usi dell'IA che creano: i) un rischio inaccettabile; ii) un rischio alto; iii) un rischio basso o minimo. L'elenco delle pratiche vietate di cui al titolo II comprende tutti i sistemi di IA il cui uso è considerato inaccettabile in quanto contrario ai valori dell'Unione, ad esempio perché viola i diritti fondamentali. I divieti riguardano pratiche che presentano un elevato potenziale in termini di manipolazione delle persone attraverso tecniche subliminali, senza che tali persone ne siano consapevoli, oppure di sfruttamento delle vulnerabilità di specifici gruppi vulnerabili, quali i minori o le persone con disabilità, al fine di distorcerne materialmente il comportamento in maniera tale da provocare loro o a un'altra persona un danno psicologico o fisico. Altre pratiche manipolative o di sfruttamento che interessano gli adulti che potrebbero essere facilitate dai sistemi di IA potrebbero essere soggette alla normativa vigente in materia di protezione dei dati, tutela dei consumatori e servizi digitali, che garantisce che le persone fisiche siano adeguatamente informate e dispongano della libera scelta di non essere soggette a profilazione o ad altre pratiche che potrebbero influire sul loro comportamento. La proposta vieta altresì l'attribuzione di un punteggio sociale basato sull'IA per finalità generali da parte di autorità pubbliche. È infine vietato anche il ricorso a sistemi di identificazione biometrica remota "in tempo reale" in spazi accessibili al pubblico a fini di attività di contrasto, fatta salva l'applicazione di talune eccezioni limitate.

5.2.3.SISTEMI DI IA AD ALTO RISCHIO (TITOLO III)

Il titolo III contiene regole specifiche per i sistemi di IA che creano un rischio alto per la salute e la sicurezza o per i diritti fondamentali delle persone fisiche. In linea con un approccio basato sul rischio, tali sistemi di IA ad alto rischio sono consentiti sul mercato europeo subordinatamente al rispetto di determinati requisiti obbligatori e ad una valutazione della conformità ex ante. La classificazione di un sistema di IA come ad alto rischio si basa sulla sua finalità prevista, in linea con la normativa vigente dell'UE in materia di sicurezza dei prodotti. Di conseguenza la classificazione come ad alto rischio non dipende solo dalla funzione svolta dal sistema di IA, ma anche dalle finalità e modalità specifiche di utilizzo di tale sistema.

Il capo 1 del titolo III fissa le regole di classificazione e individua due categorie principali di sistemi di IA ad alto rischio:

·i sistemi di IA destinati ad essere utilizzati come componenti di sicurezza di prodotti soggetti a valutazione della conformità ex ante da parte di terzi;

·altri sistemi di IA indipendenti che presentano implicazioni principalmente in relazione ai diritti fondamentali esplicitamente elencati nell'allegato III.

Tale elenco di sistemi di IA ad alto rischio di cui all'allegato III contiene un numero limitato di sistemi di IA i cui rischi si sono già concretizzati o potrebbero concretizzarsi nel prossimo futuro. Al fine di assicurare che il regolamento possa essere adattato agli usi e alle applicazioni emergenti dell'intelligenza artificiale, la Commissione può ampliare l'elenco dei sistemi di IA ad alto rischio utilizzati all'interno di alcuni settori predefiniti, applicando una serie di criteri e una metodologia di valutazione dei rischi.

Il capo 2 definisce i requisiti giuridici per i sistemi di IA ad alto rischio in relazione a dati e governance dei dati, documentazione e conservazione delle registrazioni, trasparenza e fornitura di informazioni agli utenti, sorveglianza umana, robustezza, accuratezza e sicurezza. I requisiti minimi proposti costituiscono già lo stato dell'arte per numerosi operatori diligenti e rappresentano il risultato di due anni di lavoro preparatorio, derivato dagli orientamenti etici del gruppo di esperti ad alto livello sull'intelligenza artificiale 29 , guidato da più di 350 organizzazioni 30 . Tali requisiti sono altresì in gran parte coerenti con altre raccomandazioni e altri principi internazionali, circostanza questa che assicura che il quadro dell'IA proposto sia compatibile con quelli adottati dai partner commerciali internazionali dell'UE. Le soluzioni tecniche precise atte a conseguire la conformità a tali requisiti possono essere previste mediante norme o altre specifiche tecniche o altrimenti essere sviluppate in conformità alle conoscenze ingegneristiche o scientifiche generali, a discrezione del fornitore del sistema di IA. Tale flessibilità è particolarmente importante in quanto consente ai fornitori di sistemi di IA di scegliere il modo in cui soddisfare i requisiti che li riguardano, tenendo conto dello stato dell'arte e del progresso tecnologico e scientifico nel settore.

Il capo 3 definisce una serie chiara di obblighi orizzontali per i fornitori di sistemi di IA ad alto rischio. Obblighi proporzionati sono imposti anche a utenti e altri partecipanti lungo la catena del valore dell'IA (ad esempio importatori, distributori, rappresentanti autorizzati).

Il capo 4 definisce il quadro per gli organismi notificati che saranno coinvolti come terze parti indipendenti nelle procedure di valutazione della conformità, mentre il capo 5 spiega in dettaglio le procedure di valutazione della conformità da seguire per ciascun tipo di sistema di IA ad alto rischio. L'approccio di valutazione della conformità mira a ridurre al minimo l'onere per gli operatori economici e per gli organismi notificati, la cui capacità deve essere aumentata progressivamente nel corso del tempo. I sistemi di IA destinati a essere utilizzati come componenti di sicurezza di prodotti disciplinati conformemente al nuovo quadro normativo (ad esempio macchine, giocattoli, dispositivi medici, ecc.) saranno soggetti agli stessi meccanismi di conformità e applicazione ex ante ed ex post dei prodotti di cui sono un componente. La differenza fondamentale consiste nel fatto che i meccanismi ex ante ed ex post assicureranno la conformità non soltanto ai requisiti stabiliti dalla normativa settoriale, ma anche a quelli fissati dal presente regolamento.

Per quanto riguarda i sistemi di IA ad alto rischio indipendenti di cui all'allegato III, sarà istituito un nuovo sistema di conformità e applicazione. Tale scelta segue il modello della legislazione del nuovo quadro normativo attuata mediante verifiche di controllo interno da parte di fornitori, fatta eccezione per i sistemi di identificazione biometrica remota che sarebbero soggetti a una valutazione della conformità da parte di terzi. Una valutazione completa della conformità ex ante attraverso controlli interni, combinata con una forte applicazione ex post, potrebbe costituire una soluzione efficace e ragionevole per tali sistemi, considerato che l'intervento normativo è in fase iniziale e che il settore dell'IA è molto innovativo e soltanto ora si stanno maturando le competenze di audit. Una valutazione attraverso controlli interni per sistemi di IA ad alto rischio indipendenti richiederebbe una conformità ex ante piena, effettiva e adeguatamente documentata a tutti i requisiti del regolamento e ai sistemi solidi di gestione della qualità e dei rischi e a un monitoraggio successivo all'immissione sul mercato. Dopo aver effettuato la pertinente valutazione della conformità, il fornitore dovrebbe registrare tali sistemi di IA ad alto rischio indipendenti in una banca dati dell'UE che sarà gestita dalla Commissione al fine di aumentare la trasparenza nei confronti del pubblico e la sorveglianza, nonché di rafforzare il controllo ex post da parte delle autorità competenti. Al contrario, per motivi di coerenza con la normativa vigente in materia di sicurezza dei prodotti, le valutazioni della conformità dei sistemi di IA che sono componenti di sicurezza di prodotti seguiranno un sistema che prevede procedure di valutazione della conformità ad opera di terzi già stabilito dalla normativa settoriale pertinente in materia di sicurezza dei prodotti. Saranno necessarie nuove rivalutazioni ex ante della conformità in caso di modifiche sostanziali ai sistemi di IA (e in particolare modifiche che vanno oltre quanto predeterminato dal fornitore nella sua documentazione tecnica e verificato al momento della valutazione della conformità ex ante).

5.2.4.OBBLIGHI DI TRASPARENZA PER DETERMINATI SISTEMI DI IA (TITOLO IV)

Il titolo IV si concentra su determinati sistemi di IA al fine di tenere conto dei rischi specifici di manipolazione che essi comportano. Gli obblighi di trasparenza si applicheranno ai sistemi che: i) interagiscono con gli esseri umani; ii) sono utilizzati per rilevare emozioni o stabilire un'associazione con categorie (sociali) sulla base di dati biometrici; oppure iii) generano o manipolano contenuti ("deep fake"). Quando interagiscono con un sistema di IA o le loro emozioni o caratteristiche vengono riconosciute attraverso mezzi automatizzati, le persone devono esserne informate. Se un sistema di IA viene utilizzato per generare o manipolare immagini o contenuti audio o video che assomigliano notevolmente a contenuti autentici, dovrebbe essere previsto l'obbligo di rivelare che tali contenuti sono generati ricorrendo a mezzi automatizzati, fatte salve le eccezioni per finalità legittime (attività di contrasto, libertà di espressione). Ciò consente alle persone di compiere scelte informate o di compiere un passo indietro rispetto a una determinata situazione.

5.2.5.MISURE A SOSTEGNO DELL'INNOVAZIONE (TITOLO V)

Il titolo V contribuisce all'obiettivo di creare un quadro giuridico favorevole all'innovazione, adeguato alle esigenze future e resiliente alle perturbazioni. Di conseguenza incoraggia le autorità nazionali competenti a creare spazi di sperimentazione normativa e definisce un quadro di base in termini di governance, controllo e responsabilità. Gli spazi di sperimentazione normativa per l'IA creano un ambiente controllato per sottoporre a prova tecnologie innovative per un periodo di tempo limitato sulla base di un piano di prova concordato con le autorità competenti. Il titolo V contiene altresì misure per ridurre gli oneri normativi per le PMI e le start-up.

5.2.6.GOVERNANCE E ATTUAZIONE (TITOLI VI, VII E VII)

Il titolo VI istituisce i sistemi di governance a livello di Unione e nazionale. A livello di Unione, la proposta istituisce un comitato europeo per l'intelligenza artificiale (il "comitato"), costituito da rappresentanti degli Stati membri e della Commissione. Tale comitato faciliterà un'attuazione agevole, efficace e armonizzata del presente regolamento contribuendo all'efficacia della cooperazione tra le autorità nazionali di controllo e la Commissione nonché fornendo consulenza e competenze alla Commissione. Raccoglierà e condividerà inoltre le migliori pratiche tra gli Stati membri.

A livello nazionale, gli Stati membri dovranno designare una o più autorità nazionali competenti e, tra queste, l'autorità nazionale di controllo, al fine di controllare l'applicazione e l'attuazione del regolamento. Il Garante europeo della protezione dei dati agirà in qualità di autorità competente per la vigilanza delle istituzioni, delle agenzie e degli organismi dell'Unione nei casi in cui essi rientrano nell'ambito di applicazione del presente regolamento.

Il titolo VII mira a facilitare il lavoro di monitoraggio della Commissione e delle autorità nazionali attraverso la creazione di una banca dati a livello dell'UE per sistemi di IA ad alto rischio indipendenti che presentano principalmente implicazioni in relazione ai diritti fondamentali. La banca dati sarà gestita dalla Commissione e alimentata con i dati messi a disposizione dai fornitori dei sistemi di IA, che saranno tenuti a registrare i propri sistemi prima di immetterli sul mercato o altrimenti metterli in servizio.

Il titolo VIII stabilisce gli obblighi in materia di monitoraggio e segnalazione per i fornitori di sistemi di IA per quanto riguarda il monitoraggio successivo all'immissione sul mercato e la segnalazione di incidenti e malfunzionamenti correlati all'IA nonché le indagini in merito. Le autorità di vigilanza del mercato controllerebbero anche il mercato e indagherebbero in merito al rispetto degli obblighi e dei requisiti per tutti i sistemi di IA ad alto rischio già immessi sul mercato. Le autorità di vigilanza del mercato avrebbero tutti i poteri di cui al regolamento (UE) 2019/1020 sulla vigilanza del mercato. L'applicazione ex post dovrebbe assicurare che, una volta che il sistema di IA è stato immesso sul mercato, le autorità pubbliche dispongano dei poteri e delle risorse per intervenire nel caso in cui i sistemi di IA generino rischi imprevisti, che richiedono un intervento rapido. Tali autorità monitoreranno inoltre il rispetto da parte degli operatori dei loro obblighi pertinenti a norma del presente regolamento. La proposta non prevede la creazione automatica di ulteriori organismi o autorità a livello di Stato membro. Gli Stati membri possono quindi nominare autorità settoriali esistenti (avvalendosi delle loro competenze) e a tali autorità sarebbero affidati anche i poteri per monitorare e applicare le disposizioni del presente regolamento.

Tutto ciò non pregiudica il sistema esistente e l'attribuzione di poteri di applicazione ex post degli obblighi in materia di diritti fondamentali negli Stati membri. Se necessario per il loro mandato, le autorità di controllo e contrasto esistenti avranno altresì il potere di richiedere tutta la documentazione conservata ai sensi del presente regolamento e di accedervi, nonché, ove necessario, di richiedere alle autorità di vigilanza del mercato di organizzare prove del sistema di IA ad alto rischio mediante mezzi tecnici.

5.2.7.CODICI DI CONDOTTA (TITOLO IX)

Il titolo IX istituisce un quadro per la creazione di codici di condotta che mira a incoraggiare i fornitori di sistemi di IA non ad alto rischio ad applicare volontariamente i requisiti obbligatori previsti per i sistemi di IA ad alto rischio (come stabilito nel titolo III). I fornitori di sistemi di IA non ad alto rischio possono creare e attuare i codici di condotta autonomamente. Tali codici possono altresì comprendere impegni volontari relativi, ad esempio, alla sostenibilità ambientale, all'accessibilità da parte delle persone con disabilità, alla partecipazione dei portatori di interessi alla progettazione e allo sviluppo dei sistemi di IA, nonché alla diversità dei gruppi che si occupano dello sviluppo.

5.2.8.DISPOSIZIONI FINALI (TITOLI X, XI E XII)

Il titolo X sottolinea l'obbligo per tutte le parti di rispettare la riservatezza delle informazioni e dei dati e stabilisce le regole per lo scambio delle informazioni ottenute durante l'attuazione del regolamento. Il titolo X comprende altresì misure per assicurare l'efficace attuazione del regolamento mediante sanzioni efficaci, proporzionate e dissuasive in caso di violazione delle disposizioni.

Il titolo XI stabilisce le regole per l'esercizio della delega e delle competenze di esecuzione. La proposta conferisce alla Commissione la facoltà di adottare, se del caso, atti di esecuzione con l'obiettivo di assicurare l'applicazione uniforme del regolamento o atti delegati per aggiornare o integrare gli elenchi di cui agli allegati da I a VII.

Il titolo XII contiene l'obbligo per la Commissione di valutare periodicamente la necessità di un aggiornamento dell'allegato III e di preparare relazioni periodiche di valutazione e sul riesame del regolamento. Stabilisce inoltre disposizioni finali, compreso un periodo transitorio differenziato per la data iniziale di applicabilità del regolamento al fine di facilitare la corretta attuazione da parte di tutte le parti interessate.

2021/0106 (COD)

Proposta di

REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO

CHE STABILISCE REGOLE ARMONIZZATE SULL'INTELLIGENZA ARTIFICIALE (LEGGE SULL'INTELLIGENZA ARTIFICIALE) E MODIFICA ALCUNI ATTI LEGISLATIVI DELL'UNIONE

IL PARLAMENTO EUROPEO E IL CONSIGLIO DELL'UNIONE EUROPEA,

visto il trattato sul funzionamento dell'Unione europea, in particolare gli articoli 16 e 114,

vista la proposta della Commissione europea,

previa trasmissione del progetto di atto legislativo ai parlamenti nazionali,

visto il parere del Comitato economico e sociale europeo 31 ,

visto il parere del Comitato delle regioni 32 ,

deliberando secondo la procedura legislativa ordinaria,

considerando quanto segue:

(1)Lo scopo del presente regolamento è migliorare il funzionamento del mercato interno istituendo un quadro giuridico uniforme in particolare per quanto riguarda lo sviluppo, la commercializzazione e l'uso dell'intelligenza artificiale (IA) in conformità ai valori dell'Unione. Il presente regolamento persegue una serie di motivi imperativi di interesse pubblico, quali un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali, e garantisce la libera circolazione transfrontaliera di beni e servizi basati sull'IA, impedendo così agli Stati membri di imporre restrizioni allo sviluppo, alla commercializzazione e all'uso di sistemi di IA, salvo espressa autorizzazione del presente regolamento.

(2)I sistemi di intelligenza artificiale (sistemi di IA) possono essere facilmente impiegati in molteplici settori dell'economia e della società, anche a livello transfrontaliero, e circolare in tutta l'Unione. Alcuni Stati membri hanno già preso in esame l'adozione di regole nazionali per garantire che l'intelligenza artificiale sia sicura e sia sviluppata e utilizzata nel rispetto degli obblighi in materia di diritti fondamentali. Normative nazionali divergenti possono determinare una frammentazione del mercato interno e diminuire la certezza del diritto per gli operatori che sviluppano o utilizzano sistemi di IA. È pertanto opportuno garantire un livello di protezione costante ed elevato in tutta l'Unione, mentre dovrebbero essere evitate le divergenze che ostacolano la libera circolazione dei sistemi di IA e dei relativi prodotti e servizi nel mercato interno, stabilendo obblighi uniformi per gli operatori e garantendo la tutela uniforme dei motivi imperativi di interesse pubblico e dei diritti delle persone in tutto il mercato interno, sulla base dell'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE). Nella misura in cui il presente regolamento prevede regole specifiche sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, consistenti in limitazioni dell'uso dei sistemi di IA per l'identificazione biometrica remota "in tempo reale" in spazi accessibili al pubblico a fini di attività di contrasto, è opportuno basare il presente regolamento, per quanto riguarda tali regole specifiche, sull'articolo 16 TFUE. Alla luce di tali regole specifiche e del ricorso all'articolo 16 TFUE, è opportuno consultare il comitato europeo per la protezione dei dati.

(3)L'intelligenza artificiale consiste in una famiglia di tecnologie in rapida evoluzione che può contribuire al conseguimento di un'ampia gamma di benefici a livello economico e sociale nell'intero spettro delle attività industriali e sociali. L'uso dell'intelligenza artificiale, garantendo un miglioramento delle previsioni, l'ottimizzazione delle operazioni e dell'assegnazione delle risorse e la personalizzazione delle soluzioni digitali disponibili per i singoli e le organizzazioni, può fornire vantaggi competitivi fondamentali alle imprese e condurre a risultati vantaggiosi sul piano sociale ed ambientale, ad esempio in materia di assistenza sanitaria, agricoltura, istruzione e formazione, gestione delle infrastrutture, energia, trasporti e logistica, servizi pubblici, sicurezza, giustizia, efficienza dal punto di vista energetico e delle risorse, mitigazione dei cambiamenti climatici e adattamento ad essi.

(4)L'intelligenza artificiale può nel contempo, a seconda delle circostanze relative alla sua applicazione e al suo utilizzo specifici, comportare rischi e pregiudicare gli interessi pubblici e i diritti tutelati dalla legislazione dell'Unione. Tale pregiudizio può essere sia materiale sia immateriale.

(5)Si rende pertanto necessario un quadro giuridico dell'Unione che istituisca regole armonizzate in materia di intelligenza artificiale per promuovere lo sviluppo, l'uso e l'adozione dell'intelligenza artificiale nel mercato interno, garantendo nel contempo un elevato livello di protezione degli interessi pubblici, quali la salute e la sicurezza e la protezione dei diritti fondamentali, come riconosciuti e tutelati dal diritto dell'Unione. Per conseguire tale obiettivo, è opportuno stabilire regole che disciplinino l'immissione sul mercato e la messa in servizio di determinati sistemi di IA, garantendo in tal modo il buon funzionamento del mercato interno e consentendo a tali sistemi di beneficiare del principio della libera circolazione di beni e servizi. Stabilendo tali regole, il presente regolamento contribuisce all'obiettivo dell'Unione di essere un leader mondiale nello sviluppo di un'intelligenza artificiale sicura, affidabile ed etica, come affermato dal Consiglio europeo 33 , e garantisce la tutela dei principi etici, come specificamente richiesto dal Parlamento europeo 34 .

(6)La nozione di sistema di IA dovrebbe essere definita in maniera chiara al fine di garantire la certezza del diritto, prevedendo nel contempo la flessibilità necessaria per agevolare i futuri sviluppi tecnologici. La definizione dovrebbe essere basata sulle principali caratteristiche funzionali del software, in particolare sulla capacità, per una determinata serie di obiettivi definiti dall'uomo, di generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano l'ambiente con cui il sistema interagisce, tanto in una dimensione fisica quanto in una dimensione digitale. I sistemi di IA possono essere progettati per funzionare con livelli di autonomia variabili e per essere utilizzati come elementi indipendenti (stand-alone) o come componenti di un prodotto, a prescindere dal fatto che il sistema sia fisicamente incorporato nel prodotto (integrato) o assista la funzionalità del prodotto senza esservi incorporato (non integrato). La definizione di sistema di IA dovrebbe essere completata da un elenco di tecniche e approcci specifici utilizzati per il suo sviluppo, che dovrebbe essere tenuto aggiornato alla luce degli sviluppi di mercato e tecnologici mediante l'adozione da parte della Commissione di atti delegati volti a modificare tale elenco.

(7)La nozione di dati biometrici utilizzata nel presente regolamento è in linea e dovrebbe essere interpretata in modo coerente con la nozione di dati biometrici di cui all'articolo 4, punto 14), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio 35 , all'articolo 3, punto 18), del regolamento (UE) n. 2018/1725 del Parlamento europeo e del Consiglio 36 e all'articolo 3, punto 13), della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio 37 .

(8)È opportuno definire a livello funzionale la nozione di sistema di identificazione biometrica remota utilizzata nel presente regolamento, quale sistema di IA destinato all'identificazione a distanza di persone fisiche mediante il confronto dei dati biometrici di una persona con i dati biometrici contenuti in una banca dati di riferimento, e senza sapere in anticipo se la persona interessata sarà presente e può essere identificata, a prescindere dalla tecnologia, dai processi o dai tipi specifici di dati biometrici utilizzati. Tenuto conto delle loro diverse caratteristiche e modalità di utilizzo, nonché dei diversi rischi connessi, è opportuno operare una distinzione tra sistemi di identificazione biometrica remota "in tempo reale" e "a posteriori". Nel caso dei sistemi "in tempo reale", il rilevamento dei dati biometrici, il confronto e l'identificazione avvengono tutti istantaneamente, quasi istantaneamente o in ogni caso senza ritardi significativi. A tale riguardo, non dovrebbe essere possibile eludere le regole del presente regolamento per quanto attiene all'uso "in tempo reale" dei sistemi di IA in questione prevedendo ritardi minimi. I sistemi "in tempo reale" comportano l'uso di materiale "dal vivo" o "quasi dal vivo" (ad esempio filmati) generato da una telecamera o da un altro dispositivo con funzionalità analoghe. Nel caso dei sistemi di identificazione "a posteriori", invece, i dati biometrici sono già stati rilevati e il confronto e l'identificazione avvengono solo con un ritardo significativo. Si tratta di materiale, come immagini o filmati generati da telecamere a circuito chiuso o da dispositivi privati, che è stato generato prima che il sistema fosse usato in relazione alle persone fisiche interessate.

(9)Ai fini del presente regolamento la nozione di spazio accessibile al pubblico dovrebbe essere intesa come riferita a qualsiasi luogo fisico accessibile al pubblico, a prescindere dal fatto che il luogo in questione sia di proprietà pubblica o privata. La nozione non contempla pertanto i luoghi di natura privata, quali abitazioni, circoli privati, uffici, magazzini e fabbriche, che non sono di norma accessibili a terzi, comprese le autorità di contrasto, a meno che tali soggetti non siano stati specificamente invitati o autorizzati. Non sono del pari contemplati gli spazi online, dato che non sono luoghi fisici. Il semplice fatto che possano applicarsi determinate condizioni di accesso a uno spazio specifico, quali biglietti d'ingresso o limiti di età, non significa tuttavia che lo spazio non sia accessibile al pubblico ai sensi del presente regolamento. Di conseguenza, oltre agli spazi pubblici come le strade, le parti pertinenti degli edifici governativi e la maggior parte delle infrastrutture di trasporto, sono di norma accessibili al pubblico anche spazi quali cinema, teatri, negozi e centri commerciali. L'accessibilità di un determinato spazio al pubblico dovrebbe tuttavia essere determinata caso per caso, tenendo conto delle specificità della singola situazione presa in esame.

(10)Al fine di garantire condizioni di parità e una protezione efficace dei diritti e delle libertà delle persone in tutta l'Unione, è opportuno che le regole stabilite dal presente regolamento si applichino ai fornitori di sistemi di IA in modo non discriminatorio, a prescindere dal fatto che siano stabiliti nell'Unione o in un paese terzo, e agli utenti dei sistemi di IA stabiliti nell'Unione.

(11)Alla luce della loro natura di sistemi digitali, è opportuno che determinati sistemi di IA rientrino nell'ambito di applicazione del presente regolamento anche quando non sono immessi sul mercato, né messi in servizio, né utilizzati nell'Unione. È il caso, ad esempio, di un operatore stabilito nell'Unione che appalta alcuni servizi a un operatore stabilito al di fuori dell'Unione in relazione a un'attività che deve essere svolta da un sistema di IA che sarebbe classificato ad alto rischio e i cui effetti avrebbero un impatto sulle persone fisiche che si trovano nell'Unione. In tali circostanze il sistema di IA utilizzato dall'operatore al di fuori dell'Unione potrebbe trattare dati raccolti nell'Unione e da lì trasferiti, nel rispetto della legge, e fornire all'operatore appaltante nell'Unione l'output di tale sistema di IA risultante da tale trattamento, senza che tale sistema di IA sia immesso sul mercato, messo in servizio o utilizzato nell'Unione. Al fine di impedire l'elusione del presente regolamento e di garantire una protezione efficace delle persone fisiche che si trovano nell'Unione, è opportuno che il presente regolamento si applichi anche ai fornitori e agli utenti di sistemi di IA stabiliti in un paese terzo, nella misura in cui l'output prodotto da tali sistemi è utilizzato nell'Unione. Cionondimeno, per tener conto degli accordi vigenti e delle esigenze particolari per la cooperazione con partner stranieri con cui sono scambiate informazioni e elementi probatori, il presente regolamento non dovrebbe applicarsi alle autorità pubbliche di un paese terzo e alle organizzazioni internazionali che agiscono nel quadro di accordi internazionali conclusi a livello nazionale o europeo per la cooperazione delle autorità giudiziarie e di contrasto con l'Unione o con i suoi Stati membri. Tali accordi sono stati conclusi bilateralmente tra Stati membri e paesi terzi o tra l'Unione europea, Europol e altre agenzie dell'UE e paesi terzi e organizzazioni internazionali.

(12)È altresì opportuno che il presente regolamento si applichi alle istituzioni, agli uffici, agli organismi e alle agenzie dell'Unione quando agiscono in qualità di fornitori o utenti di un sistema di IA. I sistemi di IA sviluppati o utilizzati esclusivamente per scopi militari dovrebbero essere esclusi dall'ambito di applicazione del presente regolamento nel caso in cui tale uso rientri nell'ambito di competenza esclusiva della politica estera e di sicurezza comune disciplinata dal titolo V del trattato sull'Unione europea (TUE). Il presente regolamento non dovrebbe pregiudicare le disposizioni relative alla responsabilità dei prestatori intermediari di cui alla direttiva 2000/31/CE del Parlamento europeo e del Consiglio [come modificata dalla legge sui servizi digitali].

(13)Al fine di garantire un livello costante ed elevato di tutela degli interessi pubblici in materia di salute, sicurezza e diritti fondamentali, è opportuno stabilire norme legislative comuni per tutti i sistemi di IA ad alto rischio. Tali norme dovrebbero essere coerenti con la Carta dei diritti fondamentali dell'Unione europea (la Carta), non discriminatorie e in linea con gli impegni commerciali internazionali dell'Unione.

(14)Al fine di introdurre un insieme proporzionato ed efficace di regole vincolanti per i sistemi di IA è opportuno avvalersi di un approccio basato sul rischio definito in modo chiaro. Tale approccio dovrebbe adattare la tipologia e il contenuto di dette regole all'intensità e alla portata dei rischi che possono essere generati dai sistemi di IA. È pertanto necessario vietare determinate pratiche di intelligenza artificiale, stabilire requisiti per i sistemi di IA ad alto rischio e obblighi per gli operatori pertinenti, nonché obblighi di trasparenza per determinati sistemi di IA.

(15)L'intelligenza artificiale presenta, accanto a molti utilizzi benefici, la possibilità di essere utilizzata impropriamente e di fornire strumenti nuovi e potenti per pratiche di manipolazione, sfruttamento e controllo sociale. Tali pratiche sono particolarmente dannose e dovrebbero essere vietate poiché contraddicono i valori dell'Unione relativi al rispetto della dignità umana, della libertà, dell'uguaglianza, della democrazia e dello Stato di diritto e dei diritti fondamentali dell'Unione, compresi il diritto alla non discriminazione, alla protezione dei dati e della vita privata e i diritti dei minori.

(16)È opportuno vietare l'immissione sul mercato, la messa in servizio o l'uso di determinati sistemi di IA intesi a distorcere il comportamento umano e che possono provocare danni fisici o psicologici. Tali sistemi di IA impiegano componenti subliminali che i singoli individui non sono in grado di percepire, oppure sfruttano le vulnerabilità di bambini e persone, dovute all'età o a incapacità fisiche o mentali. Si tratta di azioni compiute con l'intento di distorcere materialmente il comportamento di una persona, in un modo che provoca o può provocare un danno a tale persona o a un'altra. Tale intento non può essere presunto se la distorsione del comportamento umano è determinata da fattori esterni al sistema di IA, che sfuggono al controllo del fornitore o dell'utente. Tale divieto non dovrebbe ostacolare la ricerca per scopi legittimi in relazione a tali sistemi di IA, se tale ricerca non equivale a un uso del sistema di IA nelle relazioni uomo-macchina che espone le persone fisiche a danni e se tale ricerca è condotta conformemente a norme etiche riconosciute per la ricerca scientifica.

(17)I sistemi di IA che forniscono un punteggio sociale delle persone fisiche per finalità generali delle autorità pubbliche o di loro rappresentanti possono portare a risultati discriminatori e all'esclusione di determinati gruppi. Possono inoltre ledere il diritto alla dignità e alla non discriminazione e i valori di uguaglianza e giustizia. Tali sistemi di IA valutano o classificano l'affidabilità delle persone fisiche sulla base del loro comportamento sociale in molteplici contesti o di caratteristiche personali o della personalità note o previste. Il punteggio sociale ottenuto da tali sistemi di IA può determinare un trattamento pregiudizievole o sfavorevole di persone fisiche o di interi gruppi in contesti sociali che non sono collegati ai contesti in cui i dati sono stati originariamente generati o raccolti, o a un trattamento pregiudizievole che risulta ingiustificato o sproporzionato rispetto alla gravità del loro comportamento sociale. È pertanto opportuno vietare tali sistemi di IA.

(18)L'uso di sistemi di IA di identificazione biometrica remota "in tempo reale" delle persone fisiche in spazi accessibili al pubblico a fini di attività di contrasto è ritenuto particolarmente invasivo dei diritti e delle libertà delle persone interessate, nella misura in cui potrebbe avere ripercussioni sulla vita privata di un'ampia fetta della popolazione, farla sentire costantemente sotto sorveglianza e scoraggiare in maniera indiretta l'esercizio della libertà di riunione e di altri diritti fondamentali. L'immediatezza dell'impatto e le limitate opportunità di eseguire ulteriori controlli o apportare correzioni in relazione all'uso di tali sistemi che operano "in tempo reale" comportano inoltre un aumento dei rischi per quanto concerne i diritti e le libertà delle persone oggetto di attività di contrasto.

(19)L'uso di tali sistemi a fini di attività di contrasto dovrebbe pertanto essere vietato, eccezion fatta per tre situazioni elencate in modo esaustivo e definite rigorosamente, nelle quali l'uso è strettamente necessario per perseguire un interesse pubblico rilevante, la cui importanza prevale sui rischi. Tali situazioni comprendono la ricerca di potenziali vittime di reato, compresi i minori scomparsi, determinate minacce per la vita o l'incolumità fisica delle persone fisiche o un attacco terroristico nonché il rilevamento, la localizzazione e l'identificazione degli autori o dei sospettati di reati di cui nella decisione quadro 2002/584/GAI del Consiglio 38 o l'azione penale nei loro confronti, se tali reati, quali definiti dalla legge dello Stato membro interessato, sono punibili in tale Stato membro con una pena o una misura di sicurezza privativa della libertà personale della durata massima di almeno tre anni. Tale soglia per la pena o la misura di sicurezza privativa della libertà personale in conformità al diritto nazionale contribuisce a garantire che il reato sia sufficientemente grave da giustificare potenzialmente l'uso di sistemi di identificazione biometrica remota "in tempo reale". Inoltre è probabile che, a livello pratico, alcuni dei 32 reati elencati della decisione quadro 2002/584/GAI del Consiglio risultino più pertinenti di altri, poiché il grado di necessità e proporzionalità del ricorso all'identificazione biometrica remota "in tempo reale" sarà prevedibilmente molto variabile per quanto concerne il perseguimento pratico del rilevamento, della localizzazione, dell'identificazione o dell'azione penale nei confronti di un autore o un sospettato dei vari reati elencati e con riguardo alle possibili differenze in termini di gravità, probabilità e portata del danno o delle eventuali conseguenze negative.

(20)Al fine di garantire che tali sistemi siano utilizzati in modo responsabile e proporzionato, è altresì importante stabilire che, in ciascuna delle tre situazioni elencate in modo esaustivo e definite rigorosamente, è opportuno tener conto di taluni elementi, in particolare per quanto riguarda la natura della situazione all'origine della richiesta e le conseguenze dell'uso per i diritti e le libertà di tutte le persone interessate, nonché le tutele e le condizioni previste per l'uso. L'uso di sistemi di identificazione biometrica remota "in tempo reale" in spazi accessibili al pubblico a fini di attività di contrasto dovrebbe inoltre essere subordinato a limiti di tempo e di spazio adeguati, con particolare riguardo a indicazioni o elementi probatori relativi a minacce, vittime o autori di reati. La banca dati di riferimento delle persone dovrebbe risultare adeguata per ogni caso d'uso in ciascuna delle tre situazioni di cui sopra.

(21)È opportuno subordinare ogni uso di un sistema di identificazione biometrica remota "in tempo reale" in spazi accessibili al pubblico a fini di attività di contrasto a un'autorizzazione esplicita e specifica da parte di un'autorità giudiziaria o di un'autorità amministrativa indipendente di uno Stato membro. Tale autorizzazione dovrebbe, in linea di principio, essere ottenuta prima dell'uso, tranne in situazioni di urgenza debitamente giustificate, vale a dire le situazioni in cui la necessità di utilizzare i sistemi in questione è tale da far sì che sia effettivamente e oggettivamente impossibile ottenere un'autorizzazione prima di iniziare a utilizzare il sistema. In tali situazioni di urgenza, è opportuno limitare l'uso al minimo indispensabile e subordinarlo a tutele e condizioni adeguate, come stabilito dal diritto nazionale e specificato nel contesto di ogni singolo caso d'uso urgente dall'autorità di contrasto stessa. L'autorità di contrasto dovrebbe inoltre in tali situazioni tentare di ottenere nel minor tempo possibile un'autorizzazione, indicando contestualmente i motivi per cui non ha potuto richiederla prima.

(22)È altresì opportuno prevedere, nell'ambito del quadro esaustivo stabilito dal presente regolamento, che tale uso nel territorio di uno Stato membro in conformità al presente regolamento sia possibile solo nel caso e nella misura in cui lo Stato membro in questione abbia deciso di prevedere espressamente la possibilità di autorizzare tale uso nelle regole dettagliate del proprio diritto nazionale. Gli Stati membri restano di conseguenza liberi, a norma del presente regolamento, di non prevedere affatto tale possibilità o di prevederla soltanto per alcuni degli obiettivi idonei a giustificare l'uso autorizzato di cui nel presente regolamento.

(23)L'uso di sistemi di IA per l'identificazione biometrica remota "in tempo reale" di persone fisiche in spazi accessibili al pubblico a fini di attività di contrasto comporta necessariamente il trattamento di dati biometrici. Le regole del presente regolamento che, fatte salve alcune eccezioni, vietano tale uso, e che sono basate sull'articolo 16 TFUE, dovrebbero applicarsi come lex specialis rispetto alle regole sul trattamento dei dati biometrici di cui all'articolo 10 della direttiva (UE) 2016/680, disciplinando quindi in modo esaustivo tale uso e il trattamento dei dati biometrici interessati. L'uso e il trattamento di cui sopra dovrebbero pertanto essere possibili solo nella misura in cui siano compatibili con il quadro stabilito dal presente regolamento, senza che al di fuori di tale quadro sia prevista la possibilità, per le autorità competenti, quando agiscono a fini di attività di contrasto, di utilizzare tali sistemi e trattare tali dati in connessione con tali attività per i motivi di cui all'articolo 10 della direttiva (UE) 2016/680. In tale contesto, il presente regolamento non è inteso a fornire la base giuridica per il trattamento dei dati personali a norma dell'articolo 8 della direttiva 2016/680. Tuttavia, l'uso di sistemi di identificazione biometrica remota "in tempo reale" in spazi accessibili al pubblico a fini diversi dalle attività di contrasto, anche da parte delle autorità competenti, non dovrebbe rientrare nel quadro specifico stabilito dal presente regolamento in relazione a tale uso a fini di attività di contrasto. Tale uso a fini diversi dalle attività di contrasto non dovrebbe pertanto essere subordinato all'obbligo di un'autorizzazione a norma del presente regolamento e delle regole dettagliate applicabili del diritto nazionale che possono darvi attuazione.

(24)Qualsiasi trattamento di dati biometrici e di altri dati personali interessati dall'uso di sistemi di IA a fini di identificazione biometrica, diverso da quello connesso all'uso di sistemi di identificazione biometrica remota "in tempo reale" in spazi accessibili al pubblico a fini di attività di contrasto disciplinato dal presente regolamento, compresi i casi in cui tali sistemi sono utilizzati dalle autorità competenti in spazi accessibili al pubblico per fini diversi dalle attività di contrasto, dovrebbe continuare a soddisfare tutti i requisiti derivanti dall'articolo 9, paragrafo 1, del regolamento (UE) 2016/679, dall'articolo 10, paragrafo 1, del regolamento (UE) 2018/1725 e dall'articolo 10 della direttiva (UE) 2016/680, a seconda dei casi.

(25)A norma dell'articolo 6 bis del protocollo n. 21 sulla posizione del Regno Unito e dell'Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al TUE e al TFUE, l'Irlanda non è vincolata dalle regole stabilite all'articolo 5, paragrafo 1, lettera d), e paragrafi 2 e 3, del presente regolamento, adottate in base all'articolo 16 TFUE, che riguardano il trattamento dei dati personali da parte degli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione della parte terza, titolo V, capi 4 o 5, TFUE, laddove l'Irlanda non sia vincolata da regole che disciplinano forme di cooperazione giudiziaria in materia penale o di cooperazione di polizia nell'ambito delle quali devono essere rispettate le disposizioni stabilite in base all'articolo 16 TFUE.

(26)A norma degli articoli 2 e 2 bis del protocollo n. 22 sulla posizione della Danimarca, allegato al TUE e al TFUE, la Danimarca non è vincolata dalle regole stabilite all'articolo 5, paragrafo 1, lettera d), e paragrafi 2 e 3, del presente regolamento, adottate in base all'articolo 16 TFUE, che riguardano il trattamento dei dati personali da parte degli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione della parte terza, titolo V, capi 4 o 5, TFUE, né è soggetta alla loro applicazione.

(27)È opportuno che i sistemi di IA ad alto rischio siano immessi sul mercato dell'Unione o messi in servizio solo se soddisfano determinati requisiti obbligatori. Tali requisiti dovrebbero garantire che i sistemi di IA ad alto rischio disponibili nell'Unione o i cui output sono altrimenti utilizzati nell'Unione non presentino rischi inaccettabili per interessi pubblici importanti dell'Unione, come riconosciuti e tutelati dal diritto dell'Unione. È opportuno limitare i sistemi di IA identificati come ad alto rischio a quelli che hanno un impatto nocivo significativo sulla salute, la sicurezza e i diritti fondamentali delle persone nell'Unione, e tale limitazione riduce al minimo eventuali potenziali restrizioni al commercio internazionale.

(28)I sistemi di IA potrebbero avere ripercussioni negative per la salute e la sicurezza delle persone, in particolare quando tali sistemi sono impiegati come componenti di prodotti. Coerentemente con gli obiettivi della normativa di armonizzazione dell'Unione di agevolare la libera circolazione dei prodotti nel mercato interno e di garantire che solo prodotti sicuri e comunque conformi possano essere immessi sul mercato, è importante che i rischi per la sicurezza che un prodotto nel suo insieme può generare a causa dei suoi componenti digitali, compresi i sistemi di IA, siano debitamente prevenuti e attenuati. Ad esempio, i robot sempre più autonomi, sia nel contesto della produzione sia in quello della cura e dell'assistenza alle persone, dovrebbero essere in misura di operare e svolgere le loro funzioni in condizioni di sicurezza in ambienti complessi. Analogamente, nel settore sanitario, in cui la posta in gioco per la vita e la salute è particolarmente elevata, è opportuno che i sistemi diagnostici e i sistemi di sostegno delle decisioni dell'uomo, sempre più sofisticati, siano affidabili e accurati. La portata dell'impatto negativo del sistema di IA sui diritti fondamentali protetti dalla Carta è di particolare rilevanza ai fini della classificazione di un sistema di IA tra quelli ad alto rischio. Tali diritti comprendono il diritto alla dignità umana, il rispetto della vita privata e della vita familiare, la protezione dei dati personali, la libertà di espressione e di informazione, la libertà di riunione e di associazione e la non discriminazione, la protezione dei consumatori, i diritti dei lavoratori, i diritti delle persone con disabilità, il diritto a un ricorso effettivo e a un giudice imparziale, i diritti della difesa e la presunzione di innocenza e il diritto a una buona amministrazione. Oltre a tali diritti, è importante sottolineare che i minori godono di diritti specifici sanciti dall'articolo 24 della Carta dell'UE e dalla Convenzione delle Nazioni Unite sui diritti del fanciullo (ulteriormente elaborati nell'osservazione generale n. 25 della Convenzione delle Nazioni Unite sui diritti del fanciullo per quanto riguarda l'ambiente digitale), che prevedono la necessità di tenere conto delle loro vulnerabilità e di fornire la protezione e l'assistenza necessarie al loro benessere. È altresì opportuno tenere in considerazione, nel valutare la gravità del danno che un sistema di IA può provocare, anche in relazione alla salute e alla sicurezza delle persone, il diritto fondamentale a un livello elevato di protezione dell'ambiente sancito dalla Carta e attuato nelle politiche dell'Unione.

(29)Per quanto riguarda i sistemi di IA ad alto rischio che sono componenti di sicurezza di prodotti o sistemi o che sono essi stessi prodotti o sistemi che rientrano nell'ambito di applicazione del regolamento (CE) n. 300/2008 del Parlamento europeo e del Consiglio 39 , del regolamento (UE) n. 167/2013 del Parlamento europeo e del Consiglio 40 , del regolamento (UE) n. 168/2013 del Parlamento europeo e del Consiglio 41 , della direttiva 2014/90/UE del Parlamento europeo e del Consiglio 42 , della direttiva (UE) 2016/797 del Parlamento europeo e del Consiglio 43 , del regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio 44 , del regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio 45 , e del regolamento (UE) 2019/2144 del Parlamento europeo e del Consiglio 46 , è opportuno modificare i suddetti atti per garantire che, nell'adottare qualsiasi futuro atto delegato o di esecuzione pertinente sulla base di tali atti, la Commissione tenga conto, sulla base delle specificità tecniche e normative di ciascun settore e senza interferire con i vigenti meccanismi di governance, valutazione della conformità e applicazione e con le autorità da essi stabilite, dei requisiti obbligatori sanciti dal presente regolamento.

(30)Per quanto riguarda i sistemi di IA che sono componenti di sicurezza di prodotti, o che sono essi stessi prodotti, e rientrano nell'ambito di applicazione di una determinata normativa di armonizzazione dell'Unione, è opportuno classificarli come sistemi ad alto rischio a norma del presente regolamento se il prodotto in questione è sottoposto alla procedura di valutazione della conformità con un organismo terzo di valutazione della conformità a norma della suddetta pertinente normativa di armonizzazione dell'Unione. Tali prodotti sono, in particolare, macchine, giocattoli, ascensori, apparecchi e sistemi di protezione destinati a essere utilizzati in atmosfera potenzialmente esplosiva, apparecchiature radio, attrezzature a pressione, attrezzature per imbarcazioni da diporto, impianti a fune, apparecchi che bruciano carburanti gassosi, dispositivi medici e dispositivi medico-diagnostici in vitro.

(31)La classificazione di un sistema di IA come ad alto rischio a norma del presente regolamento non dovrebbe necessariamente significare che il prodotto il cui componente di sicurezza è il sistema di IA, o il sistema di IA stesso in quanto prodotto, sia considerato "ad alto rischio" in base ai criteri stabiliti nella pertinente normativa di armonizzazione dell'Unione che si applica al prodotto. Ciò vale in particolare per il regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio 47 e per il regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio 48 , in cui è prevista una valutazione della conformità da parte di terzi per i prodotti a medio rischio e ad alto rischio.

(32)Per quanto riguarda i sistemi di IA indipendenti, ossia i sistemi di IA ad alto rischio diversi da quelli che sono componenti di sicurezza di prodotti o che sono essi stessi prodotti, è opportuno classificarli come ad alto rischio se, alla luce della loro finalità prevista, presentano un alto rischio di pregiudicare la salute e la sicurezza o i diritti fondamentali delle persone, tenendo conto sia della gravità del possibile danno sia della probabilità che si verifichi, e sono utilizzati in una serie di settori specificamente predefiniti indicati nel regolamento. L'identificazione di tali sistemi si basa sulla stessa metodologia e sui medesimi criteri previsti anche per eventuali future modifiche dell'elenco dei sistemi di IA ad alto rischio.

(33)Le inesattezze di carattere tecnico dei sistemi di IA destinati all'identificazione biometrica remota delle persone fisiche possono determinare risultati distorti e comportare effetti discriminatori. Ciò diviene particolarmente importante quando si trattano aspetti quali età, etnia, sesso o disabilità. È pertanto opportuno classificare i sistemi di identificazione biometrica remota "in tempo reale" e "a posteriori" come sistemi ad alto rischio. Alla luce dei rischi che comportano, entrambi i tipi di sistemi di identificazione biometrica remota dovrebbero essere soggetti a requisiti specifici in materia di capacità di registrazione e sorveglianza umana.

(34)Per quanto riguarda la gestione e il funzionamento delle infrastrutture critiche, è opportuno classificare come ad alto rischio i sistemi di IA destinati a essere utilizzati come componenti di sicurezza ai fini della gestione del traffico stradale nonché della fornitura di acqua, gas, riscaldamento ed elettricità, in quanto un loro guasto o malfunzionamento può mettere a rischio la vita e la salute di un grande numero di persone e provocare perturbazioni significative del normale svolgimento delle attività sociali ed economiche.

(35)I sistemi di IA utilizzati nell'istruzione o nella formazione professionale, in particolare per determinare l'accesso o l'assegnazione di persone agli istituti di istruzione e formazione professionale o per valutare le persone che svolgono prove come parte o presupposto della loro istruzione, dovrebbero essere considerati ad alto rischio in quanto possono determinare il percorso d'istruzione e professionale della vita di una persona e quindi incidere sulla sua capacità di garantire il proprio sostentamento. Se progettati e utilizzati in modo inadeguato, tali sistemi possono violare il diritto all'istruzione e alla formazione, nonché il diritto alla non discriminazione, e perpetuare modelli storici di discriminazione.

(36)Anche i sistemi di IA utilizzati nel settore dell'occupazione, nella gestione dei lavoratori e nell'accesso al lavoro autonomo, in particolare per l'assunzione e la selezione delle persone, per l'adozione di decisioni in materia di promozione e cessazione del rapporto di lavoro, nonché per l'assegnazione dei compiti, per il monitoraggio o la valutazione delle persone nei rapporti contrattuali legati al lavoro, dovrebbero essere classificati come sistemi ad alto rischio, in quanto tali sistemi possono avere un impatto significativo sul futuro di tali persone in termini di future prospettive di carriera e sostentamento. I pertinenti rapporti contrattuali legati al lavoro dovrebbero coinvolgere i dipendenti e le persone che forniscono servizi tramite piattaforme, come indicato nel programma di lavoro annuale della Commissione per il 2021. In linea di principio, tali persone non dovrebbero essere considerate utenti ai sensi del presente regolamento. Durante tutto il processo di assunzione, nonché ai fini della valutazione e della promozione delle persone o del proseguimento dei rapporti contrattuali legati al lavoro, tali sistemi possono perpetuare modelli storici di discriminazione, ad esempio nei confronti delle donne, di talune fasce di età, delle persone con disabilità o delle persone aventi determinate origini razziali o etniche o un determinato orientamento sessuale. I sistemi di IA utilizzati per monitorare le prestazioni e il comportamento di tali persone possono inoltre incidere sui loro diritti in materia di protezione dei dati e vita privata.

(37)Un altro settore in cui l'utilizzo dei sistemi di IA merita particolare attenzione è l'accesso ad alcuni prestazioni e servizi pubblici e servizi privati essenziali, necessari affinché le persone possano partecipare pienamente alla vita sociale o migliorare il proprio tenore di vita, e la fruizione di tali servizi. È in particolare opportuno classificare i sistemi di IA utilizzati per valutare il merito di credito o l'affidabilità creditizia delle persone fisiche come sistemi di IA ad alto rischio, in quanto determinano l'accesso di tali persone alle risorse finanziarie o a servizi essenziali quali l'alloggio, l'elettricità e i servizi di telecomunicazione. I sistemi di IA utilizzati a tal fine possono portare alla discriminazione di persone o gruppi e perpetuare modelli storici di discriminazione, ad esempio in base all'origine razziale o etnica, alle disabilità, all'età o all'orientamento sessuale, o dar vita a nuove forme di effetti discriminatori. In considerazione della portata molto limitata dell'impatto e delle alternative disponibili sul mercato, è opportuno esentare i sistemi di IA destinati alla valutazione dell'affidabilità creditizia e del merito creditizio nei casi in cui sono messi in servizio da fornitori di piccole dimensioni per uso proprio. Le persone fisiche che chiedono o ricevono prestazioni e servizi di assistenza pubblica dalle autorità pubbliche sono di norma dipendenti da tali prestazioni e servizi e si trovano generalmente in una posizione vulnerabile rispetto alle autorità competenti. I sistemi di IA, se utilizzati per determinare se tali prestazioni e servizi dovrebbero essere negati, ridotti, revocati o recuperati dalle autorità, possono avere un impatto significativo sul sostentamento delle persone e violare i loro diritti fondamentali, quali il diritto alla protezione sociale, alla non discriminazione, alla dignità umana o a un ricorso effettivo. È pertanto opportuno classificare tali sistemi come sistemi ad alto rischio. Cionondimeno, il presente regolamento non dovrebbe ostacolare lo sviluppo e l'utilizzo di approcci innovativi nella pubblica amministrazione, che trarrebbero beneficio da un uso più ampio di sistemi di IA conformi e sicuri, a condizione che tali sistemi non comportino un rischio alto per le persone fisiche e giuridiche. Infine, è opportuno classificare come ad alto rischio anche i sistemi di IA utilizzati per inviare servizi di emergenza di primo soccorso o per stabilire priorità in merito all'invio di tali servizi, in quanto prendono decisioni in situazioni molto critiche per la vita e la salute delle persone e per i loro beni.

(38)Le azioni delle autorità di contrasto che prevedono determinati usi dei sistemi di IA sono caratterizzate da un livello significativo di squilibrio di potere e possono portare alla sorveglianza, all'arresto o alla privazione della libertà di una persona fisica, come pure avere altri impatti negativi sui diritti fondamentali garantiti nella Carta. In particolare, il sistema di IA, se non è addestrato con dati di elevata qualità, se non soddisfa requisiti adeguati in termini di accuratezza o robustezza, o se non è adeguatamente progettato e sottoposto a prova prima di essere immesso sul mercato o altrimenti messo in servizio, può individuare le persone in modo discriminatorio o altrimenti errato o ingiusto. Potrebbe inoltre essere ostacolato l'esercizio di importanti diritti procedurali fondamentali, quali il diritto a un ricorso effettivo e a un giudice imparziale, nonché i diritti della difesa e la presunzione di innocenza, in particolare nel caso in cui tali sistemi di IA non siano sufficientemente trasparenti, spiegabili e documentati. È pertanto opportuno classificare come ad alto rischio una serie di sistemi di IA destinati a essere utilizzati nel contesto delle attività di contrasto, in cui l'accuratezza, l'affidabilità e la trasparenza risultano particolarmente importanti per evitare impatti negativi, mantenere la fiducia dei cittadini e garantire la responsabilità e mezzi di ricorso efficaci. In considerazione della natura delle attività in questione e dei rischi a esse connessi, tra tali sistemi di IA ad alto rischio è opportuno includere, in particolare, i sistemi di IA destinati a essere utilizzati dalle autorità di contrasto per valutazioni dei rischi individuali, come poligrafi e strumenti analoghi, oppure per rilevare lo stato emotivo delle persone fisiche, individuare "deep fake", valutare l'affidabilità degli elementi probatori nei procedimenti penali, prevedere il verificarsi o il ripetersi di un reato effettivo o potenziale sulla base della profilazione delle persone fisiche, o valutare i tratti e le caratteristiche della personalità o il comportamento criminale pregresso delle persone fisiche o dei gruppi, nonché ai fini della profilazione nel corso dell'indagine, dell'accertamento e del perseguimento di reati e dell'analisi criminale nei riguardi delle persone fisiche. I sistemi di IA specificamente destinati a essere utilizzati per procedimenti amministrativi dalle autorità fiscali e doganali non dovrebbero essere considerati sistemi di IA ad alto rischio utilizzati dalle autorità di contrasto a fini di prevenzione, accertamento, indagine e perseguimento di reati. 

(39)I sistemi di IA utilizzati nella gestione della migrazione, dell'asilo e del controllo delle frontiere hanno effetti su persone che si trovano spesso in una posizione particolarmente vulnerabile e il cui futuro dipende dall'esito delle azioni delle autorità pubbliche competenti. L'accuratezza, la natura non discriminatoria e la trasparenza dei sistemi di IA utilizzati in tali contesti sono pertanto particolarmente importanti per garantire il rispetto dei diritti fondamentali delle persone interessate, in particolare i loro diritti alla libera circolazione, alla non discriminazione, alla protezione della vita privata e dei dati personali, alla protezione internazionale e alla buona amministrazione. È pertanto opportuno classificare come ad alto rischio i sistemi di IA destinati a essere utilizzati dalle autorità pubbliche competenti incaricate di compiti in materia di gestione della migrazione, dell'asilo e del controllo delle frontiere, come poligrafi e strumenti analoghi, o per rilevare lo stato emotivo di una persona fisica, per valutare taluni rischi presentati da persone fisiche che entrano nel territorio di uno Stato membro o presentano domanda di visto o di asilo, per verificare l'autenticità dei pertinenti documenti delle persone fisiche, nonché per assistere le autorità pubbliche competenti nell'esame delle domande di asilo, di visto e di permesso di soggiorno e dei relativi reclami in relazione all'obiettivo di determinare l'ammissibilità delle persone fisiche che richiedono tale status. I sistemi di IA nel settore della gestione della migrazione, dell'asilo e dei controlli di frontiera di cui al presente regolamento dovrebbero essere conformi ai pertinenti requisiti procedurali stabiliti dalla direttiva 2013/32/UE del Parlamento europeo e del Consiglio 49 , dal regolamento (CE) n. 810/2009 del Parlamento europeo e del Consiglio 50 e da altre normative pertinenti.

(40)Alcuni sistemi di IA destinati all'amministrazione della giustizia e ai processi democratici dovrebbero essere classificati come sistemi ad alto rischio, in considerazione del loro impatto potenzialmente significativo sulla democrazia, sullo Stato di diritto, sulle libertà individuali e sul diritto a un ricorso effettivo e a un giudice imparziale. È in particolare opportuno, al fine di far fronte ai rischi di potenziali distorsioni, errori e opacità, classificare come ad alto rischio i sistemi di IA destinati ad assistere le autorità giudiziarie nelle attività di ricerca e interpretazione dei fatti e del diritto e nell'applicazione della legge a una serie concreta di fatti. Non è tuttavia opportuno estendere tale classificazione ai sistemi di IA destinati ad attività amministrative puramente accessorie, che non incidono sull'effettiva amministrazione della giustizia nei singoli casi, quali l'anonimizzazione o la pseudonimizzazione di decisioni, documenti o dati giudiziari, la comunicazione tra il personale, i compiti amministrativi o l'assegnazione delle risorse.

(41)Il fatto che un sistema di IA sia classificato come ad alto rischio a norma del presente regolamento non dovrebbe essere interpretato come un'indicazione del fatto che l'utilizzo del sistema sia necessariamente lecito a norma di altri atti giuridici dell'Unione o del diritto nazionale compatibile con il diritto dell'Unione, ad esempio in materia di protezione dei dati personali, uso di poligrafi e strumenti analoghi o di altri sistemi atti a rilevare lo stato emotivo delle persone fisiche. Qualsiasi siffatto utilizzo dovrebbe continuare a verificarsi solo in conformità ai requisiti applicabili risultanti dalla Carta e dagli atti applicabili di diritto derivato dell'Unione e di diritto nazionale. Il presente regolamento non dovrebbe essere inteso come un fondamento giuridico per il trattamento dei dati personali, comprese, ove opportuno, categorie particolari di dati personali.

(42)Al fine di attenuare, per gli utenti e per le persone interessate, i rischi derivanti dai sistemi di IA ad alto rischio immessi o altrimenti messi in servizio sul mercato dell'Unione, è opportuno applicare determinati requisiti obbligatori, tenendo conto della finalità prevista dell'uso del sistema e conformemente al sistema di gestione dei rischi che deve essere stabilito dal fornitore.

(43)Tali requisiti dovrebbero applicarsi ai sistemi di IA ad alto rischio per quanto concerne la qualità dei set di dati utilizzati, la documentazione tecnica e la conservazione delle registrazioni, la trasparenza e la fornitura di informazioni agli utenti, la sorveglianza umana e la robustezza, l'accuratezza e la cibersicurezza. Tali requisiti sono necessari per attenuare efficacemente i rischi per la salute, la sicurezza e i diritti fondamentali, come applicabile alla luce della finalità prevista del sistema, e, non essendo ragionevolmente disponibili altre misure meno restrittive degli scambi, sono così evitate limitazioni ingiustificate del commercio.

(44)Un'elevata qualità dei dati è essenziale per le prestazioni di molti sistemi di IA, in particolare quando si utilizzano tecniche che prevedono l'addestramento di modelli, al fine di garantire che il sistema di IA ad alto rischio funzioni come previsto e in maniera sicura e che non diventi fonte di una discriminazione vietata dal diritto dell'Unione. Per disporre di set di dati di addestramento, convalida e prova di elevata qualità è necessaria l'attuazione di adeguate pratiche di governance e gestione dei dati. I set di dati di addestramento, convalida e prova dovrebbero essere sufficientemente pertinenti, rappresentativi e privi di errori, nonché completi alla luce della finalità prevista del sistema. Dovrebbero inoltre possedere le proprietà statistiche appropriate, anche per quanto riguarda le persone o i gruppi di persone sui quali il sistema di IA ad alto rischio è destinato a essere usato. In particolare, i set di dati di addestramento, convalida e prova dovrebbero tenere conto, nella misura necessaria alla luce della finalità prevista, delle caratteristiche o degli elementi peculiari dello specifico contesto o ambito geografico, comportamentale o funzionale all'interno del quale il sistema di IA ad alto rischio è destinato a essere usato. Al fine di proteggere i diritti di terzi dalla discriminazione che potrebbe derivare dalla distorsione nei sistemi di IA, è opportuno che i fornitori siano in grado di trattare anche categorie particolari di dati personali, come questione di rilevante interesse pubblico, al fine di garantire il monitoraggio, il rilevamento e la correzione delle distorsioni in relazione ai sistemi di IA ad alto rischio.

(45)Ai fini dello sviluppo di sistemi di IA ad alto rischio, è opportuno concedere ad alcuni soggetti, come fornitori, organismi notificati e altre entità pertinenti, quali i poli dell'innovazione digitale, le strutture di prova e sperimentazione e i ricercatori, l'accesso a set di dati di elevata qualità e la possibilità di utilizzarli nell'ambito dei rispettivi settori di attività connessi al presente regolamento. Gli spazi comuni europei di dati istituiti dalla Commissione e l'agevolazione della condivisione dei dati tra imprese e con i governi, nell'interesse pubblico, saranno fondamentali per fornire un accesso affidabile, responsabile e non discriminatorio a dati di elevata qualità a fini di addestramento, convalida e prova dei sistemi di IA. Ad esempio, per quanto riguarda la salute, lo spazio europeo di dati sanitari agevolerà l'accesso non discriminatorio ai dati sanitari e l'addestramento di algoritmi di intelligenza artificiale su tali set di dati in modo sicuro, tempestivo, trasparente, affidabile e tale da tutelare la vita privata, nonché con un'adeguata governance istituzionale. Le autorità competenti interessate, comprese quelle settoriali, che forniscono o sostengono l'accesso ai dati, possono anche sostenere la fornitura di dati di alta qualità a fini di addestramento, convalida e prova dei sistemi di IA.

(46)Disporre di informazioni sulle modalità di sviluppo dei sistemi di IA ad alto rischio e sulle loro modalità di funzionamento durante tutto il ciclo di vita è essenziale per verificare la conformità ai requisiti di cui al presente regolamento. Occorre a tal fine conservare le registrazioni e disporre di una documentazione tecnica contenente le informazioni necessarie per valutare la conformità del sistema di IA ai requisiti pertinenti. Tali informazioni dovrebbero includere le caratteristiche, le capacità e i limiti generali del sistema, gli algoritmi, i dati, l'addestramento, i processi di prova e di convalida utilizzati, nonché la documentazione sul pertinente sistema di gestione dei rischi. È opportuno tenere aggiornata la documentazione tecnica.

(47)Per ovviare all'opacità che può rendere alcuni sistemi di IA incomprensibili o troppo complessi per le persone fisiche, è opportuno imporre un certo grado di trasparenza per i sistemi di IA ad alto rischio. Gli utenti dovrebbero poter interpretare gli output del sistema e utilizzarlo in modo adeguato. I sistemi di IA ad alto rischio dovrebbero pertanto essere corredati di documentazione e istruzioni per l'uso pertinenti, nonché di informazioni concise e chiare, anche in relazione, se del caso, ai possibili rischi in termini di diritti fondamentali e discriminazione.

(48)I sistemi di IA ad alto rischio dovrebbero essere progettati e sviluppati in modo da consentire alle persone fisiche di sorvegliarne il funzionamento. Il fornitore del sistema dovrebbe a tal fine individuare misure di sorveglianza umana adeguate prima dell'immissione del sistema sul mercato o della sua messa in servizio. Tali misure dovrebbero in particolare garantire, ove opportuno, che il sistema sia soggetto a vincoli operativi intrinseci che il sistema stesso non può annullare e che risponda all'operatore umano, e che le persone fisiche alle quali è stata affidata la sorveglianza umana dispongano delle competenze, della formazione e dell'autorità necessarie per svolgere tale ruolo.

(49)Le prestazioni dei sistemi di IA ad alto rischio dovrebbero essere coerenti durante tutto il loro ciclo di vita e tali sistemi dovrebbero garantire un livello adeguato di accuratezza, robustezza e cibersicurezza, conformemente allo stato dell'arte generalmente riconosciuto. È opportuno che i livelli di precisione e le pertinenti metriche di accuratezza siano comunicati agli utenti.

(50)La robustezza tecnica è un requisito fondamentale dei sistemi di IA ad alto rischio. Tali sistemi dovrebbero essere resilienti rispetto sia ai rischi connessi alle limitazioni del sistema (ad esempio errori, guasti, incoerenze, situazioni impreviste) sia alle azioni dolose che possono compromettere la sicurezza del sistema di IA e comportare comportamenti dannosi o altrimenti indesiderati. La mancata protezione da tali rischi potrebbe avere ripercussioni sulla sicurezza o incidere negativamente sui diritti fondamentali, ad esempio a causa della generazione da parte del sistema di IA di decisioni errate o di output sbagliati o distorti.

(51)La cibersicurezza svolge un ruolo cruciale nel garantire che i sistemi di IA siano resilienti ai tentativi compiuti da terzi con intenzioni malevole che, sfruttando le vulnerabilità del sistema, mirano ad alterarne l'uso, il comportamento, le prestazioni o a comprometterne le proprietà di sicurezza. Gli attacchi informatici contro i sistemi di IA possono far leva sulle risorse specifiche dell'IA, quali i set di dati di addestramento (ad esempio "avvelenamento dei dati", data poisoning) o i modelli addestrati (ad esempio "attacchi antagonisti", adversarial attacks), o sfruttare le vulnerabilità delle risorse digitali del sistema di IA o dell'infrastruttura TIC sottostante. Al fine di garantire un livello di cibersicurezza adeguato ai rischi, è pertanto opportuno che i fornitori di sistemi di IA ad alto rischio adottino misure adeguate, anche tenendo debitamente conto dell'infrastruttura TIC sottostante.

(52)Nell'ambito della normativa di armonizzazione dell'Unione, è opportuno che le regole applicabili all'immissione sul mercato, alla messa in servizio e all'uso di sistemi di IA ad alto rischio siano stabilite conformemente al regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio 51 che pone norme in materia di accreditamento e vigilanza del mercato dei prodotti, alla decisione n. 768/2008/CE del Parlamento europeo e del Consiglio 52 relativa a un quadro comune per la commercializzazione dei prodotti e al regolamento (UE) 2019/1020 del Parlamento europeo e del Consiglio 53 sulla vigilanza del mercato e sulla conformità dei prodotti ("nuovo quadro legislativo per la commercializzazione dei prodotti").

(53)È opportuno che una specifica persona fisica o giuridica, definita come il fornitore, si assuma la responsabilità dell'immissione sul mercato o della messa in servizio di un sistema di IA ad alto rischio, a prescindere dal fatto che tale persona fisica o giuridica sia la persona che ha progettato o sviluppato il sistema.

(54)È opportuno che il fornitore istituisca un solido sistema di gestione della qualità, garantisca l'espletamento della procedura di valutazione della conformità richiesta, rediga la documentazione pertinente e istituisca un sistema robusto per il monitoraggio successivo all'immissione sul mercato. Le autorità pubbliche che mettono in servizio sistemi di IA ad alto rischio per uso proprio possono adottare e attuare le regole per il sistema di gestione della qualità nell'ambito del sistema di gestione della qualità adottato a livello nazionale o regionale, a seconda dei casi, tenendo conto delle specificità del settore come pure delle competenze e dell'organizzazione dell'autorità pubblica in questione.

(55)Qualora un sistema di IA ad alto rischio che è un componente di sicurezza di un prodotto disciplinato da una pertinente normativa settoriale del nuovo quadro legislativo non fosse immesso sul mercato o messo in servizio separatamente dal prodotto, il fabbricante del prodotto finale quale definito nella pertinente normativa del nuovo quadro legislativo dovrebbe adempiere gli obblighi del fornitore stabiliti nel presente regolamento e, in particolare, garantire che il sistema di IA integrato nel prodotto finale soddisfi i requisiti del presente regolamento.

(56)Al fine di consentire l'applicazione del presente regolamento e di creare condizioni di parità per gli operatori, e tenendo conto delle diverse forme di messa a disposizione di prodotti digitali, è importante garantire che, in qualsiasi circostanza, una persona stabilita nell'Unione possa fornire alle autorità tutte le informazioni necessarie sulla conformità di un sistema di IA. Pertanto, prima di mettere a disposizione i propri sistemi di IA nell'Unione, nel caso in cui non possa essere identificato un importatore, i fornitori stabiliti al di fuori dell'Unione dovrebbero nominare, mediante mandato scritto, un rappresentante autorizzato stabilito nell'Unione.

(57)In linea con i principi del nuovo quadro legislativo, è opportuno stabilire obblighi specifici per gli operatori economici pertinenti, quali importatori e distributori, al fine di garantire la certezza del diritto e facilitare il rispetto della normativa da parte di tali operatori.

(58)In considerazione della natura dei sistemi di IA e dei possibili rischi per la sicurezza e i diritti fondamentali associati al loro utilizzo, anche per quanto riguarda la necessità di garantire un adeguato monitoraggio delle prestazioni di un sistema di IA in un contesto reale, è opportuno stabilire responsabilità specifiche per gli utenti. È in particolare opportuno che gli utenti usino i sistemi di IA ad alto rischio conformemente alle istruzioni per l'uso e che siano previsti alcuni altri obblighi in materia di monitoraggio del funzionamento dei sistemi di IA e conservazione delle registrazioni, a seconda dei casi.

(59)È opportuno prevedere che l'utente del sistema di IA sia la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo sotto la cui autorità è utilizzato il sistema di IA, salvo nel caso in cui il sistema sia utilizzato nel corso di un'attività personale non professionale.

(60)Alla luce della complessità della catena del valore dell'intelligenza artificiale, i terzi pertinenti, in particolare quelli coinvolti nella vendita e nella fornitura di software, strumenti e componenti software, modelli preaddestrati e dati, o i fornitori di servizi di rete, dovrebbero cooperare, a seconda dei casi, con i fornitori e con gli utenti per consentire loro di rispettare gli obblighi previsti dal presente regolamento e con le autorità competenti istituite a norma del presente regolamento.

(61)La normazione dovrebbe svolgere un ruolo fondamentale nel fornire soluzioni tecniche ai fornitori per garantire la conformità al presente regolamento. La conformità alle norme armonizzate quali definite nel regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio 54 dovrebbe essere un modo per i fornitori di dimostrare la conformità ai requisiti del presente regolamento. La Commissione potrebbe tuttavia adottare specifiche tecniche comuni nei settori in cui le norme armonizzate non esistono oppure sono insufficienti.

(62)Al fine di garantire un elevato livello di affidabilità dei sistemi di IA ad alto rischio, è opportuno sottoporre tali sistemi a una valutazione della conformità prima della loro immissione sul mercato o messa in servizio.

(63)Al fine di ridurre al minimo l'onere per gli operatori ed evitare eventuali duplicazioni, la conformità ai requisiti del presente regolamento dei sistemi di IA ad alto rischio collegati a prodotti disciplinati dalla vigente normativa di armonizzazione dell'Unione secondo l'approccio del nuovo quadro legislativo dovrebbe essere valutata nell'ambito della valutazione della conformità già prevista da tale normativa. L'applicabilità dei requisiti del presente regolamento non dovrebbe pertanto incidere sulla logica specifica, la metodologia o la struttura generale della valutazione della conformità a norma della pertinente normativa specifica del nuovo quadro legislativo. Tale approccio si riflette pienamente nell'interazione tra il presente regolamento e il [regolamento macchine]. Mentre i requisiti del presente regolamento fanno fronte ai rischi per la sicurezza dei sistemi di IA che assolvono funzioni di sicurezza nelle macchine, alcuni requisiti specifici del [regolamento macchine] garantiranno l'integrazione sicura del sistema di IA nella macchina nel suo complesso, in modo da non compromettere la sicurezza di quest'ultima. Il [regolamento macchine] applica la stessa definizione di sistema di IA di cui al presente regolamento.

(64)In considerazione della più ampia esperienza dei certificatori professionali pre-commercializzazione nel settore della sicurezza dei prodotti e della diversa natura dei rischi connessi, è opportuno limitare, almeno in una fase iniziale di applicazione del presente regolamento, l'ambito di applicazione della valutazione della conformità da parte di terzi ai sistemi di IA ad alto rischio diversi da quelli collegati ai prodotti. È pertanto opportuno che la valutazione della conformità di tali sistemi sia di norma effettuata dal fornitore sotto la propria responsabilità, con la sola eccezione dei sistemi di IA destinati a essere utilizzati per l'identificazione biometrica remota di persone, per i quali è opportuno prevedere il coinvolgimento di un organismo notificato nella valutazione della conformità, nella misura in cui tali sistemi non siano vietati.

(65)Ai fini della valutazione della conformità da parte di terzi dei sistemi di IA destinati a essere utilizzati per l'identificazione biometrica remota delle persone, è opportuno che le autorità nazionali competenti designino organismi notificati a norma del presente regolamento, a condizione che tali organismi soddisfino una serie di requisiti, in particolare in materia di indipendenza, competenza e assenza di conflitti di interesse.

(66)In linea con la nozione generalmente riconosciuta di modifica sostanziale dei prodotti disciplinati dalla normativa di armonizzazione dell'Unione, è opportuno che un sistema di IA sia sottoposto a una nuova valutazione della conformità ogniqualvolta intervenga una modifica che possa incidere sulla conformità del sistema al presente regolamento oppure quando viene modificata la finalità prevista del sistema. È inoltre necessario, per quanto riguarda i sistemi di IA che proseguono il loro "apprendimento" dopo essere stati immessi sul mercato o messi in servizio (ossia adattano automaticamente le modalità di svolgimento delle funzioni), prevedere regole atte a stabilire che le modifiche apportate all'algoritmo e alle sue prestazioni, predeterminate dal fornitore e valutate al momento della valutazione della conformità, non costituiscano una modifica sostanziale.

(67)I sistemi di IA ad alto rischio dovrebbero recare la marcatura CE per indicare la loro conformità al presente regolamento, in modo da poter circolare liberamente nel mercato interno. Gli Stati membri non dovrebbero ostacolare in maniera ingiustificata l'immissione sul mercato o la messa in servizio di sistemi di IA ad alto rischio che soddisfano i requisiti stabiliti nel presente regolamento e recano la marcatura CE.

(68)La disponibilità in tempi rapidi di tecnologie innovative può, a determinate condizioni, essere fondamentale per la salute e la sicurezza delle persone e per la società nel suo insieme. È pertanto opportuno che, per motivi eccezionali di pubblica sicurezza o di tutela della vita e della salute delle persone fisiche nonché della proprietà industriale e commerciale, gli Stati membri possano autorizzare l'immissione sul mercato o la messa in servizio di sistemi di IA che non sono stati sottoposti a una valutazione della conformità.

(69)Al fine di agevolare il lavoro della Commissione e degli Stati membri nel settore dell'intelligenza artificiale e di aumentare la trasparenza nei confronti del pubblico, è opportuno che i fornitori di sistemi di IA ad alto rischio diversi da quelli collegati a prodotti che rientrano nell'ambito di applicazione della pertinente normativa di armonizzazione dell'Unione vigente siano tenuti a registrare il loro sistema di IA ad alto rischio in una banca dati dell'UE, che sarà istituita e gestita dalla Commissione. È opportuno che la Commissione sia la titolare del trattamento di tale banca dati conformemente al regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio 55 . Al fine di garantire la piena funzionalità della banca dati, è opportuno che, al momento dell'attivazione, la procedura per l'istituzione della banca dati preveda l'elaborazione di specifiche funzionali da parte della Commissione e una relazione di audit indipendente.

(70)Alcuni sistemi di IA destinati all'interazione con persone fisiche o alla generazione di contenuti possono comportare rischi specifici di impersonificazione o inganno, a prescindere dal fatto che siano considerati ad alto rischio o no. L'uso di tali sistemi dovrebbe pertanto essere, in determinate circostanze, soggetto a specifici obblighi di trasparenza, fatti salvi i requisiti e gli obblighi per i sistemi di IA ad alto rischio. Le persone fisiche dovrebbero in particolare ricevere una notifica nel momento in cui interagiscono con un sistema di IA, a meno che tale interazione non risulti evidente dalle circostanze e dal contesto di utilizzo. È inoltre opportuno che le persone fisiche ricevano una notifica quando sono esposte a un sistema di riconoscimento delle emozioni o a un sistema di categorizzazione biometrica. Tali informazioni e notifiche dovrebbero essere fornite in formati accessibili alle persone con disabilità. Inoltre, gli utenti che utilizzano un sistema di IA per generare o manipolare immagini o contenuti audio o video che assomigliano notevolmente a persone, luoghi o eventi esistenti e che potrebbero apparire falsamente autentici, dovrebbero rendere noto che il contenuto è stato creato o manipolato artificialmente etichettando come tali gli output dell'intelligenza artificiale e rivelandone l'origine artificiale.

(71)L'intelligenza artificiale è una famiglia di tecnologie in rapida evoluzione che richiede nuove forme di sorveglianza regolamentare e uno spazio sicuro per la sperimentazione, garantendo nel contempo un'innovazione responsabile e l'integrazione di tutele adeguate e di misure di attenuazione dei rischi. Al fine di garantire un quadro giuridico favorevole all'innovazione, adeguato alle esigenze future e resiliente alle perturbazioni, è opportuno incoraggiare le autorità nazionali competenti di uno o più Stati membri a istituire spazi di sperimentazione normativa in materia di intelligenza artificiale per agevolare lo sviluppo e le prove di sistemi di IA innovativi, sotto una rigorosa sorveglianza regolamentare, prima che tali sistemi siano immessi sul mercato o altrimenti messi in servizio.

(72)Gli obiettivi degli spazi di sperimentazione normativa dovrebbero essere la promozione dell'innovazione in materia di IA, mediante la creazione di un ambiente controllato di sperimentazione e prova nella fase di sviluppo e pre-commercializzazione al fine di garantire la conformità dei sistemi di IA innovativi al presente regolamento e ad altre normative pertinenti dell'Unione e degli Stati membri, e il rafforzamento della certezza del diritto per gli innovatori e della sorveglianza e della comprensione da parte delle autorità competenti delle opportunità, dei rischi emergenti e degli impatti dell'uso dell'IA, nonché l'accelerazione dell'accesso ai mercati, anche mediante l'eliminazione degli ostacoli per le piccole e medie imprese (PMI) e le start-up. Al fine di garantire un'attuazione uniforme in tutta l'Unione ed economie di scala, è opportuno stabilire regole comuni per l'attuazione degli spazi di sperimentazione normativa e un quadro per la cooperazione tra le autorità competenti coinvolte nel controllo degli spazi di sperimentazione. Il presente regolamento dovrebbe fornire la base giuridica per l'utilizzo dei dati personali raccolti per altre finalità ai fini dello sviluppo di determinati sistemi di IA di interesse pubblico nell'ambito dello spazio di sperimentazione normativa per l'IA, in linea con l'articolo 6, paragrafo 4, del regolamento (UE) 2016/679, e con l'articolo 6 del regolamento (UE) 2018/1725, e fatto salvo l'articolo 4, paragrafo 2, della direttiva (UE) 2016/680. I partecipanti allo spazio di sperimentazione dovrebbero fornire garanzie adeguate e cooperare con le autorità competenti, anche seguendo i loro orientamenti e agendo rapidamente e in buona fede per attenuare eventuali rischi elevati per la sicurezza e i diritti fondamentali che possono emergere durante lo sviluppo e la sperimentazione nello spazio sopraindicato. È opportuno che le autorità competenti, nel decidere se infliggere una sanzione amministrativa pecuniaria a norma dell'articolo 83, paragrafo 2, del regolamento 2016/679 e dell'articolo 57 della direttiva 2016/680, tengano conto della condotta dei partecipanti allo spazio di sperimentazione.

(73)Al fine di promuovere e proteggere l'innovazione, è importante che siano tenuti in particolare considerazione gli interessi dei fornitori di piccole dimensioni e degli utenti di sistemi di IA. È a tal fine opportuno che gli Stati membri sviluppino iniziative destinate a tali operatori, anche in materia di sensibilizzazione e comunicazione delle informazioni. È inoltre opportuno che gli organismi notificati, nel fissare le tariffe per la valutazione della conformità, tengano in considerazione gli interessi e le esigenze specifici dei fornitori di piccole dimensioni. Le spese di traduzione connesse alla documentazione obbligatoria e alla comunicazione con le autorità possono rappresentare un costo significativo per i fornitori e gli altri operatori, in particolare quelli di dimensioni ridotte. Gli Stati membri dovrebbero garantire, se possibile, che una delle lingue da