skip to Main Content

EDPB: ruolo delle Autorità di Protezione dei Dati nel quadro dell’AI Act

Bruxelles, 17 luglio – Durante la sua ultima sessione plenaria, il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato una dichiarazione sul ruolo delle Autorità di Protezione dei Dati (DPA) nel quadro dell’Artificial Intelligence Act (AI Act).

Secondo l’EDPB, le DPA possiedono già esperienza e competenze nell’affrontare l’impatto dell’IA sui diritti fondamentali, in particolare il diritto alla protezione dei dati personali, e dovrebbero quindi essere designate come Autorità di Sorveglianza del Mercato (MSA) in diversi casi. Questo garantirebbe una migliore coordinazione tra le diverse autorità regolatorie, aumentando la certezza legale per tutti gli stakeholders e rafforzando la supervisione e l’applicazione sia dell’AI Act che della normativa UE sulla protezione dei dati.

Secondo l’AI Act, gli Stati Membri dovranno nominare le MSA a livello nazionale entro il 2 agosto 2025, allo scopo di supervisionare l’applicazione e l’implementazione dell’AI Act.

Nella sua dichiarazione, l’EDPB raccomanda che:

  • Come già indicato nell’AI Act, le DPA dovrebbero essere designate come MSA per i sistemi di IA ad alto rischio utilizzati per l’applicazione della legge, la gestione delle frontiere, l’amministrazione della giustizia e i processi democratici;
  • Gli Stati Membri dovrebbero considerare la nomina delle DPA come MSA anche per altri sistemi di IA ad alto rischio, tenendo conto dei pareri della DPA nazionale, specialmente dove tali sistemi di IA ad alto rischio sono in settori che potrebbero influenzare i diritti e le libertà delle persone fisiche in relazione al trattamento dei dati personali;
  • Le DPA, quando nominate come MSA, dovrebbero essere designate come punti di contatto unici per il pubblico e per i controparti a livello di Stato Membro e UE;
  • Dovrebbero essere stabilite procedure chiare per la cooperazione tra le MSA e le altre autorità regolatorie incaricate della supervisione dei sistemi di IA, comprese le DPA. Inoltre, dovrebbe essere stabilita una cooperazione adeguata tra l’Ufficio AI dell’UE e le DPA/EDPB.

La Vicepresidente dell’EDPB, Irene Loizidou Nicolaidou, ha dichiarato: “Le DPA dovrebbero svolgere un ruolo di primo piano nell’applicazione dell’AI Act poiché la maggior parte dei sistemi di IA comporta il trattamento di dati personali. Credo fermamente che le DPA siano adatte a questo ruolo grazie alla loro piena indipendenza e alla profonda comprensione dei rischi dell’IA per i diritti fondamentali, basata sulla loro esperienza esistente.”

Successivamente, il Comitato ha adottato due documenti di Domande Frequenti (FAQ) riguardanti il Quadro di Protezione dei Dati UE-USA (DPF), mirati a fornire maggiori chiarimenti sul funzionamento del DPF.

Le FAQ per gli individui forniscono informazioni sul funzionamento del DPF: come beneficiarne, come presentare un reclamo e come questo reclamo verrà gestito.

Analogamente, le FAQ per le imprese spiegano quali aziende statunitensi sono idonee a aderire al DPF: cosa fare prima di trasferire dati personali a un’azienda negli USA certificata DPF e dove trovare ulteriori indicazioni.

Infine, l’EDPB ha adottato un parere che approva il Catalogo dei Criteri EuroPriSe per la certificazione delle attività di trattamento da parte dei responsabili del trattamento, risultando in un Sigillo Europeo di Protezione dei Dati. I Sigilli di Protezione dei Dati Europei sono strumenti importanti che contribuiscono alla conformità con il GDPR.

Nel settembre 2022, l’EDPB aveva adottato un parere sui criteri di certificazione EuroPriSe, consentendo il loro riconoscimento in Germania come criteri di certificazione per le operazioni di trattamento da parte dei responsabili del trattamento. Dopo un aggiornamento dello schema, questo nuovo parere approva i criteri come applicabili in tutta l’UE/SEE, e come Sigillo Europeo di Protezione dei Dati.

La certificazione GDPR contribuisce alla dimostrazione degli sforzi di conformità e a una maggiore trasparenza e fiducia. Permette una migliore valutazione del grado di protezione offerto da prodotti, servizi, processi o sistemi utilizzati dalle organizzazioni che trattano dati personali.

 

Approfondimenti:

Back To Top