Il 12 luglio 2024 è stato pubblicato sulla Gazzetta Ufficiale UE il Regolamento (UE) 2024/1689 altrimenti noto come IA ACT.
L’AI Act adotta un approccio basato sul rischio, con l’intento di promuovere l’uso sicuro dell’IA, proteggendo i diritti fondamentali dei cittadini, tutelati dalla Carta dei diritti fondamentali dell’UE, e prevenendo gli abusi:

Il Regolamento è entrato in vigore 20 giorni dopo la pubblicazione in GUUE ma i tempi di attuazioni previsti dal Regolamento variano dai 6 ai 36 mesi.
Inizierà ad applicarsi 24 mesi dopo l’entrata in vigore, salvo per quanto riguarda:

  • i divieti relativi a pratiche vietate, che si applicheranno a partire da 6 mesi dopo l’entrata in vigore;
  • i codici di buone pratiche 9 mesi dopo;
  • le norme sui sistemi di IA per finalità generali, compresa la governance, le autorità di notifica, la riservatezza, le sanzioni, 12 mesi dopo;
  • gli obblighi per i sistemi ad alto rischio 36 mesi dopo.

Divieti imposti dal 02 febbraio 2025
Dal 02 febbraio 2025 entra in vigore il divieto per pratiche e sistemi di Intelligenza artificiale a rischio inaccettabile per la sicurezza e i diritti fondamentali.

Vi rientrano, ad esempio, sistemi e applicazioni in grado di operare una manipolazione cognitiva-comportamentale delle persone (es. giochi con assistenza vocale che incoraggiano comportamenti pericolosi di minori); sistemi di social scoring; sistemi di riconoscimento delle emozioni in ambito lavorativo o di istruzione; categorizzazione biometrica; sistemi di polizia predittiva; sistemi che sfruttano la vulnerabilità delle persone; sistemi di biometria remota “in tempo reale” in spazi accessibili al pubblico (come il posto di lavoro).

Le pratiche quindi con rischio inaccettabile riguardano i sistemi di IA che:

  • manipolano le decisioni degli individui in modo subliminale o ingannevole;
  • sfruttano le vulnerabilità come l’età, la disabilità o lo status socio-economico per influenzare il comportamento;
  • valutano o classificano gli individui in base al loro comportamento sociale o alle caratteristiche della personalità;
  • valutano o prevedono il rischio di un individuo di commettere un reato basandosi sui loro tratti di personalità e caratteristiche;
  • creano o espandono database di riconoscimento facciale attraverso la raccolta non mirata di immagini del viso da internet o da riprese di telecamere a circuito chiuso;
  • deducono le emozioni nei luoghi di lavoro o nei centri educativi;
  • classificano gli individui in base ai dati biometrici per dedurre la loro razza, opinioni politiche, appartenenza sindacale, credo religioso o filosofico, vita sessuale o orientamento sessuale;
  • raccolgono informazioni biometriche “in tempo reale” in spazi pubblici accessibili per l’applicazione della legge, salvo eccezioni ben definite e regolamentate. Tali eccezioni includono la ricerca di un bambino scomparso o la prevenzione di una specifica e imminente minaccia terroristica, ma richiedono l’autorizzazione di un’autorità giudiziaria o indipendente e sono soggette a limiti temporali, geografici e di database di ricerca.

Sanzioni
Le multe possono arrivare fino a 35 milioni di euro o al 7% del fatturato globale annuo, a seconda di quale valore sia maggiore. Questo include anche le aziende internazionali che operano all’interno dell’Unione Europea, applicando l’AI Act con un effetto extraterritoriale.

Ricordiamo a tutti i clienti privacy CNA che possono rivolgersi ai consulenti di riferimento per valutare la conformità dei trattamenti aziendali al GDPR e ai provvedimenti dell’autorità Garante.

Inoltre, CNA è a disposizione di tutti gli associati per effettuare un’analisi approfondita delle pratiche di gestione dei dati personali in azienda.