(1)

Lo scopo del presente regolamento è migliorare il funzionamento del mercato interno istituendo un quadro giuridico uniforme in particolare per quanto riguarda lo sviluppo, la commercializzazione e l'uso dell'intelligenza artificiale (IA) in conformità ai valori dell'Unione . Il presente regolamento persegue una serie di motivi imperativi di interesse pubblico, quali un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali, e garantisce la libera circolazione transfrontaliera di beni e servizi basati sull'IA, impedendo così agli Stati membri di imporre restrizioni allo sviluppo, alla commercializzazione e all'uso di sistemi di IA, salvo espressa autorizzazione del presente regolamento.

(1)

Lo scopo del presente regolamento è promuovere la diffusione di un'intelligenza artificiale antropocentrica e affidabile e garantire un livello elevato di protezione della salute, della sicurezza, dei diritti fondamentali, della democrazia e dello Stato di diritto, nonché dell'ambiente, dagli effetti nocivi dei sistemi di intelligenza artificiale nell'Unione, sostenendo nel contempo l'innovazione e migliorando il funzionamento del mercato interno. Il presente regolamento istituisce un quadro giuridico uniforme in particolare per quanto riguarda lo sviluppo, l'immissione sul mercato, la messa in servizio e l'uso dell'intelligenza artificiale (IA) in conformità ai valori dell'Unione e garantisce la libera circolazione transfrontaliera di beni e servizi basati sull'IA, impedendo così agli Stati membri di imporre restrizioni allo sviluppo, alla commercializzazione e all'uso di sistemi di intelligenza artificiale (sistemi di IA), salvo espressa autorizzazione del presente regolamento. Alcuni sistemi di IA possono anche avere un impatto sulla democrazia, sullo Stato di diritto e sull'ambiente. Tali preoccupazioni sono affrontate specificamente nei settori e nei casi d'uso critici elencati negli allegati del presente regolamento.

(1 bis)

Il presente regolamento dovrebbe preservare i valori dell'Unione agevolando la diffusione dei benefici apportati dall'intelligenza artificiale nell'intera società, proteggendo le persone, le imprese, la democrazia, lo Stato di diritto e l'ambiente dai rischi, promuovendo nel contempo l'innovazione e l'occupazione e rendendo l'Unione un leader nel settore.

(2)

I sistemi di intelligenza artificiale ( sistemi di IA) possono essere facilmente impiegati in molteplici settori dell'economia e della società, anche a livello transfrontaliero, e circolare in tutta l'Unione. Alcuni Stati membri hanno già preso in esame l'adozione di regole nazionali per garantire che l'intelligenza artificiale sia sicura e sia sviluppata e utilizzata nel rispetto degli obblighi in materia di diritti fondamentali. Normative nazionali divergenti possono determinare una frammentazione del mercato interno e diminuire la certezza del diritto per gli operatori che sviluppano o utilizzano sistemi di IA. È pertanto opportuno garantire un livello di protezione costante ed elevato in tutta l'Unione, mentre dovrebbero essere evitate le divergenze che ostacolano la libera circolazione dei sistemi di IA e dei relativi prodotti e servizi nel mercato interno, stabilendo obblighi uniformi per gli operatori e garantendo la tutela uniforme dei motivi imperativi di interesse pubblico e dei diritti delle persone in tutto il mercato interno, sulla base dell'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE). Nella misura in cui il presente regolamento prevede regole specifiche sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali, consistenti in limitazioni dell'uso dei sistemi di IA per l'identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto, è opportuno basare il presente regolamento, per quanto riguarda tali regole specifiche, sull'articolo 16 TFUE. Alla luce di tali regole specifiche e del ricorso all'articolo 16 TFUE, è opportuno consultare il comitato europeo per la protezione dei dati.

(2)

I sistemi di IA possono essere facilmente impiegati in molteplici settori dell'economia e della società, anche a livello transfrontaliero, e circolare in tutta l'Unione. Alcuni Stati membri hanno già preso in esame l'adozione di regole nazionali per garantire che l'intelligenza artificiale sia affidabile e sicura e sia sviluppata e utilizzata nel rispetto degli obblighi in materia di diritti fondamentali. Normative nazionali divergenti possono determinare una frammentazione del mercato interno e diminuire la certezza del diritto per gli operatori che sviluppano o utilizzano sistemi di IA. È pertanto opportuno garantire un livello di protezione costante ed elevato in tutta l'Unione al fine di conseguire un'IA affidabile , mentre dovrebbero essere evitate le divergenze che ostacolano la libera circolazione , l'innovazione, la diffusione e l'adozione dei sistemi di IA e dei relativi prodotti e servizi nel mercato interno, stabilendo obblighi uniformi per gli operatori e garantendo la tutela uniforme dei motivi imperativi di interesse pubblico e dei diritti delle persone in tutto il mercato interno, sulla base dell'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE).

(2 bis)

Dal momento che l'intelligenza artificiale spesso si basa sul trattamento di grandi volumi di dati e che molti sistemi e applicazioni di IA si fondano sul trattamento di dati personali, è opportuno basare il presente regolamento sull'articolo 16 TFUE, che sancisce il diritto alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e prevede l'adozione di regole sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

(2 ter)

Il diritto fondamentale alla protezione dei dati personali è garantito in particolare dai regolamenti(UE) 2016/679 e (UE) 2018/1725 e dalla direttiva (UE) 2016/680. La direttiva 2002/58/CE tutela inoltre la vita privata e la riservatezza delle comunicazioni, in particolare stabilendo le condizioni per l'archiviazione di dati personali e non personali e l'accesso ai dati archiviati in apparecchi terminali. Tali atti giuridici costituiscono la base di un trattamento dei dati sostenibile e responsabile, anche laddove i set di dati includano una combinazione di dati personali e non personali. Il presente regolamento non mira a pregiudicare l'applicazione del diritto dell'Unione esistente che disciplina il trattamento dei dati personali, inclusi i compiti e i poteri delle autorità di controllo indipendenti competenti a monitorare la conformità con tali strumenti. Inoltre, esso non pregiudica il diritto fondamentale alla vita privata e alla protezione dei dati personali previsto dal diritto dell'Unione in materia di protezione dei dati e della vita privata e sancito dalla Carta dei diritti fondamentali dell'Unione europea (la «Carta»).

(2 quater)

I sistemi di intelligenza artificiale nell'Unione sono soggetti alla pertinente legislazione in materia di sicurezza dei prodotti, che prevede un quadro per la protezione dei consumatori dai prodotti pericolosi in generale, e tale legislazione dovrebbe continuare ad applicarsi. Il presente regolamento lascia inoltre impregiudicate le norme stabilite da altri atti giuridici dell'Unione in materia di protezione dei consumatori e sicurezza dei prodotti, tra cui il regolamento (UE) 2017/2394, il regolamento (UE) 2019/1020, la direttiva 2001/95/CE sulla sicurezza generale dei prodotti e la direttiva 2013/11/UE.

(2 quinquies)

In conformità dell'articolo 114, paragrafo 2, TFUE, il presente regolamento integra e non dovrebbe pregiudicare i diritti e gli interessi dei lavoratori dipendenti. Il presente regolamento non dovrebbe pertanto incidere sulla normativa dell'Unione in materia di politica sociale né sulla normativa e sulle pratiche nazionali in materia di lavoro, vale a dire qualsiasi disposizione giuridica e contrattuale relativa alle condizioni di impiego, alle condizioni di lavoro, comprese la salute e la sicurezza sul luogo di lavoro, e al rapporto tra datori di lavoro e lavoratori, incluse l'informazione, la consultazione e la partecipazione. Il presente regolamento non dovrebbe pregiudicare l'esercizio dei diritti fondamentali riconosciuti dagli Stati membri e a livello di Unione, compresi il diritto o la libertà di sciopero o il diritto o la libertà di intraprendere altre azioni contemplate dalla disciplina delle relazioni industriali negli Stati membri, in conformità della normativa e/o delle prassi nazionali. Esso non dovrebbe neppure pregiudicare le pratiche di concertazione o il diritto di negoziare, concludere ed eseguire accordi collettivi, o di intraprendere azioni collettive in conformità della normativa e/o delle prassi nazionali. Il presente regolamento non dovrebbe in alcun caso impedire alla Commissione di proporre una legislazione specifica sui diritti e sulle libertà dei lavoratori interessati dai sistemi di IA.

(2 sexies)

Il presente regolamento dovrebbe lasciare impregiudicate le disposizioni volte a migliorare le condizioni di lavoro nel lavoro mediante piattaforme digitali di cui alla direttiva … [2021/0414(COD)].

(2 septies)

È opportuno che il presente regolamento contribuisca a sostenere la ricerca e l'innovazione, non comprometta le attività di ricerca e sviluppo e rispetti la libertà della ricerca scientifica. È pertanto necessario escludere dal suo ambito di applicazione i sistemi di IA specificamente sviluppati al solo scopo di ricerca e sviluppo in ambito scientifico e garantire che il regolamento non incida altrimenti sulle attività scientifiche di ricerca e sviluppo relative ai sistemi di IA. In ogni circostanza, qualsiasi attività di ricerca e sviluppo dovrebbe essere svolta conformemente alla Carta, al diritto dell'Unione nonché al diritto nazionale.

(3)

L'intelligenza artificiale consiste in una famiglia di tecnologie in rapida evoluzione che può contribuire al conseguimento di un'ampia gamma di benefici a livello economico e sociale nell'intero spettro delle attività industriali e sociali. L'uso dell'intelligenza artificiale, garantendo un miglioramento delle previsioni, l'ottimizzazione delle operazioni e dell'assegnazione delle risorse e la personalizzazione delle soluzioni digitali disponibili per i singoli e le organizzazioni, può fornire vantaggi competitivi fondamentali alle imprese e condurre a risultati vantaggiosi sul piano sociale ed ambientale, ad esempio in materia di assistenza sanitaria, agricoltura, istruzione e formazione, gestione delle infrastrutture, energia, trasporti e logistica, servizi pubblici, sicurezza, giustizia, efficienza dal punto di vista energetico e delle risorse, mitigazione dei cambiamenti climatici e adattamento ad essi.

(3)

L'intelligenza artificiale consiste in una famiglia di tecnologie in rapida evoluzione che può contribuire e già contribuisce al conseguimento di un'ampia gamma di benefici a livello economico , ambientale e sociale nell'intero spettro delle attività industriali e sociali se sviluppata in conformità di principi generali pertinenti in linea con la Carta e i valori su cui si fonda l'Unione . L'uso dell'intelligenza artificiale, garantendo un miglioramento delle previsioni, l'ottimizzazione delle operazioni e dell'assegnazione delle risorse e la personalizzazione delle soluzioni digitali disponibili per i singoli e le organizzazioni, può fornire vantaggi competitivi fondamentali alle imprese e condurre a risultati vantaggiosi sul piano sociale ed ambientale, ad esempio in materia di assistenza sanitaria, agricoltura, sicurezza alimentare, istruzione e formazione, media, sport, cultura, gestione delle infrastrutture, energia, trasporti e logistica, gestione delle crisi, servizi pubblici, sicurezza, giustizia, efficienza dal punto di vista energetico e delle risorse, monitoraggio ambientale, conservazione e ripristino della biodiversità e degli ecosistemi, mitigazione dei cambiamenti climatici e adattamento ad essi.

(3 bis)

Al fine di contribuire al conseguimento degli obiettivi di neutralità in termini di emissioni di carbonio, le imprese europee dovrebbero tentare di avvalersi di tutti i progressi tecnologici disponibili che possano contribuire al raggiungimento di tali obiettivi. L'intelligenza artificiale è una tecnologia potenzialmente in grado di essere utilizzata per il trattamento del volume sempre crescente di dati creati nell'ambito dei processi industriali, ambientali, sanitari e di altro tipo. Al fine di agevolare gli investimenti in strumenti di analisi e ottimizzazione basati sull'IA, il presente regolamento dovrebbe creare un contesto prevedibile e proporzionato per soluzioni industriali a basso rischio.

(4)

L'intelligenza artificiale può nel contempo, a seconda delle circostanze relative alla sua applicazione e al suo utilizzo specifici, comportare rischi e pregiudicare gli interessi pubblici e i diritti tutelati dalla legislazione dell'Unione. Tale pregiudizio può essere sia materiale sia immateriale.

(4)

L'intelligenza artificiale può nel contempo, a seconda delle circostanze relative alla sua applicazione e al suo utilizzo specifici, nonché del livello di sviluppo tecnologico, comportare rischi e pregiudicare gli interessi pubblici o privati e i diritti fondamentali delle persone fisiche tutelati dalla legislazione dell'Unione. Tale pregiudizio può essere sia materiale sia immateriale , compreso il pregiudizio fisico, psicologico, sociale o economico .

(4 bis)

In considerazione dell'impatto significativo che l'intelligenza artificiale può avere sulla società e della necessità di creare maggiore fiducia, è essenziale che l'intelligenza artificiale e il suo quadro normativo siano sviluppati conformemente ai valori dell'Unione sanciti dall'articolo 2 TUE, ai diritti e alle libertà fondamentali sanciti dai trattati, alla Carta e al diritto internazionale in materia di diritti umani. Come prerequisito, l'intelligenza artificiale dovrebbe essere una tecnologia antropocentrica. Essa non dovrebbe sostituire l'autonomia umana o presupporre la perdita della libertà individuale e dovrebbe essere principalmente al servizio della società e del bene comune. È opportuno prevedere misure per garantire lo sviluppo e l'utilizzo di un'intelligenza artificiale eticamente integrata che rispetti i valori dell'Unione e la Carta.

(5)

Si rende pertanto necessario un quadro giuridico dell'Unione che istituisca regole armonizzate in materia di intelligenza artificiale per promuovere lo sviluppo, l'uso e l'adozione dell'intelligenza artificiale nel mercato interno, garantendo nel contempo un elevato livello di protezione degli interessi pubblici, quali la salute e la sicurezza e la protezione dei diritti fondamentali, come riconosciuti e tutelati dal diritto dell'Unione. Per conseguire tale obiettivo, è opportuno stabilire regole che disciplinino l'immissione sul mercato e la messa in servizio di determinati sistemi di IA, garantendo in tal modo il buon funzionamento del mercato interno e consentendo a tali sistemi di beneficiare del principio della libera circolazione di beni e servizi. Stabilendo tali regole, il presente regolamento contribuisce all'obiettivo dell'Unione di essere un leader mondiale nello sviluppo di un'intelligenza artificiale sicura, affidabile ed etica, come affermato dal Consiglio europeo (33), e garantisce la tutela dei principi etici, come specificamente richiesto dal Parlamento europeo (34).

(5)

Si rende pertanto necessario un quadro giuridico dell'Unione che istituisca regole armonizzate in materia di intelligenza artificiale per promuovere lo sviluppo, l'uso e l'adozione dell'intelligenza artificiale nel mercato interno, garantendo nel contempo un elevato livello di protezione degli interessi pubblici, quali la salute e la sicurezza, la protezione dei diritti fondamentali, la democrazia, lo Stato di diritto e l'ambiente, come riconosciuti e tutelati dal diritto dell'Unione. Per conseguire tale obiettivo, è opportuno stabilire regole che disciplinino l'immissione sul mercato, la messa in servizio e l'uso di determinati sistemi di IA, garantendo in tal modo il buon funzionamento del mercato interno e consentendo a tali sistemi di beneficiare del principio della libera circolazione di beni e servizi. Tali norme dovrebbero essere chiare e solide nel tutelare i diritti fondamentali, sostenere nuove soluzioni innovative e consentire un ecosistema europeo di attori pubblici e privati che creino sistemi di IA in linea con i valori dell'Unione. Stabilendo tali regole nonché le misure a sostegno dell'innovazione, con particolare attenzione alle PMI e alle start-up , il presente regolamento contribuisce all'obiettivo di promuovere l'IA «Made in Europe» e all'obiettivo dell'Unione di essere un leader mondiale nello sviluppo di un'intelligenza artificiale sicura, affidabile ed etica, come affermato dal Consiglio europeo (33), e garantisce la tutela dei principi etici, come specificamente richiesto dal Parlamento europeo (34).

(5 bis)

Inoltre, al fine di promuovere lo sviluppo dei sistemi di IA conformemente ai valori dell'Unione, quest'ultima deve far fronte alle principali lacune e barriere che bloccano il potenziale della trasformazione digitale, tra cui la carenza di lavoratori dotati di competenze digitali, le preoccupazioni legate alla cibersicurezza, la mancanza di investimenti e di accesso agli investimenti, nonché i divari esistenti e potenziali tra le grandi imprese, le PMI e le start-up. Occorre prestare particolare attenzione a garantire che i benefici dell'IA e dell'innovazione nelle nuove tecnologie siano percepiti in tutte le regioni dell'Unione e che siano previsti investimenti e risorse sufficienti, soprattutto per le regioni che possono registrare ritardi in relazione ad alcuni indicatori digitali.

(6)

La nozione di sistema di IA dovrebbe essere definita in maniera chiara al fine di garantire la certezza del diritto, prevedendo nel contempo la flessibilità necessaria per agevolare i  futuri sviluppi tecnologici. La definizione dovrebbe essere basata sulle principali caratteristiche funzionali del software , in particolare sulla capacità, per una determinata serie di obiettivi definiti dall'uomo, di generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano l'ambiente con cui il sistema interagisce, tanto in una dimensione fisica quanto in una dimensione digitale . I sistemi di IA possono essere progettati per funzionare con livelli di autonomia variabili e  per essere utilizzati come elementi indipendenti (stand-alone) o come componenti di un prodotto, a prescindere dal fatto che il sistema sia fisicamente incorporato nel prodotto (integrato) o assista la funzionalità del prodotto senza esservi incorporato (non integrato) . La definizione di sistema di IA dovrebbe essere completata da un elenco di tecniche e approcci specifici utilizzati per il suo sviluppo , che dovrebbe essere tenuto aggiornato alla luce degli sviluppi di mercato e tecnologici mediante l'adozione da parte della Commissione di atti delegati volti a modificare tale elenco .

(6)

La nozione di sistema di IA di cui al presente regolamento dovrebbe essere definita in maniera chiara e strettamente allineata al lavoro delle organizzazioni internazionali che si occupano di intelligenza artificiale al fine di garantire la certezza del diritto, l'armonizzazione e un'ampia accettazione, prevedendo nel contempo la flessibilità necessaria per agevolare i  rapidi sviluppi tecnologici in questo ambito . Inoltre, essa dovrebbe essere basata sulle principali caratteristiche dell'intelligenza artificiale , quali le sue capacità di apprendimento, ragionamento o modellizzazione, in modo da distinguerla da sistemi software o approcci di programmazione più semplici . I sistemi di IA sono progettati per funzionare con livelli di autonomia variabili , il che significa che dispongono almeno di un certo grado di autonomia di azione rispetto ai controlli umani e  di capacità di funzionare senza l'intervento umano . Il termine «automatizzato» si riferisce al fatto che il funzionamento dei sistemi di IA prevede l'uso di macchine. Il riferimento a obiettivi espliciti o impliciti sottolinea che i sistemi di IA possono operare in base a obiettivi espliciti definiti dall'uomo o a obiettivi impliciti. Gli obiettivi del sistema di IA possono essere diversi dalla finalità prevista del sistema di IA in un contesto specifico. Il riferimento alle previsioni comprende il contenuto , che nel presente regolamento è considerato una forma di previsione, in quanto uno dei possibili output prodotti da un sistema di IA. Ai fini del presente regolamento, gli ambienti dovrebbero essere intesi come i contesti in cui operano i sistemi di IA, mentre gli output generati dal sistema di IA, ossia previsioni, raccomandazioni o decisioni, rispondono agli obiettivi del sistema sulla base degli input provenienti da tale ambiente . Tale output influenza ulteriormente detto ambiente, anche solo mediante l'introduzione di nuove informazioni.

(6 bis)

I sistemi di IA sono spesso dotati di capacità di apprendimento automatico che consentono loro di adattarsi e di svolgere nuovi compiti in autonomia. L'apprendimento automatico si riferisce al processo computazionale di ottimizzazione dei parametri di un modello a partire dai dati, una costruzione matematica che genera un output basato su dati di input. Gli approcci di apprendimento automatico comprendono, ad esempio, l'apprendimento supervisionato, l'apprendimento non supervisionato e l'apprendimento per rinforzo e utilizzano una varietà di metodi, tra cui l'apprendimento profondo (deep learning) con reti neurali. Il presente regolamento mira ad affrontare i nuovi rischi potenziali che potrebbero sorgere delegando il controllo ai sistemi di IA, in particolare ai sistemi di IA che possono evolvere in seguito alla loro diffusione. La funzione e gli output di molti di questi sistemi di IA si basano su relazioni matematiche astratte che per gli esseri umani risultano difficili da comprendere e monitorare e i cui input specifici sono difficili da rintracciare. Tali caratteristiche complesse e opache (elemento «scatola nera») incidono sulla rendicontabilità e sulla spiegabilità. Tecniche comparabilmente più semplici, come gli approcci basati sulle conoscenze, le stime bayesiane o gli alberi decisionali, possono altresì comportare lacune giuridiche che devono essere affrontate dal presente regolamento, in particolare se usate in combinazione con gli approcci di apprendimento automatico nei sistemi ibridi.

(6 ter)

I sistemi di IA possono essere utilizzati come sistemi software indipendenti (stand-alone), incorporati in un prodotto fisico (integrati), utilizzati per assistere la funzionalità di un prodotto fisico senza esservi incorporati (non integrati) o utilizzati come componenti di IA di un sistema più ampio. Qualora tale sistema più ampio non funzionasse senza il componente di IA in questione, l'intero sistema più ampio dovrebbe essere considerato un unico sistema di IA a norma del presente regolamento.

(7)

La nozione di dati biometrici utilizzata nel presente regolamento è in linea e dovrebbe essere interpretata in modo coerente con la nozione di dati biometrici di cui all'articolo 4, punto 14), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (35) , all'articolo 3, punto 18), del regolamento (UE) n. 2018/1725 del Parlamento europeo e del Consiglio  (36) e all'articolo 3, punto 13), della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio  (37) .

(7)

La nozione di dati biometrici utilizzata nel presente regolamento è in linea e dovrebbe essere interpretata in modo coerente con la nozione di dati biometrici di cui all'articolo 4, punto 14), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (35). I dati basati su elementi biometrici sono dati aggiuntivi ottenuti da un trattamento tecnico specifico in relazione ai segnali fisici, fisiologici o comportamentali di una persona fisica, quali ad esempio le espressioni facciali, i movimenti, la frequenza cardiaca, la voce, la pressione esercitata sui tasti o l'andatura, che possono o non possono consentire o confermare l'identificazione univoca di una persona fisica.

(7 bis)

La nozione di «identificazione biometrica» utilizzata nel presente regolamento dovrebbe essere definita come il riconoscimento automatico di caratteristiche fisiche, fisiologiche, comportamentali e psicologiche di una persona, quali il volto, il movimento degli occhi, le espressioni facciali, la forma del corpo, la voce, il linguaggio, l'andatura, la postura, la frequenza cardiaca, la pressione sanguigna, l'odore, la pressione esercitata sui tasti, le reazioni psicologiche (rabbia, angoscia, dolore, ecc.), allo scopo di determinare l'identità di una persona confrontando i suoi dati biometrici con quelli di altri individui memorizzati in una banca dati (identificazione «uno a molti»), indipendentemente dal fatto che la persona abbia fornito il proprio consenso.

(7 ter)

La nozione di categorizzazione biometrica utilizzata nel presente regolamento dovrebbe essere definita come l'assegnazione di persone fisiche a categorie specifiche o la deduzione delle loro caratteristiche o dei loro attributi, quali il genere, il sesso, l'età, il colore dei capelli, il colore degli occhi, i tatuaggi, l'origine etnica o sociale, la salute, l'abilità mentale o fisica, i tratti comportamentali o di personalità, la lingua, la religione o l'appartenenza a una minoranza nazionale o l'orientamento sessuale o politico, sulla base dei loro dati biometrici o dei dati basati su elementi biometrici o che possono essere dedotti da tali dati.

(8)

È opportuno definire a livello funzionale la nozione di sistema di identificazione biometrica remota utilizzata nel presente regolamento, quale sistema di IA destinato all'identificazione a distanza di persone fisiche mediante il confronto dei dati biometrici di una persona con i dati biometrici contenuti in una banca dati di riferimento, e senza sapere in anticipo se la persona interessata sarà presente e può essere identificata, a prescindere dalla tecnologia, dai processi o dai tipi specifici di dati biometrici utilizzati. Tenuto conto delle loro diverse caratteristiche e modalità di utilizzo, nonché dei diversi rischi connessi, è opportuno operare una distinzione tra sistemi di identificazione biometrica remota «in tempo reale» e «a posteriori». Nel caso dei sistemi «in tempo reale», il rilevamento dei dati biometrici, il confronto e l'identificazione avvengono tutti istantaneamente, quasi istantaneamente o in ogni caso senza ritardi significativi. A tale riguardo, non dovrebbe essere possibile eludere le regole del presente regolamento per quanto attiene all'uso «in tempo reale» dei sistemi di IA in questione prevedendo ritardi minimi. I sistemi «in tempo reale» comportano l'uso di materiale «dal vivo» o «quasi dal vivo» (ad esempio filmati) generato da una telecamera o da un altro dispositivo con funzionalità analoghe. Nel caso dei sistemi di identificazione «a posteriori», invece, i dati biometrici sono già stati rilevati e il confronto e l'identificazione avvengono solo con un ritardo significativo. Si tratta di materiale, come immagini o filmati generati da telecamere a circuito chiuso o da dispositivi privati, che è stato generato prima che il sistema fosse usato in relazione alle persone fisiche interessate.

(8)

È opportuno definire a livello funzionale la nozione di sistema di identificazione biometrica remota utilizzata nel presente regolamento, quale sistema di IA destinato all'identificazione a distanza di persone fisiche mediante il confronto dei dati biometrici di una persona con i dati biometrici contenuti in una banca dati di riferimento, e senza sapere in anticipo se la persona interessata sarà presente e può essere identificata, a prescindere dalla tecnologia, dai processi o dai tipi specifici di dati biometrici utilizzati , escludendo i sistemi di verifica che si limitano a confrontare i dati biometrici di una persona fisica con i dati biometrici forniti in precedenza («uno a uno») . Tenuto conto delle loro diverse caratteristiche e modalità di utilizzo, nonché dei diversi rischi connessi, è opportuno operare una distinzione tra sistemi di identificazione biometrica remota «in tempo reale» e «a posteriori». Nel caso dei sistemi «in tempo reale», il rilevamento dei dati biometrici, il confronto e l'identificazione avvengono tutti istantaneamente, quasi istantaneamente o in ogni caso senza ritardi significativi. A tale riguardo, non dovrebbe essere possibile eludere le regole del presente regolamento per quanto attiene all'uso «in tempo reale» dei sistemi di IA in questione prevedendo ritardi minimi. I sistemi «in tempo reale» comportano l'uso di materiale «dal vivo» o «quasi dal vivo» (ad esempio filmati) generato da una telecamera o da un altro dispositivo con funzionalità analoghe. Nel caso dei sistemi di identificazione «a posteriori», invece, i dati biometrici sono già stati rilevati e il confronto e l'identificazione avvengono solo con un ritardo significativo. Si tratta di materiale, come immagini o filmati generati da telecamere a circuito chiuso o da dispositivi privati, che è stato generato prima che il sistema fosse usato in relazione alle persone fisiche interessate. Poiché la nozione di identificazione biometrica è indipendente dal consenso della persona, tale definizione si applica anche quando le avvertenze sono collocate nel luogo soggetto alla vigilanza del sistema di identificazione biometrica remota, e non è di fatto annullata dal pre-inserimento.

(8 bis)

L'identificazione a distanza delle persone fisiche è intesa a distinguere i sistemi di identificazione biometrica remota dai sistemi di verifica individuale di prossimità che utilizzano mezzi di identificazione biometrica, il cui unico scopo è quello di confermare se una determinata persona fisica che si presenta per l'identificazione disponga o meno di un'autorizzazione, ad esempio per accedere a un servizio, a un dispositivo o a locali.

(9)

Ai fini del presente regolamento la nozione di spazio accessibile al pubblico dovrebbe essere intesa come riferita a qualsiasi luogo fisico accessibile al pubblico, a prescindere dal fatto che il luogo in questione sia di proprietà pubblica o privata. La nozione non contempla pertanto i luoghi di natura privata, quali abitazioni, circoli privati, uffici, magazzini e fabbriche, che non sono di norma accessibili a terzi, comprese le autorità di contrasto, a meno che tali soggetti non siano stati specificamente invitati o autorizzati. Non sono del pari contemplati gli spazi online, dato che non sono luoghi fisici. Il semplice fatto che possano applicarsi determinate condizioni di accesso a uno spazio specifico, quali biglietti d'ingresso o limiti di età, non significa tuttavia che lo spazio non sia accessibile al pubblico ai sensi del presente regolamento. Di conseguenza, oltre agli spazi pubblici come le strade, le parti pertinenti degli edifici governativi e la maggior parte delle infrastrutture di trasporto, sono di norma accessibili al pubblico anche spazi quali cinema, teatri, negozi e centri commerciali. L'accessibilità di un determinato spazio al pubblico dovrebbe tuttavia essere determinata caso per caso, tenendo conto delle specificità della singola situazione presa in esame.

(9)

Ai fini del presente regolamento la nozione di spazio accessibile al pubblico dovrebbe essere intesa come riferita a qualsiasi luogo fisico accessibile al pubblico, a prescindere dal fatto che il luogo in questione sia di proprietà pubblica o privata e indipendentemente dalle potenziali restrizioni di capacità . La nozione non contempla pertanto i luoghi di natura privata, quali abitazioni, circoli privati, uffici, magazzini e fabbriche, che non sono di norma accessibili a terzi, comprese le autorità di contrasto, a meno che tali soggetti non siano stati specificamente invitati o autorizzati. Non sono del pari contemplati gli spazi online, dato che non sono luoghi fisici. Il semplice fatto che possano applicarsi determinate condizioni di accesso a uno spazio specifico, quali biglietti d'ingresso o limiti di età, non significa tuttavia che lo spazio non sia accessibile al pubblico ai sensi del presente regolamento. Di conseguenza, oltre agli spazi pubblici come le strade, le parti pertinenti degli edifici governativi e la maggior parte delle infrastrutture di trasporto, sono di norma accessibili al pubblico anche spazi quali cinema, teatri, campi sportivi, scuole, università, parti pertinenti di ospedali e banche, parchi di divertimento, festival, negozi e centri commerciali. L'accessibilità di un determinato spazio al pubblico dovrebbe tuttavia essere determinata caso per caso, tenendo conto delle specificità della singola situazione presa in esame.

(9 bis)

È importante osservare che i sistemi di IA dovrebbero fare il possibile per rispettare i principi generali che istituiscono un quadro di alto livello che promuova un approccio coerente e antropocentrico a un'IA etica e affidabile, in linea con la Carta dei diritti fondamentali dell'Unione europea e i valori su cui si fonda l'Unione, tra cui la protezione dei diritti fondamentali, l'intervento e la sorveglianza umani, la robustezza tecnica e la sicurezza, la riservatezza e la governance dei dati, la trasparenza, la non discriminazione e l'equità nonché il benessere sociale e ambientale.

(9 ter)

L'«alfabetizzazione in materia di IA» si riferisce alle competenze, alle conoscenze e alla comprensione che consentono ai fornitori, agli utenti e alle persone interessate, tenendo conto dei loro rispettivi diritti e obblighi nel contesto del presente regolamento, di procedere a una diffusione informata dei sistemi di IA, nonché di acquisire consapevolezza in merito alle opportunità e ai rischi dell'IA e ai possibili danni che essa può causare, promuovendone in tal modo il controllo democratico. L'alfabetizzazione in materia di IA non dovrebbe limitarsi all'apprendimento di strumenti e tecnologie, ma dovrebbe anche mirare a dotare i fornitori e gli utenti delle nozioni e delle competenze necessarie per garantire la conformità al presente regolamento e la sua applicazione. È pertanto necessario che la Commissione, gli Stati membri, nonché i fornitori e gli utenti dei sistemi di IA, in collaborazione con tutti i pertinenti portatori di interessi, promuovano lo sviluppo di un livello sufficiente di alfabetizzazione in materia di IA in tutti i settori della società, per le persone di tutte le età, ivi comprese le donne e le ragazze, e che i progressi in tal senso siano seguiti con attenzione.

(10)

Al fine di garantire condizioni di parità e una protezione efficace dei diritti e delle libertà delle persone in tutta l'Unione, è opportuno che le regole stabilite dal presente regolamento si applichino ai fornitori di sistemi di IA in modo non discriminatorio, a prescindere dal fatto che siano stabiliti nell'Unione o in un paese terzo, e agli utenti dei sistemi di IA stabiliti nell'Unione.

(10)

Al fine di garantire condizioni di parità e una protezione efficace dei diritti e delle libertà delle persone in tutta l'Unione e a livello internazionale , è opportuno che le regole stabilite dal presente regolamento si applichino ai fornitori di sistemi di IA in modo non discriminatorio, a prescindere dal fatto che siano stabiliti nell'Unione o in un paese terzo, e agli operatori dei sistemi di IA stabiliti nell'Unione. Affinché l'Unione sia fedele ai suoi valori fondamentali, i sistemi di IA destinati a essere utilizzati per pratiche considerate inaccettabili dal presente regolamento dovrebbero essere considerati inaccettabili anche al di fuori dell'Unione a causa della loro incidenza particolarmente nociva sui diritti fondamentali sanciti dalla Carta. È pertanto opportuno vietare l'esportazione di tali sistemi di IA verso paesi terzi da parte di fornitori residenti nell'Unione.

(11)

Alla luce della loro natura di sistemi digitali, è opportuno che determinati sistemi di IA rientrino nell'ambito di applicazione del presente regolamento anche quando non sono immessi sul mercato, né messi in servizio, né utilizzati nell'Unione. È il caso, ad esempio, di un operatore stabilito nell'Unione che appalta alcuni servizi a un operatore stabilito al di fuori dell'Unione in relazione a un'attività che deve essere svolta da un sistema di IA che sarebbe classificato ad alto rischio e i cui effetti avrebbero un impatto sulle persone fisiche che si trovano nell'Unione. In tali circostanze il sistema di IA utilizzato dall'operatore al di fuori dell'Unione potrebbe trattare dati raccolti nell'Unione e da lì trasferiti, nel rispetto della legge, e fornire all'operatore appaltante nell'Unione l'output di tale sistema di IA risultante da tale trattamento, senza che tale sistema di IA sia immesso sul mercato, messo in servizio o utilizzato nell'Unione. Al fine di impedire l'elusione del presente regolamento e di garantire una protezione efficace delle persone fisiche che si trovano nell'Unione, è opportuno che il presente regolamento si applichi anche ai fornitori e agli utenti di sistemi di IA stabiliti in un paese terzo, nella misura in cui l'output prodotto da tali sistemi è utilizzato nell'Unione. Cionondimeno, per tener conto degli accordi vigenti e delle esigenze particolari per la cooperazione con partner stranieri con cui sono scambiate informazioni e elementi probatori, il presente regolamento non dovrebbe applicarsi alle autorità pubbliche di un paese terzo e alle organizzazioni internazionali che agiscono nel quadro di accordi internazionali conclusi a livello nazionale o europeo per la cooperazione delle autorità giudiziarie e di contrasto con l'Unione o con i suoi Stati membri. Tali accordi sono stati conclusi bilateralmente tra Stati membri e paesi terzi o tra l'Unione europea, Europol e altre agenzie dell'UE e paesi terzi e organizzazioni internazionali.

(11)

Alla luce della loro natura di sistemi digitali, è opportuno che determinati sistemi di IA rientrino nell'ambito di applicazione del presente regolamento anche quando non sono immessi sul mercato, né messi in servizio, né utilizzati nell'Unione. È il caso, ad esempio, di un operatore stabilito nell'Unione che appalta alcuni servizi a un operatore stabilito al di fuori dell'Unione in relazione a un'attività che deve essere svolta da un sistema di IA che sarebbe classificato ad alto rischio e i cui effetti avrebbero un impatto sulle persone fisiche che si trovano nell'Unione. In tali circostanze il sistema di IA utilizzato dall'operatore al di fuori dell'Unione potrebbe trattare dati raccolti nell'Unione e da lì trasferiti, nel rispetto della legge, e fornire all'operatore appaltante nell'Unione l'output di tale sistema di IA risultante da tale trattamento, senza che tale sistema di IA sia immesso sul mercato, messo in servizio o utilizzato nell'Unione. Al fine di impedire l'elusione del presente regolamento e di garantire una protezione efficace delle persone fisiche che si trovano nell'Unione, è opportuno che il presente regolamento si applichi anche ai fornitori, agli utenti e agli operatori di sistemi di IA stabiliti in un paese terzo, nella misura in cui l'output prodotto da tali sistemi è destinato a essere utilizzato nell'Unione. Cionondimeno, per tener conto degli accordi vigenti e delle esigenze particolari per la cooperazione con partner stranieri con cui sono scambiate informazioni e elementi probatori, il presente regolamento non dovrebbe applicarsi alle autorità pubbliche di un paese terzo e alle organizzazioni internazionali che agiscono nel quadro di accordi internazionali conclusi a livello nazionale o europeo per la cooperazione delle autorità giudiziarie e di contrasto con l'Unione o con i suoi Stati membri. Tali accordi sono stati conclusi bilateralmente tra Stati membri e paesi terzi o tra l'Unione europea, Europol e altre agenzie dell'UE e paesi terzi e organizzazioni internazionali. Tale eccezione dovrebbe, tuttavia, essere limitata ai paesi e alle organizzazioni internazionali affidabili che condividono i valori dell'Unione.

(12)

È altresì opportuno che il presente regolamento si applichi alle istituzioni, agli uffici, agli organismi e alle agenzie dell'Unione quando agiscono in qualità di fornitori o utenti di un sistema di IA. I sistemi di IA sviluppati o utilizzati esclusivamente per scopi militari dovrebbero essere esclusi dall'ambito di applicazione del presente regolamento nel caso in cui tale uso rientri nell'ambito di competenza esclusiva della politica estera e di sicurezza comune disciplinata dal titolo V del trattato sull'Unione europea (TUE). Il presente regolamento non dovrebbe pregiudicare le disposizioni relative alla responsabilità dei prestatori intermediari di cui alla direttiva 2000/31/CE del Parlamento europeo e del Consiglio [come modificata dalla legge sui servizi digitali].

(12)

È altresì opportuno che il presente regolamento si applichi alle istituzioni, agli uffici, agli organismi e alle agenzie dell'Unione quando agiscono in qualità di fornitori od operatori di un sistema di IA. I sistemi di IA sviluppati o utilizzati esclusivamente per scopi militari dovrebbero essere esclusi dall'ambito di applicazione del presente regolamento nel caso in cui tale uso rientri nell'ambito di competenza esclusiva della politica estera e di sicurezza comune disciplinata dal titolo V del trattato sull'Unione europea (TUE). Il presente regolamento non dovrebbe pregiudicare le disposizioni relative alla responsabilità dei prestatori intermediari di cui alla direttiva 2000/31/CE del Parlamento europeo e del Consiglio [come modificata dalla legge sui servizi digitali].

(12 bis)

I software e i dati che sono condivisi apertamente e che gli utenti possono liberamente consultare, utilizzare, modificare e ridistribuire, comprese le loro versioni modificate, possono contribuire alla ricerca e all'innovazione nel mercato. Dalle ricerche condotte dalla Commissione emerge anche che i software liberi e open source possono contribuire al PIL dell'Unione europea per un valore compreso tra i 65 e i 95 miliardi di EUR e offrire notevoli opportunità di crescita per l'economia europea. Gli utenti possono eseguire, copiare, distribuire, studiare, modificare e migliorare i software e i dati, compresi i modelli, mediante licenze libere e open source. Al fine di favorire lo sviluppo e la diffusione dell'IA, in particolare da parte delle PMI, delle start-up e del mondo della ricerca accademica, ma anche dei singoli individui, il presente regolamento non si dovrebbe applicare a tali componenti di IA liberi e open source, tranne nella misura in cui essi sono immessi sul mercato o messi in servizio da un fornitore nell'ambito di un sistema di IA ad alto rischio o di un sistema di IA che rientra nel titolo II o IV del presente regolamento.

(12 ter)

Né lo sviluppo collaborativo di componenti di IA liberi e open source né la loro messa a disposizione su archivi aperti dovrebbero essere considerati un'immissione sul mercato o una messa in servizio. Un'attività commerciale, nel senso di una messa a disposizione sul mercato, può tuttavia essere caratterizzata dall'applicazione di un prezzo, ad eccezione delle transazioni tra microimprese, per un componente di IA libero e open source, ma anche dall'applicazione di un prezzo per i servizi di assistenza tecnica, dalla fornitura di una piattaforma software attraverso la quale il fornitore monetizza altri servizi o dall'utilizzo di dati personali per motivi diversi dal solo miglioramento della sicurezza, della compatibilità o dell'interoperabilità del software.

(12 quater)

È opportuno che gli sviluppatori indipendenti di componenti di IA liberi e open source non siano obbligati, a norma del presente regolamento, a conformarsi a requisiti relativi alla catena del valore dell'IA e, in particolare, nei confronti dei fornitori che utilizzano tale componente di IA libero e open source. Gli sviluppatori di componenti di IA liberi e open source dovrebbero tuttavia essere incoraggiati ad attuare pratiche di documentazione ampiamente adottate, come modelli e schede dati, al fine di accelerare la condivisione delle informazioni lungo la catena del valore dell'IA, consentendo la promozione di sistemi di IA affidabili nell'Unione.

(13)

Al fine di garantire un livello costante ed elevato di tutela degli interessi pubblici in materia di salute, sicurezza e diritti fondamentali, è opportuno stabilire norme legislative comuni per tutti i sistemi di IA ad alto rischio. Tali norme dovrebbero essere coerenti con la Carta dei diritti fondamentali dell'Unione europea (la Carta) , non discriminatorie e in linea con gli impegni commerciali internazionali dell'Unione.

(13)

Al fine di garantire un livello costante ed elevato di tutela degli interessi pubblici in materia di salute, sicurezza e diritti fondamentali , nonché di democrazia, Stato di diritto e ambiente , è opportuno stabilire norme legislative comuni per tutti i sistemi di IA ad alto rischio. Tali norme dovrebbero essere coerenti con la Carta, il Green Deal europeo, la dichiarazione comune sui diritti digitali dell'Unione e gli orientamenti etici per un'intelligenza artificiale (IA) affidabile elaborati dal gruppo di esperti ad alto livello sull'intelligenza artificiale, non discriminatorie e in linea con gli impegni commerciali internazionali dell'Unione.

(14)

Al fine di introdurre un insieme proporzionato ed efficace di regole vincolanti per i sistemi di IA è opportuno avvalersi di un approccio basato sul rischio definito in modo chiaro. Tale approccio dovrebbe adattare la tipologia e il contenuto di dette regole all'intensità e alla portata dei rischi che possono essere generati dai sistemi di IA. È pertanto necessario vietare determinate pratiche di intelligenza artificiale, stabilire requisiti per i sistemi di IA ad alto rischio e obblighi per gli operatori pertinenti, nonché obblighi di trasparenza per determinati sistemi di IA.

(14)

Al fine di introdurre un insieme proporzionato ed efficace di regole vincolanti per i sistemi di IA è opportuno avvalersi di un approccio basato sul rischio definito in modo chiaro. Tale approccio dovrebbe adattare la tipologia e il contenuto di dette regole all'intensità e alla portata dei rischi che possono essere generati dai sistemi di IA. È pertanto necessario vietare determinate pratiche inaccettabili di intelligenza artificiale, stabilire requisiti per i sistemi di IA ad alto rischio e obblighi per gli operatori pertinenti, nonché obblighi di trasparenza per determinati sistemi di IA.

(15)

L'intelligenza artificiale presenta, accanto a molti utilizzi benefici, la possibilità di essere utilizzata impropriamente e di fornire strumenti nuovi e potenti per pratiche di manipolazione, sfruttamento e controllo sociale. Tali pratiche sono particolarmente dannose e dovrebbero essere vietate poiché contraddicono i valori dell'Unione relativi al rispetto della dignità umana, della libertà, dell'uguaglianza, della democrazia e dello Stato di diritto e dei diritti fondamentali dell'Unione, compresi il diritto alla non discriminazione, alla protezione dei dati e della vita privata e i diritti dei minori.

(15)

L'intelligenza artificiale presenta, accanto a molti utilizzi benefici, la possibilità di essere utilizzata impropriamente e di fornire strumenti nuovi e potenti per pratiche di manipolazione, sfruttamento e controllo sociale. Tali pratiche sono particolarmente dannose e abusive e dovrebbero essere vietate poiché contraddicono i valori dell'Unione relativi al rispetto della dignità umana, della libertà, dell'uguaglianza, della democrazia e dello Stato di diritto e dei diritti fondamentali dell'Unione, compresi il diritto alla non discriminazione, alla protezione dei dati e della vita privata e i diritti dei minori.

(16)

È opportuno vietare l'immissione sul mercato, la messa in servizio o l'uso di determinati sistemi di IA intesi a distorcere il comportamento umano e che possono provocare danni fisici o psicologici. Tali sistemi di IA impiegano componenti subliminali che i singoli individui non sono in grado di percepire, oppure sfruttano le vulnerabilità di bambini e persone, dovute all'età o a incapacità fisiche o mentali. Si tratta di azioni compiute con l'intento di distorcere materialmente il comportamento di una persona, in un modo che provoca o può provocare un danno a tale persona o a un'altra. Tale intento non può essere presunto se la distorsione del comportamento umano è determinata da fattori esterni al sistema di IA, che sfuggono al controllo del fornitore o dell'utente. Tale divieto non dovrebbe ostacolare la ricerca per scopi legittimi in relazione a tali sistemi di IA, se tale ricerca non equivale a un uso del sistema di IA nelle relazioni uomo-macchina che espone le persone fisiche a danni e se tale ricerca è condotta conformemente a norme etiche riconosciute per la ricerca scientifica.

(16)

È opportuno vietare l'immissione sul mercato, la messa in servizio o l'uso di determinati sistemi di IA che hanno l'obiettivo o l'effetto di distorcere materialmente il comportamento umano e che possono provocare danni fisici o psicologici. Dovrebbero intendersi incluse in tale limitazione le neurotecnologie assistite da sistemi di IA che sono utilizzate per monitorare, sfruttare o influenzare i dati neurali raccolti attraverso interfacce cervello-computer nella misura in cui distorcono materialmente il comportamento di una persona fisica in un modo che provoca o può provocare un danno significativo a tale persona o a un'altra. Tali sistemi di IA impiegano componenti subliminali che i singoli individui non sono in grado di percepire, oppure sfruttano le vulnerabilità di individui e  gruppi specifici di persone, dovute ai tratti noti o presunti della loro personalità, all'età o a incapacità fisiche o mentali , o alla situazione sociale o economica . Si tratta di azioni compiute con l'intento o l'effetto di distorcere materialmente il comportamento di una persona, in un modo che provoca o può provocare un danno significativo a tale persona o a un'altra o a gruppi di persone, inclusi danni accumulabili nel tempo . Tale intento di distorcere il comportamento non può essere presunto se la distorsione è determinata da fattori esterni al sistema di IA, che sfuggono al controllo del fornitore o dell'utente , come fattori che possono non essere ragionevolmente previsti e attenuati dal fornitore o dall'operatore del sistema di IA . In ogni caso, non è necessario che il fornitore o l'operatore abbiano l'intento di provocare il danno significativo, purché tale danno derivi da pratiche manipolative o di sfruttamento consentite dall'IA. Il divieto di tali pratiche di IA è complementare alle disposizioni della direttiva 2005/29/CE, secondo cui le pratiche commerciali sleali sono vietate, indipendentemente dal fatto che siano attuate ricorrendo a sistemi di IA o in altro modo. In tale contesto, le pratiche commerciali lecite, ad esempio nel settore della pubblicità, che sono conformi al diritto dell'Unione non dovrebbero essere considerate di per sé contrarie al divieto. Tale divieto non dovrebbe ostacolare la ricerca per scopi legittimi in relazione a tali sistemi di IA, se tale ricerca non equivale a un uso del sistema di IA nelle relazioni uomo-macchina che espone le persone fisiche a danni e se tale ricerca è condotta conformemente a norme etiche riconosciute per la ricerca scientifica e sulla base del consenso informato specifico delle persone esposte o, se del caso, del loro tutore legale .

(16 bis)

I sistemi di IA che classificano le persone fisiche assegnandole a categorie specifiche, in base a caratteristiche sensibili o protette note o dedotte, sono particolarmente intrusivi, violano la dignità umana e presentano un elevato rischio di discriminazione. Tali caratteristiche includono il genere e l'identità di genere, la razza, l'origine etnica, lo status di cittadinanza o migrazione, l'orientamento politico, l'orientamento sessuale, la religione, la disabilità o qualsiasi altro motivo in base al quale la discriminazione è vietata a norma dell'articolo 21 della Carta dei diritti fondamentali dell'Unione europea, nonché a norma dell'articolo 9 del regolamento (UE) 2016/769. È pertanto opportuno vietare tali sistemi.

(17)

I sistemi di IA che forniscono un punteggio sociale delle persone fisiche per finalità generali delle autorità pubbliche o di loro rappresentanti possono portare a risultati discriminatori e all'esclusione di determinati gruppi. Possono inoltre ledere il diritto alla dignità e alla non discriminazione e i valori di uguaglianza e giustizia. Tali sistemi di IA valutano o classificano l'affidabilità delle persone fisiche sulla base del loro comportamento sociale in molteplici contesti o di caratteristiche personali o della personalità note o previste. Il punteggio sociale ottenuto da tali sistemi di IA può determinare un trattamento pregiudizievole o sfavorevole di persone fisiche o di interi gruppi in contesti sociali che non sono collegati ai contesti in cui i dati sono stati originariamente generati o raccolti, o a un trattamento pregiudizievole che risulta ingiustificato o sproporzionato rispetto alla gravità del loro comportamento sociale. È pertanto opportuno vietare tali sistemi di IA.

(17)

I sistemi di IA che forniscono un punteggio sociale delle persone fisiche per finalità generali possono portare a risultati discriminatori e all'esclusione di determinati gruppi. Ledono inoltre il diritto alla dignità e alla non discriminazione e i valori di uguaglianza e giustizia. Tali sistemi di IA valutano o classificano le persone fisiche o i gruppi sulla base di vari punti di dati e occorrenze riguardanti il loro comportamento sociale in molteplici contesti o di caratteristiche personali o della personalità note , dedotte o previste. Il punteggio sociale ottenuto da tali sistemi di IA può determinare un trattamento pregiudizievole o sfavorevole di persone fisiche o di interi gruppi in contesti sociali che non sono collegati ai contesti in cui i dati sono stati originariamente generati o raccolti, o a un trattamento pregiudizievole che risulta ingiustificato o sproporzionato rispetto alla gravità del loro comportamento sociale. È pertanto opportuno vietare tali sistemi di IA.

(18)

L'uso di sistemi di IA di identificazione biometrica remota «in tempo reale» delle persone fisiche in spazi accessibili al pubblico a fini di attività di contrasto è ritenuto particolarmente invasivo dei diritti e delle libertà delle persone interessate , nella misura in cui potrebbe avere ripercussioni sulla vita privata di un'ampia fetta della popolazione, farla sentire costantemente sotto sorveglianza e scoraggiare in maniera indiretta l'esercizio della libertà di riunione e di altri diritti fondamentali. L'immediatezza dell'impatto e le limitate opportunità di eseguire ulteriori controlli o apportare correzioni in relazione all'uso di tali sistemi che operano «in tempo reale» comportano inoltre un aumento dei rischi per quanto concerne i diritti e le libertà delle persone oggetto di attività di contrasto.

(18)

L'uso di sistemi di IA di identificazione biometrica remota «in tempo reale» delle persone fisiche in spazi accessibili al pubblico è particolarmente invasivo dei diritti e delle libertà delle persone interessate e può in ultima analisi avere ripercussioni sulla vita privata di un'ampia fetta della popolazione, farla sentire costantemente sotto sorveglianza , collocare le parti che impiegano l'identificazione biometrica in spazi accessibili al pubblico in una posizione di potere incontrollabile e scoraggiare in maniera indiretta l'esercizio della libertà di riunione e di altri diritti fondamentali che costituiscono l'essenza dello Stato di diritto. Le inesattezze di carattere tecnico dei sistemi di IA destinati all'identificazione biometrica remota delle persone fisiche possono determinare risultati distorti e comportare effetti discriminatori. Ciò diviene particolarmente importante quando si trattano aspetti quali età, etnia, sesso o disabilità . L'immediatezza dell'impatto e le limitate opportunità di eseguire ulteriori controlli o apportare correzioni in relazione all'uso di tali sistemi che operano «in tempo reale» comportano inoltre un aumento dei rischi per quanto concerne i diritti e le libertà delle persone oggetto di attività di contrasto. L'uso di tali sistemi in spazi accessibili al pubblico dovrebbe pertanto essere vietato. Analogamente, anche i sistemi di IA utilizzati per l'analisi di filmati registrati di spazi accessibili al pubblico attraverso sistemi di identificazione biometrica remota «a posteriori» dovrebbero essere vietati, a meno che non vi sia un'autorizzazione giudiziaria preventiva concernente il loro uso a fini di contrasto, ove strettamente necessario per la ricerca mirata connessa a uno specifico reato grave già avvenuto e previa autorizzazione giudiziaria.

(19)

L'uso di tali sistemi a fini di attività di contrasto dovrebbe pertanto essere vietato, eccezion fatta per tre situazioni elencate in modo esaustivo e definite rigorosamente, nelle quali l'uso è strettamente necessario per perseguire un interesse pubblico rilevante, la cui importanza prevale sui rischi. Tali situazioni comprendono la ricerca di potenziali vittime di reato, compresi i minori scomparsi, determinate minacce per la vita o l'incolumità fisica delle persone fisiche o un attacco terroristico nonché il rilevamento, la localizzazione e l'identificazione degli autori o dei sospettati di reati di cui nella decisione quadro 2002/584/GAI del Consiglio  (38) o l'azione penale nei loro confronti, se tali reati, quali definiti dalla legge dello Stato membro interessato, sono punibili in tale Stato membro con una pena o una misura di sicurezza privativa della libertà personale della durata massima di almeno tre anni. Tale soglia per la pena o la misura di sicurezza privativa della libertà personale in conformità al diritto nazionale contribuisce a garantire che il reato sia sufficientemente grave da giustificare potenzialmente l'uso di sistemi di identificazione biometrica remota «in tempo reale». Inoltre è probabile che, a livello pratico, alcuni dei 32 reati elencati della decisione quadro 2002/584/GAI del Consiglio risultino più pertinenti di altri, poiché il grado di necessità e proporzionalità del ricorso all'identificazione biometrica remota «in tempo reale» sarà prevedibilmente molto variabile per quanto concerne il perseguimento pratico del rilevamento, della localizzazione, dell'identificazione o dell'azione penale nei confronti di un autore o un sospettato dei vari reati elencati e con riguardo alle possibili differenze in termini di gravità, probabilità e portata del danno o delle eventuali conseguenze negative.

(20)

Al fine di garantire che tali sistemi siano utilizzati in modo responsabile e proporzionato, è altresì importante stabilire che, in ciascuna delle tre situazioni elencate in modo esaustivo e definite rigorosamente, è opportuno tener conto di taluni elementi, in particolare per quanto riguarda la natura della situazione all'origine della richiesta e le conseguenze dell'uso per i diritti e le libertà di tutte le persone interessate, nonché le tutele e le condizioni previste per l'uso. L'uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto dovrebbe inoltre essere subordinato a limiti di tempo e di spazio adeguati, con particolare riguardo a indicazioni o elementi probatori relativi a minacce, vittime o autori di reati. La banca dati di riferimento delle persone dovrebbe risultare adeguata per ogni caso d'uso in ciascuna delle tre situazioni di cui sopra.

(21)

È opportuno subordinare ogni uso di un sistema di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto a un'autorizzazione esplicita e specifica da parte di un'autorità giudiziaria o di un'autorità amministrativa indipendente di uno Stato membro. Tale autorizzazione dovrebbe, in linea di principio, essere ottenuta prima dell'uso, tranne in situazioni di urgenza debitamente giustificate, vale a dire le situazioni in cui la necessità di utilizzare i sistemi in questione è tale da far sì che sia effettivamente e oggettivamente impossibile ottenere un'autorizzazione prima di iniziare a utilizzare il sistema. In tali situazioni di urgenza, è opportuno limitare l'uso al minimo indispensabile e subordinarlo a tutele e condizioni adeguate, come stabilito dal diritto nazionale e specificato nel contesto di ogni singolo caso d'uso urgente dall'autorità di contrasto stessa. L'autorità di contrasto dovrebbe inoltre in tali situazioni tentare di ottenere nel minor tempo possibile un'autorizzazione, indicando contestualmente i motivi per cui non ha potuto richiederla prima.

(22)

È altresì opportuno prevedere, nell'ambito del quadro esaustivo stabilito dal presente regolamento, che tale uso nel territorio di uno Stato membro in conformità al presente regolamento sia possibile solo nel caso e nella misura in cui lo Stato membro in questione abbia deciso di prevedere espressamente la possibilità di autorizzare tale uso nelle regole dettagliate del proprio diritto nazionale. Gli Stati membri restano di conseguenza liberi, a norma del presente regolamento, di non prevedere affatto tale possibilità o di prevederla soltanto per alcuni degli obiettivi idonei a giustificare l'uso autorizzato di cui nel presente regolamento.

(23)

L'uso di sistemi di IA per l'identificazione biometrica remota «in tempo reale» di persone fisiche in spazi accessibili al pubblico a fini di attività di contrasto comporta necessariamente il trattamento di dati biometrici. Le regole del presente regolamento che, fatte salve alcune eccezioni, vietano tale uso, e che sono basate sull'articolo 16 TFUE, dovrebbero applicarsi come lex specialis rispetto alle regole sul trattamento dei dati biometrici di cui all'articolo 10 della direttiva (UE) 2016/680, disciplinando quindi in modo esaustivo tale uso e il trattamento dei dati biometrici interessati. L'uso e il trattamento di cui sopra dovrebbero pertanto essere possibili solo nella misura in cui siano compatibili con il quadro stabilito dal presente regolamento, senza che al di fuori di tale quadro sia prevista la possibilità, per le autorità competenti, quando agiscono a fini di attività di contrasto, di utilizzare tali sistemi e trattare tali dati in connessione con tali attività per i motivi di cui all'articolo 10 della direttiva (UE) 2016/680. In tale contesto, il presente regolamento non è inteso a fornire la base giuridica per il trattamento dei dati personali a norma dell'articolo 8 della direttiva 2016/680. Tuttavia, l'uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini diversi dalle attività di contrasto, anche da parte delle autorità competenti, non dovrebbe rientrare nel quadro specifico stabilito dal presente regolamento in relazione a tale uso a fini di attività di contrasto. Tale uso a fini diversi dalle attività di contrasto non dovrebbe pertanto essere subordinato all'obbligo di un'autorizzazione a norma del presente regolamento e delle regole dettagliate applicabili del diritto nazionale che possono darvi attuazione.

(24)

Qualsiasi trattamento di dati biometrici e di altri dati personali interessati dall'uso di sistemi di IA a fini di identificazione biometrica, diverso da quello connesso all'uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto disciplinato dal presente regolamento , compresi i casi in cui tali sistemi sono utilizzati dalle autorità competenti in spazi accessibili al pubblico per fini diversi dalle attività di contrasto, dovrebbe continuare a soddisfare tutti i requisiti derivanti dall'articolo 9, paragrafo 1, del regolamento (UE) 2016/679, dall'articolo 10, paragrafo 1, del regolamento (UE) 2018/1725 e dall'articolo 10 della direttiva (UE) 2016/680, a seconda dei casi.

(24)

Qualsiasi trattamento di dati biometrici e di altri dati personali interessati dall'uso di sistemi di IA a fini di identificazione biometrica, diverso da quello connesso all'uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico disciplinato dal presente regolamento dovrebbe continuare a soddisfare tutti i requisiti derivanti dall'articolo 9, paragrafo 1, del regolamento (UE) 2016/679, dall'articolo 10, paragrafo 1, del regolamento (UE) 2018/1725 e dall'articolo 10 della direttiva (UE) 2016/680, a seconda dei casi.

(25)

A norma dell'articolo 6 bis del protocollo n. 21 sulla posizione del Regno Unito e dell'Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al TUE e al TFUE, l'Irlanda non è vincolata dalle regole stabilite all'articolo 5, paragrafo 1, lettera d), e paragrafi 2 e 3, del presente regolamento, adottate in base all'articolo 16 TFUE, che riguardano il trattamento dei dati personali da parte degli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione della parte terza, titolo V, capi 4 o 5, TFUE, laddove l'Irlanda non sia vincolata da regole che disciplinano forme di cooperazione giudiziaria in materia penale o di cooperazione di polizia nell'ambito delle quali devono essere rispettate le disposizioni stabilite in base all'articolo 16 TFUE.

(25)

A norma dell'articolo 6 bis del protocollo n. 21 sulla posizione del Regno Unito e dell'Irlanda rispetto allo spazio di libertà, sicurezza e giustizia, allegato al TUE e al TFUE, l'Irlanda non è vincolata dalle regole stabilite all'articolo 5, paragrafo 1, lettera d), del presente regolamento, adottate in base all'articolo 16 TFUE, che riguardano il trattamento dei dati personali da parte degli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione della parte terza, titolo V, capi 4 o 5, TFUE, laddove l'Irlanda non sia vincolata da regole che disciplinano forme di cooperazione giudiziaria in materia penale o di cooperazione di polizia nell'ambito delle quali devono essere rispettate le disposizioni stabilite in base all'articolo 16 TFUE.

(26)

A norma degli articoli 2 e 2 bis del protocollo n. 22 sulla posizione della Danimarca, allegato al TUE e al TFUE, la Danimarca non è vincolata dalle regole stabilite all'articolo 5, paragrafo 1, lettera d), e paragrafi 2 e 3, del presente regolamento, adottate in base all'articolo 16 TFUE, che riguardano il trattamento dei dati personali da parte degli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione della parte terza, titolo V, capi 4 o 5, TFUE, né è soggetta alla loro applicazione.

(26)

A norma degli articoli 2 e 2 bis del protocollo n. 22 sulla posizione della Danimarca, allegato al TUE e al TFUE, la Danimarca non è vincolata dalle regole stabilite all'articolo 5, paragrafo 1, lettera d), del presente regolamento, adottate in base all'articolo 16 TFUE, che riguardano il trattamento dei dati personali da parte degli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione della parte terza, titolo V, capi 4 o 5, TFUE, né è soggetta alla loro applicazione.

(26 bis)

I sistemi di IA utilizzati dalle autorità di contrasto o per loro conto per realizzare previsioni, profili o valutazioni del rischio sulla base della profilazione delle persone fisiche o dell'analisi dei dati a partire dai tratti e dalle caratteristiche della personalità, inclusa l'ubicazione della persona, o del comportamento criminale pregresso delle persone fisiche o dei gruppi di persone allo scopo di prevedere il verificarsi o il ripetersi di reati effettivi o potenziali o di altri comportamenti sociali penalmente perseguibili o di illeciti amministrativi, inclusi i sistemi di previsione delle frodi, rischiano in modo particolare di discriminare determinati individui o gruppi di individui, in quanto ledono la dignità umana nonché il principio giuridico fondamentale della presunzione d'innocenza. È pertanto opportuno vietare tali sistemi di IA.

(26 ter)

L'estrapolazione indiscriminata e non mirata dei dati biometrici dai social media o dalle registrazioni dei sistemi di telecamere a circuito chiuso per creare o ampliare banche dati di riconoscimento facciale accresce il senso di sorveglianza di massa e può portare a gravi violazioni dei diritti fondamentali, compreso il diritto alla vita privata. L'uso dei sistemi di IA che perseguono tale finalità dovrebbe pertanto essere vietato.

(26 quater)

Sussistono serie preoccupazioni in merito alla base scientifica dei sistemi di IA volti a rilevare le emozioni, le caratteristiche fisiche o fisiologiche come le espressioni facciali, i movimenti, la frequenza cardiaca o la voce. Le emozioni o la loro espressione e percezione variano notevolmente in base alle culture e alle situazioni e persino in relazione a una stessa persona. Tra le principali carenze di tali tecnologie figurano la limitata affidabilità (le categorie di emozioni non sono espresse in modo affidabile attraverso un insieme comune di movimenti fisici o fisiologici né associate in modo inequivocabile agli stessi), la mancanza di specificità (le espressioni fisiche o fisiologiche non corrispondono perfettamente alle categorie di emozioni) e la limitata generalizzabilità (gli effetti del contesto e della cultura non sono sufficientemente presi in considerazione). Possono emergere problemi di affidabilità e, di conseguenza, gravi rischi di abuso in particolare quando il sistema viene utilizzato in situazioni reali relative ad attività di contrasto, alla gestione delle frontiere, al luogo di lavoro e agli istituti di istruzione. Pertanto, è opportuno vietare l'immissione sul mercato, la messa in servizio o l'uso di sistemi di IA destinati a essere utilizzati in tali contesti per rilevare lo stato emotivo delle persone fisiche.

(26 quinquies)

Il presente regolamento non dovrebbe incidere sulle pratiche vietate dalla legislazione dell'Unione, ivi incluso dalla normativa in materia di protezione dei dati, non discriminazione, protezione dei consumatori e concorrenza.

(27)

È opportuno che i sistemi di IA ad alto rischio siano immessi sul mercato dell'Unione o messi in servizio solo se soddisfano determinati requisiti obbligatori. Tali requisiti dovrebbero garantire che i sistemi di IA ad alto rischio disponibili nell'Unione o i cui output sono altrimenti utilizzati nell'Unione non presentino rischi inaccettabili per interessi pubblici importanti dell'Unione, come riconosciuti e tutelati dal diritto dell'Unione. È opportuno limitare i sistemi di IA identificati come ad alto rischio a quelli che hanno un impatto nocivo significativo sulla salute, la sicurezza e i diritti fondamentali delle persone nell'Unione, e tale limitazione riduce al minimo eventuali potenziali restrizioni al commercio internazionale.

(27)

È opportuno che i sistemi di IA ad alto rischio siano immessi sul mercato dell'Unione, messi in servizio o utilizzati solo se soddisfano determinati requisiti obbligatori. Tali requisiti dovrebbero garantire che i sistemi di IA ad alto rischio disponibili nell'Unione o i cui output sono altrimenti utilizzati nell'Unione non presentino rischi inaccettabili per interessi pubblici importanti dell'Unione, come riconosciuti e tutelati dal diritto dell'Unione , inclusi i diritti fondamentali, la democrazia, lo Stato di diritto o l'ambiente. Al fine di garantire l'allineamento con la legislazione settoriale ed evitare duplicazioni, i requisiti per i sistemi di IA ad alto rischio dovrebbero tenere conto della legislazione settoriale che stabilisce requisiti per i sistemi di IA ad alto rischio inclusi nell'ambito di applicazione del presente regolamento, come il regolamento (UE) 2017/745 sui dispositivi medici e il regolamento (UE) 2017/746 sui dispositivi diagnostici in vitro o la direttiva 2006/42/CE relativa alle macchine . È opportuno limitare i sistemi di IA identificati come ad alto rischio a quelli che hanno un impatto nocivo significativo sulla salute, la sicurezza e i diritti fondamentali delle persone nell'Unione, e tale limitazione riduce al minimo eventuali potenziali restrizioni al commercio internazionale. In considerazione del rapido ritmo dello sviluppo tecnologico, nonché dei potenziali cambiamenti nell'uso dei sistemi di IA, l'elenco dei settori e dei casi d'uso ad alto rischio di cui all'allegato III dovrebbe comunque essere oggetto di riesame permanente attraverso una valutazione periodica.

(28)

I sistemi di IA potrebbero avere ripercussioni negative per la salute e  la sicurezza delle persone, in particolare quando tali sistemi sono impiegati come componenti di prodotti. Coerentemente con gli obiettivi della normativa di armonizzazione dell'Unione di agevolare la libera circolazione dei prodotti nel mercato interno e di garantire che solo prodotti sicuri e comunque conformi possano essere immessi sul mercato, è importante che i rischi per la sicurezza che un prodotto nel suo insieme può generare a causa dei suoi componenti digitali, compresi i sistemi di IA, siano debitamente prevenuti e attenuati. Ad esempio, i robot sempre più autonomi, sia nel contesto della produzione sia in quello della cura e dell'assistenza alle persone, dovrebbero essere in misura di operare e svolgere le loro funzioni in condizioni di sicurezza in ambienti complessi. Analogamente, nel settore sanitario, in cui la posta in gioco per la vita e la salute è particolarmente elevata, è opportuno che i sistemi diagnostici e i sistemi di sostegno delle decisioni dell'uomo, sempre più sofisticati, siano affidabili e accurati. La portata dell'impatto negativo del sistema di IA sui diritti fondamentali protetti dalla Carta è di particolare rilevanza ai fini della classificazione di un sistema di IA tra quelli ad alto rischio. Tali diritti comprendono il diritto alla dignità umana, il rispetto della vita privata e della vita familiare, la protezione dei dati personali, la libertà di espressione e di informazione, la libertà di riunione e di associazione e la non discriminazione, la protezione dei consumatori, i diritti dei lavoratori, i diritti delle persone con disabilità, il diritto a un ricorso effettivo e a un giudice imparziale, i diritti della difesa e la presunzione di innocenza e il diritto a una buona amministrazione. Oltre a tali diritti, è importante sottolineare che i minori godono di diritti specifici sanciti dall'articolo 24 della Carta dell'UE e dalla Convenzione delle Nazioni Unite sui diritti del fanciullo (ulteriormente elaborati nell'osservazione generale n. 25 della Convenzione delle Nazioni Unite sui diritti del fanciullo per quanto riguarda l'ambiente digitale), che prevedono la necessità di tenere conto delle loro vulnerabilità e di fornire la protezione e l'assistenza necessarie al loro benessere. È altresì opportuno tenere in considerazione, nel valutare la gravità del danno che un sistema di IA può provocare, anche in relazione alla salute e alla sicurezza delle persone, il diritto fondamentale a un livello elevato di protezione dell'ambiente sancito dalla Carta e attuato nelle politiche dell'Unione.

(28)

I sistemi di IA potrebbero avere un impatto negativo sulla salute e  sulla sicurezza delle persone, in particolare quando tali sistemi sono impiegati come componenti di sicurezza di prodotti. Coerentemente con gli obiettivi della normativa di armonizzazione dell'Unione di agevolare la libera circolazione dei prodotti nel mercato interno e di garantire che solo prodotti sicuri e comunque conformi possano essere immessi sul mercato, è importante che i rischi per la sicurezza che un prodotto nel suo insieme può generare a causa dei suoi componenti digitali, compresi i sistemi di IA, siano debitamente prevenuti e attenuati. Ad esempio, i robot sempre più autonomi, sia nel contesto della produzione sia in quello della cura e dell'assistenza alle persone, dovrebbero essere in misura di operare e svolgere le loro funzioni in condizioni di sicurezza in ambienti complessi. Analogamente, nel settore sanitario, in cui la posta in gioco per la vita e la salute è particolarmente elevata, è opportuno che i sistemi diagnostici e i sistemi di sostegno delle decisioni dell'uomo, sempre più sofisticati, siano affidabili e accurati.

(28 bis)

La portata dell'impatto negativo del sistema di IA sui diritti fondamentali protetti dalla Carta è di particolare rilevanza ai fini della classificazione di un sistema di IA tra quelli ad alto rischio. Tali diritti comprendono il diritto alla dignità umana, il rispetto della vita privata e della vita familiare, la protezione dei dati personali, la libertà di espressione e di informazione, la libertà di riunione e di associazione e la non discriminazione, il diritto all'istruzione, la protezione dei consumatori, i diritti dei lavoratori, i diritti delle persone con disabilità, l'uguaglianza di genere, i diritti di proprietà intellettuale, il diritto a un ricorso effettivo e a un giudice imparziale, i diritti della difesa e la presunzione di innocenza e il diritto a una buona amministrazione. Oltre a tali diritti, è importante sottolineare che i minori godono di diritti specifici sanciti dall'articolo 24 della Carta dell'UE e dalla Convenzione delle Nazioni Unite sui diritti del fanciullo (ulteriormente elaborati nell'osservazione generale n. 25 della Convenzione delle Nazioni Unite sui diritti del fanciullo per quanto riguarda l'ambiente digitale), che prevedono la necessità di tenere conto delle loro vulnerabilità e di fornire la protezione e l'assistenza necessarie al loro benessere. È altresì opportuno tenere in considerazione, nel valutare la gravità del danno che un sistema di IA può provocare, anche in relazione alla salute e alla sicurezza delle persone o all'ambiente, il diritto fondamentale a un livello elevato di protezione dell'ambiente sancito dalla Carta e attuato nelle politiche dell'Unione.

(29)

Per quanto riguarda i sistemi di IA ad alto rischio che sono componenti di sicurezza di prodotti o sistemi o che sono essi stessi prodotti o sistemi che rientrano nell'ambito di applicazione del regolamento (CE) n. 300/2008 del Parlamento europeo e del Consiglio (39), del regolamento (UE) n. 167/2013 del Parlamento europeo e del Consiglio (40), del regolamento (UE) n. 168/2013 del Parlamento europeo e del Consiglio (41), della direttiva 2014/90/UE del Parlamento europeo e del Consiglio (42), della direttiva (UE) 2016/797 del Parlamento europeo e del Consiglio (43), del regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio (44), del regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio (45), e del regolamento (UE) 2019/2144 del Parlamento europeo e del Consiglio (46), è opportuno modificare i suddetti atti per garantire che, nell'adottare qualsiasi futuro atto delegato o di esecuzione pertinente sulla base di tali atti, la Commissione tenga conto, sulla base delle specificità tecniche e normative di ciascun settore e senza interferire con i vigenti meccanismi di governance, valutazione della conformità e applicazione e con le autorità da essi stabilite, dei requisiti obbligatori sanciti dal presente regolamento.

(29)

Per quanto riguarda i sistemi di IA ad alto rischio che sono componenti di sicurezza di prodotti o sistemi o che sono essi stessi prodotti o sistemi che rientrano nell'ambito di applicazione del regolamento (CE) n. 300/2008 del Parlamento europeo e del Consiglio (39), del regolamento (UE) n. 167/2013 del Parlamento europeo e del Consiglio (40), del regolamento (UE) n. 168/2013 del Parlamento europeo e del Consiglio (41), della direttiva 2014/90/UE del Parlamento europeo e del Consiglio (42), della direttiva (UE) 2016/797 del Parlamento europeo e del Consiglio (43), del regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio (44), del regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio (45), e del regolamento (UE) 2019/2144 del Parlamento europeo e del Consiglio (46), è opportuno modificare i suddetti atti per garantire che, nell'adottare qualsiasi futuro atto delegato o di esecuzione pertinente sulla base di tali atti, la Commissione tenga conto, sulla base delle specificità tecniche e normative di ciascun settore e senza interferire con i vigenti meccanismi di governance, valutazione della conformità , vigilanza del mercato e applicazione e con le autorità da essi stabilite, dei requisiti obbligatori sanciti dal presente regolamento.

(30)

Per quanto riguarda i sistemi di IA che sono componenti di sicurezza di prodotti, o che sono essi stessi prodotti, e rientrano nell'ambito di applicazione di una determinata normativa di armonizzazione dell'Unione, è opportuno classificarli come sistemi ad alto rischio a norma del presente regolamento se il prodotto in questione è sottoposto alla procedura di valutazione della conformità con un organismo terzo di valutazione della conformità a norma della suddetta pertinente normativa di armonizzazione dell'Unione. Tali prodotti sono, in particolare, macchine, giocattoli, ascensori, apparecchi e sistemi di protezione destinati a essere utilizzati in atmosfera potenzialmente esplosiva, apparecchiature radio, attrezzature a pressione, attrezzature per imbarcazioni da diporto, impianti a fune, apparecchi che bruciano carburanti gassosi, dispositivi medici e dispositivi medico-diagnostici in vitro.

(30)

Per quanto riguarda i sistemi di IA che sono componenti di sicurezza di prodotti, o che sono essi stessi prodotti, e rientrano nell'ambito di applicazione di una determinata normativa di armonizzazione dell'Unione di cui all'allegato II , è opportuno classificarli come sistemi ad alto rischio a norma del presente regolamento se il prodotto in questione è sottoposto alla procedura di valutazione della conformità , al fine di garantire la conformità ai requisiti di sicurezza essenziali, con un organismo terzo di valutazione della conformità a norma della suddetta pertinente normativa di armonizzazione dell'Unione. Tali prodotti sono, in particolare, macchine, giocattoli, ascensori, apparecchi e sistemi di protezione destinati a essere utilizzati in atmosfera potenzialmente esplosiva, apparecchiature radio, attrezzature a pressione, attrezzature per imbarcazioni da diporto, impianti a fune, apparecchi che bruciano carburanti gassosi, dispositivi medici e dispositivi medico-diagnostici in vitro.

(31)

La classificazione di un sistema di IA come ad alto rischio a norma del presente regolamento non dovrebbe necessariamente significare che il prodotto il cui componente di sicurezza è il sistema di IA, o il sistema di IA stesso in quanto prodotto, sia considerato «ad alto rischio» in base ai criteri stabiliti nella pertinente normativa di armonizzazione dell'Unione che si applica al prodotto. Ciò vale in particolare per il regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio (47) e per il regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio (48), in cui è prevista una valutazione della conformità da parte di terzi per i prodotti a medio rischio e ad alto rischio.

(31)

La classificazione di un sistema di IA come ad alto rischio a norma del presente regolamento non dovrebbe significare che il prodotto il cui componente di sicurezza è il sistema di IA, o il sistema di IA stesso in quanto prodotto, sia considerato «ad alto rischio» in base ai criteri stabiliti nella pertinente normativa di armonizzazione dell'Unione che si applica al prodotto. Ciò vale in particolare per il regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio (47) e per il regolamento (UE) 2017/746 del Parlamento europeo e del Consiglio (48), in cui è prevista una valutazione della conformità da parte di terzi per i prodotti a medio rischio e ad alto rischio.

(32)

Per quanto riguarda i sistemi di IA indipendenti, ossia i sistemi di IA ad alto rischio diversi da quelli che sono componenti di sicurezza di prodotti o che sono essi stessi prodotti, è opportuno classificarli come ad alto rischio se, alla luce della loro finalità prevista, presentano un alto rischio di pregiudicare la salute e la sicurezza o i diritti fondamentali delle persone , tenendo conto sia della gravità del possibile danno sia della probabilità che si verifichi, e  sono utilizzati in una serie di settori specificamente predefiniti indicati nel regolamento . L'identificazione di tali sistemi si basa sulla stessa metodologia e sui medesimi criteri previsti anche per eventuali future modifiche dell'elenco dei sistemi di IA ad alto rischio.

(32)

Per quanto riguarda i sistemi di IA indipendenti, ossia i sistemi di IA ad alto rischio diversi da quelli che sono componenti di sicurezza di prodotti o che sono essi stessi prodotti e che figurano nell'elenco dei settori e dei casi d'uso di cui all'allegato III , è opportuno classificarli come ad alto rischio se, alla luce della loro finalità prevista, presentano un rischio significativo di pregiudicare la salute e la sicurezza o i diritti fondamentali delle persone e, laddove il sistema di IA sia utilizzato come componente di sicurezza di un'infrastruttura critica, di pregiudicare l'ambiente. Tale rischio significativo di arrecare pregiudizio dovrebbe essere individuato valutando, da un lato, l'effetto di tale rischio rispetto al suo livello di gravità , intensità, probabilità di verificarsi e  durata in combinazione di tali elementi e, dall'altro, se il rischio può riguardare un individuo, una pluralità di persone o un particolare gruppo di persone. Tale combinazione potrebbe ad esempio comportare una gravità accentuata ma una scarsa probabilità di incidere su una persona fisica, o un'elevata probabilità di colpire un gruppo di persone unita a una debole intensità su un periodo di tempo prolungato, a seconda del contesto . L'identificazione di tali sistemi si basa sulla stessa metodologia e sui medesimi criteri previsti anche per eventuali future modifiche dell'elenco dei sistemi di IA ad alto rischio.

(32 bis)

I fornitori i cui sistemi di IA rientrano in uno dei settori e dei casi d'uso di cui all'allegato III che ritengano che il loro sistema non comporti un rischio significativo di pregiudicare la salute, la sicurezza, i diritti fondamentali o l'ambiente dovrebbero informare le autorità nazionali di controllo presentando una notifica motivata. Ciò potrebbe assumere la forma di una sintesi di una pagina delle informazioni pertinenti sul sistema di IA in questione, compresa la sua finalità prevista e il motivo per cui non comporterebbe un rischio significativo di pregiudicare la salute, la sicurezza, i diritti fondamentali o l'ambiente. La Commissione dovrebbe specificare i criteri per consentire alle imprese di valutare se il loro sistema comporta tali rischi, nonché sviluppare un modello di notifica di facile utilizzo e standardizzato. I fornitori dovrebbero presentare la notifica il prima possibile e in ogni caso prima dell'immissione del sistema di IA sul mercato o della sua messa in servizio, idealmente nella fase di sviluppo, e dovrebbero essere liberi di immetterlo sul mercato in qualsiasi momento successivo alla notifica. Tuttavia, laddove ritenga che il sistema di IA in questione sia stato classificato erroneamente, l'autorità dovrebbe opporsi alla notifica entro un termine di tre mesi. L'obiezione dovrebbe essere motivata e spiegare debitamente il motivo per cui il sistema di IA è stato classificato erroneamente. Il fornitore dovrebbe conservare il diritto di ricorso fornendo ulteriori argomentazioni. In mancanza di obiezioni alla notifica al termine dei tre mesi, le autorità nazionali di controllo potrebbero comunque intervenire se il sistema di IA presenta un rischio a livello nazionale, come per qualsiasi altro sistema di IA sul mercato. Le autorità nazionali di controllo dovrebbero presentare all'ufficio per l'IA relazioni annuali che specifichino le notifiche ricevute e le decisioni adottate.

(33)

Le inesattezze di carattere tecnico dei sistemi di IA destinati all'identificazione biometrica remota delle persone fisiche possono determinare risultati distorti e comportare effetti discriminatori. Ciò diviene particolarmente importante quando si trattano aspetti quali età, etnia, sesso o disabilità. È pertanto opportuno classificare i sistemi di identificazione biometrica remota «in tempo reale» e «a posteriori» come sistemi ad alto rischio. Alla luce dei rischi che comportano, entrambi i tipi di sistemi di identificazione biometrica remota dovrebbero essere soggetti a requisiti specifici in materia di capacità di registrazione e sorveglianza umana.

(33 bis)

Poiché i dati biometrici costituiscono una categoria speciale di dati personali sensibili ai sensi del regolamento (UE) 2016/679, diversi casi critici d'uso di sistemi biometrici e basati su elementi biometrici dovrebbero essere classificati come ad alto rischio. È pertanto opportuno classificare come ad alto rischio i sistemi di IA destinati a essere utilizzati per l'identificazione delle persone fisiche e i sistemi di IA destinati a essere utilizzati per trarre conclusioni sulle caratteristiche personali delle persone fisiche sulla base di dati biometrici o basati su elementi biometrici, compresi i sistemi di riconoscimento delle emozioni, ad eccezione di quelli vietati a norma del presente regolamento. Non dovrebbero essere inclusi i sistemi di IA destinati a essere utilizzati per la verifica biometrica, che include l'autenticazione, la cui unica finalità è confermare che una determinata persona fisica è la persona che dice di essere e confermare l'identità di una persona fisica al solo scopo di accedere a un servizio, a un dispositivo o a locali (verifica «uno a uno»). Non si dovrebbe ritenere che i sistemi biometrici e basati su elementi biometrici previsti dal diritto dell'Unione per consentire misure di cibersicurezza e di protezione dei dati personali presentino un rischio significativo di pregiudicare la salute, la sicurezza e i diritti fondamentali.

(34)

Per quanto riguarda la gestione e il funzionamento delle infrastrutture critiche, è opportuno classificare come ad alto rischio i sistemi di IA destinati a essere utilizzati come componenti di sicurezza ai fini della gestione del traffico stradale nonché della fornitura di acqua, gas, riscaldamento ed elettricità, in quanto un loro guasto o malfunzionamento può mettere a rischio la vita e la salute di un grande numero di persone e provocare perturbazioni significative del normale svolgimento delle attività sociali ed economiche.

(34)

Per quanto riguarda la gestione e il funzionamento delle infrastrutture critiche, è opportuno classificare come ad alto rischio i sistemi di IA destinati a essere utilizzati come componenti di sicurezza ai fini della gestione della fornitura di acqua, gas, riscaldamento, elettricità e infrastrutture digitali critiche , in quanto un loro guasto o malfunzionamento può violare la sicurezza e l'integrità di tali infrastrutture critiche e mettere a rischio la vita e la salute di un grande numero di persone e provocare perturbazioni significative del normale svolgimento delle attività sociali ed economiche. I componenti di sicurezza delle infrastrutture critiche, comprese le infrastrutture digitali critiche, sono sistemi utilizzati per proteggere direttamente l'integrità fisica delle infrastrutture critiche o la salute e la sicurezza delle persone e dei beni. Un guasto o malfunzionamento di tali componenti potrebbe comportare direttamente rischi per l'integrità fisica delle infrastrutture critiche e quindi per la salute e la sicurezza delle persone e dei beni. I componenti destinati a essere utilizzati esclusivamente a fini di cibersicurezza non dovrebbero essere considerati componenti di sicurezza. Tra gli esempi di tali componenti di sicurezza possono rientrare i sistemi di monitoraggio della pressione idrica o i sistemi di controllo degli allarmi antincendio nei centri di cloud computing.

(35)

I sistemi di IA utilizzati nell'istruzione o nella formazione professionale, in particolare per determinare l'accesso o  l'assegnazione di persone agli istituti di istruzione e formazione professionale o per valutare le persone che svolgono prove come parte o presupposto della loro istruzione, dovrebbero essere considerati ad alto rischio in quanto possono determinare il percorso d'istruzione e professionale della vita di una persona e quindi incidere sulla sua capacità di garantire il proprio sostentamento. Se progettati e utilizzati in modo inadeguato, tali sistemi possono violare il diritto all'istruzione e alla formazione, nonché il diritto alla non discriminazione, e perpetuare modelli storici di discriminazione.

(35)

La diffusione di sistemi di IA nel settore dell'istruzione è importante per contribuire a modernizzare i sistemi di istruzione nel loro insieme, aumentare la qualità dell'istruzione, sia offline che online, e accelerare l'istruzione digitale, rendendola così disponibile anche a un pubblico più ampio. I sistemi di IA utilizzati nell'istruzione o nella formazione professionale, in particolare per determinare l'accesso o influenzare materialmente le decisioni sull'ammissione o  sull'assegnazione di persone agli istituti di istruzione e formazione professionale o per valutare le persone che svolgono prove come parte o presupposto della loro istruzione, ovvero per valutare il livello di istruzione adeguato per un individuo e influenzare materialmente il livello di istruzione e formazione che le persone riceveranno o al quale potranno accedere o per monitorare e rilevare comportamenti vietati da parte degli studenti durante le prove, dovrebbero essere classificati come sistemi di IA ad alto rischio in quanto possono determinare il percorso d'istruzione e professionale della vita di una persona e quindi incidere sulla sua capacità di garantire il proprio sostentamento. Se progettati e utilizzati in modo inadeguato, tali sistemi possono essere particolarmente intrusivi e violare il diritto all'istruzione e alla formazione, nonché il diritto alla non discriminazione, e perpetuare modelli storici di discriminazione , ad esempio nei confronti delle donne, di talune fasce di età, delle persone con disabilità o delle persone aventi determinate origini razziali o etniche o un determinato orientamento sessuale .

(36)

Anche i sistemi di IA utilizzati nel settore dell'occupazione, nella gestione dei lavoratori e nell'accesso al lavoro autonomo, in particolare per l'assunzione e la selezione delle persone, per l'adozione di decisioni in materia di promozione e cessazione del rapporto di lavoro, nonché per l'assegnazione dei compiti, per il monitoraggio o la valutazione delle persone nei rapporti contrattuali legati al lavoro, dovrebbero essere classificati come sistemi ad alto rischio, in quanto tali sistemi possono avere un impatto significativo sul futuro di tali persone in termini di future prospettive di carriera e sostentamento. I pertinenti rapporti contrattuali legati al lavoro dovrebbero coinvolgere i dipendenti e le persone che forniscono servizi tramite piattaforme, come indicato nel programma di lavoro annuale della Commissione per il 2021. In linea di principio, tali persone non dovrebbero essere considerate utenti ai sensi del presente regolamento. Durante tutto il processo di assunzione, nonché ai fini della valutazione e della promozione delle persone o del proseguimento dei rapporti contrattuali legati al lavoro, tali sistemi possono perpetuare modelli storici di discriminazione, ad esempio nei confronti delle donne, di talune fasce di età, delle persone con disabilità o delle persone aventi determinate origini razziali o etniche o un determinato orientamento sessuale. I sistemi di IA utilizzati per monitorare le prestazioni e il comportamento di tali persone possono inoltre incidere sui loro diritti in materia di protezione dei dati e vita privata.

(36)

Anche i sistemi di IA utilizzati nel settore dell'occupazione, nella gestione dei lavoratori e nell'accesso al lavoro autonomo, in particolare per l'assunzione e la selezione delle persone, per l'adozione di decisioni o l'esercizio di un'influenza materiale sulle decisioni in materia di avvio, promozione e cessazione del rapporto di lavoro, nonché per l'assegnazione di compiti personalizzati sulla base del comportamento individuale, di tratti personali o di dati biometrici , per il monitoraggio o la valutazione delle persone nei rapporti contrattuali legati al lavoro, dovrebbero essere classificati come sistemi ad alto rischio, in quanto tali sistemi possono avere un impatto significativo sul futuro di tali persone in termini di future prospettive di carriera e sostentamento e sui diritti dei lavoratori . I pertinenti rapporti contrattuali legati al lavoro dovrebbero coinvolgere in maniera significativa i dipendenti e le persone che forniscono servizi tramite piattaforme, come indicato nel programma di lavoro annuale della Commissione per il 2021. Durante tutto il processo di assunzione, nonché ai fini della valutazione e della promozione delle persone o del proseguimento dei rapporti contrattuali legati al lavoro, tali sistemi possono perpetuare modelli storici di discriminazione, ad esempio nei confronti delle donne, di talune fasce di età, delle persone con disabilità o delle persone aventi determinate origini razziali o etniche o un determinato orientamento sessuale. I sistemi di IA utilizzati per monitorare le prestazioni e il comportamento di tali persone possono inoltre compromettere l'essenza dei loro diritti fondamentali in materia di protezione dei dati e vita privata. Il presente regolamento si applica senza pregiudicare le competenze dell'Unione e degli Stati membri di prevedere norme più specifiche per l'utilizzo di sistemi di IA nell'ambito dei rapporti di lavoro.

(37)

Un altro settore in cui l'utilizzo dei sistemi di IA merita particolare attenzione è l'accesso ad alcuni prestazioni e servizi pubblici e servizi privati essenziali, necessari affinché le persone possano partecipare pienamente alla vita sociale o migliorare il proprio tenore di vita, e la fruizione di tali servizi. È in particolare opportuno classificare i sistemi di IA utilizzati per valutare il merito di credito o l'affidabilità creditizia delle persone fisiche come sistemi di IA ad alto rischio, in quanto determinano l'accesso di tali persone alle risorse finanziarie o a servizi essenziali quali l'alloggio, l'elettricità e i servizi di telecomunicazione. I sistemi di IA utilizzati a tal fine possono portare alla discriminazione di persone o gruppi e perpetuare modelli storici di discriminazione, ad esempio in base all'origine razziale o etnica, alle disabilità, all'età o all'orientamento sessuale, o dar vita a nuove forme di effetti discriminatori. In considerazione della portata molto limitata dell'impatto e delle alternative disponibili sul mercato, è opportuno esentare i sistemi di IA destinati alla valutazione dell'affidabilità creditizia e del merito creditizio nei casi in cui sono messi in servizio da fornitori di piccole dimensioni per uso proprio . Le persone fisiche che chiedono o ricevono prestazioni e servizi di assistenza pubblica dalle autorità pubbliche sono di norma dipendenti da tali prestazioni e servizi e si trovano generalmente in una posizione vulnerabile rispetto alle autorità competenti. I sistemi di IA, se utilizzati per determinare se tali prestazioni e servizi dovrebbero essere negati, ridotti, revocati o recuperati dalle autorità, possono avere un impatto significativo sul sostentamento delle persone e violare i loro diritti fondamentali, quali il diritto alla protezione sociale, alla non discriminazione, alla dignità umana o a un ricorso effettivo. È pertanto opportuno classificare tali sistemi come sistemi ad alto rischio. Cionondimeno, il presente regolamento non dovrebbe ostacolare lo sviluppo e l'utilizzo di approcci innovativi nella pubblica amministrazione, che trarrebbero beneficio da un uso più ampio di sistemi di IA conformi e sicuri, a condizione che tali sistemi non comportino un rischio alto per le persone fisiche e giuridiche. Infine, è opportuno classificare come ad alto rischio anche i sistemi di IA utilizzati per inviare servizi di emergenza di primo soccorso o per stabilire priorità in merito all'invio di tali servizi, in quanto prendono decisioni in situazioni molto critiche per la vita e la salute delle persone e per i loro beni.

(37)

Un altro settore in cui l'utilizzo dei sistemi di IA merita particolare attenzione è l'accesso ad alcuni prestazioni e servizi pubblici e servizi privati essenziali, compresi i servizi di assistenza sanitaria e i servizi essenziali, tra cui gli alloggi, l'elettricità, il riscaldamento/raffrescamento e internet, ma non solo, necessari affinché le persone possano partecipare pienamente alla vita sociale o migliorare il proprio tenore di vita, e la fruizione di tali servizi. È in particolare opportuno classificare i sistemi di IA utilizzati per valutare il merito di credito o l'affidabilità creditizia delle persone fisiche come sistemi di IA ad alto rischio, in quanto determinano l'accesso di tali persone alle risorse finanziarie o a servizi essenziali quali l'alloggio, l'elettricità e i servizi di telecomunicazione. I sistemi di IA utilizzati a tal fine possono portare alla discriminazione di persone o gruppi e perpetuare modelli storici di discriminazione, ad esempio in base all'origine razziale o etnica, al genere, alle disabilità, all'età o all'orientamento sessuale, o dar vita a nuove forme di effetti discriminatori. Tuttavia, i sistemi di IA previsti dal diritto dell'Unione al fine di individuare le frodi nell'offerta di servizi finanziari non dovrebbero essere considerati ad alto rischio ai sensi del presente regolamento. Le persone fisiche che chiedono o ricevono prestazioni e servizi di assistenza pubblica dalle autorità pubbliche , compresi i servizi di assistenza sanitaria e i servizi essenziali, tra cui gli alloggi, l'elettricità, il riscaldamento/raffrescamento e internet, ma non solo, sono di norma dipendenti da tali prestazioni e servizi e si trovano generalmente in una posizione vulnerabile rispetto alle autorità competenti. I sistemi di IA, se utilizzati per determinare se tali prestazioni e servizi dovrebbero essere negati, ridotti, revocati o recuperati dalle autorità, possono avere un impatto significativo sul sostentamento delle persone e violare i loro diritti fondamentali, quali il diritto alla protezione sociale, alla non discriminazione, alla dignità umana o a un ricorso effettivo. Analogamente, anche i sistemi di IA destinati a essere utilizzati per prendere decisioni o influenzare materialmente le decisioni sull'ammissibilità delle persone fisiche all'assicurazione sanitaria e sulla vita possono avere un impatto significativo sul sostentamento delle persone e violare i loro diritti fondamentali, ad esempio limitando l'accesso all'assistenza sanitaria o perpetuando la discriminazione basata sulle caratteristiche personali. È pertanto opportuno classificare tali sistemi come sistemi ad alto rischio. Cionondimeno, il presente regolamento non dovrebbe ostacolare lo sviluppo e l'utilizzo di approcci innovativi nella pubblica amministrazione, che trarrebbero beneficio da un uso più ampio di sistemi di IA conformi e sicuri, a condizione che tali sistemi non comportino un rischio alto per le persone fisiche e giuridiche. Infine, è opportuno classificare come ad alto rischio anche i sistemi di IA utilizzati per valutare e classificare le chiamate di emergenza effettuate da persone fisiche o inviare servizi di emergenza di primo soccorso o per stabilire priorità in merito all'invio di tali servizi, in quanto prendono decisioni in situazioni molto critiche per la vita e la salute delle persone e per i loro beni.

(37 bis)

In considerazione del ruolo e delle responsabilità delle autorità di polizia e giudiziarie e dell'impatto delle decisioni adottate dalle stesse a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, alcuni casi specifici d'uso di applicazioni di IA nelle attività di contrasto devono essere classificati come ad alto rischio, in particolare nei casi in cui esso possano influire in maniera significativa sulla vita o sui diritti fondamentali delle persone.

(38)

Le azioni delle autorità di contrasto che prevedono determinati usi dei sistemi di IA sono caratterizzate da un livello significativo di squilibrio di potere e possono portare alla sorveglianza, all'arresto o alla privazione della libertà di una persona fisica, come pure avere altri impatti negativi sui diritti fondamentali garantiti nella Carta. In particolare, il sistema di IA, se non è addestrato con dati di elevata qualità, se non soddisfa requisiti adeguati in termini di accuratezza o robustezza, o se non è adeguatamente progettato e sottoposto a prova prima di essere immesso sul mercato o altrimenti messo in servizio, può individuare le persone in modo discriminatorio o altrimenti errato o ingiusto. Potrebbe inoltre essere ostacolato l'esercizio di importanti diritti procedurali fondamentali, quali il diritto a un ricorso effettivo e a un giudice imparziale, nonché i diritti della difesa e la presunzione di innocenza, in particolare nel caso in cui tali sistemi di IA non siano sufficientemente trasparenti, spiegabili e documentati. È pertanto opportuno classificare come ad alto rischio una serie di sistemi di IA destinati a essere utilizzati nel contesto delle attività di contrasto, in cui l'accuratezza, l'affidabilità e la trasparenza risultano particolarmente importanti per evitare impatti negativi, mantenere la fiducia dei cittadini e garantire la responsabilità e mezzi di ricorso efficaci. In considerazione della natura delle attività in questione e dei rischi a esse connessi, tra tali sistemi di IA ad alto rischio è opportuno includere, in particolare, i sistemi di IA destinati a essere utilizzati dalle autorità di contrasto per valutazioni dei rischi individuali , come poligrafi e strumenti analoghi, oppure per rilevare lo stato emotivo delle persone fisiche, individuare «deep fake», valutare l'affidabilità degli elementi probatori nei procedimenti penali, prevedere il verificarsi o il ripetersi di un reato effettivo o potenziale sulla base della profilazione delle persone fisiche, o valutare i tratti e le caratteristiche della personalità o il comportamento criminale pregresso delle persone fisiche o dei gruppi, nonché ai fini della profilazione nel corso dell'indagine, dell'accertamento e del perseguimento di reati e dell'analisi criminale nei riguardi delle persone fisiche. I sistemi di IA specificamente destinati a essere utilizzati per procedimenti amministrativi dalle autorità fiscali e doganali non dovrebbero essere considerati sistemi di IA ad alto rischio utilizzati dalle autorità di contrasto a fini di prevenzione, accertamento, indagine e perseguimento di reati.

(38)

Le azioni delle autorità di contrasto che prevedono determinati usi dei sistemi di IA sono caratterizzate da un livello significativo di squilibrio di potere e possono portare alla sorveglianza, all'arresto o alla privazione della libertà di una persona fisica, come pure avere altri impatti negativi sui diritti fondamentali garantiti nella Carta. In particolare, il sistema di IA, se non è addestrato con dati di elevata qualità, se non soddisfa requisiti adeguati in termini di prestazioni, accuratezza o robustezza, o se non è adeguatamente progettato e sottoposto a prova prima di essere immesso sul mercato o altrimenti messo in servizio, può individuare le persone in modo discriminatorio o altrimenti errato o ingiusto. Potrebbe inoltre essere ostacolato l'esercizio di importanti diritti procedurali fondamentali, quali il diritto a un ricorso effettivo e a un giudice imparziale, nonché i diritti della difesa e la presunzione di innocenza, in particolare nel caso in cui tali sistemi di IA non siano sufficientemente trasparenti, spiegabili e documentati. È pertanto opportuno classificare come ad alto rischio una serie di sistemi di IA destinati a essere utilizzati nel contesto delle attività di contrasto, in cui l'accuratezza, l'affidabilità e la trasparenza risultano particolarmente importanti per evitare impatti negativi, mantenere la fiducia dei cittadini e garantire la responsabilità e mezzi di ricorso efficaci. In considerazione della natura delle attività in questione e dei rischi a esse connessi, tra tali sistemi di IA ad alto rischio è opportuno includere, in particolare, i sistemi di IA destinati a essere utilizzati dalle autorità di contrasto o per loro conto o da istituzioni, organi e organismi dell'Unione a sostegno delle autorità di contrasto , come poligrafi e strumenti analoghi nella misura in cui il loro utilizzo sia consentito a norma del pertinente diritto nazionale e dell'Unione , per valutare l'affidabilità degli elementi probatori nei procedimenti penali nonché ai fini della profilazione nel corso dell'indagine, dell'accertamento e del perseguimento di reati e dell'analisi criminale nei riguardi delle persone fisiche. I sistemi di IA specificamente destinati a essere utilizzati per procedimenti amministrativi dalle autorità fiscali e doganali non dovrebbero essere classificati come sistemi di IA ad alto rischio utilizzati dalle autorità di contrasto a fini di prevenzione, accertamento, indagine e perseguimento di reati. L'utilizzo degli strumenti di IA da parte delle autorità di contrasto e giudiziarie non dovrebbe diventare un fattore di disuguaglianza, frattura sociale o esclusione. L'impatto dell'utilizzo degli strumenti di IA sul diritto alla difesa degli indagati non dovrebbe essere ignorato, in particolare la difficoltà di ottenere informazioni significative sul loro funzionamento e la conseguente difficoltà nel confutarne i risultati in tribunale, in particolare per gli individui sottoposti a indagini.

(39)

I sistemi di IA utilizzati nella gestione della migrazione, dell'asilo e del controllo delle frontiere hanno effetti su persone che si trovano spesso in una posizione particolarmente vulnerabile e il cui futuro dipende dall'esito delle azioni delle autorità pubbliche competenti. L'accuratezza, la natura non discriminatoria e la trasparenza dei sistemi di IA utilizzati in tali contesti sono pertanto particolarmente importanti per garantire il rispetto dei diritti fondamentali delle persone interessate, in particolare i loro diritti alla libera circolazione, alla non discriminazione, alla protezione della vita privata e dei dati personali, alla protezione internazionale e alla buona amministrazione. È pertanto opportuno classificare come ad alto rischio i sistemi di IA destinati a essere utilizzati dalle autorità pubbliche competenti incaricate di compiti in materia di gestione della migrazione, dell'asilo e del controllo delle frontiere, come poligrafi e strumenti analoghi, o per rilevare lo stato emotivo di una persona fisica, per valutare taluni rischi presentati da persone fisiche che entrano nel territorio di uno Stato membro o presentano domanda di visto o di asilo, per verificare l'autenticità dei pertinenti documenti delle persone fisiche, nonché per assistere le autorità pubbliche competenti nell'esame delle domande di asilo, di visto e di permesso di soggiorno e dei relativi reclami in relazione all'obiettivo di determinare l'ammissibilità delle persone fisiche che richiedono tale status. I sistemi di IA nel settore della gestione della migrazione, dell'asilo e dei controlli di frontiera di cui al presente regolamento dovrebbero essere conformi ai pertinenti requisiti procedurali stabiliti dalla direttiva 2013/32/UE del Parlamento europeo e del Consiglio (49), dal regolamento (CE) n. 810/2009 del Parlamento europeo e del Consiglio (50) e da altre normative pertinenti.

(39)

I sistemi di IA utilizzati nella gestione della migrazione, dell'asilo e del controllo delle frontiere hanno effetti su persone che si trovano spesso in una posizione particolarmente vulnerabile e il cui futuro dipende dall'esito delle azioni delle autorità pubbliche competenti. L'accuratezza, la natura non discriminatoria e la trasparenza dei sistemi di IA utilizzati in tali contesti sono pertanto particolarmente importanti per garantire il rispetto dei diritti fondamentali delle persone interessate, in particolare i loro diritti alla libera circolazione, alla non discriminazione, alla protezione della vita privata e dei dati personali, alla protezione internazionale e alla buona amministrazione. È pertanto opportuno classificare come ad alto rischio i sistemi di IA destinati a essere utilizzati dalle autorità pubbliche competenti o per loro conto o da istituzioni, organi e organismi dell'Unione incaricati di compiti in materia di gestione della migrazione, dell'asilo e del controllo delle frontiere, come poligrafi e strumenti analoghi nella misura in cui il loro utilizzo sia consentito a norma del pertinente diritto nazionale e dell'Unione , per valutare taluni rischi presentati da persone fisiche che entrano nel territorio di uno Stato membro o presentano domanda di visto o di asilo, per verificare l'autenticità dei pertinenti documenti delle persone fisiche, per assistere le autorità pubbliche competenti nell'esame e nella valutazione della veridicità delle prove in relazione alle domande di asilo, di visto e di permesso di soggiorno e dei relativi reclami in relazione all'obiettivo di determinare l'ammissibilità delle persone fisiche che richiedono tale status , per garantire il monitoraggio, la sorveglianza o il trattamento di dati personali nel contesto delle attività di gestione delle frontiere, al fine di individuare, riconoscere o identificare persone fisiche, nonché per prevedere o anticipare le tendenze relative ai movimenti migratori e all'attraversamento delle frontiere . I sistemi di IA nel settore della gestione della migrazione, dell'asilo e dei controlli di frontiera di cui al presente regolamento dovrebbero essere conformi ai pertinenti requisiti procedurali stabiliti dalla direttiva 2013/32/UE del Parlamento europeo e del Consiglio (49), dal regolamento (CE) n. 810/2009 del Parlamento europeo e del Consiglio (50) e da altre normative pertinenti. I sistemi di IA nella gestione della migrazione, dell'asilo e del controllo delle frontiere non dovrebbero in alcun caso essere utilizzati dagli Stati membri o da istituzioni, organi e organismi dell'Unione per eludere gli obblighi internazionali a essi derivanti dalla convenzione del 28 luglio 1951 relativa allo status di rifugiati modificata dal suo protocollo del 31 gennaio 1967, né dovrebbero essere utilizzati per violare in alcun modo il principio di non respingimento o per negare sicure ed efficaci vie legali d'ingresso nel territorio dell'Unione, compreso il diritto alla protezione internazionale.

(40)

Alcuni sistemi di IA destinati all'amministrazione della giustizia e ai processi democratici dovrebbero essere classificati come sistemi ad alto rischio, in considerazione del loro impatto potenzialmente significativo sulla democrazia, sullo Stato di diritto, sulle libertà individuali e sul diritto a un ricorso effettivo e a un giudice imparziale. È in particolare opportuno, al fine di far fronte ai rischi di potenziali distorsioni, errori e opacità, classificare come ad alto rischio i sistemi di IA destinati ad assistere le autorità giudiziarie nelle attività di ricerca e interpretazione dei fatti e del diritto e nell'applicazione della legge a una serie concreta di fatti. Non è tuttavia opportuno estendere tale classificazione ai sistemi di IA destinati ad attività amministrative puramente accessorie, che non incidono sull'effettiva amministrazione della giustizia nei singoli casi, quali l'anonimizzazione o la pseudonimizzazione di decisioni, documenti o dati giudiziari, la comunicazione tra il personale, i compiti amministrativi o l'assegnazione delle risorse.

(40)

Alcuni sistemi di IA destinati all'amministrazione della giustizia e ai processi democratici dovrebbero essere classificati come sistemi ad alto rischio, in considerazione del loro impatto potenzialmente significativo sulla democrazia, sullo Stato di diritto, sulle libertà individuali e sul diritto a un ricorso effettivo e a un giudice imparziale. È in particolare opportuno, al fine di far fronte ai rischi di potenziali distorsioni, errori e opacità, classificare come ad alto rischio i sistemi di IA destinati a essere utilizzati da un'autorità giudiziaria o da un organo amministrativo, o per loro conto, per assistere le autorità giudiziarie o gli organi amministrativi nelle attività di ricerca e interpretazione dei fatti e del diritto e nell'applicazione della legge a una serie concreta di fatti o utilizzati in modo analogo nella risoluzione alternativa delle controversie. L'utilizzo di strumenti di intelligenza artificiale può fornire sostegno, ma non dovrebbe sostituire il potere decisionale dei giudici o l'indipendenza del potere giudiziario, in quanto il processo decisionale finale deve rimanere un'attività e una decisione a guida umana . Non è tuttavia opportuno estendere tale classificazione ai sistemi di IA destinati ad attività amministrative puramente accessorie, che non incidono sull'effettiva amministrazione della giustizia nei singoli casi, quali l'anonimizzazione o la pseudonimizzazione di decisioni, documenti o dati giudiziari, la comunicazione tra il personale, i compiti amministrativi o l'assegnazione delle risorse.

(40 bis)

Al fine di affrontare i rischi per il diritto di voto sancito dall'articolo 39 della Carta derivanti da indebite interferenze esterne e dagli effetti sproporzionati sui processi democratici, sulla democrazia e sullo Stato di diritto, i sistemi di IA destinati a essere utilizzati per influenzare l'esito di elezioni o referendum o il comportamento di voto delle persone fisiche nell'esercizio del loro voto alle elezioni o ai referendum dovrebbero essere classificati come sistemi di IA ad alto rischio, ad eccezione dei sistemi di IA ai cui output le persone fisiche non sono direttamente esposte, come gli strumenti utilizzati per organizzare, ottimizzare e strutturare le campagne politiche da un punto di vista amministrativo e logistico.

(40 ter)

In considerazione del volume di persone fisiche che utilizzano i servizi forniti dalle piattaforme di social media designate come piattaforme online di dimensioni molto grandi, tali piattaforme online possono essere utilizzate in modo da influenzare fortemente la sicurezza online, la formazione dell'opinione e del dibattito pubblici, i processi elettorali e democratici e le preoccupazioni della società. È pertanto opportuno che i sistemi di IA utilizzati da tali piattaforme online nei loro sistemi di raccomandazione siano soggetti al presente regolamento, in modo da garantire che i sistemi di IA siano conformi ai requisiti stabiliti a norma del presente regolamento, compresi i requisiti tecnici in materia di governance dei dati, documentazione tecnica e tracciabilità, trasparenza, sorveglianza umana, accuratezza e solidità. La conformità al presente regolamento dovrebbe consentire a tali piattaforme online di dimensioni molto grandi di adempiere i loro obblighi più ampi di valutazione e attenuazione dei rischi di cui agli articoli 34 e 35 del regolamento (UE) 2022/2065. Gli obblighi di cui al presente regolamento lasciano impregiudicato il regolamento (UE) 2022/2065 e dovrebbero integrare gli obblighi previsti da tale regolamento nel caso in cui la piattaforma di social media sia stata designata come piattaforma online di dimensioni molto grandi. Dato l'impatto a livello europeo delle piattaforme di social media designate come piattaforme online di dimensioni molto grandi, le autorità designate a norma del regolamento (UE) 2022/2065 dovrebbero fungere da autorità di contrasto ai fini dell'applicazione della presente disposizione.

(41)

Il fatto che un sistema di IA sia classificato come ad alto rischio a norma del presente regolamento non dovrebbe essere interpretato come un'indicazione del fatto che l'utilizzo del sistema sia necessariamente lecito a norma di altri atti giuridici dell'Unione o del diritto nazionale compatibile con il diritto dell'Unione, ad esempio in materia di protezione dei dati personali , uso di poligrafi e strumenti analoghi o di altri sistemi atti a rilevare lo stato emotivo delle persone fisiche . Qualsiasi siffatto utilizzo dovrebbe continuare a verificarsi solo in conformità ai requisiti applicabili risultanti dalla Carta e dagli atti applicabili di diritto derivato dell'Unione e di diritto nazionale. Il presente regolamento non dovrebbe essere inteso come un fondamento giuridico per il trattamento dei dati personali, comprese, ove opportuno, categorie particolari di dati personali.

(41)

Il fatto che un sistema di IA sia classificato come un sistema di IA ad alto rischio a norma del presente regolamento non dovrebbe essere interpretato come un'indicazione del fatto che l'utilizzo del sistema sia necessariamente lecito o illecito a norma di altri atti giuridici dell'Unione o del diritto nazionale compatibile con il diritto dell'Unione, ad esempio in materia di protezione dei dati personali. Qualsiasi siffatto utilizzo dovrebbe continuare a verificarsi solo in conformità ai requisiti applicabili risultanti dalla Carta e dagli atti applicabili di diritto derivato dell'Unione e di diritto nazionale.

(41 bis)

A livello europeo, nazionale e internazionale un corpus normativo giuridicamente vincolante è già in vigore o è pertinente per i sistemi di IA, tra cui, ma non solo, il diritto primario dell'UE (i trattati dell'Unione europea e la sua Carta dei diritti fondamentali), il diritto derivato dell'UE (ad esempio il regolamento generale sulla protezione dei dati, la direttiva sulla responsabilità dei prodotti, il regolamento sulla libera circolazione dei dati non personali, le direttive antidiscriminazione, il diritto dei consumatori e le direttive in materia di salute e sicurezza sul lavoro), ma anche i trattati delle Nazioni Unite in materia di diritti umani e le convenzioni del Consiglio d'Europa (come la Convenzione europea dei diritti dell'uomo) e il diritto nazionale. Oltre alle norme applicabili orizzontalmente, esistono varie norme specifiche a taluni settori che si applicano a specifiche applicazioni dell'IA (ad esempio il regolamento sui dispositivi medici nel settore sanitario).

(42)

Al fine di attenuare, per gli utenti e per le persone interessate, i rischi derivanti dai sistemi di IA ad alto rischio immessi o altrimenti messi in servizio sul mercato dell'Unione, è opportuno applicare determinati requisiti obbligatori, tenendo conto della finalità prevista dell'uso del sistema e conformemente al sistema di gestione dei rischi che deve essere stabilito dal fornitore.

(42)

Al fine di attenuare, per gli operatori e per le persone interessate, i rischi derivanti dai sistemi di IA ad alto rischio immessi o altrimenti messi in servizio sul mercato dell'Unione, è opportuno applicare determinati requisiti obbligatori, tenendo conto della finalità prevista o dell'uso improprio ragionevolmente prevedibile del sistema e conformemente al sistema di gestione dei rischi che deve essere stabilito dal fornitore. Tali requisiti dovrebbero essere orientati al conseguimento di obiettivi, adeguati allo scopo, ragionevoli ed efficaci, senza aggiungere costi od oneri normativi indebiti per gli operatori.

(43)

Tali requisiti dovrebbero applicarsi ai sistemi di IA ad alto rischio per quanto concerne la qualità dei set di dati utilizzati, la documentazione tecnica e la conservazione delle registrazioni, la trasparenza e la fornitura di informazioni agli utenti , la sorveglianza umana e la robustezza, l'accuratezza e la cibersicurezza. Tali requisiti sono necessari per attenuare efficacemente i rischi per la salute, la sicurezza e i diritti fondamentali, come applicabile alla luce della finalità prevista del sistema, e, non essendo ragionevolmente disponibili altre misure meno restrittive degli scambi, sono così evitate limitazioni ingiustificate del commercio.

(43)

Tali requisiti dovrebbero applicarsi ai sistemi di IA ad alto rischio per quanto concerne la qualità e la pertinenza dei set di dati utilizzati, la documentazione tecnica e la conservazione delle registrazioni, la trasparenza e la fornitura di informazioni agli operatori , la sorveglianza umana e la robustezza, l'accuratezza e la cibersicurezza. Tali requisiti sono necessari per attenuare efficacemente i rischi per la salute, la sicurezza e i diritti fondamentali, nonché l'ambiente, la democrazia e lo Stato di diritto, come applicabile alla luce della finalità prevista o dell'uso improprio ragionevolmente prevedibile del sistema, e, non essendo ragionevolmente disponibili altre misure meno restrittive degli scambi, sono così evitate limitazioni ingiustificate del commercio.

(44)

Un'elevata qualità dei dati è essenziale per le prestazioni di molti sistemi di IA, in particolare quando si utilizzano tecniche che prevedono l'addestramento di modelli, al fine di garantire che il sistema di IA ad alto rischio funzioni come previsto e in maniera sicura e che non diventi fonte di una discriminazione vietata dal diritto dell'Unione. Per disporre di set di dati di addestramento, convalida e prova di elevata qualità è necessaria l'attuazione di adeguate pratiche di governance e gestione dei dati. I set di dati di addestramento, convalida e prova dovrebbero essere sufficientemente pertinenti, rappresentativi e privi di errori , nonché completi alla luce della finalità prevista del sistema. Dovrebbero inoltre possedere le proprietà statistiche appropriate, anche per quanto riguarda le persone o i gruppi di persone sui quali il sistema di IA ad alto rischio è destinato a essere usato. In particolare, i set di dati di addestramento, convalida e prova dovrebbero tenere conto, nella misura necessaria alla luce della finalità prevista, delle caratteristiche o degli elementi peculiari dello specifico contesto o ambito geografico, comportamentale o funzionale all'interno del quale il sistema di IA ad alto rischio è destinato a essere usato. Al fine di proteggere i diritti di terzi dalla discriminazione che potrebbe derivare dalla distorsione nei sistemi di IA, è opportuno che i fornitori siano in grado di trattare anche categorie particolari di dati personali, come questione di rilevante interesse pubblico, al fine di garantire il monitoraggio, il rilevamento e la correzione delle distorsioni in relazione ai sistemi di IA ad alto rischio.

(44)

Un accesso ai dati di alta qualità svolge un ruolo essenziale nel fornire una struttura e garantire le prestazioni di molti sistemi di IA, in particolare quando si utilizzano tecniche che prevedono l'addestramento di modelli, al fine di garantire che il sistema di IA ad alto rischio funzioni come previsto e in maniera sicura e che non diventi una fonte di discriminazione vietata dal diritto dell'Unione. Per disporre di set di dati di addestramento, convalida e prova di elevata qualità è necessaria l'attuazione di adeguate pratiche di governance e gestione dei dati. I set di dati di addestramento e, ove applicabile , di convalida e prova , incluse le etichette, dovrebbero essere sufficientemente pertinenti, rappresentativi , adeguatamente verificati in termini di errori e il più possibile completi alla luce della finalità prevista del sistema. Dovrebbero inoltre possedere le proprietà statistiche appropriate, anche per quanto riguarda le persone o i gruppi di persone in relazione ai quali il sistema di IA ad alto rischio è destinato a essere usato , prestando particolare attenzione all'attenuazione di possibili distorsioni nei set di dati, che potrebbero comportare rischi per i diritti fondamentali o risultati discriminatori per le persone interessate dal sistema di IA ad alto rischio . Le distorsioni possono ad esempio essere intrinseche agli insiemi di dati di base, specie se si utilizzano dati storici, inseriti dagli sviluppatori degli algoritmi o generati quando i sistemi sono attuati in contesti reali. I risultati forniti dai sistemi di IA sono influenzati da tali distorsioni intrinseche, che sono destinate ad aumentare gradualmente e quindi a perpetuare e amplificare le discriminazioni esistenti, in particolare nei confronti delle persone che appartengono a determinate minoranze vulnerabili o etniche o comunità razziali. In particolare, i set di dati di addestramento, convalida e prova dovrebbero tenere conto, nella misura necessaria alla luce della finalità prevista, delle caratteristiche o degli elementi peculiari dello specifico contesto o ambito geografico, comportamentale o funzionale all'interno del quale il sistema di IA ad alto rischio è destinato a essere usato. Al fine di proteggere i diritti di terzi dalla discriminazione che potrebbe derivare dalla distorsione nei sistemi di IA, è opportuno , in via eccezionale e previa attuazione di tutte le condizioni applicabili previste dal presente regolamento e dal regolamento (UE) 2016/679, dalla direttiva (UE) 2016/680 e dal regolamento (UE) 2018/1725, che i fornitori siano in grado di trattare anche categorie particolari di dati personali, come questione di rilevante interesse pubblico, al fine di garantire il rilevamento e la correzione delle distorsioni in relazione ai sistemi di IA ad alto rischio. Le distorsioni negative dovrebbero essere intese come distorsioni che creano un effetto discriminatorio diretto o indiretto nei confronti di una persona fisica. I requisiti relativi alla governance dei dati possono essere soddisfatti ricorrendo a terzi che offrono servizi di conformità certificati, compresa la verifica della governance dei dati, dell'integrità dei set di dati e delle pratiche di addestramento, convalida e prova dei dati.

(45)

Ai fini dello sviluppo di sistemi di IA ad alto rischio, è opportuno concedere ad alcuni soggetti, come fornitori, organismi notificati e altre entità pertinenti, quali i poli dell'innovazione digitale, le strutture di prova e sperimentazione e i ricercatori, l'accesso a set di dati di elevata qualità e la possibilità di utilizzarli nell'ambito dei rispettivi settori di attività connessi al presente regolamento. Gli spazi comuni europei di dati istituiti dalla Commissione e l'agevolazione della condivisione dei dati tra imprese e con i governi, nell'interesse pubblico, saranno fondamentali per fornire un accesso affidabile, responsabile e non discriminatorio a dati di elevata qualità a fini di addestramento, convalida e prova dei sistemi di IA. Ad esempio, per quanto riguarda la salute, lo spazio europeo di dati sanitari agevolerà l'accesso non discriminatorio ai dati sanitari e l'addestramento di algoritmi di intelligenza artificiale su tali set di dati in modo sicuro, tempestivo, trasparente, affidabile e tale da tutelare la vita privata, nonché con un'adeguata governance istituzionale. Le autorità competenti interessate, comprese quelle settoriali, che forniscono o sostengono l'accesso ai dati, possono anche sostenere la fornitura di dati di alta qualità a fini di addestramento, convalida e prova dei sistemi di IA.

(45)

Ai fini dello sviluppo e della valutazione di sistemi di IA ad alto rischio, è opportuno concedere ad alcuni soggetti, come fornitori, organismi notificati e altre entità pertinenti, quali i poli dell'innovazione digitale, le strutture di prova e sperimentazione e i ricercatori, l'accesso a set di dati di elevata qualità e la possibilità di utilizzarli nell'ambito dei rispettivi settori di attività connessi al presente regolamento. Gli spazi comuni europei di dati istituiti dalla Commissione e l'agevolazione della condivisione dei dati tra imprese e con i governi, nell'interesse pubblico, saranno fondamentali per fornire un accesso affidabile, responsabile e non discriminatorio a dati di elevata qualità a fini di addestramento, convalida e prova dei sistemi di IA. Ad esempio, per quanto riguarda la salute, lo spazio europeo di dati sanitari agevolerà l'accesso non discriminatorio ai dati sanitari e l'addestramento di algoritmi di intelligenza artificiale su tali set di dati in modo sicuro, tempestivo, trasparente, affidabile e tale da tutelare la vita privata, nonché con un'adeguata governance istituzionale. Le autorità competenti interessate, comprese quelle settoriali, che forniscono o sostengono l'accesso ai dati, possono anche sostenere la fornitura di dati di alta qualità a fini di addestramento, convalida e prova dei sistemi di IA.

(45 bis)

Il diritto alla vita privata e alla protezione dei dati personali deve essere garantito durante l'intero ciclo di vita del sistema di IA. A tale riguardo, i principi della minimizzazione dei dati e della protezione dei dati fin dalla progettazione e per impostazione predefinita, sanciti dal diritto dell'Unione in materia di protezione dei dati, sono essenziali quando il trattamento dei dati comporta rischi significativi per i diritti fondamentali delle persone fisiche. I fornitori e gli utenti dei sistemi di IA dovrebbero attuare misure tecniche e organizzative all'avanguardia al fine di tutelare tali diritti. Tali misure dovrebbero includere non solo l'anonimizzazione e la cifratura, ma anche l'uso di tecnologie sempre più disponibili che consentano di inserire algoritmi nei dati e di ricavare informazioni preziose senza la trasmissione tra le parti o un'inutile copia degli stessi dati grezzi o strutturati.

(46)

Disporre di informazioni sulle modalità di sviluppo dei sistemi di IA ad alto rischio e sulle loro modalità di funzionamento durante tutto il ciclo di vita è essenziale per verificare la conformità ai requisiti di cui al presente regolamento. Occorre a tal fine conservare le registrazioni e disporre di una documentazione tecnica contenente le informazioni necessarie per valutare la conformità del sistema di IA ai requisiti pertinenti. Tali informazioni dovrebbero includere le caratteristiche, le capacità e i limiti generali del sistema, gli algoritmi, i dati, l'addestramento, i processi di prova e di convalida utilizzati, nonché la documentazione sul pertinente sistema di gestione dei rischi. È opportuno tenere aggiornata la documentazione tecnica.

(46)

Disporre di informazioni comprensibili sulle modalità di sviluppo dei sistemi di IA ad alto rischio e sulle loro modalità di funzionamento durante tutto il ciclo di vita è essenziale per verificare la conformità ai requisiti di cui al presente regolamento. Occorre a tal fine conservare le registrazioni e disporre di una documentazione tecnica contenente le informazioni necessarie per valutare la conformità del sistema di IA ai requisiti pertinenti. Tali informazioni dovrebbero includere le caratteristiche, le capacità e i limiti generali del sistema, gli algoritmi, i dati, l'addestramento, i processi di prova e di convalida utilizzati, nonché la documentazione sul pertinente sistema di gestione dei rischi. È opportuno tenere aggiornata in modo adeguato la documentazione tecnica durante l'intero ciclo di vita del sistema di IA . I sistemi di IA possono avere un notevole impatto ambientale e un elevato consumo di energia durante il loro ciclo di vita. Al fine di comprendere meglio l'impatto dei sistemi di IA sull'ambiente, la documentazione tecnica elaborata dai fornitori dovrebbe includere informazioni sul consumo energetico del sistema di IA, compreso il consumo in fase di sviluppo e il consumo previsto durante l'uso. Tali informazioni dovrebbero tenere conto della pertinente legislazione dell'Unione e nazionale. Le informazioni comunicate dovrebbero essere comprensibili, comparabili e verificabili e, a tal fine, la Commissione dovrebbe elaborare orientamenti su una metodologia armonizzata per il calcolo e la comunicazione di tali informazioni. Per garantire che sia possibile un'unica documentazione, i termini e le definizioni relativi alla documentazione richiesta e a qualsiasi documentazione richiesta nella pertinente legislazione dell'Unione dovrebbero essere il più allineati possibile.

(46 bis)

I sistemi di IA dovrebbero tenere conto dei metodi più avanzati e delle norme applicabili pertinenti al fine di ridurre il consumo di energia e di risorse e i rifiuti, nonché di aumentare la loro efficienza energetica nonché l'efficienza complessiva del sistema. Gli aspetti ambientali dei sistemi di IA che sono significativi ai fini del presente regolamento sono il consumo energetico del sistema di IA nella fase di sviluppo, addestramento e diffusione, nonché la registrazione, la comunicazione e la conservazione di tali dati. La progettazione dei sistemi di IA dovrebbe consentire la misurazione e la registrazione del consumo di energia e di risorse in ogni fase di sviluppo, addestramento e diffusione. Il monitoraggio e la comunicazione delle emissioni dei sistemi di IA devono essere solidi, trasparenti, coerenti e accurati. Al fine di garantire l'applicazione uniforme del presente regolamento e un ecosistema giuridico stabile per i fornitori e gli operatori nel mercato unico, la Commissione dovrebbe elaborare una specifica comune per la metodologia intesa a soddisfare l'obbligo di comunicazione e documentazione sul consumo di energia e di risorse durante lo sviluppo, l'addestramento e la diffusione. Tali specifiche comuni sulla metodologia di misurazione possono sviluppare una base di riferimento in base alla quale la Commissione può decidere con maggiore cognizione di cause se siano necessari futuri interventi normativi, effettuando una valutazione d'impatto che tenga conto della legislazione vigente.

(46 ter)

Al fine di conseguire gli obiettivi del presente regolamento e di contribuire agli obiettivi ambientali dell'Unione garantendo nel contempo il corretto funzionamento del mercato interno, può essere necessario stabilire raccomandazioni e orientamenti e, in ultima analisi, obiettivi in materia di sostenibilità. A tal fine la Commissione ha il diritto di elaborare una metodologia per contribuire alla creazione di indicatori chiave di prestazione (ICP) e un riferimento per gli obiettivi di sviluppo sostenibile (OSS). L'obiettivo dovrebbe essere in primo luogo quello di consentire un confronto equo tra le scelte di attuazione dell'IA, fornendo incentivi per promuovere l'utilizzo di tecnologie di IA più efficienti che tengano conto delle preoccupazioni in materia di energia e risorse. Per conseguire tale obiettivo, il presente regolamento dovrebbe fornire i mezzi per istituire una raccolta di riferimento dei dati comunicati sulle emissioni derivanti dallo sviluppo e dall'addestramento nonché dalla diffusione.

(47 bis)

Tali requisiti sulla trasparenza e sulla spiegabilità del processo decisionale dell'IA dovrebbero altresì contribuire a contrastare gli effetti dissuasivi dell'asimmetria digitale come pure i cosiddetti «modelli occulti» aventi come obiettivo le persone e il loro consenso informato.

(49)

Le prestazioni dei sistemi di IA ad alto rischio dovrebbero essere coerenti durante tutto il loro ciclo di vita e tali sistemi dovrebbero garantire un livello adeguato di accuratezza, robustezza e cibersicurezza, conformemente allo stato dell'arte generalmente riconosciuto. È opportuno che i livelli di precisione e le pertinenti metriche di accuratezza siano comunicati agli utenti .

(49)

Le prestazioni dei sistemi di IA ad alto rischio dovrebbero essere coerenti durante tutto il loro ciclo di vita e tali sistemi dovrebbero garantire un livello adeguato di accuratezza, robustezza e cibersicurezza, conformemente allo stato dell'arte generalmente riconosciuto. Le metriche di prestazione e i relativi livelli attesi dovrebbero essere definiti con l'obiettivo principale di attenuare i rischi e l'impatto negativo del sistema di IA. È opportuno che i livelli di prestazione attesi siano comunicati agli operatori in modo chiaro, trasparente, facilmente comprensibile e intelligibile . La dichiarazione delle metriche di prestazione non può essere considerata una prova dei livelli futuri, ma occorre applicare metodi pertinenti per garantire livelli coerenti durante l'uso. Sebbene esistano enti di normazione preposti a stabilire norme, è necessario un coordinamento in materia di analisi comparativa per stabilire le modalità di misurazione di tali requisiti e caratteristiche standardizzati dei sistemi di IA. L'ufficio europeo per l'intelligenza artificiale dovrebbe riunire le autorità nazionali di metrologia e analisi comparativa e fornire orientamenti non vincolanti per trattare gli aspetti tecnici delle modalità di misurazione dei livelli adeguati di prestazione e robustezza.

(50)

La robustezza tecnica è un requisito fondamentale dei sistemi di IA ad alto rischio. Tali sistemi dovrebbero essere resilienti rispetto sia ai rischi connessi alle limitazioni del sistema (ad esempio errori, guasti, incoerenze, situazioni impreviste) sia alle azioni dolose che possono compromettere la sicurezza del sistema di IA e comportare comportamenti dannosi o altrimenti indesiderati. La mancata protezione da tali rischi potrebbe avere ripercussioni sulla sicurezza o incidere negativamente sui diritti fondamentali, ad esempio a causa della generazione da parte del sistema di IA di decisioni errate o di output sbagliati o distorti.

(50)

La robustezza tecnica è un requisito fondamentale dei sistemi di IA ad alto rischio. Tali sistemi dovrebbero essere resilienti rispetto sia ai rischi connessi alle limitazioni del sistema (ad esempio errori, guasti, incoerenze, situazioni impreviste) sia alle azioni dolose che possono compromettere la sicurezza del sistema di IA e comportare comportamenti dannosi o altrimenti indesiderati. La mancata protezione da tali rischi potrebbe avere ripercussioni sulla sicurezza o incidere negativamente sui diritti fondamentali, ad esempio a causa della generazione da parte del sistema di IA di decisioni errate o di output sbagliati o distorti. Gli utenti del sistema di IA dovrebbero adottare misure per garantire che il possibile compromesso tra robustezza e accuratezza non produca risultati discriminatori o negativi per sottogruppi minoritari.

(51)

La cibersicurezza svolge un ruolo cruciale nel garantire che i sistemi di IA siano resilienti ai tentativi compiuti da terzi con intenzioni malevole che, sfruttando le vulnerabilità del sistema, mirano ad alterarne l'uso, il comportamento, le prestazioni o a comprometterne le proprietà di sicurezza. Gli attacchi informatici contro i sistemi di IA possono far leva sulle risorse specifiche dell'IA, quali i set di dati di addestramento (ad esempio «avvelenamento dei dati», data poisoning) o i modelli addestrati (ad esempio «attacchi antagonisti», adversarial attacks), o sfruttare le vulnerabilità delle risorse digitali del sistema di IA o dell'infrastruttura TIC sottostante. Al fine di garantire un livello di cibersicurezza adeguato ai rischi, è pertanto opportuno che i fornitori di sistemi di IA ad alto rischio adottino misure adeguate, anche tenendo debitamente conto dell'infrastruttura TIC sottostante.

(51)

La cibersicurezza svolge un ruolo cruciale nel garantire che i sistemi di IA siano resilienti ai tentativi compiuti da terzi con intenzioni malevole che, sfruttando le vulnerabilità del sistema, mirano ad alterarne l'uso, il comportamento, le prestazioni o a comprometterne le proprietà di sicurezza. Gli attacchi informatici contro i sistemi di IA possono far leva sulle risorse specifiche dell'IA, quali i set di dati di addestramento (ad esempio «avvelenamento dei dati», data poisoning) o i modelli addestrati (ad esempio «attacchi antagonisti», adversarial attacks , o «attacchi alla riservatezza», confidentiality attacks ), o sfruttare le vulnerabilità delle risorse digitali del sistema di IA o dell'infrastruttura TIC sottostante. Al fine di garantire un livello di cibersicurezza adeguato ai rischi, è pertanto opportuno che i fornitori di sistemi di IA ad alto rischio , così come gli organismi notificati, le autorità nazionali competenti e le autorità di vigilanza del mercato, adottino misure adeguate, anche tenendo debitamente conto dell'infrastruttura TIC sottostante. L'IA ad alto rischio dovrebbe essere corredata di soluzioni e patch di sicurezza per la durata del ciclo di vita del prodotto o, in assenza di dipendenza da un prodotto specifico, per un periodo che deve essere dichiarato dal produttore.

(53 bis)

In qualità di firmatari della Convenzione delle Nazioni Unite sui diritti delle persone con disabilità (UNCRPD), l'Unione e gli Stati membri sono tenuti, dal punto di vista giuridico, a proteggere le persone con disabilità dalla discriminazione e a promuoverne l'uguaglianza, a garantire che le persone con disabilità abbiano accesso, su un piano di parità con gli altri, alle tecnologie e ai sistemi di informazione e comunicazione e a garantire il rispetto della vita privata delle persone con disabilità. In considerazione dell'importanza e dell'utilizzo crescenti dei sistemi di IA, l'applicazione dei principi della progettazione universale a tutti i nuovi servizi e tecnologie dovrebbe garantire un accesso pieno, paritario e privo di restrizioni a tutti coloro che sono potenzialmente interessati dalle tecnologie di IA o che le utilizzano, ivi comprese le persone con disabilità, in modo da tenere pienamente conto della loro dignità e diversità intrinseche. È pertanto essenziale che i fornitori garantiscano la piena conformità ai requisiti di accessibilità, ivi incluso alla direttiva (UE) 2016/2102 e alla direttiva (UE) 2019/882. I fornitori dovrebbero garantire il rispetto di tali requisiti fin dalla progettazione. Pertanto, le misure necessarie dovrebbero essere quanto più possibile integrate nella progettazione dei sistemi di IA ad alto rischio.

(54)

È opportuno che il fornitore istituisca un solido sistema di gestione della qualità, garantisca l'espletamento della procedura di valutazione della conformità richiesta, rediga la documentazione pertinente e istituisca un sistema robusto per il monitoraggio successivo all'immissione sul mercato. Le autorità pubbliche che mettono in servizio sistemi di IA ad alto rischio per uso proprio possono adottare e attuare le regole per il sistema di gestione della qualità nell'ambito del sistema di gestione della qualità adottato a livello nazionale o regionale, a seconda dei casi, tenendo conto delle specificità del settore come pure delle competenze e dell'organizzazione dell'autorità pubblica in questione.

(54)

È opportuno che il fornitore istituisca un solido sistema di gestione della qualità, garantisca l'espletamento della procedura di valutazione della conformità richiesta, rediga la documentazione pertinente e istituisca un sistema robusto per il monitoraggio successivo all'immissione sul mercato . Per i fornitori che dispongono già di sistemi di gestione della qualità basati su norme quali la norma ISO 9001 o altre norme pertinenti, non si dovrebbe prevedere una duplicazione completa del sistema di gestione della qualità, bensì un adeguamento dei loro sistemi esistenti a taluni aspetti connessi alla conformità ai requisiti specifici del presente regolamento. Ciò dovrebbe riflettersi anche nelle future attività di normazione o negli orientamenti adottati dalla Commissione a tale riguardo . Le autorità pubbliche che mettono in servizio sistemi di IA ad alto rischio per uso proprio possono adottare e attuare le regole per il sistema di gestione della qualità nell'ambito del sistema di gestione della qualità adottato a livello nazionale o regionale, a seconda dei casi, tenendo conto delle specificità del settore come pure delle competenze e dell'organizzazione dell'autorità pubblica in questione.

(56)

Al fine di consentire l'applicazione del presente regolamento e di creare condizioni di parità per gli operatori, e tenendo conto delle diverse forme di messa a disposizione di prodotti digitali, è importante garantire che, in qualsiasi circostanza, una persona stabilita nell'Unione possa fornire alle autorità tutte le informazioni necessarie sulla conformità di un sistema di IA. Pertanto, prima di mettere a disposizione i propri sistemi di IA nell'Unione, nel caso in cui non possa essere identificato un importatore, i fornitori stabiliti al di fuori dell'Unione dovrebbero nominare, mediante mandato scritto, un rappresentante autorizzato stabilito nell'Unione.

(56)

Al fine di consentire l'applicazione del presente regolamento e di creare condizioni di parità per gli operatori, e tenendo conto delle diverse forme di messa a disposizione di prodotti digitali, è importante garantire che, in qualsiasi circostanza, una persona stabilita nell'Unione possa fornire alle autorità tutte le informazioni necessarie sulla conformità di un sistema di IA. Pertanto, prima di mettere a disposizione i propri sistemi di IA nell'Unione, i fornitori stabiliti al di fuori dell'Unione dovrebbero nominare, mediante mandato scritto, un rappresentante autorizzato stabilito nell'Unione.

(58)

In considerazione della natura dei sistemi di IA e dei possibili rischi per la sicurezza e i diritti fondamentali associati al loro utilizzo, anche per quanto riguarda la necessità di garantire un adeguato monitoraggio delle prestazioni di un sistema di IA in un contesto reale, è opportuno stabilire responsabilità specifiche per gli utenti . È in particolare opportuno che gli utenti usino i sistemi di IA ad alto rischio conformemente alle istruzioni per l'uso e che siano previsti alcuni altri obblighi in materia di monitoraggio del funzionamento dei sistemi di IA e conservazione delle registrazioni, a seconda dei casi.

(58)

In considerazione della natura dei sistemi di IA e dei possibili rischi per la sicurezza e i diritti fondamentali associati al loro utilizzo, anche per quanto riguarda la necessità di garantire un adeguato monitoraggio delle prestazioni di un sistema di IA in un contesto reale, è opportuno stabilire responsabilità specifiche per gli operatori . È in particolare opportuno che gli operatori usino i sistemi di IA ad alto rischio conformemente alle istruzioni per l'uso e che siano previsti alcuni altri obblighi in materia di monitoraggio del funzionamento dei sistemi di IA e conservazione delle registrazioni, a seconda dei casi.

(58 bis)

Se da un lato i rischi legati ai sistemi di IA possono risultare dal modo in cui tali sistemi sono progettati, dall'altro essi possono derivare anche dal modo in cui tali sistemi di IA sono utilizzati. Gli operatori di sistemi di IA ad alto rischio svolgono pertanto un ruolo fondamentale nel garantire la tutela dei diritti fondamentali, integrando gli obblighi del fornitore nello sviluppo del sistema di IA. Gli operatori sono nella posizione migliore per comprendere come il sistema di IA ad alto rischio sarà utilizzato concretamente e possono pertanto individuare potenziali rischi significativi non previsti nella fase di sviluppo, in ragione di una conoscenza più puntuale del contesto di utilizzo e delle persone o dei gruppi di persone che potrebbero essere interessati, compresi i gruppi emarginati e vulnerabili. Gli operatori dovrebbero individuare strutture di governance adeguate in tale contesto specifico di utilizzo, quali le modalità di sorveglianza umana, le procedure di gestione dei reclami e le procedure di ricorso, dal momento che le scelte relative alle strutture di governance possono essere determinanti per attenuare i rischi per i diritti fondamentali in casi d'uso concreti. Al fine di garantire in maniera efficiente la tutela dei diritti fondamentali, l'operatore di sistemi di IA ad alto rischio dovrebbe quindi effettuare una valutazione d'impatto sui diritti fondamentali prima di metterli in servizio. La valutazione d'impatto dovrebbe essere corredata di un piano dettagliato che descriva le misure o gli strumenti che contribuiranno ad attenuare i rischi per i diritti fondamentali individuati al più tardi a partire dal momento della loro messa in servizio. Se tale piano non può essere individuato, l'operatore dovrebbe astenersi dal mettere in servizio il sistema. Nell'effettuare tale valutazione d'impatto, l'operatore dovrebbe informare l'autorità nazionale di controllo e, nella misura più ampia possibile, i pertinenti portatori di interessi nonché i rappresentanti dei gruppi di persone che potrebbero essere interessati dal sistema di IA al fine di raccogliere le informazioni pertinenti ritenute necessarie per effettuare la valutazione d'impatto e sono incoraggiati a rendere pubblica la sintesi della loro valutazione d'impatto sui diritti fondamentali sul loro sito web online. Tali obblighi non dovrebbero applicarsi alle PMI che, data la mancanza di risorse, potrebbero incontrare difficoltà nello svolgimento di tale consultazione. Tuttavia, esse dovrebbero altresì adoperarsi per coinvolgere tali rappresentanti nello svolgimento della loro valutazione d'impatto sui diritti fondamentali. Inoltre, dati il potenziale impatto e la necessità di sorveglianza e controllo democratici, gli operatori di sistemi di IA ad alto rischio che sono autorità pubbliche o istituzioni, organi e organismi dell'Unione, nonché gli operatori che sono imprese designate come gatekeeper a norma del regolamento (UE) 2022/1925, dovrebbero essere tenuti a registrare l'uso di qualsiasi sistema di IA ad alto rischio in una banca dati pubblica. La registrazione è possibile, su base volontaria, anche per altri operatori.

(59)

È opportuno prevedere che l'utente del sistema di IA sia la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo sotto la cui autorità è utilizzato il sistema di IA, salvo nel caso in cui il sistema sia utilizzato nel corso di un'attività personale non professionale.

(59)

È opportuno prevedere che l'operatore del sistema di IA sia la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo sotto la cui autorità è utilizzato il sistema di IA, salvo nel caso in cui il sistema sia utilizzato nel corso di un'attività personale non professionale.

(60)

Alla luce della complessità della catena del valore dell'intelligenza artificiale , i terzi pertinenti, in particolare quelli coinvolti nella vendita e nella fornitura di software, strumenti e componenti software, modelli preaddestrati e dati, o i fornitori di servizi di rete, dovrebbero cooperare, a seconda dei casi, con i fornitori e con gli utenti per consentire loro di rispettare gli obblighi previsti dal presente regolamento e con le autorità competenti istituite a norma del presente regolamento.

(60)

All'interno della catena del valore dell'IA, spesso più soggetti forniscono strumenti e servizi, ma anche componenti o processi, che sono poi integrati dal fornitore nel sistema di IA, anche in relazione alla raccolta e al pretrattamento dei dati, all'addestramento dei modelli, alla riqualificazione dei modelli, alla prova e alla valutazione dei modelli, all'integrazione nel software o ad altri aspetti dello sviluppo dei modelli. I soggetti coinvolti possono far sì che la loro offerta sia disponibile sul mercato, direttamente o indirettamente, attraverso interfacce, quali le interfacce per programmi applicativi (API), e distribuita sulla base di licenze libere e open source, ma anche sempre più mediante piattaforme di forza lavoro nel settore dell'IA, la rivendita di parametri addestrati, kit «fai da te» per costruire modelli o l'offerta di un accesso a pagamento a un modello che funga da architettura per lo sviluppo e l'addestramento di modelli. Alla luce di tale complessità della catena del valore dell'IA , tutti i terzi pertinenti, in particolare quelli coinvolti nello sviluppo, nella vendita e nella fornitura commerciale di software, strumenti, componenti software, modelli preaddestrati o dati integrati nel sistema di IA , o i fornitori di servizi di rete, dovrebbero , senza compromettere i loro diritti di proprietà intellettuale o segreti commerciali, rendere disponibili le informazioni, l'addestramento o le competenze richiesti e cooperare, a seconda dei casi, con i fornitori per consentire loro di controllare tutti gli aspetti pertinenti del sistema di IA relativi alla conformità che rientrano nell'ambito di applicazione del presente regolamento. Per consentire una governance efficace sotto il profilo dei costi della catena del valore dell'IA, il livello di controllo è esplicitamente comunicato da ciascun terzo che fornisce al fornitore uno strumento, un servizio, un componente o un processo che è successivamente integrato dal fornitore nel sistema di IA.

(60 bis)

Se una parte si trova in una posizione negoziale più forte, vi è il rischio che tale parte possa sfruttare tale posizione a scapito dell'altra parte nel negoziare la fornitura di strumenti, servizi, componenti o processi che sono utilizzati o integrati in un sistema di IA ad alto rischio o i mezzi di ricorso in caso di violazione o cessazione dei relativi obblighi. Tali squilibri contrattuali danneggiano in particolare le microimprese, le piccole e medie imprese e le start-up, a meno che non siano detenute o subappaltate da un'impresa in grado di compensare adeguatamente il subappaltatore, in quanto non dispongono di una capacità significativa di negoziare le condizioni dell'accordo contrattuale e potrebbero non avere altra scelta se non quella di accettare le clausole contrattuali «prendere o lasciare». Le clausole contrattuali abusive che disciplinano la fornitura di strumenti, servizi, componenti o processi utilizzati o integrati in un sistema di IA ad alto rischio o i mezzi di ricorso in caso di violazione o cessazione dei relativi obblighi non dovrebbero pertanto essere vincolanti per tali microimprese, piccole o medie imprese e start-up laddove siano state imposte loro in modo unilaterale.

(60 ter)

Le norme sulle clausole contrattuali dovrebbero tenere conto del principio della libertà contrattuale quale concetto essenziale nelle relazioni tra imprese. È pertanto opportuno che non tutte le clausole contrattuali siano soggette a un test di abusività, ma solo quelle imposte unilateralmente alle microimprese, alle piccole e medie imprese e alle start-up. Ciò riguarda le situazioni «prendere o lasciare» nelle quali una parte propone una determinata clausola contrattuale e la microimpresa, la piccola o media impresa o la start-up non può influenzarne il contenuto malgrado un tentativo di negoziarla. Una clausola contrattuale semplicemente proposta da una parte e accettata dalla microimpresa, dalla piccola o media impresa o dalla start-up o una clausola negoziata e successivamente concordata in una versione modificata tra le parti contraenti non dovrebbe essere considerata una clausola imposta unilateralmente.

(60 quater)

Inoltre, le norme sulle clausole contrattuali abusive dovrebbero applicarsi solo alle parti di un contratto che riguardano la fornitura di strumenti, servizi, componenti o processi utilizzato o integrati in un sistema di IA ad alto rischio o i mezzi di ricorso in caso di violazione o cessazione dei relativi obblighi. Altre parti dello stesso contratto, non correlate a tali elementi, non dovrebbero essere soggette al test di abusività di cui al presente regolamento.

(60 quinquies)

È opportuno applicare i criteri per l'individuazione delle clausole contrattuali abusive solo alle clausole contrattuali eccessive, in caso di abuso di una posizione negoziale più forte. La stragrande maggioranza delle clausole contrattuali che dal punto di vista commerciale sono più favorevoli a una parte rispetto all'altra, comprese quelle che sono normali nei contratti tra imprese, sono una normale espressione del principio della libertà contrattuale e continuano ad applicarsi. Se una clausola contrattuale non è inclusa nell'elenco delle clausole che sono sempre considerate abusive, si applica la disposizione generale sul carattere abusivo. A tale riguardo le clausole che figurano nell'elenco delle clausole abusive dovrebbero servire da parametro per l'interpretazione della disposizione generale sul carattere abusivo.

(60 sexies)

I modelli di base sono uno sviluppo recente, in cui i modelli di IA sono sviluppati a partire da algoritmi progettati per ottimizzare la generalità e la versatilità degli output. Tali modelli sono spesso addestrati su un'ampia gamma di fonti di dati e su grandi quantità di dati per svolgere un'ampia gamma di compiti a valle, compresi alcuni per i quali non sono stati specificamente sviluppati e addestrati. Il modello di base può essere unimodale o multimodale e può addestrato con diversi metodi, come l'apprendimento supervisionato o l'apprendimento per rinforzo. I sistemi di IA con finalità previste specifiche o i sistemi di IA per finalità generali possono essere l'attuazione di un modello di base, il che significa che ciascun modello di base può essere riutilizzato in innumerevoli sistemi di IA a valle o in sistemi di IA per finalità generali. Questi modelli rivestono un'importanza crescente per molte applicazioni e molti sistemi a valle.

(60 septies)

Nel caso dei modelli di base forniti come servizio, ad esempio attraverso l'accesso API, la cooperazione con i fornitori a valle dovrebbe estendersi per tutto il periodo in cui tale servizio è fornito e supportato, al fine di consentire un'adeguata attenuazione dei rischi, a meno che il fornitore del modello di base non trasferisca il modello di addestramento nonché informazioni ampie e adeguate sulle serie di dati e sul processo di sviluppo del sistema o limiti il servizio, come l'accesso API, in un modo che consente al fornitore a valle di conformarsi pienamente al presente regolamento senza ulteriore sostegno da parte del fornitore originario del modello di base.

(60 octies)

Alla luce della natura e della complessità della catena del valore dei sistemi di IA, è essenziale chiarire il ruolo degli attori che contribuiscono allo sviluppo dei sistemi di IA. Vi è grande incertezza in merito all'evoluzione futura dei modelli di base, sia in termini di tipologia dei modelli sia in termini di autogoverno. È pertanto essenziale chiarire la situazione giuridica dei fornitori di modelli di base. Unitamente alla loro complessità e al loro impatto inatteso, alla mancanza di controllo da parte del fornitore di IA a valle sullo sviluppo del modello di base e al conseguente squilibrio di potere, nonché al fine di garantire un'equa ripartizione delle responsabilità lungo la catena del valore dell'IA, tali modelli dovrebbero essere soggetti a requisiti e obblighi proporzionati e più specifici a norma del presente regolamento. In particolare, i modelli di base dovrebbero valutare e attenuare i possibili rischi e danni attraverso una progettazione, prove e un'analisi adeguate, dovrebbero attuare misure di governance dei dati, compresa la valutazione delle distorsioni, dovrebbero rispettare i requisiti tecnici di progettazione onde assicurare livelli adeguati di prestazioni, prevedibilità, interpretabilità, correggibilità, sicurezza e cibersicurezza, e dovrebbero rispettare le norme ambientali. Tali obblighi dovrebbero essere accompagnati da norme. Inoltre, i modelli di base dovrebbero essere soggetti a obblighi di informazione e preparare tutta la documentazione tecnica necessaria affinché i potenziali fornitori a valle siano in grado di adempiere i loro obblighi a norma del presente regolamento. I modelli di base generativi dovrebbero garantire trasparenza quanto al fatto che i contenuti sono generati da un sistema di IA e non da un essere umano. Tali requisiti e obblighi specifici non equivalgono a considerare i modelli di base come sistemi di IA ad alto rischio, ma dovrebbero garantire il conseguimento degli obiettivi del presente regolamento di assicurare un elevato livello di protezione dei diritti fondamentali, della salute e della sicurezza, dell'ambiente, della democrazia e dello Stato di diritto. I modelli preaddestrati sviluppati per un insieme più ristretto, meno generale e più limitato di applicazioni che non possono essere adattate a un'ampia gamma di compiti, come i semplici sistemi di IA multifunzionali, non dovrebbero essere considerati modelli di base ai fini del presente regolamento alla luce della loro maggiore interpretabilità, che rende il loro comportamento meno imprevedibile.

(60 nonies)

In considerazione della natura dei modelli di base, vi è una mancanza di competenze per quanto riguarda la valutazione della conformità e i metodi di audit da parte di terzi sono ancora in fase di sviluppo. Il settore stesso sta quindi sviluppando nuove modalità di valutazione dei modelli di base che soddisfano in parte l'obiettivo di audit (come la valutazione dei modelli, le simulazioni di attacchi informatici o le tecniche di verifica e convalida dell'apprendimento automatico). Tali valutazioni interne dei modelli di base dovrebbero essere ampiamente applicabili (ad esempio indipendentemente dai canali di distribuzione, dalla modalità e dai metodi di sviluppo) al fine di affrontare i rischi specifici per tali modelli tenendo conto delle pratiche più avanzate del settore e concentrarsi sullo sviluppo di una comprensione tecnica e controllo del modello sufficienti, sulla gestione dei rischi ragionevolmente prevedibili nonché su un'analisi e prove approfondite del modello attraverso misure adeguate, ad esempio con il coinvolgimento di valutatori indipendenti. Poiché i modelli di base sono uno sviluppo nuovo e in rapida evoluzione nel settore dell'intelligenza artificiale, è opportuno che la Commissione e l'ufficio per l'IA monitorino e valutino periodicamente il quadro legislativo e di governance di tali modelli, in particolare per quanto riguarda i sistemi di IA generativi basati su tali modelli, che sollevano interrogativi significativi in merito alla generazione di contenuti in violazione del diritto dell'Unione, alle norme sul diritto d'autore e ai potenziali usi impropri. È opportuno chiarire che il presente regolamento non dovrebbe pregiudicare il diritto dell'Unione in materia di diritto d'autore e diritti connessi, comprese le direttive 2001/29/CE, 2004/48/CE e (UE) 2019/790 del Parlamento europeo e del Consiglio.

(61)

La normazione dovrebbe svolgere un ruolo fondamentale nel fornire soluzioni tecniche ai fornitori per garantire la conformità al presente regolamento. La conformità alle norme armonizzate quali definite nel regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio (54) dovrebbe essere un modo per i fornitori di dimostrare la conformità ai requisiti del presente regolamento. La Commissione potrebbe tuttavia adottare specifiche tecniche comuni nei settori in cui le norme armonizzate non esistono oppure sono insufficienti .

(61)

La normazione dovrebbe svolgere un ruolo fondamentale nel fornire soluzioni tecniche ai fornitori per garantire la conformità al presente regolamento. La conformità alle norme armonizzate quali definite nel regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio (54) dovrebbe essere un modo per i fornitori di dimostrare la conformità ai requisiti del presente regolamento. Per garantire l'efficacia delle norme quale strumento politico dell'Unione e considerata l'importanza delle norme per assicurare la conformità ai requisiti del presente regolamento e ai fini della competitività delle imprese, è necessario garantire una rappresentanza equilibrata degli interessi coinvolgendo tutte le parti interessate nell'elaborazione delle norme . Il processo di normazione dovrebbe essere trasparente in termini di persone fisiche e giuridiche che vi partecipano.

(61 bis)

Al fine di agevolare la conformità, le prime richieste di normazione dovrebbero essere presentate dalla Commissione al più tardi due mesi dopo l'entrata in vigore del presente regolamento. Ciò dovrebbe servire a migliorare la certezza del diritto, promuovendo in tal modo gli investimenti e l'innovazione nell'IA, nonché la competitività e la crescita del mercato dell'Unione, rafforzando nel contempo la governance multipartecipativa che rappresenta tutti i pertinenti portatori di interessi europei, quali l'ufficio per l'IA, le organizzazioni e gli organismi europei di normazione o i gruppi di esperti istituiti a norma del pertinente diritto settoriale dell'Unione, nonché l'industria, le PMI, le start-up, la società civile, i ricercatori e le parti sociali, e dovrebbe infine agevolare la cooperazione globale in materia di normazione nel settore dell'IA in modo coerente con i valori dell'Unione. In sede di elaborazione della richiesta di normazione, la Commissione dovrebbe consultare l'ufficio per l'IA e il forum consultivo per l'IA al fine di ottenere le competenze pertinenti.

(61 ter)

Qualora i sistemi di IA siano destinati a essere utilizzati sul posto di lavoro, le norme armonizzate dovrebbero limitarsi alle specifiche tecniche e alle procedure.

(61 quater)

La Commissione dovrebbe poter adottare specifiche comuni a determinate condizioni laddove non esista alcuna norma armonizzata pertinente o per affrontare specifiche preoccupazioni in materia di diritti fondamentali. Durante l'intero processo di elaborazione, la Commissione dovrebbe consultare regolarmente l'ufficio per l'IA e il suo forum consultivo, le organizzazioni e gli organismi europei di normazione o i gruppi di esperti istituiti a norma del pertinente diritto settoriale dell'Unione, nonché i pertinenti portatori di interessi, quali l'industria, le PMI, le start-up, la società civile, i ricercatori e le parti sociali.

(61 quinquies)

Nell'adottare specifiche comuni, la Commissione dovrebbe adoperarsi ai fini dell'allineamento normativo dell'IA con partner globali che condividono gli stessi principi, il che è fondamentale per promuovere l'innovazione e i partenariati transfrontalieri nel settore dell'IA, in quanto il coordinamento con partner che condividono gli stessi principi in seno agli organismi internazionali di normazione riveste grande importanza.

(62)

Al fine di garantire un elevato livello di affidabilità dei sistemi di IA ad alto rischio, è opportuno sottoporre tali sistemi a una valutazione della conformità prima della loro immissione sul mercato o messa in servizio.

(62)

Al fine di garantire un elevato livello di affidabilità dei sistemi di IA ad alto rischio, è opportuno sottoporre tali sistemi a una valutazione della conformità prima della loro immissione sul mercato o messa in servizio. Al fine di rafforzare la fiducia nella catena del valore e dare sicurezza alle imprese in merito alle prestazioni dei loro sistemi, i terzi che forniscono componenti di IA possono chiedere volontariamente una valutazione della conformità da parte di terzi.

(64)

In considerazione della più ampia esperienza dei certificatori professionali pre-commercializzazione nel settore della sicurezza dei prodotti e della diversa natura dei rischi connessi, è opportuno limitare, almeno in una fase iniziale di applicazione del presente regolamento, l'ambito di applicazione della valutazione della conformità da parte di terzi ai sistemi di IA ad alto rischio diversi da quelli collegati ai prodotti. È pertanto opportuno che la valutazione della conformità di tali sistemi sia di norma effettuata dal fornitore sotto la propria responsabilità, con la sola eccezione dei sistemi di IA destinati a essere utilizzati per l'identificazione biometrica remota di persone, per i quali è opportuno prevedere il coinvolgimento di un organismo notificato nella valutazione della conformità, nella misura in cui tali sistemi non siano vietati.

(64)

In considerazione della complessità dei sistemi di IA ad alto rischio e dei rischi ad essi associati, è essenziale sviluppare una capacità più adeguata per l'applicazione della valutazione della conformità da parte di terzi ai sistemi di IA ad alto rischio. Tuttavia, in ragione dell'attuale esperienza dei certificatori professionali pre-commercializzazione nel settore della sicurezza dei prodotti e della diversa natura dei rischi connessi, è opportuno limitare, almeno in una fase iniziale di applicazione del presente regolamento, l'ambito di applicazione della valutazione della conformità da parte di terzi ai sistemi di IA ad alto rischio diversi da quelli collegati ai prodotti. È pertanto opportuno che la valutazione della conformità di tali sistemi sia di norma effettuata dal fornitore sotto la propria responsabilità, con la sola eccezione dei sistemi di IA destinati a essere utilizzati per l'identificazione biometrica remota di persone o i sistemi di IA destinati a essere utilizzati per dedurre caratteristiche personali di persone fisiche sulla base di dati biometrici o basati su elementi biometrici, inclusi i sistemi di riconoscimento delle emozioni , per i quali è opportuno prevedere il coinvolgimento di un organismo notificato nella valutazione della conformità, nella misura in cui tali sistemi non siano vietati.

(65)

Ai fini della valutazione della conformità da parte di terzi dei sistemi di IA destinati a essere utilizzati per l'identificazione biometrica remota delle persone , è opportuno che le autorità nazionali competenti designino organismi notificati a norma del presente regolamento, a condizione che tali organismi soddisfino una serie di requisiti, in particolare in materia di indipendenza, competenza e assenza di conflitti di interesse.

(65)

Ai fini delle valutazioni della conformità da parte di terzi , laddove richieste , è opportuno che le autorità nazionali competenti designino organismi notificati a norma del presente regolamento, a condizione che tali organismi soddisfino una serie di requisiti, in particolare in materia di indipendenza, competenza, assenza di conflitti di interesse e  requisiti minimi di cibersicurezza . Gli Stati membri dovrebbero incoraggiare la designazione di un numero sufficiente di organismi di valutazione della conformità, in modo che la certificazione possa essere realizzata tempestivamente. Le procedure di valutazione, designazione, notifica e monitoraggio degli organismi di valutazione della conformità dovrebbero essere applicate nel modo più uniforme possibile negli Stati membri, al fine di eliminare gli ostacoli amministrativi alle frontiere e garantire la realizzazione del potenziale del mercato interno.

(65 bis)

In linea con gli impegni assunti dall'UE nel quadro dell'accordo dell'Organizzazione mondiale del commercio sugli ostacoli tecnici agli scambi, è opportuno massimizzare l'accettazione dei risultati delle prove realizzate dagli organismi di valutazione della conformità competenti, indipendentemente dal luogo in cui siano stabiliti, se necessario per dimostrare il rispetto delle prescrizioni applicabili del regolamento. La Commissione dovrebbe esaminare attivamente eventuali strumenti internazionali a tal fine e, in particolare, perseguire l'eventuale conclusione di accordi di riconoscimento reciproco con paesi che si trovano a un livello di sviluppo tecnico comparabile e che adottano un approccio compatibile in materia di IA e valutazione della conformità.

(66)

In linea con la nozione generalmente riconosciuta di modifica sostanziale dei prodotti disciplinati dalla normativa di armonizzazione dell'Unione, è opportuno che un sistema di IA sia sottoposto a una nuova valutazione della conformità ogniqualvolta intervenga una modifica che possa incidere sulla conformità del sistema al presente regolamento oppure quando viene modificata la finalità prevista del sistema. È inoltre necessario, per quanto riguarda i sistemi di IA che proseguono il loro «apprendimento» dopo essere stati immessi sul mercato o messi in servizio (ossia adattano automaticamente le modalità di svolgimento delle funzioni), prevedere regole atte a stabilire che le modifiche apportate all'algoritmo e alle sue prestazioni, predeterminate dal fornitore e valutate al momento della valutazione della conformità, non costituiscano una modifica sostanziale.

(66)

In linea con la nozione generalmente riconosciuta di modifica sostanziale dei prodotti disciplinati dalla normativa di armonizzazione dell'Unione, è opportuno che un sistema di IA ad alto rischio sia sottoposto a una nuova valutazione della conformità ogniqualvolta intervenga una modifica non pianificata che va oltre le modifiche controllate o predeterminate da parte del fornitore, incluso l'apprendimento continuo, e che possa creare un nuovo rischio inaccettabile e incidere in modo significativo sulla conformità del sistema di IA ad alto rischio al presente regolamento oppure quando viene modificata la finalità prevista del sistema. È inoltre necessario, per quanto riguarda i sistemi di IA che proseguono il loro «apprendimento» dopo essere stati immessi sul mercato o messi in servizio (ossia adattano automaticamente le modalità di svolgimento delle funzioni), prevedere regole atte a stabilire che le modifiche apportate all'algoritmo e alle sue prestazioni, predeterminate dal fornitore e valutate al momento della valutazione della conformità, non costituiscano una modifica sostanziale. Lo stesso dovrebbe valere per gli aggiornamenti del sistema di IA per motivi generali di sicurezza e per far fronte all'evoluzione dei rischi di manipolazione del sistema, a condizione che non costituiscano una modifica sostanziale.

(67)

I sistemi di IA ad alto rischio dovrebbero recare la marcatura CE per indicare la loro conformità al presente regolamento, in modo da poter circolare liberamente nel mercato interno. Gli Stati membri non dovrebbero ostacolare in maniera ingiustificata l'immissione sul mercato o la messa in servizio di sistemi di IA ad alto rischio che soddisfano i requisiti stabiliti nel presente regolamento e recano la marcatura CE.

(67)

I sistemi di IA ad alto rischio dovrebbero recare la marcatura CE per indicare la loro conformità al presente regolamento, in modo da poter circolare liberamente nel mercato interno . Per i sistemi fisici di IA ad alto rischio, dovrebbe essere apposta una marcatura CE fisica, integrabile con una marcatura CE digitale. Per i sistemi esclusivamente digitali di IA ad alto rischio, dovrebbe essere utilizzata una marcatura CE digitale . Gli Stati membri non dovrebbero ostacolare in maniera ingiustificata l'immissione sul mercato o la messa in servizio di sistemi di IA ad alto rischio che soddisfano i requisiti stabiliti nel presente regolamento e recano la marcatura CE.

(68)

La disponibilità in tempi rapidi di tecnologie innovative può, a determinate condizioni, essere fondamentale per la salute e la sicurezza delle persone e per la società nel suo insieme. È pertanto opportuno che, per motivi eccezionali di pubblica sicurezza o di tutela della vita e della salute delle persone fisiche nonché della proprietà industriale e commerciale , gli Stati membri possano autorizzare l'immissione sul mercato o la messa in servizio di sistemi di IA che non sono stati sottoposti a una valutazione della conformità.

(68)

La disponibilità in tempi rapidi di tecnologie innovative può, a determinate condizioni, essere fondamentale per la salute e la sicurezza delle persone , per l'ambiente e i cambiamenti climatici e per la società nel suo insieme. È pertanto opportuno che, per motivi eccezionali di tutela della vita e della salute delle persone fisiche , dell'ambiente nonché delle infrastrutture critiche , gli Stati membri possano autorizzare l'immissione sul mercato o la messa in servizio di sistemi di IA che non sono stati sottoposti a una valutazione della conformità.

(69)

Al fine di agevolare il lavoro della Commissione e degli Stati membri nel settore dell'intelligenza artificiale e di aumentare la trasparenza nei confronti del pubblico, è opportuno che i fornitori di sistemi di IA ad alto rischio diversi da quelli collegati a prodotti che rientrano nell'ambito di applicazione della pertinente normativa di armonizzazione dell'Unione vigente siano tenuti a registrare il loro sistema di IA ad alto rischio in una banca dati dell'UE, che sarà istituita e gestita dalla Commissione. È opportuno che la Commissione sia la titolare del trattamento di tale banca dati conformemente al regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (55). Al fine di garantire la piena funzionalità della banca dati, è opportuno che, al momento dell'attivazione, la procedura per l'istituzione della banca dati preveda l'elaborazione di specifiche funzionali da parte della Commissione e una relazione di audit indipendente.

(69)

Al fine di agevolare il lavoro della Commissione e degli Stati membri nel settore dell'intelligenza artificiale e di aumentare la trasparenza nei confronti del pubblico, è opportuno che i fornitori di sistemi di IA ad alto rischio diversi da quelli collegati a prodotti che rientrano nell'ambito di applicazione della pertinente normativa di armonizzazione dell'Unione vigente siano tenuti a registrare il loro sistema di IA ad alto rischio e i loro modelli di base in una banca dati dell'UE, che sarà istituita e gestita dalla Commissione . Tale banca dati dovrebbe essere liberamente e pubblicamente accessibile, facilmente comprensibile e leggibile meccanicamente. La banca dati dovrebbe inoltre essere di facile utilizzo e facilmente navigabile, con funzionalità di ricerca che consentano come minimo al pubblico di cercare nella banca dati specifici sistemi ad alto rischio, luoghi, categorie di rischio di cui all'allegato IV e parole chiave. Anche gli operatori che sono autorità pubbliche o istituzioni, organi e organismi dell'Unione o gli operatori che agiscono per loro conto e gli operatori che sono imprese designate come gatekeeper a norma del regolamento (UE) 2022/1925 dovrebbero registrarsi nella banca dati dell'UE prima di mettere in servizio o utilizzare un sistema di IA ad alto rischio per la prima volta e in seguito a ogni modifica sostanziale. Gli altri operatori dovrebbero essere autorizzati a farlo su base volontaria. Qualsiasi modifica sostanziale dei sistemi di IA ad alto rischio è registrata anche nella banca dati dell'UE . È opportuno che la Commissione sia la titolare del trattamento di tale banca dati conformemente al regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (55). Al fine di garantire la piena funzionalità della banca dati, è opportuno che, al momento dell'attivazione, la procedura per l'istituzione della banca dati preveda l'elaborazione di specifiche funzionali da parte della Commissione e una relazione di audit indipendente. Nello svolgimento dei suoi compiti di titolare del trattamento dei dati nella banca dati dell'UE, la Commissione dovrebbe tenere conto della cibersicurezza e dei rischi connessi al rischio. Onde massimizzare la disponibilità e l'uso della banca dati da parte del pubblico, la banca dati, comprese le informazioni ivi messe a disposizione, dovrebbe essere conforme ai requisiti della direttiva (UE) 2019/882.

(71)

L'intelligenza artificiale è una famiglia di tecnologie in rapida evoluzione che richiede nuove forme di sorveglianza regolamentare e uno spazio sicuro per la sperimentazione, garantendo nel contempo un'innovazione responsabile e l'integrazione di tutele adeguate e di misure di attenuazione dei rischi. Al fine di garantire un quadro giuridico favorevole all'innovazione , adeguato alle esigenze future e resiliente alle perturbazioni, è opportuno incoraggiare le autorità nazionali competenti di uno o più Stati membri a istituire spazi di sperimentazione normativa in materia di intelligenza artificiale per agevolare lo sviluppo e le prove di sistemi di IA innovativi, sotto una rigorosa sorveglianza regolamentare, prima che tali sistemi siano immessi sul mercato o altrimenti messi in servizio.

(71)

L'intelligenza artificiale è una famiglia di tecnologie in rapida evoluzione che richiede sorveglianza regolamentare e uno spazio sicuro e controllato per la sperimentazione, garantendo nel contempo un'innovazione responsabile e l'integrazione di tutele adeguate e di misure di attenuazione dei rischi. Al fine di garantire un quadro giuridico che promuove l'innovazione , adeguato alle esigenze future e resiliente alle perturbazioni, gli Stati membri dovrebbero istituire almeno uno spazio di sperimentazione normativa in materia di intelligenza artificiale per agevolare lo sviluppo e le prove di sistemi di IA innovativi, sotto una rigorosa sorveglianza regolamentare, prima che tali sistemi siano immessi sul mercato o altrimenti messi in servizio. È infatti auspicabile che, come prossimo passo, sia resa obbligatoria, mediante criteri stabiliti, la creazione di spazi di sperimentazione normativa, la cui istituzione è attualmente a discrezione degli Stati membri. Tale spazio di sperimentazione obbligatorio potrebbe essere istituito anche congiuntamente a uno o più altri Stati membri, purché tale spazio di sperimentazione copra il rispettivo livello nazionale degli Stati membri interessati. Possono altresì essere istituiti ulteriori spazi di sperimentazione a diversi livelli, anche tra gli Stati membri, al fine di agevolare la cooperazione e le sinergie transfrontaliere. Ad eccezione dello spazio di sperimentazione obbligatorio a livello nazionale, gli Stati membri dovrebbero poter istituire anche spazi di sperimentazione virtuali o ibridi. Tutti gli spazi di sperimentazione normativa dovrebbero essere in grado di accogliere prodotti sia fisici che virtuali. Le autorità costituenti dovrebbero altresì garantire che gli spazi di sperimentazione normativa dispongano delle risorse finanziarie e umane adeguate per il loro funzionamento.

(72)

Gli obiettivi degli spazi di sperimentazione normativa dovrebbero essere la promozione dell'innovazione in materia di IA, mediante la creazione di un ambiente controllato di sperimentazione e prova nella fase di sviluppo e pre-commercializzazione al fine di garantire la conformità dei sistemi di IA innovativi al presente regolamento e ad altre normative pertinenti dell'Unione e degli Stati membri , e il rafforzamento della certezza del diritto per gli innovatori e della sorveglianza e della comprensione da parte delle autorità competenti delle opportunità, dei rischi emergenti e degli impatti dell'uso dell'IA, nonché l'accelerazione dell'accesso ai mercati, anche mediante l'eliminazione degli ostacoli per le piccole e medie imprese (PMI) e le start-up . Al fine di garantire un'attuazione uniforme in tutta l'Unione ed economie di scala, è opportuno stabilire regole comuni per l'attuazione degli spazi di sperimentazione normativa e un quadro per la cooperazione tra le autorità competenti coinvolte nel controllo degli spazi di sperimentazione. Il presente regolamento dovrebbe fornire la base giuridica per l'utilizzo dei dati personali raccolti per altre finalità ai fini dello sviluppo di determinati sistemi di IA di interesse pubblico nell'ambito dello spazio di sperimentazione normativa per l'IA, in linea con l'articolo 6, paragrafo 4, del regolamento (UE) 2016/679, e con l'articolo 6 del regolamento (UE) 2018/1725, e fatto salvo l'articolo 4, paragrafo 2, della direttiva (UE) 2016/680. I partecipanti allo spazio di sperimentazione dovrebbero fornire garanzie adeguate e cooperare con le autorità competenti, anche seguendo i loro orientamenti e agendo rapidamente e in buona fede per attenuare eventuali rischi elevati per la sicurezza e i diritti fondamentali che possono emergere durante lo sviluppo e  la sperimentazione nello spazio sopraindicato . È opportuno che le autorità competenti, nel decidere se infliggere una sanzione amministrativa pecuniaria a norma dell'articolo 83, paragrafo 2, del regolamento 2016/679 e dell'articolo 57 della direttiva 2016/680, tengano conto della condotta dei partecipanti allo spazio di sperimentazione.

(72)

Gli obiettivi degli spazi di sperimentazione normativa dovrebbero essere : per quanto riguarda le autorità costituenti, migliorare la loro comprensione degli sviluppi tecnici, migliorare i metodi di controllo e fornire orientamenti agli sviluppatori e ai fornitori di sistemi di IA al fine di conseguire la conformità normativa al presente regolamento o, se del caso, ad altre normative applicabili dell'Unione e degli Stati membri , nonché alla Carta dei diritti fondamentali; per quanto riguarda i potenziali fornitori, consentire e agevolare le prove e lo sviluppo di soluzioni innovative relative ai sistemi di IA nella fase di pre-commercializzazione, al fine di rafforzare la certezza del diritto , consentire un maggiore apprendimento normativo istituendo autorità in un ambiente controllato per sviluppare orientamenti migliori e individuare possibili miglioramenti futuri del quadro giuridico attraverso la procedura legislativa ordinaria. Qualsiasi rischio significativo individuato durante lo sviluppo e le prove di tali sistemi di IA dovrebbe comportare l'adozione di immediate misure di attenuazione e, in mancanza di ciò, la sospensione del processo di sviluppo e di prova fino a che tali rischi non risultino attenuati . Al fine di garantire un'attuazione uniforme in tutta l'Unione ed economie di scala, è opportuno stabilire regole comuni per l'attuazione degli spazi di sperimentazione normativa e un quadro per la cooperazione tra le autorità competenti coinvolte nel controllo degli spazi di sperimentazione. Gli Stati membri dovrebbero garantire che gli spazi di sperimentazione normativa siano ampiamente disponibili in tutta l'Unione, mentre la partecipazione dovrebbe rimanere volontaria. È particolarmente importante garantire che le PMI e le start-up possano accedere facilmente a questi spazi di sperimentazione normativa, siano attivamente coinvolte e partecipino allo sviluppo e  alle prove di sistemi di IA innovativi per poter contribuire con il loro bagaglio di know-how ed esperienza .

(72 bis)

Il presente regolamento dovrebbe fornire la base giuridica per l'utilizzo dei dati personali raccolti per altre finalità ai fini dello sviluppo di determinati sistemi di IA di interesse pubblico nell'ambito dello spazio di sperimentazione normativa per l'IA, esclusivamente a determinate condizioni e in linea con l'articolo 6, paragrafo 4, del regolamento (UE) 2016/679, e con l'articolo 6 del regolamento (UE) 2018/1725, e fatto salvo l'articolo 4, paragrafo 2, della direttiva (UE) 2016/680. I potenziali fornitori nello spazio di sperimentazione dovrebbero fornire garanzie adeguate e cooperare con le autorità competenti, anche seguendo i loro orientamenti e agendo rapidamente e in buona fede per attenuare eventuali rischi elevati per la sicurezza, la salute, l'ambiente e i diritti fondamentali che possono emergere durante lo sviluppo e la sperimentazione nello spazio sopraindicato. È opportuno che, nel decidere se sospendere in maniera temporanea o permanente la loro partecipazione allo spazio di sperimentazione o se infliggere una sanzione amministrativa pecuniaria a norma dell'articolo 83, paragrafo 2, del regolamento 2016/679 e dell'articolo 57 della direttiva 2016/680, le autorità competenti tengano conto della condotta dei potenziali fornitori nello spazio di sperimentazione.

(72 ter)

Per garantire che l'intelligenza artificiale determini risultati vantaggiosi dal punto di vista sociale e ambientale, gli Stati membri dovrebbero sostenere e promuovere la ricerca e lo sviluppo dell'IA a sostegno di risultati vantaggiosi dal punto di vista sociale e ambientale, assegnando risorse sufficienti, compresi i finanziamenti pubblici e dell'Unione, e concedendo accesso prioritario agli spazi di sperimentazione normativa per i progetti guidati dalla società civile. Tali progetti dovrebbero basarsi sul principio della cooperazione interdisciplinare tra sviluppatori dell'IA, esperti in materia di disuguaglianza e non discriminazione, accessibilità e diritti ambientali, digitali e dei consumatori, nonché personalità accademiche.

(73)

Al fine di promuovere e proteggere l'innovazione, è importante che siano tenuti in particolare considerazione gli interessi dei fornitori di piccole dimensioni e degli utenti di sistemi di IA. È a tal fine opportuno che gli Stati membri sviluppino iniziative destinate a tali operatori, anche in materia di sensibilizzazione e comunicazione delle informazioni. È inoltre opportuno che gli organismi notificati, nel fissare le tariffe per la valutazione della conformità, tengano in considerazione gli interessi e le esigenze specifici dei fornitori di piccole dimensioni. Le spese di traduzione connesse alla documentazione obbligatoria e alla comunicazione con le autorità possono rappresentare un costo significativo per i fornitori e gli altri operatori, in particolare quelli di dimensioni ridotte. Gli Stati membri dovrebbero garantire, se possibile, che una delle lingue da essi indicate e accettate per la documentazione dei fornitori pertinenti e per la comunicazione con gli operatori sia una lingua ampiamente compresa dal maggior numero possibile di utenti transfrontalieri.

(73)

Al fine di promuovere e proteggere l'innovazione, è importante che siano tenuti in particolare considerazione gli interessi dei fornitori di piccole dimensioni e degli utenti di sistemi di IA. È a tal fine opportuno che gli Stati membri sviluppino iniziative destinate a tali operatori, anche relative all'alfabetizzazione in materia di IA, alla sensibilizzazione e  alla comunicazione delle informazioni . Gli Stati membri dovrebbero utilizzare i canali esistenti e, ove opportuno, istituire nuovi canali dedicati per la comunicazione con le PMI, le start-up, gli utenti e altri innovatori, al fine di fornire orientamenti e rispondere alle domande sull'attuazione del presente regolamento. Tali canali esistenti potrebbero includere, a titolo esemplificativo ma non esaustivo, i gruppi di intervento per la sicurezza informatica in caso di incidente dell'ENISA, le agenzie nazionali per la protezione dei dati, la piattaforma di IA on demand, i poli europei dell'innovazione digitale e altri strumenti pertinenti finanziati dai programmi dell'UE, nonché le strutture di prova e sperimentazione istituiti dalla Commissione e dagli Stati membri a livello nazionale o dell'Unione. Se del caso, tali canali dovrebbero collaborare per creare sinergie e garantire l'omogeneità dei loro orientamenti per le start-up, le PMI e gli utenti . È inoltre opportuno che gli organismi notificati, nel fissare le tariffe per la valutazione della conformità, tengano in considerazione gli interessi e le esigenze specifici dei fornitori di piccole dimensioni. La Commissione valuta periodicamente i costi di certificazione e di conformità per le PMI e le start-up, anche attraverso consultazioni trasparenti con le PMI, le start-up e gli utenti, e collabora con gli Stati membri per ridurre tali costi. Ad esempio, le spese di traduzione connesse alla documentazione obbligatoria e alla comunicazione con le autorità possono rappresentare un costo significativo per i fornitori e gli altri operatori, in particolare quelli di dimensioni ridotte. Gli Stati membri dovrebbero garantire, se possibile, che una delle lingue da essi indicate e accettate per la documentazione dei fornitori pertinenti e per la comunicazione con gli operatori sia una lingua ampiamente compresa dal maggior numero possibile di utenti transfrontalieri. Le medie imprese che di recente sono passate dalla categoria delle piccole imprese a quelle delle medie imprese ai sensi dell'allegato della raccomandazione 2003/361/CE (articolo 16) dovrebbero avere accesso a tali iniziative e orientamenti per un periodo di tempo ritenuto opportuno dagli Stati membri, in quanto a volte queste nuove imprese di medie dimensioni potrebbero non disporre delle risorse giuridiche e della formazione necessarie per garantire una corretta comprensione e la conformità alle disposizioni.

(74)

Al fine di ridurre al minimo i rischi per l'attuazione derivanti dalla mancanza di conoscenze e competenze sul mercato, nonché per agevolare il rispetto, da parte dei fornitori e degli organismi notificati, degli obblighi loro imposti dal presente regolamento, è opportuno che la piattaforma di IA on demand, i poli europei dell'innovazione digitale e le strutture di prova e sperimentazione istituiti dalla Commissione e dagli Stati membri a livello nazionale o dell'UE contribuiscano , se possibile, all'attuazione del presente regolamento. Nell'ambito delle rispettive missioni e dei rispettivi settori di competenza essi possono fornire, in particolare, sostegno tecnico e scientifico ai fornitori e agli organismi notificati.

(74)

Al fine di ridurre al minimo i rischi per l'attuazione derivanti dalla mancanza di conoscenze e competenze sul mercato, nonché per agevolare il rispetto, da parte dei fornitori e degli organismi notificati, degli obblighi loro imposti dal presente regolamento, è opportuno che la piattaforma di IA on demand, i poli europei dell'innovazione digitale e le strutture di prova e sperimentazione istituiti dalla Commissione e dagli Stati membri a livello nazionale o dell'UE contribuiscano all'attuazione del presente regolamento. Nell'ambito delle rispettive missioni e dei rispettivi settori di competenza essi possono fornire, in particolare, sostegno tecnico e scientifico ai fornitori e agli organismi notificati.

(76)

Al fine di facilitare un'attuazione agevole, efficace e armonizzata del presente regolamento, è opportuno istituire un comitato europeo per l'intelligenza artificiale. Il comitato dovrebbe essere responsabile di una serie di compiti consultivi, tra cui l'emanazione di pareri, raccomandazioni, consulenze o orientamenti su questioni relative all'attuazione del presente regolamento , comprese le specifiche tecniche o le norme esistenti per quanto riguarda i requisiti stabiliti nel presente regolamento , e la fornitura di consulenza e assistenza alla Commissione su questioni specifiche connesse all'intelligenza artificiale .

(76)

Al fine di evitare la frammentazione, assicurare il funzionamento ottimale del mercato unico, garantire un'attuazione efficace e armonizzata del presente regolamento , conseguire un elevato livello di affidabilità e di protezione della salute, della sicurezza, dei diritti fondamentali, dell'ambiente, della democrazia e dello Stato di diritto in tutta l'Unione per quanto concerne i sistemi di IA, sostenere attivamente le autorità nazionali di controllo e le istituzioni, gli organi e gli organismi dell'Unione nelle questioni attinenti al presente regolamento e accrescere l'adozione dell'intelligenza artificiale in tutta l'Unione, è opportuno istituire un ufficio dell'Unione europea per l'intelligenza artificiale. L'ufficio per l'IA dovrebbe avere personalità giuridica, agire in piena indipendenza, essere responsabile di una serie di compiti consultivi e di coordinamento , tra cui l'emanazione di pareri, raccomandazioni, consulenze o orientamenti su questioni relative all'attuazione del presente regolamento e dovrebbe essere dotata di risorse finanziarie e umane adeguate. Gli Stati membri dovrebbero fornire l'orientamento e il controllo strategici dell'ufficio per l'IA tramite il consiglio di amministrazione di detto ufficio, unitamente alla Commissione, al GEPD, alla FRA e all'ENISA. Un direttore esecutivo dovrebbe essere responsabile della gestione delle attività della segreteria dell'ufficio per l'IA e della rappresentanza di quest'ultimo. I portatori di interessi dovrebbero formalmente partecipare all'attività dell'ufficio per l'IA tramite un forum consultivo, che dovrebbe garantire una rappresentanza varia ed equilibrata dei portatori di interessi e fornire consulenza all'ufficio per l'IA sulle questioni attinenti al presente regolamento. Qualora l'istituzione dell'ufficio per l'IA non si riveli sufficiente a garantire un'applicazione pienamente coerente del presente regolamento a livello dell'Unione nonché misure di esecuzione transfrontaliere efficienti, dovrebbe essere presa in considerazione la creazione di un'agenzia per l'IA .

(77)

Gli Stati membri svolgono un ruolo chiave nell'applicare il presente regolamento e nel garantirne il rispetto. A tale riguardo, è opportuno che ciascuno Stato membro designi una o più autorità nazionali competenti al fine di controllare l'applicazione e l'attuazione del presente regolamento. Al fine di incrementare l'efficienza organizzativa da parte degli Stati membri e di istituire un punto di contatto ufficiale nei confronti del pubblico e di altre controparti sia a livello di Stati membri sia a livello di Unione , è opportuno che in ciascuno Stato membro sia designata come autorità nazionale di controllo un'autorità nazionale .

(77)

È opportuno che ciascuno Stato membro designi un'autorità nazionale di controllo al fine di controllare l'applicazione e l'attuazione del presente regolamento . Essa dovrebbe rappresentare anche il proprio Stato membro in seno al consiglio di amministrazione dell'ufficio per l'IA . Al fine di incrementare l'efficienza organizzativa da parte degli Stati membri e di istituire un punto di contatto ufficiale nei confronti del pubblico e di altre controparti sia a livello di Stati membri sia a livello di Unione . Ogni autorità nazionale di controllo dovrebbe agire in piena indipendenza nell'adempimento dei propri compiti e nell'esercizio dei propri poteri conformemente al presente regolamento .

(77 bis)

Le autorità nazionali di controllo dovrebbero sorvegliare l'applicazione delle disposizioni a norma del presente regolamento e contribuire alla loro coerente applicazione in tutta l'Unione. A tal fine, le autorità nazionali di controllo dovrebbero cooperare tra loro, con le pertinenti autorità nazionali competenti, con la Commissione e con l'ufficio per l'IA.

(77 ter)

I membri o il personale di ogni autorità nazionale di controllo dovrebbero essere tenuti, in virtù del diritto dell'Unione o nazionale, al segreto professionale in merito alle informazioni riservate cui hanno avuto accesso nell'esecuzione dei loro compiti o nell'esercizio dei loro poteri, sia durante che dopo il mandato. Per tutta la durata del loro mandato, tale obbligo del segreto professionale si dovrebbe applicare in particolare ai segreti commerciali e alle segnalazioni da parte di persone fisiche di violazioni del presente regolamento.

(78)

Al fine di garantire che i fornitori di sistemi di IA ad alto rischio possano tenere in considerazione l'esperienza sull'uso di sistemi di IA ad alto rischio per migliorare i loro sistemi e il processo di progettazione e sviluppo o possano adottare tempestivamente eventuali misure correttive, è opportuno che tutti i fornitori dispongano di un sistema di monitoraggio successivo all'immissione sul mercato. Tale sistema è altresì fondamentale per garantire che i possibili rischi derivanti dai sistemi di IA che proseguono il loro «apprendimento» dopo essere stati immessi sul mercato o messi in servizio possano essere affrontati in modo più efficiente e tempestivo. I fornitori dovrebbero anche essere tenuti, in tale contesto, a predisporre un sistema per segnalare alle autorità competenti eventuali incidenti gravi o violazioni della normativa nazionale e dell'Unione che tutela i diritti fondamentali derivanti dall'uso dei loro sistemi di IA.

(78)

Al fine di garantire che i fornitori di sistemi di IA ad alto rischio possano tenere in considerazione l'esperienza sull'uso di sistemi di IA ad alto rischio per migliorare i loro sistemi e il processo di progettazione e sviluppo o possano adottare tempestivamente eventuali misure correttive, è opportuno che tutti i fornitori dispongano di un sistema di monitoraggio successivo all'immissione sul mercato. Tale sistema è altresì fondamentale per garantire che i possibili rischi derivanti dai sistemi di IA che proseguono il loro «apprendimento» o che evolvono dopo essere stati immessi sul mercato o messi in servizio possano essere affrontati in modo più efficiente e tempestivo. I fornitori dovrebbero anche essere tenuti, in tale contesto, a predisporre un sistema per segnalare alle autorità competenti eventuali incidenti gravi o violazioni della normativa nazionale e dell'Unione , anche quella che tutela i diritti fondamentali e i diritti dei consumatori derivanti dall'uso dei loro sistemi di IA , e adottare le misure correttive appropriate . I fornitori dovrebbero inoltre segnalare alle autorità competenti eventuali incidenti gravi o violazioni della normativa nazionale e dell'Unione derivanti dall'uso dei loro sistemi di IA quando vengono a conoscenza di tali incidenti gravi o violazioni.

(79)

Al fine di garantire un'applicazione adeguata ed efficace dei requisiti e degli obblighi stabiliti dal presente regolamento, che costituisce la normativa di armonizzazione dell'Unione, è opportuno che si applichi nella sua interezza il sistema di vigilanza del mercato e di conformità dei prodotti istituito dal regolamento (UE) 2019/1020. Ove necessario per il loro mandato, è opportuno che le autorità o gli organismi pubblici nazionali che controllano l'applicazione della normativa dell'Unione che tutela i diritti fondamentali, compresi gli organismi per la parità, abbiano altresì accesso alla documentazione creata a norma del presente regolamento.

(79)

Al fine di garantire un'applicazione adeguata ed efficace dei requisiti e degli obblighi stabiliti dal presente regolamento, che costituisce la normativa di armonizzazione dell'Unione, è opportuno che si applichi nella sua interezza il sistema di vigilanza del mercato e di conformità dei prodotti istituito dal regolamento (UE) 2019/1020. Ai fini del presente regolamento, le autorità nazionali di controllo dovrebbero agire in qualità di autorità di vigilanza del mercato per i sistemi di IA contemplati dal presente regolamento, ad eccezione dei sistemi di IA di cui all'allegato II del presente regolamento. Per i sistemi di IA contemplati dagli atti giuridici di cui all'allegato II, le autorità competenti a norma di tali atti giuridici dovrebbero rimanere l'autorità capofila. Le autorità nazionali di controllo e le autorità competenti indicate negli atti giuridici di cui all'allegato II dovrebbero collaborare ogniqualvolta necessario. Se del caso, le autorità competenti degli atti giuridici di cui all'allegato II dovrebbero inviare personale competente all'autorità nazionale di controllo per assisterla nello svolgimento dei suoi compiti. Ai fini del presente regolamento, le autorità nazionali di controllo dovrebbero avere gli stessi poteri e obblighi delle autorità di vigilanza del mercato ai sensi del regolamento (UE) 2019/1020. Ove necessario per il loro mandato, è opportuno che le autorità o gli organismi pubblici nazionali che controllano l'applicazione della normativa dell'Unione che tutela i diritti fondamentali, compresi gli organismi per la parità, abbiano altresì accesso alla documentazione creata a norma del presente regolamento. Dopo aver esaurito tutti gli altri modi ragionevoli per valutare/verificare la conformità e su richiesta motivata, l'autorità nazionale di controllo dovrebbe avere accesso ai set di dati di addestramento, convalida e prova, al modello addestrato e di addestramento del sistema di IA ad alto rischio, compresi i pertinenti parametri del modello, e al relativo ambiente di esecuzione/funzionamento. Nei casi di sistemi software più semplici che rientrano nell'ambito di applicazione del presente regolamento e che non si basano su modelli addestrati, e qualora siano stati esauriti tutti gli altri modi per verificare la conformità, l'autorità nazionale di controllo può, in via eccezionale, avere accesso al codice sorgente, su richiesta motivata. Qualora all'autorità nazionale di controllo sia stato concesso l'accesso ai set di dati di addestramento, convalida e prova conformemente al presente regolamento, tale accesso dovrebbe essere effettuato mediante mezzi e strumenti tecnici adeguati, compreso l'accesso in loco e, in circostanze eccezionali, l'accesso remoto. L'autorità nazionale di controllo dovrebbe trattare tutte le informazioni ottenute, compresi il codice sorgente, il software e i dati, a seconda dei casi, come informazioni riservate e rispettare la pertinente normativa dell'Unione in materia di protezione della proprietà intellettuale e dei segreti commerciali. L'autorità nazionale di controllo dovrebbe cancellare tutte le informazioni ottenute al termine dell'indagine.

(80)

La legislazione dell'Unione in materia di servizi finanziari comprende regole e requisiti in materia di governance interna e di gestione dei rischi che sono applicabili agli istituti finanziari regolamentati durante la fornitura di tali servizi, anche quando si avvalgono di sistemi di IA. Al fine di garantire la coerenza dell'applicazione e dell'attuazione degli obblighi previsti dal presente regolamento e delle regole e dei requisiti pertinenti della normativa dell'Unione in materia di servizi finanziari, è opportuno che le autorità responsabili del controllo e dell'applicazione della normativa in materia di servizi finanziari, compresa, se del caso, la Banca centrale europea, siano designate come autorità competenti ai fini del controllo dell'attuazione del presente regolamento, anche in relazione alle attività di vigilanza del mercato, per quanto riguarda i sistemi di IA forniti o utilizzati da istituti finanziari regolamentati e sottoposti a vigilanza. Per migliorare ulteriormente la coerenza tra il presente regolamento e le regole applicabili agli enti creditizi disciplinati dalla direttiva 2013/36/UE del Parlamento europeo e del Consiglio (56), è altresì opportuno integrare negli obblighi e nelle procedure esistenti a norma di tale direttiva la procedura di valutazione della conformità e alcuni degli obblighi procedurali dei fornitori in materia di gestione dei rischi, monitoraggio successivo alla commercializzazione e documentazione. Al fine di evitare sovrapposizioni, è opportuno prevedere deroghe limitate anche in relazione al sistema di gestione della qualità dei fornitori e all'obbligo di monitoraggio imposto agli utenti dei sistemi di IA ad alto rischio nella misura in cui si applicano agli enti creditizi disciplinati dalla direttiva 2013/36/UE.

(80)

La normativa dell'Unione in materia di servizi finanziari comprende regole e requisiti in materia di governance interna e di gestione dei rischi che sono applicabili agli istituti finanziari regolamentati durante la fornitura di tali servizi, anche quando si avvalgono di sistemi di IA. Al fine di garantire la coerenza dell'applicazione e dell'attuazione degli obblighi previsti dal presente regolamento e delle regole e dei requisiti pertinenti della normativa dell'Unione in materia di servizi finanziari, è opportuno che le autorità competenti responsabili del controllo e dell'applicazione della normativa in materia di servizi finanziari, compresa, se del caso, la Banca centrale europea, siano designate come autorità competenti ai fini del controllo dell'attuazione del presente regolamento, anche in relazione alle attività di vigilanza del mercato, per quanto riguarda i sistemi di IA forniti o utilizzati da istituti finanziari regolamentati e sottoposti a vigilanza. Per migliorare ulteriormente la coerenza tra il presente regolamento e le regole applicabili agli enti creditizi disciplinati dalla direttiva 2013/36/UE del Parlamento europeo e del Consiglio (56), è altresì opportuno integrare negli obblighi e nelle procedure esistenti a norma di tale direttiva la procedura di valutazione della conformità e alcuni degli obblighi procedurali dei fornitori in materia di gestione dei rischi, monitoraggio successivo alla commercializzazione e documentazione. Al fine di evitare sovrapposizioni, è opportuno prevedere deroghe limitate anche in relazione al sistema di gestione della qualità dei fornitori e all'obbligo di monitoraggio imposto agli operatori dei sistemi di IA ad alto rischio nella misura in cui si applicano agli enti creditizi disciplinati dalla direttiva 2013/36/UE.

(80 bis)

Considerati gli obiettivi del presente regolamento, vale a dire garantire un livello equivalente di protezione della salute, della sicurezza e dei diritti fondamentali delle persone fisiche, garantire la protezione dello Stato di diritto e della democrazia e tenuto conto del fatto che l'attenuazione dei rischi dei sistemi di IA contro tali diritti può non essere realizzata in misura sufficiente a livello nazionale o può essere oggetto di interpretazioni divergenti che potrebbero in ultima analisi portare a un livello disomogeneo di protezione delle persone fisiche e creare frammentazione del mercato, alle autorità nazionale di controllo dovrebbero essere conferito il potere di svolgere indagini congiunte o di avvalersi della procedura di salvaguardia dell'Unione prevista dal presente regolamento per un'applicazione efficace. Le indagini congiunte dovrebbero essere avviate qualora l'autorità nazionale di controllo abbia motivi sufficienti per ritenere che una violazione del presente regolamento costituisca un'infrazione diffusa o un'infrazione diffusa avente una dimensione unionale, o qualora il sistema di IA o il modello di base presenti un rischio che riguarda o possa riguardare almeno 45 milioni di persone in più di uno Stato membro.

(82)

È importante che i sistemi di IA collegati a prodotti che non sono ad alto rischio in conformità al presente regolamento e che pertanto non sono tenuti a rispettare i requisiti ivi stabiliti siano comunque sicuri al momento dell'immissione sul mercato o della messa in servizio. Per contribuire a tale obiettivo, sarebbe opportuno applicare come rete di sicurezza la direttiva 2001/95/CE del Parlamento europeo e del Consiglio (57).

(82)

È importante che i sistemi di IA collegati a prodotti che non sono ad alto rischio in conformità al presente regolamento e che pertanto non sono tenuti a rispettare i requisiti stabiliti per i sistemi di IA ad alto rischio siano comunque sicuri al momento dell'immissione sul mercato o della messa in servizio. Per contribuire a tale obiettivo, sarebbe opportuno applicare come rete di sicurezza la direttiva 2001/95/CE del Parlamento europeo e del Consiglio (57).

(83)

Al fine di garantire una cooperazione affidabile e costruttiva delle autorità competenti a livello nazionale e dell'Unione, è opportuno che tutte le parti coinvolte nell'applicazione del presente regolamento rispettino la riservatezza delle informazioni e dei dati ottenuti nell'assolvimento dei loro compiti.

(83)

Al fine di garantire una cooperazione affidabile e costruttiva delle autorità competenti a livello nazionale e dell'Unione, è opportuno che tutte le parti coinvolte nell'applicazione del presente regolamento mirino alla trasparenza e all'apertura rispettando nel contempo la riservatezza delle informazioni e dei dati ottenuti nell'assolvimento dei loro compiti , adottando misure tecniche e organizzative per proteggere la sicurezza e la riservatezza delle informazioni ottenute nell'esercizio delle loro attività, anche per quanto riguarda i diritti di proprietà intellettuale e gli interessi di sicurezza pubblica e nazionale. Se le attività della Commissione, delle autorità nazionali competenti e degli organismi notificati ai sensi del presente regolamento comportano la violazione di diritti di proprietà intellettuale, gli Stati membri dovrebbero prevedere misure e mezzi di ricorso adeguati per garantire l'applicazione dei diritti di proprietà intellettuale in applicazione della direttiva 2004/48/CE.

(84)

Gli Stati membri dovrebbero adottare tutte le misure necessarie per assicurare l'attuazione delle disposizioni di cui al presente regolamento, anche stabilendo sanzioni effettive, proporzionate e dissuasive in caso di violazione. Per talune violazioni specifiche, è opportuno che gli Stati membri tengano conto dei margini e  dei criteri stabiliti nel presente regolamento . Il Garante europeo della protezione dei dati dovrebbe disporre del potere di infliggere sanzioni pecuniarie alle istituzioni, alle agenzie e agli organismi dell'Unione che rientrano nell'ambito di applicazione del presente regolamento.

(84)

Il rispetto del presente regolamento dovrebbe essere reso esecutivo mediante l'imposizione di ammende da parte dell'autorità nazionale di controllo nell'ambito dei procedimenti avviati secondo la procedura di cui al presente regolamento. Gli Stati membri dovrebbero adottare tutte le misure necessarie per assicurare l'attuazione delle disposizioni di cui al presente regolamento, anche stabilendo sanzioni effettive, proporzionate e dissuasive in caso di violazione. Al fine di rafforzare e armonizzare le sanzioni amministrative in caso di violazione del presente regolamento, è opportuno stabilire limiti massimi per la fissazione delle sanzioni amministrative pecuniarie per talune violazioni specifiche ; Nel valutare l'importo delle sanzioni amministrative pecuniarie , le autorità nazionali competenti dovrebbero, in ogni singolo caso, tenere conto di tutte le circostanze pertinenti della situazione specifica, in particolare, della natura, della gravità e della durata della violazione e delle sue conseguenze e delle dimensioni del fornitore, in particolare se si tratta di una PMI o di una start-up . Il Garante europeo della protezione dei dati dovrebbe disporre del potere di infliggere sanzioni pecuniarie alle istituzioni, alle agenzie e agli organismi dell'Unione che rientrano nell'ambito di applicazione del presente regolamento. Le sanzioni e le spese di contenzioso di cui al presente regolamento non dovrebbero essere soggette a clausole contrattuali o ad altri accordi.

(84 bis)

Poiché i diritti e le libertà delle persone fisiche e giuridiche e dei gruppi di persone fisiche possono essere gravemente compromessi dai sistemi di IA, è essenziale che le persone fisiche e giuridiche o i gruppi di persone fisiche abbiano un accesso significativo a meccanismi di segnalazione e di ricorso e abbiano il diritto di accedere a mezzi di ricorso proporzionati ed efficaci. Essi dovrebbero poter segnalare le violazioni del presente regolamento alla propria autorità nazionale di controllo e avere il diritto di presentare un reclamo contro i fornitori o gli operatori di sistemi di IA. Se del caso, gli operatori dovrebbero prevedere meccanismi interni di reclamo che possano essere utilizzati dalle persone fisiche e giuridiche o dai gruppi di persone fisiche. Fatto salvo ogni altro ricorso amministrativo o extragiudiziale, le persone fisiche e giuridiche e i gruppi di persone fisiche dovrebbero avere il diritto anche a un ricorso giurisdizionale effettivo nei confronti di una decisione giuridicamente vincolante di un'autorità nazionale di controllo che li riguarda o, qualora l'autorità nazionale di controllo non tratti un reclamo, non informi il ricorrente dello stato o dell'esito preliminare del reclamo presentato o non adempia all'obbligo di adottare una decisione definitiva in merito al reclamo.

(84 ter)

Le persone interessate dovrebbero sempre essere informate del fatto che sono soggette all'uso di un sistema di IA ad alto rischio quando gli operatori utilizzano un sistema di IA ad alto rischio per assisterle in un processo decisionale o nel prendere decisioni relative a persone fisiche. Tali informazioni possono costituire una base per consentire alle persone interessate di esercitare il loro diritto a una spiegazione ai sensi del presente regolamento. Quando gli operatori forniscono una spiegazione alle persone interessate a norma del presente regolamento, essi dovrebbero tenere conto del livello di competenza e conoscenza della persona media o del consumatore medio.

(84 quater)

La normativa dell'Unione riguardante la protezione degli informatori (direttiva (UE) 2019/1937) si applica pienamente agli accademici, ai progettisti, agli sviluppatori, alle persone che contribuiscono al progetto, ai revisori, ai responsabili di prodotto, agli ingegneri e agli operatori economici che acquisiscono informazioni in merito a violazioni del diritto dell'Unione da parte di un fornitore di sistemi di IA o del suo sistema di IA.

(85)

Al fine di garantire che il quadro normativo possa essere adeguato ove necessario, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 TFUE per modificare le tecniche e gli approcci di cui all'allegato I per definire i sistemi di IA, la normativa di armonizzazione dell'Unione elencata nell'allegato II, i sistemi di IA ad alto rischio elencati nell'allegato III, le disposizioni relative alla documentazione tecnica di cui all'allegato IV, il contenuto della dichiarazione di conformità UE di cui all'allegato V, le disposizioni relative alle procedure di valutazione della conformità di cui agli allegati VI e VII e le disposizioni che stabiliscono i sistemi di IA ad alto rischio cui dovrebbe applicarsi la procedura di valutazione della conformità sulla base della valutazione del sistema di gestione della qualità e della valutazione della documentazione tecnica. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016 (58). In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.

(85)

Al fine di garantire che il quadro normativo possa essere adeguato ove necessario, è opportuno delegare alla Commissione il potere di adottare atti conformemente all'articolo 290 TFUE per modificare la normativa di armonizzazione dell'Unione elencata nell'allegato II, i sistemi di IA ad alto rischio elencati nell'allegato III, le disposizioni relative alla documentazione tecnica di cui all'allegato IV, il contenuto della dichiarazione di conformità UE di cui all'allegato V, le disposizioni relative alle procedure di valutazione della conformità di cui agli allegati VI e VII e le disposizioni che stabiliscono i sistemi di IA ad alto rischio cui dovrebbe applicarsi la procedura di valutazione della conformità sulla base della valutazione del sistema di gestione della qualità e della valutazione della documentazione tecnica. È di particolare importanza che durante i lavori preparatori la Commissione svolga adeguate consultazioni, anche a livello di esperti, nel rispetto dei principi stabiliti nell'accordo interistituzionale «Legiferare meglio» del 13 aprile 2016 (58) . Tali consultazioni dovrebbero prevedere la partecipazione di portatori di interessi selezionati in modo equilibrato, tra cui le organizzazioni dei consumatori, la società civile, le associazioni che rappresentano le persone interessate, i rappresentanti delle imprese di diversi settori e dimensioni nonché ricercatori e scienziati . In particolare, al fine di garantire la parità di partecipazione alla preparazione degli atti delegati, il Parlamento europeo e il Consiglio ricevono tutti i documenti contemporaneamente agli esperti degli Stati membri, e i loro esperti hanno sistematicamente accesso alle riunioni dei gruppi di esperti della Commissione incaricati della preparazione di tali atti delegati.

(85 bis)

Dati i rapidi sviluppi tecnologici e le competenze tecniche necessarie per effettuare la valutazione dei sistemi di IA ad alto rischio, la Commissione dovrebbe riesaminare periodicamente l'attuazione del presente regolamento, in particolare i sistemi di IA vietati, gli obblighi di trasparenza e l'elenco dei settori e dei casi d'uso ad alto rischio, almeno ogni anno, consultando nel contempo l'ufficio per l'IA e i pertinenti portatori di interessi.

(87 bis)

Essendo limitate le informazioni affidabili sull'uso delle risorse e dell'energia, sulla produzione di rifiuti e su altri impatti ambientali dei sistemi di IA e della relativa tecnologia TIC, compresi il software, l'hardware e in particolare i centri dati, è opportuno che la Commissione introduca una metodologia adeguata per misurare l'impatto ambientale e l'efficacia del presente regolamento alla luce degli obiettivi ambientali e climatici dell'Unione.

(89)

Conformemente all'articolo 42, paragrafo 2, del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati sono stati consultati e hanno formulato il loro parere il […]",

(89)

Conformemente all'articolo 42, paragrafo 2, del regolamento (UE) 2018/1725, il Garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati sono stati consultati e hanno formulato il loro parere il 18 giugno 2021 .

1.

d)

regole di trasparenza armonizzate per i sistemi di IA destinati a interagire con le persone fisiche, i sistemi di riconoscimento delle emozioni, i sistemi di categorizzazione biometrica e i sistemi di IA utilizzati per generare o manipolare immagini o contenuti audio o video ;

d)

regole di trasparenza armonizzate per taluni sistemi di IA;

e)

regole in materia di monitoraggio e vigilanza del mercato.

e)

regole in materia di monitoraggio del mercato, governance della vigilanza del mercato e applicazione;

e bis)

misure a sostegno dell'innovazione, con particolare attenzione alle PMI e alle start-up, compresa la creazione di spazi di sperimentazione normativa e misure mirate per ridurre l'onere normativo per le PMI e le start-up;

e ter)

regole per l'istituzione e il funzionamento dell'ufficio dell'Unione europea per l'intelligenza artificiale (l'ufficio per l'IA);

b)

agli utenti dei sistemi di IA situati nell'Unione ;

b)

agli operatori dei sistemi di IA che hanno il loro luogo di stabilimento o che sono situati all'interno dell'Unione ;

c)

ai fornitori e agli utenti di sistemi di IA situati in un paese terzo, laddove l'output prodotto dal sistema sia utilizzato nell'Unione.

c)

ai fornitori e agli operatori di sistemi di IA che hanno il loro luogo di stabilimento o che sono situati in un paese terzo, laddove si applichi il diritto di uno Stato membro in virtù di una normativa internazionale pubblica o l'output prodotto dal sistema sia destinato a essere utilizzato nell'Unione;

c bis)

ai fornitori che immettono sul mercato o mettono in servizio sistemi di IA di cui all'articolo 5 al di fuori dell'Unione, se il fornitore o il distributore di tali sistemi è situato nell'Unione;

c ter)

agli importatori e ai distributori di sistemi di IA nonché ai rappresentanti autorizzati dei fornitori di sistemi di IA, qualora tali importatori, distributori o rappresentanti autorizzati abbiano la loro sede o siano situati nell'Unione;

c quater)

alle persone interessate, quali definite all'articolo 3, paragrafo 8 bis, che si trovano nell'Unione e sulla salute, la sicurezza o i diritti fondamentali delle quali incide negativamente l'uso di un sistema di IA immesso sul mercato o messo in servizio all'interno dell'Unione.

a)

regolamento (CE) n. 300/2008;

b)

regolamento (UE) n. 167/2013;

c)

regolamento (UE) n. 168/2013;