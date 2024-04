[1] Resta inteso che le attività di cui al punto 4., lett. b) dell’Allegato III devono essere svolte in osservanza di quanto disposto dall’art. 4 della Legge 20 maggio 1970, n. 300 in materia di ‘impianti audiovisivi e altri strumenti di controllo. In tal senso, vedasi altresì quanto espressamente previsto in tema di sistemi decisionali e di monitoraggio integralmente automatizzati dall’art. 1-bis, c. 1, secondo periodo del D.Lgs. 26 maggio 1997, n. 152.

[2] Per ‘utente’ (deployer) deve intendersi la persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che impieghi un sistema di IA sotto la propria autorità, ad eccezione dell’ipotesi in cui il sistema di IA sia utilizzato nel corso di un’attività personale e non professionale (art. 3, par. 1, punto 4)).

[3] Per ‘fornitore’ (provider) s’intende una persona fisica o giuridica, un’autorità pubblica, un’agenzia o altro organismo che sviluppi o abbia fatto sviluppare un sistema di IA o un modello di IA per scopi generici e li metta in commercio.

[4] È fondato ritenere che laddove l’attività di sorveglianza si riveli particolarmente complessa, il datore di lavoro-utente possa indicare in un ufficio preposto - composto da più persone fisiche a cui sono demandati specifici compiti e attribuite ben individuate responsabilità - il soggetto a cui affidare lo svolgimento di tale attività.

[5] Con riguardo all’attività di sorveglianza umana di cui all’art. 16, si ravvisa un possibile collegamento con quanto disposto dall’art. 1-bis, c. 4, primo periodo del D.Lgs. 26 maggio 1997, n. 152, per effetto del quale ‘il datore di lavoro o il committente sono tenuti a integrare l’informativa con le istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio’. Dunque, se il datore di lavoro-utente facesse ricorso ad un sistema di IA ad alto rischio integralmente automatizzato, non sarebbe irragionevole ritenere che gli obblighi di comunicazione stabiliti dalla testé citata disposizione riguarderebbero anche l’attività di sorveglianza umana.

[6] Art. 79, par. 1.

[7] Per ‘distributore’ deve intendersi la ‘persona fisica o giuridica nella catena di approvvigionamento, diversa dalfornitore o dall’importatore, che mette a disposizione un sistema di IA sul mercato dell’Unione (art. 3, par. 1, num. 7)).

[8] È ‘importatore’ la ‘persona fisica o giuridica ubicata o stabilita nell’Unione che immette sul mercato un sistema di IA recante il nome o il marchio di una persona fisica o giuridica stabilita in un paese terzo’ (art. 3, par. 1, num. 6)).

[9] All’osservanza degli obblighi informativi in parola è tenuto il committente nell’ambito dei rapporti di lavoro di cui i) all’art. 409, n. 3 del codice di procedura civile e di cui ii) all’art. 2, c. 1 del D.Lgs. 15 giugno 2015, n. 81 (art. 1-bis, c. 7 del D.Lgs. 26 maggio 1997, n. 152).

[10] Il lavoratore denuncia il mancato, ritardato, incompleto o inesatto assolvimento degli obblighi di comunicazione di cui all’art. 1-bis all’Ispettorato nazionale del lavoro (INL) che, sulla base degli accertamenti effettuati, irroga la sanzione prevista all’art. 19, c. 2 del D.Lgs. 10 settembre 2003, n. 276. Tale disposizione prevede che nel caso in cui le informazioni non siano rese al lavoratore nei termini prescritti, trova applicazione, per ciascun mese di riferimento, una sanzione amministrativa in misura compresa tra € 100,00 e € 750,00. La misura della sanzione è stabilita per ciascun mese di riferimento in misura compresa tra:

- € 400,00 e € 1.500,00 quando la violazione sia riferita a più di cinque lavoratori;

- € 1.000,00 e € 5.000,00 ove la violazione coinvolga almeno undici lavoratori. In tal caso, non è ammesso il pagamento della sanzione in misura ridotta.Nell’ipotesi in cui le informazioni non siano rese nei termini prescritti anche alle rappresentanze sindacali in modo trasparente, in formato strutturato e di uso comune e leggibile da dispositivo automatico è applicata una sanzione amministrativa d’importo compreso tra € 400,00 e € 1.500,00 per ciascun mese in cui si è verificata la violazione.

[11] Il rappresentante autorizzato è la ‘persona fisica o giuridica ubicata o stabilita nell’Unione che ha ricevuto e accettato un mandato scritto da un fornitore di un sistema di IA o di un modello di IA per finalità generali al fine, rispettivamente, di adempiere ed eseguire per suo conto gli obblighi e le procedure stabiliti dal (…) regolamento’ (art. 3, par. 1, num. 5)). Fermo restando che un operatore può al contempo agire nella catena del valore rivestendo più funzioni, il rappresentane autorizzato riveste un ruolo essenziale di presidio con riguardo alla garanzia di conformità del sistema di IA ad alto rischio in servizio o immesso sul mercato nell’ambito dell’Unione europea (consideranda 82-84).

[12] Giusto il disposto di cui all’art. 17, il fornitore di un sistema di IA ad alto rischio è tenuto a dotarsi di un sistema di gestione della qualità, ‘documentato in modo sistematico e ordinato sotto forma di politiche, procedure e istruzioni scritte’, affinché sia garantita la conformità al regolamento. Al riguardo, si consideri come più recentemente sia stata pubblicata la normativa standard internazionale ISO/IEC 42001:2023 Information technology-Artificial intelligence Management system.

[13] Le ‘metriche’ sono misure quantitative utilizzate per valutare e confrontare le prestazioni di un sistema di IA, così come la sua efficacia, la qualità del modello ideato e degli algoritmi. Dunque, le metriche aiutano i ricercatori e gli sviluppatori a determinare in quale grado un sistema di IA stia raggiungendo un determinato obiettivo o stia svolgendo il compito assegnato. Ovviamente le metriche impiegate devono essere di volta in volta opportunamente adattate al sistema di IA in uso.

[14] Nel caso di specie, con il termine ‘robustezza’ deve intendersi la capacità di un sistema di IA di gestire e mantenere le prestazioni desiderate di fronte a variazioni o perturbazioni verificatesi nell’ambiente di input o nei dati di addestramento. Nel concetto di robustezza si includono la resistenza da parte del sistema di IA a i) errori, ii) attacchi intenzionali o semplicemente iii) cambiamenti non previsti nelle condizioni operative o nei dati. La robustezza è quindi un attributo critico per la sicurezza e l’affidabilità del sistema di IA, specialmente in applicazioni critiche come veicoli autonomi, diagnosi mediche automatizzate e sistemi di sicurezza.

[15] Art. 20, par. 1. Il provvedimento che dispone il ritiro dal mercato del sistema di IA comporta la cessazione della vendita o distribuzione del sistema stesso, mentre il ‘richiamo’ obbliga il fornitore a chiedere agli utenti di restituire il sistema di IA per motivi di sicurezza o qualità. Entrambe le azioni sono guidate dalla necessità di proteggere gli utenti, ma si differenziano per quanto riguarda le fasi del processo di gestione del prodotto e l’impatto sui consumatori.

[16] Art. 12. Il fornitore che abbia il controllo degli eventi (log) generati automaticamente (art. 19) dal sistema di IA ad alto rischio in uso presso l’utente ha l’obbligo di conservazione di detti eventi a sensi dell’art. 16, par. 1, lett. e) per almeno 6 mesi.Al proposito, è opportuno precisare che un log è un file di registro che contiene una sequenza cronologica di messaggi relativi agli eventi che avvengono all’interno di un sistema (software o hardware). Questi messaggi di registro possono includere una vasta gamma di informazioni, come dettagli sugli eventi di sistema, errori, avvisi, e altre informazioni di carattere diagnostico. I log sono utilizzati in fase di monitoraggio dagli amministratori di sistema e dagli sviluppatori per i) analizzare lo stato di un sistema, ii) diagnosticare problemi e iii) avere una traccia storica degli eventi, a sua volta utile per l’analisi delle prestazioni o per la risoluzione dei problemi.