L’EDPB, in occasione dell’ultima plenaria del consiglio, ha adottato una dichiarazione sul ruolo delle Autorità Garanti della privacy nel quadro dell’AI Act e delle FAQ sul quadro UE-USA in materia di privacy dei dati.
Autorità Garanti della Privacy e AI Act
Secondo l’EDPB, le autorità di protezione dei dati hanno già esperienza e competenza nell’affrontare l’impatto dell’IA sui diritti fondamentali, in particolare il diritto alla protezione dei dati personali, e dovrebbero quindi essere designate come autorità di vigilanza del mercato (MSA) in una serie di casi.
Ciò garantirebbe un migliore coordinamento tra le diverse autorità di regolamentazione, aumenterebbe la certezza del diritto per tutte le parti interessate e rafforzerebbe la supervisione e l’applicazione sia della legge sull’IA che della normativa europea sulla protezione dei dati.
Secondo la legge sull’AI, gli Stati membri nomineranno le autorità di vigilanza a livello nazionale entro il 2 agosto 2025, allo scopo di supervisionare l’applicazione e l’attuazione della legge sull’AI.
Nella sua dichiarazione, l’EDPB raccomanda che:
- le autorità di protezione dei dati vengano designate come autorità di vigilanza per i sistemi di IA ad alto rischio utilizzati per l’applicazione della legge, la gestione delle frontiere, l’amministrazione della giustizia e i processi democratici
- gli Stati membri dovrebbero prendere in considerazione la possibilità di nominare le autorità di protezione dei dati come autorità di vigilanza multilaterale anche per altri sistemi di IA ad alto rischio, tenendo conto del parere dell’autorità nazionale di protezione dei dati, in particolare quando tali sistemi di IA ad alto rischio sono in settori che possono avere un impatto sui diritti e le libertà delle persone fisiche in relazione al trattamento dei dati personali
- le autorità di protezione dei dati, se nominate come autorità di vigilanza, dovrebbero essere designate come punti di contatto unici per il pubblico e le controparti a livello di Stati membri e di UE
- si dovrebbero stabilire procedure chiare per la cooperazione tra le autorità di vigilanza e le altre autorità di regolamentazione incaricate della supervisione dei sistemi di IA, comprese le autorità di protezione dei dati. Inoltre, dovrebbe essere stabilita un’adeguata cooperazione tra l’Ufficio AI dell’UE e le DPA/EDPB.
Le FQ sul Quadro sulla privacy dei dati UE-USA
L’EDPB ha poi adottato due documenti di domande frequenti (FAQ) riguardanti il Quadro sulla privacy dei dati UE-USA (c.d. DPF), con l’obiettivo di fornire maggiori chiarimenti sul funzionamento del DPF:
- le FAQ per le persone fisiche forniscono informazioni sul funzionamento del DPF: come beneficiarne, come presentare un reclamo e come questo verrà gestito.
- le FAQ per le imprese spiegano quali aziende statunitensi possono aderire al DPF: cosa fare prima di trasferire dati personali a un’azienda statunitense certificata DPF e dove trovare ulteriori indicazioni.