In conformità con le disposizioni dell’AI Act, ogni Stato membro dovrà istituire autorità nazionali con competenze specifiche assegnate dal regolamento stesso. Queste autorità avranno il compito di applicare le sanzioni previste in caso di violazioni dell’AI Act, operando in modo indipendente, imparziale e senza pregiudizi, e dotate delle risorse necessarie per svolgere efficacemente i loro compiti.
È richiesto che tali autorità abbiano competenze approfondite nelle tecnologie dell’intelligenza artificiale, nei dati utilizzati da tali tecnologie e nei relativi algoritmi di trattamento, oltre a conoscenze in materia di protezione dei dati personali, sicurezza informatica e standard esistenti. L’AI Act prevede la possibilità di istituire più autorità, a seconda delle esigenze organizzative dello Stato membro, a condizione che soddisfino tali requisiti.
A questo proposito è scaturito un confronto istituzionale tra il governo e il Garante Privacy, a seguito delle dichiarazioni del Sottosegretario all’Innovazione, Alessio Butti, riguardo all’intenzione di assegnare le funzioni di vigilanza e controllo del nuovo regolamento UE ad enti come Agid Agenzia per l’Italia Digitale e all’Acn Agenzia per la Cybersicurezza Nazionale, il Garante ha inviato una lettera al Parlamento, sottolineando l’importanza di individuare un’autorità indipendente e imparziale, come anche sostenuto dal senatore Dem Alberto Losacco che respinge l’idea di affidarlo a enti governativi come Agid e Acn.
Nella sua comunicazione il presidente dell’Autorità Garante per la protezione dei dati personali, Pasquale Stanzione afferma che la scelta è dettata sia dalla legge europea recentemente approvata, che fa riferimento esplicito ai Garanti per la Privacy per il controllo delle applicazioni che utilizzano il riconoscimento facciale, sia dalla logica stessa, che suggerisce che un organo direttamente dipendente dal governo potrebbe non garantire un sufficiente controllo su aree in cui l’azione governativa potrebbe entrare in conflitto con i diritti dei cittadini, come la sicurezza e la sanità.
Il Garante ricorda che l’AI Act si basa sull’articolo 16 del Trattato sul Funzionamento dell’Unione Europea, fondamento giuridico della normativa sulla protezione dei dati, e sottolinea che lo stesso Regolamento sull’Intelligenza Artificiale prevede il controllo delle Autorità di protezione dei dati personali su processi algoritmici che utilizzano dati personali.
Stanzione, quindi, sottolinea l’importanza della sinergia tra le due discipline e la loro applicazione da parte di un’unica Autorità per garantire l’effettività dei diritti e delle garanzie stabilite, invitando il Parlamento e il Governo a riflettere sul da farsi.