AI Act

Capo III · SEZIONE 3

Articolo 27 - Valutazione d'impatto sui diritti fondamentali per i sistemi di IA ad alto rischio

Digital OmnibusArticolo oggetto di rinvio o modifica da monitorare fino all’adozione definitiva.

Sistemi di IA ad alto rischio / Obblighi dei fornitori e dei deployer dei sistemi di IA ad alto rischio e di altre parti

Regolamento (UE) 2024/1689Fonte ufficiale
Sintesi Articolo 27

L’articolo 27 disciplina valutazione d'impatto sui diritti fondamentali per i sistemi di IA ad alto rischio nell’ambito dei sistemi di IA ad alto rischio. La disposizione va letta come parte del ciclo di conformità del Capo III: qualificare correttamente il sistema, progettare controlli tecnici e organizzativi, documentare le evidenze e mantenere la conformità dopo l’immissione sul mercato o la messa in servizio. Sul piano operativo, i deployer devono integrare il sistema in processi governati e verificabili; la classificazione ad alto rischio attiva requisiti rafforzati, evidenze tecniche e controlli organizzativi; serve un approccio documentato di risk management, riesame e mitigazione. Per fornitori, deployer e altri operatori questo articolo richiede procedure interne, responsabilità chiare, tracciabilità delle decisioni e coordinamento con sicurezza, privacy, qualità, procurement e gestione del rischio. La sintesi non sostituisce il testo ufficiale, ma aiuta a trasformare la norma in requisiti verificabili. Il presidio operativo è una matrice di classificazione, con evidenze conservate e riesaminate quando cambiano finalità, dati, contesto o integrazioni tecniche.

Testo ufficiale

1)Prima di utilizzare un sistema di IA ad alto rischio di cui all'articolo 6, paragrafo 2, ad eccezione dei sistemi di IA ad alto rischio destinati a essere usati nel settore elencati nell'Allegato III - Sistemi IA ad alto rischio, punto 2, i deployer che sono organismi di diritto pubblico o sono enti privati che forniscono servizi pubblici e i deployer di sistemi di IA ad alto rischio di cui all'Allegato III - Sistemi IA ad alto rischio, punto 5, lettere b) e c), effettuano una valutazione dell'impatto sui diritti fondamentali che l'uso di tale sistema può produrre. A tal fine, i deployer effettuano una valutazione che comprende gli elementi seguenti:
a)una descrizione dei processi del deployer in cui il sistema di IA ad alto rischio sarà utilizzato in linea con la sua finalità prevista;
b)una descrizione del periodo di tempo entro il quale ciascun sistema di IA ad alto rischio è destinato a essere utilizzato e con che frequenza;
c)le categorie di persone fisiche e gruppi verosimilmente interessati dal suo uso nel contesto specifico;
d)i rischi specifici di danno che possono incidere sulle categorie di persone fisiche o sui gruppi di persone individuati a norma della lettera c), del presente paragrafo tenendo conto delle informazioni trasmesse dal fornitore a norma dell'articolo 13;
e)una descrizione dell'attuazione delle misure di sorveglianza umana, secondo le istruzioni per l'uso;
f)le misure da adottare qualora tali rischi si concretizzino, comprese le disposizioni relative alla governance interna e ai meccanismi di reclamo.
2)L'obbligo di cui al paragrafo 1 si applica al primo uso del sistema di IA ad alto rischio. Il deployer può, in casi analoghi, basarsi su valutazioni d'impatto sui diritti fondamentali effettuate in precedenza o su valutazioni d'impatto esistenti effettuate da un fornitore. Se, durante l'uso del sistema di IA ad alto rischio, ritiene che uno qualsiasi degli elementi elencati al paragrafo 1 sia cambiato o non sia più aggiornato, il deployer adotta le misure necessarie per aggiornare le informazioni.
3)Una volta effettuata la valutazione di cui al paragrafo 1 del presente articolo, il deployer notifica all'autorità di vigilanza del mercato i suoi risultati, presentando il modello compilato di cui al paragrafo 5 del presente articolo nell'ambito della notifica. Nel caso di cui all'articolo 46, paragrafo 1, i deployer possono essere esentati da tale obbligo di notifica.
4)Se uno qualsiasi degli obblighi di cui al presente articolo è già rispettato mediante la valutazione d'impatto sulla protezione dei dati effettuata a norma dell'articolo 35 del regolamento (UE) 2016/679 o dell'articolo 27 della direttiva (UE) 2016/680, la valutazione d'impatto sui diritti fondamentali di cui al paragrafo 1 del presente articolo integra tale valutazione d'impatto sulla protezione dei dati.
5)L'ufficio per l'IA elabora un modello di questionario, anche attraverso uno strumento automatizzato, per agevolare i deployer nell'adempimento dei loro obblighi a norma del presente articolo in modo semplificato.