La corretta qualificazione, specialmente tra provider e deployer secondo l’AI Act dell’UE, comporta un insieme di obblighi e responsabilità e, in alcuni casi, la linea tra i due ruoli potrebbe apparire sfumata.
Stiamo avendo notevoli discussioni con i clienti sul loro ruolo nell’ambito dell’AI Act comunitario poiché, nella maggior parte dei casi, le aziende non richiedono più sistemi di AI “pronti all’uso”. Inoltre, a causa del rischio di contestazioni legali dovute a violazioni di copyright o della normativa privacy, o per il rischio di divulgazione a terzi di segreti commerciali e/o informazioni confidenziali, le aziende stanno esponenzialmente richiedendo di:
- avere sistemi di AI addestrati sul loro materiale, creando un ambiente sicuro dove hanno il controllo su qualsiasi contenuto e potenzialmente un migliore controllo sugli output; e
- avere un system integrator che sviluppi un sistema di AI basato su un algoritmo e materiali forniti dall’azienda stessa.
In questi scenari, non è chiaro se l’azienda che sfrutta il sistema di AI possa ancora rientrare solo nella categoria di deployer o possa essere qualificata come provider secondo l’AI Act dell’UE.
Nella versione finale dell’AI Act, un ‘provider’ significa “una persona fisica o giuridica, un’autorità pubblica, un’agenzia o altro organismo che sviluppa un sistema di AI o un modello di IA generale o che fa sviluppare un sistema di AI o un modello di IA generale e li immette sul mercato [cioè li rende disponibili sul mercato] o mette in servizio il sistema sotto il proprio nome o marchio, sia a pagamento che gratuitamente”.
Invece un ‘deployer’ è “qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che utilizza un sistema di AI sotto la propria autorità, eccetto quando il sistema di AI è utilizzato nell’ambito di un’attività personale non professionale”.
La distinzione è rilevante poiché la maggior parte degli obblighi e delle responsabilità sotto l’AI Act dell’UE sono a carico dei provider, e in particolare, il considerando 53 dell’attuale bozza prevede che “È opportuno che una specifica persona fisica o giuridica, definita come provider, assuma la responsabilità dell’immissione sul mercato o della messa in servizio di un sistema di AI ad alto rischio, indipendentemente dal fatto che tale persona fisica o giuridica sia colui che ha progettato o sviluppato il sistema” e il considerando 57b copre anche lo scenario in cui un provider iniziale di un sistema di AI non è più un provider sotto l’AI Act dell’UE a causa dell’evoluzione dello sviluppo del sistema.
Come nel caso del GDPR, la corretta qualificazione di una società non può essere concordata contrattualmente, ma dipende da circostanze fattuali. Di conseguenza, un notevole livello di personalizzazioni dei sistemi di AI che viene sia immesso sul mercato che semplicemente messo in servizio sotto il suo nome da un’azienda potrebbe portare all’ente ad essere riconfigurato come provider, anche se l’attività di sviluppo è stata completamente esternalizzata. Allo stesso modo, se un sistema di AI viene immesso sul mercato da un’azienda con il suo marchio, quell’entità è probabile che sia considerata uno sviluppatore, anche se l’azienda ha esternalizzato tutta l’attività di sviluppo. Allo stesso tempo, un integratore di sistema potrebbe essere qualificato come provider se le sue personalizzazioni rendono il sistema di AI successivamente offerto ai suoi clienti sostanzialmente diverso dal sistema originale.
Non esiste una soluzione unica per tutti gli scenari, e deve essere eseguita una valutazione caso per caso. Tuttavia, dato che l’AI Act si concentra prevalentemente sugli obblighi applicabili ai provider, anche se i deployer devono verificare le rappresentazioni del provider, la corretta qualificazione di una parte ha un impatto significativo in termini di esposizione al rischio in caso di potenziali sfide da parte dei regolatori.
Inoltre, la qualificazione secondo l’AI Act dell’UE potrebbe avere anche implicazioni sotto il GDPR. Infatti, se viene rappresentato che un provider è un’entità con un controllo effettivo sul sistema di AI, c’è il rischio che le autorità di protezione dei dati possano qualificare quest’ultimo come un controllore dei dati o almeno un controllore congiunto con il deployer, mentre tipicamente i provider sono processori dei dati.
Di conseguenza, alcune precauzioni devono essere messe in atto per evitare che, in caso di indagine o sfida da parte di un cliente o di un concorrente, l’entità che utilizza il sistema di AI sia anche qualificata come provider con le conseguenti obbligazioni e responsabilità.
Sull’argomento, potete leggere l’articolo “AI Act Finalizzato: Ecco Cosa E’ Stato Concordato”.
Autore: Giulio Coraggio
