Con l’entrata in vigore del Regolamento (UE) 2024/1689, noto come AI Act, l’Unione Europea introduce un quadro normativo armonizzato per lo sviluppo e l’utilizzo dei sistemi di intelligenza artificiale.
Il Regolamento dedica particolare attenzione alla gestione degli incidenti gravi legati ai sistemi di AI ad alto rischio, stabilendo criteri rigorosi per garantire sicurezza, trasparenza e tutela dei diritti fondamentali.
Quando l’incidente coinvolge anche dati personali, la gestione si complica: occorre infatti coordinare gli obblighi previsti dall’AI Act con quelli derivanti dal Regolamento (UE) 2016/679 (GDPR).
Gli obblighi di notifica previsti dall’AI Act
L’articolo 73 dell’AI Act — intitolato “Comunicazione di incidenti gravi” — è la disposizione chiave in materia.
Stabilisce che i fornitori di sistemi di AI ad alto rischio devono comunicare alle autorità competenti ogni incidente grave di cui vengano a conoscenza.
La tempistica di notifica varia in base alla gravità dell’evento, ma deve comunque avvenire senza ingiustificato ritardo.
Il fornitore deve poi condurre un’indagine approfondita, individuare le cause dell’incidente e adottare misure correttive adeguate, collaborando con le autorità nazionali ed europee.
Cosa si intende per “incidente grave” secondo l’AI Act
L’articolo 3, punto 49, definisce come “incidente grave” ogni evento o malfunzionamento di un sistema di intelligenza artificiale che provochi, direttamente o indirettamente:
- morte o gravi lesioni a persone;
- gravi perturbazioni delle infrastrutture critiche;
- violazioni dei diritti fondamentali garantiti dal diritto dell’Unione;
- danni significativi a beni o all’ambiente.
È nella terza categoria che si collocano gli incidenti legati alla protezione dei dati personali, come ad esempio un data breach derivante da un errore algoritmico, un bias o una vulnerabilità di sicurezza.
Dove AI Act e GDPR si incontrano
Quando un incidente coinvolge dati personali, si attivano due regimi di notifica paralleli:
1. AI Act – Articolo 73
Il fornitore o il deployer del sistema di AI deve segnalare l’incidente come “grave” alle autorità competenti, descrivendo natura, cause e azioni correttive.
2. GDPR – Articoli 33 e 34
Il titolare del trattamento dei dati deve notificare la violazione dei dati personali all’autorità di controllo entro 72 ore dall’avvenuta conoscenza, salvo che sia improbabile un rischio per i diritti e le libertà delle persone fisiche.
In caso di rischio elevato, anche gli interessati devono essere informati senza ingiustificato ritardo.
Un singolo evento — come un sistema di AI che tratta dati sanitari in modo improprio o che espone pubblicamente informazioni riservate — può quindi richiedere due comunicazioni distinte ma coordinate.
Il ruolo della Direttiva NIS 2
Se l’organizzazione rientra nel perimetro applicativo della Direttiva (UE) 2022/2555 – NIS 2, che regola la sicurezza delle reti e dei sistemi informativi, la complessità aumenta ulteriormente.
Un incidente che impatti sulla sicurezza informatica può infatti attivare un terzo flusso di notifica verso le autorità competenti in materia di cybersecurity.
Verso una gestione integrata degli incidenti
La sovrapposizione tra AI Act, GDPR e NIS 2 richiede un approccio olistico e coordinato alla gestione degli incidenti di sicurezza.
Le imprese dovranno dotarsi di:
- procedure chiare di monitoraggio, notifica e risposta agli incidenti;
- cooperazione interdisciplinare tra i team legale, IT e compliance;
- strumenti per la documentazione e tracciabilità delle misure adottate.
Solo un sistema di governance integrato può garantire la piena conformità normativa e rafforzare la fiducia degli utenti nell’uso dei sistemi di intelligenza artificiale.
Il supporto di NetworkLex nella gestione della compliance AI e dati personali
Affrontare le nuove sfide introdotte dall’AI Act richiede competenze trasversali in materia di tecnologia, diritto e protezione dei dati.
I professionisti di NetworkLex affiancano imprese, enti pubblici e startup nell’analisi dei rischi legati all’intelligenza artificiale, nella predisposizione di procedure di segnalazione e governance dei sistemi di AI e nel coordinamento tra AI Act, GDPR e NIS 2.
Grazie a un approccio integrato e interdisciplinare, NetworkLex aiuta le organizzazioni a costruire una compliance sostenibile, che non solo riduce i rischi sanzionatori ma rafforza la fiducia degli utenti e il valore etico dell’innovazione tecnologica.
