← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • Le autorità nazionali che tutelano i diritti fondamentali (es. autorità antidiscriminazione, garanti per la parità) possono richiedere e accedere alla documentazione AI Act relativa ai sistemi ad alto rischio dell'allegato III, nei limiti del loro mandato.
  • Ogni Stato membro deve identificare e pubblicare l'elenco di tali autorità entro il 2 novembre 2024 e notificarlo alla Commissione e agli altri Stati.
  • Se la documentazione non è sufficiente a verificare eventuali violazioni, l'autorità può chiedere all'autorità di vigilanza del mercato di organizzare una prova tecnica del sistema.
  • Le informazioni ottenute sono soggette agli obblighi di riservatezza previsti dall'articolo 78 del regolamento.
  • L'autorità dei diritti fondamentali deve informare l'autorità di vigilanza del mercato di ogni richiesta di documentazione.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 77 Reg. (UE) 2024/1689 — Poteri delle autorità che tutelano i diritti fondamentali

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. Le autorità o gli organismi pubblici nazionali che controllano o fanno rispettare gli obblighi previsti dal diritto dell'Unione a tutela dei diritti fondamentali, compreso il diritto alla non discriminazione, in relazione all'uso dei sistemi di IA ad alto rischio di cui all'allegato III hanno il potere di richiedere qualsiasi documentazione creata o mantenuta a norma del presente regolamento o di accedervi, in una lingua e un formato accessibili, quando l'accesso a tale documentazione è necessario per l'efficace adempimento dei loro mandati entro i limiti della loro giurisdizione. L'autorità pubblica o l'organismo pubblico pertinente informa l'autorità di vigilanza del mercato dello Stato membro interessato di qualsiasi richiesta in tal senso.

2. Entro il 2 novembre 2024 ciascuno Stato membro individua le autorità o gli organismi pubblici di cui al paragrafo 1 e ne pubblica l'elenco. Gli Stati membri notificano l'elenco alla Commissione e agli altri Stati membri e lo tengono aggiornato.

3. Qualora la documentazione di cui al paragrafo 1 non sia sufficiente per accertare un'eventuale violazione degli obblighi previsti dal diritto dell'Unione a tutela dei diritti fondamentali, l'autorità pubblica o l'organismo pubblico di cui al paragrafo 1 può presentare all'autorità di vigilanza del mercato una richiesta motivata al fine di organizzare una prova del sistema di IA ad alto rischio mediante mezzi tecnici. L'autorità di vigilanza del mercato organizza le prove coinvolgendo da vicino l'autorità pubblica o l'organismo pubblico richiedente entro un termine ragionevole dalla richiesta.

4. Qualsiasi informazione o documentazione ottenuta a norma del presente articolo dalle autorità o dagli organismi pubblici nazionali di cui al paragrafo 1 del presente articolo è trattata in conformità degli obblighi di riservatezza stabiliti all'articolo 78.

Stesso numero, altri codici

Commento

La tutela dei diritti fondamentali nell'ecosistema di vigilanza AI Act

L'articolo 77 del Regolamento (UE) 2024/1689 introduce un meccanismo di raccordo tra il sistema di vigilanza del mercato previsto dall'AI Act e le autorità nazionali che tutelano i diritti fondamentali. La norma riconosce una realtà pratica importante: i sistemi di IA ad alto rischio — in particolare quelli usati in ambiti come l'impiego, il credito, l'istruzione, la polizia predittiva — possono generare impatti discriminatori o lesioni di diritti fondamentali che non rientrano necessariamente nella competenza primaria delle autorità di vigilanza del mercato.

L'articolo 77 costruisce dunque un doppio binario di supervisione: da un lato l'autorità di vigilanza del mercato (competente per la conformità tecnica e procedurale al regolamento); dall'altro le autorità dei diritti fondamentali (competenti per la tutela di diritti come la non discriminazione, la dignità, la privacy). I due binari si raccordano attraverso obblighi di informazione e cooperazione.

Quali autorità rientrano nell'articolo 77

Il paragrafo 1 si riferisce ad «autorità o organismi pubblici nazionali che controllano o fanno rispettare gli obblighi previsti dal diritto dell'Unione a tutela dei diritti fondamentali, compreso il diritto alla non discriminazione, in relazione all'uso dei sistemi di IA ad alto rischio di cui all'allegato III».

In Italia, le autorità potenzialmente rilevanti includono: il Garante per la protezione dei dati personali (per i diritti alla privacy e alla non discriminazione nel trattamento dei dati); l'UNAR (Ufficio Nazionale Antidiscriminazioni Razziali) per i profili di discriminazione razziale ed etnica; il Comitato Nazionale per la Bioetica e altri organismi settoriali. Il paragrafo 2 ha imposto agli Stati di pubblicare l'elenco di queste autorità entro il 2 novembre 2024 e di notificarlo alla Commissione.

Il potere di accesso alla documentazione

Il potere conferito dall'articolo 77 è accessorio rispetto al mandato dell'autorità: non si tratta di una competenza primaria a vigilare sull'AI Act, ma di un potere strumentale all'esercizio delle funzioni istituzionali già attribuite all'autorità dalla propria legge istitutiva.

L'autorità dei diritti fondamentali può richiedere qualsiasi documentazione creata o mantenuta ai sensi del regolamento: la documentazione tecnica (art. 11), i registri (art. 19), le istruzioni per l'uso (art. 13), i risultati della valutazione della conformità, e ogni altra documentazione prevista dall'AI Act. La richiesta deve essere giustificata dal mandato dell'autorità e dalla necessità dell'accesso ai fini del suo adempimento efficace.

La documentazione deve essere fornita «in una lingua e un formato accessibili». Il requisito di accessibilità linguistica è rilevante: un'autorità italiana ha diritto a ricevere documentazione in italiano, non solo in inglese come spesso capita per i sistemi di fornitori extra-UE.

Ogni richiesta di documentazione deve essere comunicata all'autorità di vigilanza del mercato dello Stato membro interessato: questo obbligo di informazione garantisce il coordinamento tra le due tipologie di autorità e previene duplicazioni o conflitti.

La prova tecnica del sistema: il meccanismo di escalation

Il paragrafo 3 prevede un meccanismo di escalation quando la documentazione non è sufficiente a verificare un'eventuale violazione. In questo caso, l'autorità dei diritti fondamentali può presentare all'autorità di vigilanza del mercato una richiesta motivata per organizzare una prova tecnica del sistema di IA.

La prova non è effettuata autonomamente dall'autorità dei diritti fondamentali: è l'autorità di vigilanza del mercato a organizzarla, coinvolgendo «da vicino» l'autorità richiedente. Il termine è «ragionevole», formula che nella pratica significa che l'autorità di vigilanza ha margine di valutazione ma non può dilatare indefinitamente i tempi.

Questo meccanismo è particolarmente rilevante per i casi di discriminazione algoritmica: se, ad esempio, un'autorità antidiscriminazione riceve segnalazioni che un sistema di IA usato in ambito lavorativo produce sistematicamente risultati discriminatori per i candidati di una determinata origine etnica, ma la documentazione tecnica non è sufficiente a confermarlo, può attivare la prova tecnica per esaminare direttamente il funzionamento del sistema.

Obblighi di riservatezza e coordinamento interistituzionale

Il paragrafo 4 richiama l'articolo 78 (obblighi di riservatezza), che impone alle autorità di trattare le informazioni ottenute nell'esercizio dei poteri di vigilanza in modo riservato, proteggendo in particolare i segreti commerciali e le informazioni sensibili dei fornitori. La riservatezza non è tuttavia assoluta: deve cedere quando è necessaria per garantire l'applicazione effettiva del regolamento o per cooperare con altre autorità competenti.

Il sistema dell'articolo 77 si inserisce nel più ampio quadro di governance multi-livello dell'AI Act, che vede interagire autorità di vigilanza del mercato nazionali, autorità dei diritti fondamentali, Ufficio per l'IA (livello UE) e comitato europeo per l'IA. Per le imprese che sviluppano o usano sistemi di IA ad alto rischio in ambiti sensibili — selezione del personale, credito, accesso ai servizi pubblici — l'articolo 77 significa che la loro documentazione tecnica può essere richiesta e esaminata non solo dall'autorità di vigilanza del mercato, ma anche da autorità specializzate nella tutela dei diritti fondamentali. La cura nella redazione e nella tenuta di questa documentazione è dunque doppiamente importante.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Quali autorità italiane hanno i poteri dell'articolo 77?

L'Italia doveva pubblicare l'elenco entro il 2 novembre 2024 (paragrafo 2). Le autorità più probabilmente incluse sono il Garante per la protezione dei dati personali, l'UNAR (Ufficio Nazionale Antidiscriminazioni Razziali) e altri organismi settoriali competenti per i diritti fondamentali. L'elenco aggiornato è pubblicato dall'autorità competente e notificato alla Commissione.

L'autorità dei diritti fondamentali può ispezionare direttamente il sistema di IA?

Non autonomamente. Può richiedere la documentazione (paragrafo 1) e, se insufficiente, può chiedere all'autorità di vigilanza del mercato di organizzare una prova tecnica (paragrafo 3). La prova è organizzata dall'autorità di vigilanza, che coinvolge l'autorità richiedente.

Un deployer deve rispondere alle richieste dell'autorità dei diritti fondamentali?

Sì, nei limiti della documentazione in suo possesso. Il deployer deve cooperare fornendo la documentazione che gli compete e, se la documentazione appartiene al fornitore, indicarlo all'autorità e facilitare il contatto.

Le informazioni ottenute dall'autorità dei diritti fondamentali possono essere usate in procedimenti giudiziari?

Le informazioni sono soggette agli obblighi di riservatezza dell'articolo 78. Il loro utilizzo in procedimenti giudiziari dipende dalle norme processuali nazionali e dal quadro di cooperazione tra autorità amministrative e giurisdizioni.

Il meccanismo dell'articolo 77 si applica anche ai sistemi di IA non ad alto rischio?

No. L'articolo 77 si applica espressamente ai sistemi di IA ad alto rischio di cui all'allegato III. Per i sistemi a rischio limitato o minimo, i poteri ordinari delle autorità dei diritti fondamentali rimangono applicabili, ma al di fuori del meccanismo specifico dell'AI Act.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.