Art. 85 Reg. (UE) 2024/1689 — Diritto di presentare un reclamo a un’autorità di vigilanza del mercato

Commento

Il diritto di reclamo come strumento di accesso alla tutela regolatoria

L'articolo 85 del Regolamento (UE) 2024/1689 introduce nell'architettura di enforcement dell'AI Act uno strumento di tutela individuale fondamentale: il diritto di presentare un reclamo all'autorità di vigilanza del mercato. La norma è formulata in modo volutamente ampio, con una soglia di legittimazione molto accessibile: «qualsiasi persona fisica o giuridica che abbia motivo di ritenere che vi sia stata una violazione delle disposizioni del presente regolamento».

Non è richiesta la prova certa di una violazione, né che il reclamante sia direttamente danneggiato dall'eventuale violazione. È sufficiente avere un «motivo di ritenere» che il Regolamento sia stato violato. Questa formulazione è coerente con quella adottata nel GDPR per i reclami all'autorità di protezione dei dati (art. 77 GDPR) ed è funzionale a un enforcement efficace: nell'ecosistema dell'IA, spesso i soggetti più vicini a possibili violazioni — dipendenti, utenti, ricercatori, giornalisti — non hanno necessariamente un interesse diretto ma dispongono di informazioni preziose per le autorità di vigilanza.

Chi può presentare un reclamo e per quali violazioni

L'ambito soggettivo del reclamo è vastissimo: persone fisiche (consumatori, lavoratori, ricercatori, attivisti per i diritti digitali) e persone giuridiche (associazioni, imprese concorrenti, organizzazioni della società civile). Non è richiesta la residenza o la stabilità nel territorio dello Stato membro dell'autorità destinataria, purché il reclamo riguardi il funzionamento del mercato rilevante per quell'autorità.

L'ambito oggettivo comprende qualsiasi violazione «delle disposizioni del presente regolamento»: non solo le violazioni degli obblighi per i sistemi ad alto rischio (art. 16 per i fornitori, artt. 26-29 per i deployer), ma anche le violazioni dei divieti assoluti dell'art. 5 (pratiche di IA vietate, applicabili dal 2 febbraio 2025), degli obblighi di trasparenza per i sistemi a rischio limitato (art. 50), degli obblighi dei fornitori GPAI (artt. 53-55). Sono dunque reclamabili anche comportamenti che non producono un danno diretto al reclamante, purché vi sia motivo di ritenere che il Regolamento sia stato violato.

Il raccordo con il Regolamento sulla vigilanza del mercato (UE) 2019/1020

La norma specifica che i reclami sono «presi in considerazione ai fini dello svolgimento delle attività di vigilanza del mercato e sono trattati in linea con le procedure specifiche stabilite a tal fine dalle autorità di vigilanza del mercato», conformemente al Regolamento (UE) 2019/1020 sulla vigilanza del mercato e sulla conformità dei prodotti.

Il richiamo al Regolamento 2019/1020 è di grande rilevanza pratica. Questo regolamento — che disciplina la vigilanza del mercato per i prodotti non alimentari armonizzati nell'UE — stabilisce una serie di procedure e garanzie per i reclamanti: l'obbligo per l'autorità di accusare ricevuta del reclamo, di informare il reclamante dell'esito (almeno in termini generali) e di trattare i reclami senza indebito ritardo. Il reclamante non acquisisce però un diritto a imporre un'azione specifica dell'autorità: quest'ultima mantiene un potere discrezionale nell'orientare le proprie risorse verso i casi prioritari.

La complementarità con altri ricorsi: il sistema a doppio binario

La norma precisa che il diritto di reclamo opera «fatti salvi altri ricorsi amministrativi o giurisdizionali». Questo significa che il reclamante non è costretto a scegliere tra il reclamo all'autorità di vigilanza e il ricorso al giudice ordinario o amministrativo: può percorrere entrambe le strade in parallelo o in sequenza.

La logica è quella del «doppio binario» già collaudata nel GDPR (dove il reclamo all'autorità di protezione dei dati non preclude l'azione risarcitoria davanti al giudice civile) e nel diritto della concorrenza (dove la segnalazione all'Autorità Garante non preclude l'azione per danni davanti al giudice). Nel contesto dell'AI Act, questo è particolarmente rilevante per i danni derivanti dall'uso di sistemi di IA: il reclamo all'autorità di vigilanza del mercato può avere un effetto sanzionatorio e deterrente, ma non genera di per sé un risarcimento per il singolo; questo dovrà essere ottenuto in sede giudiziaria, eventualmente avvalendosi della nuova direttiva sulla responsabilità civile per i danni causati dall'IA (direttiva AI Liability, in corso di adozione).

Implicazioni per fornitori e deployer: gestire il rischio di reclami

Per i fornitori e i deployer di sistemi di IA, l'art. 85 introduce un elemento di rischio che va gestito proattivamente. Qualsiasi soggetto che interagisce con il sistema — un utente che subisce una decisione automatizzata percepita come discriminatoria, un concorrente che ritiene il sistema non conforme, un dipendente che segnala un uso improprio — può avviare un procedimento di vigilanza presentando un reclamo. Questo non significa che ogni reclamo darà luogo a un'indagine formale, ma l'autorità è tenuta a prenderli in considerazione.

La gestione del rischio di reclami richiede almeno tre misure preventive: (i) garantire che i sistemi di IA ad alto rischio siano effettivamente conformi ai requisiti del Regolamento, con documentazione aggiornata; (ii) rispettare gli obblighi di trasparenza verso gli utenti, in modo che le persone sappiano di interagire con un sistema di IA e possano esercitare i propri diritti; (iii) predisporre procedure interne di gestione dei reclami che consentano di rispondere tempestivamente alle richieste dell'autorità di vigilanza, riducendo il rischio che un'ispezione si estenda oltre l'oggetto del reclamo originario.

Un confronto con il modello GDPR: analogie e differenze

Il diritto di reclamo dell'art. 85 AI Act è strettamente ispirato all'art. 77 GDPR, che attribuisce all'interessato il diritto di presentare reclamo a un'autorità di controllo. Le analogie sono evidenti: stessa logica di accesso diretto all'autorità di regolazione, stesso rapporto di complementarità con i ricorsi giurisdizionali, stessa ampiezza dell'oggetto. Le differenze principali riguardano l'ambito soggettivo — il GDPR limita il diritto di reclamo all'«interessato», mentre l'AI Act lo estende a «qualsiasi persona fisica o giuridica» — e il fatto che nel GDPR l'autorità ha obblighi più dettagliati di risposta e informazione al reclamante. È verosimile che, a regime, le autorità di protezione dei dati che svolgono anche funzioni di vigilanza dell'AI Act gestiranno i reclami «trasversali» (che riguardano sia violazioni del GDPR sia violazioni dell'AI Act) attraverso un'unica procedura coordinata.