- La Commissione istituisce e gestisce una banca dati UE che raccoglie le informazioni di registrazione dei sistemi di IA ad alto rischio elencati nell'allegato III, garantendo trasparenza pubblica sull'ecosistema AI nel mercato europeo.
- I dati delle sezioni A e B dell'allegato VIII sono inseriti dal fornitore (o dal rappresentante autorizzato); i dati della sezione C sono inseriti dal deployer pubblico.
- Le informazioni registrate ai sensi dell'art. 49 sono accessibili al pubblico in modo facilmente fruibile e leggibile meccanicamente; quelle registrate ai sensi dell'art. 60 sono riservate alle autorità, salvo consenso del fornitore.
- La banca dati contiene dati personali solo nella misura strettamente necessaria (nomi e contatti dei responsabili della registrazione).
- La Commissione è il titolare del trattamento della banca dati ai sensi del Regolamento (UE) 2018/1725 sulla protezione dei dati nelle istituzioni UE.
Testo dell'articoloVigente
Art. 71 Reg. (UE) 2024/1689 — Banca dati dell’UE per i sistemi di IA ad alto rischio elencati nell’allegato III
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)
1. La Commissione, in collaborazione con gli Stati membri, istituisce e mantiene una banca dati dell'UE contenente le informazioni di cui ai paragrafi 2 e 3 del presente articolo relative ai sistemi di IA ad alto rischio di cui all'articolo 6, paragrafo 2, registrati conformemente agli articoli 49 e 60 e ai sistemi di IA che non sono considerati ad alto rischio a norma dell’articolo 6, paragrafo 3, e che sono registrati in conformità dell’articolo 6, paragrafo 4 e dell’articolo 69. Nel definire le specifiche funzionali di tale banca dati, la Commissione consulta gli esperti competenti e, nell'aggiornare le specifiche funzionali di tale banca dati, consulta il consiglio per l'IA.
2. I dati elencati nell'allegato VIII, sezioni A e B, sono inseriti nella banca dati dell'UE dal fornitore o, se del caso, dal rappresentante autorizzato.
3. I dati elencati nell'allegato VIII, sezione C, sono inseriti nella banca dati dell'UE dal deployer che è un'autorità, un'agenzia o un organismo pubblico, conformemente all'articolo 49, paragrafi 3 e 4, o che agisce per conto di essi.
4. Ad eccezione della sezione di cui all'articolo 49, paragrafo 4, e all'articolo 60, paragrafo 4, lettera c), le informazioni contenute nella banca dati dell'UE registrate a norma dell'articolo 49 sono accessibili e disponibili al pubblico in modo facilmente fruibile. Le informazioni dovrebbero essere di facile consultazione e leggibili meccanicamente. Le informazioni registrate a norma dell'articolo 60 sono accessibili solo alle autorità di vigilanza del mercato e alla Commissione, a meno che il fornitore o il potenziale fornitore non abbia dato il suo consenso anche a rendere tali informazioni accessibili al pubblico.
5. La banca dati dell'UE contiene dati personali solo nella misura necessaria per la raccolta e il trattamento delle informazioni in conformità del presente regolamento. Tali informazioni comprendono i nomi e i dati di contatto delle persone fisiche responsabili della registrazione del sistema e aventi l'autorità legale di rappresentare il fornitore o il deployer, se del caso.
6. La Commissione è il titolare del trattamento della banca dati dell'UE. Essa mette a disposizione dei fornitori, dei potenziali fornitori e dei deployer un adeguato sostegno tecnico e amministrativo. La banca dati dell'UE è conforme ai requisiti di accessibilità applicabili.
Stesso numero, altri codici
- Articolo 71 L. 184/1983: Affidamento illecito e mediazione vietata
- Art. 71 Cod. Amb. — attuazione degli interventi
- Art. 71 D.Lgs. 159/2011 — Circostanza aggravante
- Art. 71 D.Lgs. 209/2005 — Richiesta di informazioni
- Art. 71 D.Lgs. 42/2004 — Attestato di circolazione temporanea
- Art. 71 CAD — Regole tecniche
Commento
La banca dati UE come strumento di trasparenza e vigilanza del mercato
L'articolo 71 introduce uno degli strumenti di governance più concreti e visibili dell'AI Act: la banca dati dell'Unione europea dedicata ai sistemi di IA ad alto rischio. Non si tratta di un registro meramente tecnico: la banca dati è progettata per assolvere funzioni plurime e complementari. Da un lato, è uno strumento di trasparenza pubblica che consente a chiunque — cittadini, imprese, ricercatori, organizzazioni della società civile — di verificare quali sistemi di IA ad alto rischio sono presenti sul mercato europeo, chi li ha sviluppati e per quali finalità. Dall'altro, è lo strumento operativo attraverso cui le autorità di vigilanza del mercato monitorano l'ecosistema AI e identificano i sistemi da sottoporre a controlli.
La banca dati è istituita dalla Commissione europea, che ne è anche il titolare del trattamento ai sensi del Regolamento (UE) 2018/1725. La Commissione ha il mandato di consultare esperti competenti nella definizione delle specifiche funzionali iniziali, e il consiglio per l'IA nelle successive revisioni, garantendo un processo di aggiornamento istituzionalizzato.
Il perimetro: quali sistemi devono essere registrati
La banca dati non raccoglie informazioni su tutti i sistemi di IA: si concentra sui sistemi di IA ad alto rischio di cui all'articolo 6, paragrafo 2 (elencati nell'allegato III), registrati ai sensi degli articoli 49 e 60. Include anche i sistemi che — pur non essendo ad alto rischio ai sensi dell'articolo 6, paragrafo 3 — vengono registrati volontariamente in conformità dell'articolo 6, paragrafo 4, e dell'articolo 69.
L'allegato III elenca le categorie di sistemi ad alto rischio per definizione: sistemi biometrici, sistemi per la gestione delle infrastrutture critiche, sistemi per l'istruzione, sistemi per il lavoro e la gestione del personale, sistemi per i servizi pubblici e privati essenziali, sistemi usati nel contrasto e nell'immigrazione, sistemi per la giustizia e i processi democratici. Per ciascuno di questi sistemi, l'obbligo di registrazione è una condizione necessaria prima dell'immissione sul mercato o della messa in servizio.
Chi inserisce i dati: fornitore e deployer pubblico
Il Regolamento distingue con precisione chi è responsabile dell'inserimento dei dati a seconda della natura delle informazioni. I dati delle sezioni A e B dell'allegato VIII — relativi alle caratteristiche tecniche del sistema, all'identità del fornitore, alla finalità d'uso, al mercato geografico di distribuzione e agli elementi della valutazione di conformità — sono inseriti dal fornitore o, se del caso, dal rappresentante autorizzato nell'Unione (articolo 22). Questa regola garantisce che le informazioni tecniche fondamentali sul sistema provengano da chi ha la piena conoscenza del prodotto.
I dati della sezione C dell'allegato VIII — relativi alle modalità di impiego specifico da parte dell'ente pubblico — sono invece inseriti dal deployer che è un'autorità, un'agenzia o un organismo pubblico, ai sensi dell'articolo 49, paragrafi 3 e 4. Questa separazione riflette la logica del Regolamento: il fornitore risponde delle caratteristiche del prodotto, il deployer pubblico risponde dell'uso che ne fa nell'esercizio delle proprie funzioni pubbliche.
Accesso pubblico e accesso riservato: la distinzione tra art. 49 e art. 60
Il paragrafo 4 introduce una distinzione di grande rilievo pratico: le informazioni registrate ai sensi dell'articolo 49 (registrazione ordinaria per l'immissione sul mercato) sono, in linea di principio, accessibili al pubblico. La banca dati è progettata per essere facilmente fruibile e leggibile meccanicamente, favorendo la consultabilità da parte di applicazioni e strumenti di analisi.
Fa eccezione la sezione riservata prevista dall'articolo 49, paragrafo 4, e dall'articolo 60, paragrafo 4, lettera c): si tratta delle informazioni legate alle sandboxes regolatorie per l'IA (ambienti controllati per testare sistemi innovativi prima dell'immissione sul mercato). Le informazioni registrate in questo contesto sono accessibili solo alle autorità di vigilanza e alla Commissione, a meno che il fornitore non consenta l'accesso pubblico. La riservatezza in questa fase è giustificata dalla necessità di non esporre tecnologie in fase di sviluppo a rischi di copia o di ostacolare l'innovazione.
Dati personali nella banca dati: principio di minimizzazione
Il paragrafo 5 affronta il trattamento dei dati personali nella banca dati, in linea con il principio di minimizzazione del GDPR (qui applicato attraverso il Regolamento 2018/1725, che disciplina il trattamento dei dati da parte delle istituzioni UE). La banca dati contiene dati personali solo nella misura strettamente necessaria: si tratta dei nomi e dei dati di contatto delle persone fisiche responsabili della registrazione del sistema e aventi l'autorità legale di rappresentare il fornitore o il deployer.
Questa limitazione rigorosa è coerente con la funzione della banca dati come registro di prodotti, non come registro di persone. Le persone fisiche i cui dati sono inseriti devono essere informate del trattamento ai sensi degli articoli 13-14 del Regolamento 2018/1725, e possono esercitare i diritti di accesso, rettifica e cancellazione previsti da tale Regolamento.
Implicazioni operative per i fornitori: registrare prima di immettere sul mercato
Per i fornitori di sistemi di IA ad alto rischio elencati nell'allegato III, la registrazione nella banca dati UE è un adempimento pre-market obbligatorio: non è possibile immettere legalmente il sistema sul mercato europeo senza aver completato la registrazione. L'articolo 26, paragrafo 8, ribadisce questo punto dal lato del deployer pubblico: l'autorità pubblica che scopre che il sistema che intende acquistare non è registrato nella banca dati non può utilizzarlo e deve informare il fornitore o il distributore.
I fornitori devono quindi integrare la registrazione nella banca dati nel proprio processo di conformità pre-lancio, insieme alla documentazione tecnica (art. 11), alla valutazione di conformità (artt. 43-44) e all'apposizione della marcatura CE (art. 48). L'ordine logico è: completare la valutazione di conformità → redigere la dichiarazione di conformità UE (art. 47) → registrarsi nella banca dati → apporre la marcatura CE → immettere sul mercato.
Casi pratici
Caso 1:
Caso 2:
Caso 3:
Domande frequenti
Chi deve registrarsi nella banca dati UE dell'AI Act?
I fornitori (o i loro rappresentanti autorizzati) di sistemi di IA ad alto rischio elencati nell'allegato III, prima dell'immissione sul mercato o della messa in servizio. I deployer che sono autorità pubbliche inseriscono separatamente i dati relativi al proprio uso specifico del sistema.
Le informazioni nella banca dati UE sono pubbliche?
In linea generale sì: le informazioni registrate ai sensi dell'art. 49 sono accessibili al pubblico in modo facilmente fruibile e leggibile meccanicamente. Fanno eccezione le sezioni riservate legate alle sandboxes regolatorie (art. 60), accessibili solo alle autorità.
Cosa succede se un fornitore non registra il proprio sistema nella banca dati?
Il sistema non può essere legalmente immesso sul mercato. Inoltre, i deployer pubblici hanno l'obbligo di non utilizzare un sistema non registrato e di informarne il fornitore o distributore.
La banca dati UE contiene dati personali dei cittadini interessati dai sistemi di IA?
No. Contiene solo i dati strettamente necessari per la registrazione: nomi e contatti delle persone fisiche responsabili della registrazione, aventi il potere di rappresentare il fornitore o il deployer.
Chi è il titolare del trattamento della banca dati UE AI Act?
La Commissione europea, ai sensi del Regolamento (UE) 2018/1725 sul trattamento dei dati personali da parte delle istituzioni e degli organi dell'Unione. La Commissione fornisce anche supporto tecnico e amministrativo ai fornitori e deployer.