Regolamento UE sull'IA, Articolo 10: governance dei dati per i sistemi di IA ad alto rischio
L'Articolo 10 del Regolamento UE sull'IA stabilisce i requisiti di governance dei dati per i sistemi di IA ad alto rischio. È la disposizione più citata nelle prime azioni di applicazione dell'Allegato III, poiché la qualità e la rappresentatività dei dati sono dimostrabili attraverso la documentazione. L'Articolo 10 si applica a partire dal 2 agosto 2026 e richiede un lavoro documentale sostanziale per qualsiasi SaaS rientrante nell'Allegato III.
Requisiti fondamentali dell'Articolo 10
L'Articolo 10(2) richiede che i set di dati di addestramento, validazione e test siano soggetti a pratiche di governance e gestione dei dati. Tali pratiche devono riguardare: le scelte progettuali e le ipotesi di partenza, i processi di raccolta dei dati, le operazioni di preparazione dei dati (annotazione, etichettatura, pulizia, arricchimento, aggregazione), l'esame dei pregiudizi, l'identificazione delle lacune o carenze nei dati e la formulazione di misure di attenuazione. L'Articolo 10(3) richiede che i set di dati siano pertinenti, sufficientemente rappresentativi, privi di errori e completi rispetto allo scopo previsto.
Il requisito di rappresentatività
L'Articolo 10(3) richiede che i set di dati siano sufficientemente rappresentativi. Per i SaaS distribuiti nell'UE, ciò significa tipicamente: rappresentazione demografica della popolazione dell'UE per i sistemi che incidono sulle persone fisiche (età, genere, area geografica, lingua), rappresentazione del dominio specifico per il caso d'uso, ed equilibrio tra i diversi sottogruppi che probabilmente interagiranno con il sistema. Lo standard preciso dipende dalle circostanze concrete: per utilizzi ad alto impatto è richiesta una rappresentatività più elevata.
Esame e attenuazione dei pregiudizi
L'Articolo 10(2)(f) richiede l'esame dei possibili pregiudizi che rischiano di incidere sulla salute, sulla sicurezza o sui diritti delle persone fisiche, inclusi i pregiudizi che rafforzano le operazioni future. Test sui pregiudizi in pratica: analisi delle prestazioni per gruppo demografico (accuratezza, tasso di falsi positivi, tasso di falsi negativi per caratteristica protetta), analisi causale dei pregiudizi identificati e misure di attenuazione documentate. La profondità dell'esame dei pregiudizi è proporzionale all'impatto del caso d'uso.
Dati appartenenti a categorie particolari
L'Articolo 10(5) consente il trattamento di categorie particolari di dati personali (origine razziale, etnica, opinioni politiche, ecc. ai sensi dell'Articolo 9 del GDPR) a fini di monitoraggio e correzione dei pregiudizi, ma soltanto nella misura strettamente necessaria. Ciò significa che è possibile raccogliere dati demografici specificamente a fini di test sui pregiudizi senza un distinto consenso ai sensi dell'Articolo 9 del GDPR, purché si documenti la necessità, si adottino solide misure di sicurezza e i dati vengano cancellati al termine della finalità di test sui pregiudizi.
Conformità pratica per i SaaS
Elaborare il pacchetto documentale dell'Articolo 10 nell'ambito della più ampia documentazione tecnica prevista dall'Articolo 11. Elementi richiesti: documentazione dei set di dati (fonte, licenza, dimensione, composizione), procedure di preparazione dei dati, metodologia e risultati dei test sui pregiudizi, analisi della rappresentatività, identificazione delle lacune e azioni di attenuazione. Per i sistemi a apprendimento continuo, aggiungere una documentazione procedurale che illustri come i requisiti dell'Articolo 10 vengano mantenuti man mano che i dati di addestramento evolvono. Coinvolgere un consulente in materia di conformità per i sistemi dell'Allegato III: la metodologia di test sui pregiudizi richiede competenze sia tecniche che giuridiche.
Frequently asked questions
Quando entra in vigore l'Articolo 10?
Il 2 agosto 2026 per i sistemi di IA ad alto rischio.
L'Articolo 10 si applica all'IA non ad alto rischio?
Solo come buona prassi: l'Articolo 10 vincola i sistemi di IA ad alto rischio ai sensi del Capitolo III. I sistemi non ad alto rischio traggono vantaggio dal seguire i principi, ma non sono giuridicamente vincolati.
Posso raccogliere dati demografici a fini di test sui pregiudizi?
Sì: l'Articolo 10(5) consente il trattamento di dati appartenenti a categorie particolari specificamente a fini di monitoraggio e correzione dei pregiudizi, nella misura strettamente necessaria. Documentare la necessità e adottare solide misure di sicurezza.
Quali sono le sanzioni per la violazione dell'Articolo 10?
Fino a 15 000 000 EUR o al 3% del fatturato mondiale ai sensi dell'Articolo 99(4) per la non conformità dei sistemi ad alto rischio.
L'Articolo 10 richiede un audit esterno?
Non direttamente. L'Articolo 10 stabilisce i requisiti; la valutazione della conformità ai sensi dell'Articolo 43 li verifica (internamente per la maggior parte delle categorie dell'Allegato III, esternamente tramite organismo notificato per i sistemi biometrici).
Sources
Last updated: 2026-05-28