Clausole Contrattuali Modello per l’Acquisto di AI nell’UE: Punti Chiave per le Aziende di AI
La Commissione Europea (CE) ha rilasciato una versione aggiornata delle Clausole Contrattuali Modello per l’Acquisto di AI (MCC-AI), fornendo ulteriori indicazioni per gli acquirenti del settore pubblico che navigano nell’acquisto di soluzioni AI ai sensi della Legge Europea sull’Intelligenza Artificiale (EU AI Act). Tuttavia, queste clausole servono anche come strumento pratico per aiutare qualsiasi organizzazione privata a soddisfare le proprie obbligazioni legali quando fornisce o acquista sistemi AI, in particolare soluzioni AI ad alto rischio.
Contesto
La prima versione delle MCC-AI è stata pubblicata a settembre 2023 in previsione della Legge Europea sull’Intelligenza Artificiale, offrendo un approccio strutturato all’acquisto di AI. Con l’entrata in vigore ufficiale della legge il 13 giugno 2024, la CE ha ora affinato queste clausole modello per garantire una maggiore allineamento con i requisiti normativi. La nuova pubblicazione include:
- Una versione completa per i sistemi AI ad alto rischio.
- Una versione leggera per i sistemi AI non ad alto rischio.
- Un commento che spiega come adattare e implementare le clausole.
Perché le aziende dovrebbero familiarizzare con le MCC-AI?
Le MCC-AI forniscono un quadro prezioso per le aziende che acquistano o forniscono servizi AI stabilendo uno standard comune minimo di obbligazioni. Queste clausole aiutano a garantire che entrambe le parti siano allineate su aspetti chiave di conformità – come trasparenza, gestione del rischio e responsabilità – in linea con la EU AI Act.
Le organizzazioni che incorporano clausole MCC-AI adattate alle loro esigenze, contratti e attività possono semplificare le negoziazioni, ridurre le incertezze legali e dimostrare prontezza normativa.
Questo è particolarmente vantaggioso in un panorama legale in evoluzione dove i requisiti di governance dell’AI sono ancora in fase di sviluppo, poiché aiuta le aziende ad affrontare proattivamente potenziali rischi e responsabilità.
Chi ha emesso le MCC-AI?
Le MCC-AI sono state emesse dalla Piattaforma della Comunità degli Acquirenti Pubblici, progettata per favorire la collaborazione negli acquisti pubblici in tutta l’UE. Essa funge da spazio dedicato dove gli acquirenti pubblici europei e la CE possono connettersi, condividere intuizioni e promuovere l’innovazione negli acquisti pubblici. Le clausole sono considerate come un documento di lavoro in corso e non riflettono una posizione ufficiale della CE.
Chi dovrebbe utilizzare le MCC-AI?
Le MCC-AI sono progettate per le organizzazioni del settore pubblico che acquistano soluzioni AI, ma possono essere adattate selettivamente da enti privati su base clausola per clausola.
- La versione completa si applica ai sistemi AI ad alto rischio come definiti nel Capitolo III della Legge Europea sull’Intelligenza Artificiale – sistemi AI che rappresentano rischi significativi per la salute, la sicurezza o i diritti fondamentali.
- La versione leggera è adattata per i sistemi AI non ad alto rischio, ma affronta comunque considerazioni chiave per l’acquisto, come trasparenza, gestione del rischio e governance dei dati.
Anche nei casi in cui il sistema AI non presenti rischi chiari, il commento delle MCC-AI suggerisce che le autorità contrattuali includano salvaguardie contrattuali attorno a:
- Quadri di gestione del rischio
- Governance dei dati e diritti di utilizzo
- Documentazione tecnica e meccanismi di audit
- Registri AI per la responsabilità
Come dovrebbero essere eseguite le MCC-AI?
Le clausole sono progettate per essere annesse ai contratti di acquisto piuttosto che funzionare come accordi autonomi. Le MCC-AI includono solo disposizioni specifiche per i sistemi AI e questioni trattate dalla Legge Europea sull’Intelligenza Artificiale. Non affrontano obblighi o requisiti derivanti da altre legislazioni applicabili. Ad esempio, non coprono proprietà intellettuale, accettazione, pagamento, scadenze di consegna, legge applicabile o responsabilità.
Cosa coprono le MCC-AI?
Le MCC-AI sono strutturate attorno a obbligazioni legali e operazionali chiave, tra cui:
- Requisiti del sistema AI: Garantire la conformità con standard legali ed etici fondamentali.
- Obbligazioni del fornitore: Definire aspettative di trasparenza, gestione del rischio e conformità.
- Governance dei dati: Stabilire diritti sui set di dati utilizzati nello sviluppo dell’AI.
- Audit e responsabilità: Stabilire meccanismi per il monitoraggio del sistema AI.
- Costi e responsabilità: Chiarire le responsabilità finanziarie per attuazione e conformità.
Inoltre, gli allegati forniscono modelli per descrivere casi d’uso del sistema AI, definire quadri di governance dei dati e documentare misure di conformità.
Quali sono le differenze tra le clausole contrattuali standard della Commissione Europea e le MCC-AI?
Le clausole contrattuali standard (SCC) dell’UE sono modelli di contratto legalmente vincolanti emessi dalla CE per garantire che i dati personali trasferiti al di fuori dello Spazio Economico Europeo (SEE) siano conformi al Regolamento Generale sulla Protezione dei Dati (GDPR). Impongono specifiche obbligazioni di protezione dei dati alle parti coinvolte.
La tabella sottostante delinea le principali differenze tra le clausole contrattuali modello (MCC) e le SCC per i trasferimenti di dati. Sebbene svolgano scopi diversi, possono essere incluse nello stesso accordo:
| Criteri | Clausole contrattuali modello (MCC) | Clausole contrattuali standard (SCC) |
|---|---|---|
| Scopo | Fornire un quadro contrattuale per normative specifiche del settore, come la governance dell’AI | Garantire la conformità al GDPR per i trasferimenti di dati internazionali |
| Base legale | Basata su best practices del settore o linee guida normative (es. Legge UE sull’AI) | Richiesta ai sensi dell’Articolo 46 del GDPR per i trasferimenti di dati al di fuori del SEE |
| Uso obbligatorio | Facoltativo, utilizzato come guida o come allegato a un contratto esistente | Obbligatorio per i trasferimenti di dati verso paesi terzi senza una decisione di adeguatezza |
| Ambito normativo | Coprire obbligazioni relative all’acquisto di servizi AI | Si concentra esclusivamente sulla protezione dei dati personali e sulla conformità al GDPR |
| Applicabilità | Può essere utilizzata in vari settori (es. contratti AI, accordi software, fornitura di soluzioni potenziate da AI) | Si applica solo ai trasferimenti di dati personali transfrontalieri al di fuori del SEE |
| Forza vincolante | Vincolante solo se inclusa in un contratto tra le parti | Legalmente vincolante ai sensi del GDPR quando utilizzata per trasferimenti di dati |
| Disposizioni chiave | Coprire etica dell’AI, responsabilità, trasparenza e conformità | Coprire sicurezza dei dati, obbligazioni di terzi, diritti di audit e diritti degli interessati |
| Flessibilità | Può essere personalizzata o integrata da altri termini contrattuali | Deve essere utilizzata così com’è, con modifiche limitate consentite |
| Annessa ai contratti? | Sì, tipicamente allegata a contratti più ampi | Sì, allegata a contratti che disciplinano i trasferimenti di dati |
Punti Chiave
Per le organizzazioni che forniscono sistemi AI, personalizzare le MCC-AI per la propria attività aumenta la credibilità e la fiducia con i clienti dimostrando un impegno verso pratiche AI responsabili.
Per gli acquirenti, queste clausole offrono un livello minimo di protezione, assicurando che le soluzioni AI acquistate soddisfino standard etici e legali essenziali. Inoltre, poiché le MCC-AI possono essere allegate a accordi esistenti, forniscono flessibilità mantenendo la coerenza tra i contratti. Questo facilita non solo transazioni più fluide, ma anche la minimizzazione delle controversie, poiché entrambe le parti operano sotto una comprensione condivisa degli obblighi legati all’AI sin dall’inizio.
