Articolo 43: Valutazione della conformità
I fornitori di sistemi di IA ad alto rischio elencati nell'allegato III, punto 1 (settore della biometria) devono scegliere tra il controllo interno e la valutazione della conformità con il coinvolgimento di un organismo notificato, a seconda dell'applicazione di norme armonizzate o di specifiche comuni. Se tali norme non sono pienamente applicate o sono soggette a limitazioni o se le specifiche comuni non erano disponibili o non sono state applicate dal fornitore, è necessaria una valutazione che coinvolga un organismo notificato.
Per i sistemi di IA ad alto rischio elencati nell'allegato III, punti da 2 a 8, i fornitori devono seguire una valutazione della conformità basata sul controllo interno senza coinvolgere un organismo notificato.
Per i sistemi di IA ad alto rischio disciplinati dalla vigente normativa di armonizzazione dell'UE elencata nell'allegato I, sezione A, il fornitore deve seguire le pertinenti procedure di valutazione della conformità, che prevedono che gli organismi notificati garantiscano la conformità ai requisiti specifici per l'IA. Sono necessarie nuove valutazioni della conformità in caso di modifiche sostanziali apportate ai sistemi di IA, salvo nel caso di modifiche predeterminate di sistemi che proseguono il loro apprendimento.
I sistemi di IA ad alto rischio che subiscono modifiche sostanziali devono essere sottoposti a una nuova valutazione della conformità, a meno che le modifiche non siano predeterminate e documentate. La Commissione può aggiornare gli allegati e le procedure di valutazione della conformità mediante atti delegati, tenendo conto dell'efficacia del controllo interno e della capacità degli organismi notificati.
i certificati rilasciati dagli organismi notificati devono essere redatti in una lingua compresa dalle autorità pertinenti e sono validi per un periodo massimo di cinque anni per i sistemi di cui all'allegato I e di quattro anni per i sistemi di cui all'allegato III, con possibili proroghe. Se un sistema di IA non soddisfa più i requisiti, l'organismo notificato può sospendere, ritirare o limitare il certificato, a meno che il fornitore adotti misure correttive. È disponibile una procedura di ricorso contro le decisioni adottate dagli organismi notificati.
I riassunti hanno lo scopo di fornire spiegazioni utili, ma non sono giuridicamente vincolanti.
1. Per i sistemi di IA ad alto rischio elencati nell'allegato III, punto 1, se ha applicato le norme armonizzate di cui all'articolo 40 o, ove applicabile, le specifiche comuni di cui all'articolo 41, nel dimostrare la conformità di un sistema di IA ad alto rischio ai requisiti di cui alla sezione 2, il fornitore sceglie una delle seguenti procedure di valutazione della conformità basate sugli elementi qui di seguito:
Nel dimostrare la conformità di un sistema di IA ad alto rischio ai requisiti di cui alla sezione 2, il fornitore segue la procedura di valutazione della conformità di cui all'allegato VII se:
Ai fini della procedura di valutazione della conformità di cui all'allegato VII, il fornitore può scegliere uno qualsiasi degli organismi notificati. Tuttavia, se il sistema di IA ad alto rischio è destinato ad essere messo in servizio dalle autorità competenti in materia di contrasto, di immigrazione o di asilo, nonché da istituzioni, organi o organismi dell'Unione, l'autorità di vigilanza del mercato di cui all'articolo 74, paragrafo 8 o 9, a seconda dei casi, agisce in qualità di organismo notificato.
2. Per i sistemi di IA ad alto rischio di cui all'allegato III, punti da 2 a 8, i fornitori seguono la procedura di valutazione della conformità basata sul controllo interno di cui all'allegato VI, che non prevede il coinvolgimento di un organismo notificato.
3. Per i sistemi di IA ad alto rischio disciplinati dalla normativa di armonizzazione dell'Unione elencata nell'allegato I, sezione A, il fornitore segue la pertinente procedura di valutazione della conformità prevista da tali atti giuridici. I requisiti di cui alla sezione 2 del presente capo si applicano a tali sistemi di IA ad alto rischio e fanno parte di tale valutazione. Si applicano anche i punti 4.3, 4.4, 4.5 e il punto 4.6, quinto comma, dell'allegato VII.
Ai fini di tale valutazione, gli organismi notificati che sono stati notificati a norma di tali atti giuridici hanno la facoltà di controllare la conformità dei sistemi di IA ad alto rischio ai requisiti di cui alla sezione 2, a condizione che la conformità di tali organismi notificati ai requisiti di cui all'articolo 31, paragrafi 4, 10 e 11, sia stata valutata nel contesto della procedura di notifica a norma di tali atti giuridici.
Qualora un atto giuridico elencato nell'allegato I, sezione A, consenta al fabbricante del prodotto di sottrarsi a una valutazione della conformità da parte di terzi, purché abbia applicato tutte le norme armonizzate che contemplano tutti i requisiti pertinenti, tale fabbricante può avvalersi di tale facoltà solo se ha applicato anche le norme armonizzate o, ove applicabili, le specifiche comuni di cui all'articolo 41, che contemplano tutti i requisiti di cui alla sezione 2 del presente capo.
4. I sistemi di IA ad alto rischio che sono già stati oggetto di una procedura di valutazione della conformità sono sottoposti a una nuova procedura di valutazione della conformità nel caso di una modifica sostanziale, indipendentemente dal fatto che il sistema modificato sia destinato a essere ulteriormente distribuito o continui a essere usato dal deployer attuale.
Per i sistemi di IA ad alto rischio che proseguono il loro apprendimento dopo essere stati immessi sul mercato o messi in servizio, le modifiche apportate al sistema di IA ad alto rischio e alle sue prestazioni che sono state predeterminate dal fornitore al momento della valutazione iniziale della conformità e fanno parte delle informazioni contenute nella documentazione tecnica di cui all'allegato IV, punto 2, lettera f), non costituiscono una modifica sostanziale.
5. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 97 al fine di modificare gli allegati VI e VII aggiornandoli alla luce del progresso tecnico.
6. Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 97 che modificano i paragrafi 1 e 2 del presente articolo per assoggettare i sistemi di IA ad alto rischio di cui all'allegato III, punti da 2 a 8, alla procedura di valutazione della conformità di cui all'allegato VII o a parti di essa. La Commissione adotta tali atti delegati tenendo conto dell'efficacia della procedura di valutazione della conformità basata sul controllo interno di cui all'allegato VI nel prevenire o ridurre al minimo i rischi per la salute, la sicurezza e la protezione dei diritti fondamentali posti da tali sistemi, nonché della disponibilità di capacità e risorse adeguate tra gli organismi notificati.