intelligenza artificiale

Edpb, l’AI adeguata al Gdpr: ecco le linee guida Ue

Home Sicurezza digitale Privacy
Indirizzo copiato

Importante il parere offerto dal Comitato Europeo per la Protezione dei Dati (EDPB) nei giorni scorsi su modelli AI e Gdpr. Segna un importante passo per guidare l’Europa nel difficile cammino tra innovazione e tutela dei diritti universali

Pubblicato il 20 dic 2024
Anna Cataleta

Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)

ai privacy edpb

L ‘Europa comincia ad avere linee guida su come applicare il GDPR ai modelli di IA. Obiettivo, garantire che l’innovazione tecnologica non comprometta i diritti fondamentali degli individui.

Il parere EDPB sui modelli AI e Gdpr

Ha questo valore il parere offerto dal Comitato Europeo per la Protezione dei Dati (EDPB) nei giorni scorsi. Acquista un significato particolare nel contesto di azione regolatoria che sta vivendo ora OpenAI in Italia (vedi provvedimento Garante privacy di oggi) e in prospettiva sotto l’authority irlandese.

Garante: “Chatgpt ha violato la nostra privacy”, che succede ora

La richiesta dell’Autorità irlandese all’EDPB

Il 4 settembre 2024, l’autorità irlandese ha richiesto al Comitato europeo per la protezione dei dati (EDPB) di emettere un parere, ai sensi dell’articolo 64, paragrafo 2 del GDPR, sul trattamento dei dati personali nel contesto dello sviluppo e dell’implementazione dei modelli di Intelligenza Artificiale (“IA”).

Più in dettaglio, la richiesta ha riguardato i seguenti aspetti: quando e come un modello di IA può essere considerato “anonimo”; come i titolari del trattamento possono usare l’interesse legittimo come base giuridica nello sviluppo e nell’utilizzo dei modelli di IA e quali sono le conseguenze del trattamento illecito dei dati personali nella fase di sviluppo di un modello di IA sul suo successivo utilizzo.

La risposta dell’EDPB

L’EDPB ha risposto ai quesiti specificando che il parere non analizza le seguenti disposizioni, che possono comunque svolgere un ruolo importante nella valutazione dei requisiti di protezione dei dati applicabili ai modelli di IA: l’art. 9 del GDPR sul trattamento di categorie particolari di dati personali; l’art. 22 del GDPR sul processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione e l’art. 25 del GDPR sul principio di privacy by design.

In merito alla prima questione, l’EDPB ha affermato che l’anonimato di un modello di IA dovrebbe essere valutato caso per caso dalle autorità competenti. Infatti, anche quando un modello di IA non è stato intenzionalmente progettato per fornire informazioni relative a una persona fisica identificata o identificabile a partire dai dati di addestramento, le informazioni del dataset di addestramento, inclusi i dati personali, possono comunque rimanere “assorbite” nei parametri del modello e possono essere estratte o altrimenti ottenute, direttamente o indirettamente, dal modello.

Pertanto, affinché un modello di IA possa essere considerato “anonimo”, è necessario verificare almeno che, con mezzi ragionevoli: i dati personali, contenuti nei dati di addestramento, non possano essere estratti dal modello e qualsiasi output prodotto dal modello non sia relativo agli interessati i cui dati personali sono stati utilizzati per addestrare il modello stesso. L’EDPB fornisce un elenco esemplificativo di possibili elementi che le autorità di controllo possono considerare quando un titolare del trattamento afferma di aver sviluppato un modello “anonimo”; tra queste rientrano, ad esempio, le informazioni: su come è stato progettato il modello; sulla selezione delle fonti di addestramento; sulla preparazione dei dati e la minimizzazione; sulle scelte metodologiche rispetto all’addestramento. Nella valutazione le autorità dovrebbero analizzare la documentazione fornita dal titolare del trattamento.

Per quanto riguarda l’utilizzo dell’interesse legittimo quale base giuridica del trattamento, l’EDPB ricorda che non esiste una gerarchia tra le basi giuridiche indicate dal GDPR e che spetta ai titolari del trattamento identificare la base giuridica appropriata per le attività di trattamento svolte. L’EDPB mette in evidenza la necessità di svolgere le valutazioni, richiamate nelle linee guida dell’EDPB 1/2024[3], ossia: identificare l’interesse legittimo perseguito dal titolare o da un terzo; analizzare la necessità del trattamento per la finalità perseguita; valutare che l’interesse legittimo del titolare prevalga sugli interessi o sui diritti e le libertà fondamentali degli interessati (c.d. balancing test). Rispetto a quest’ultimo punto, l’EDPB sottolinea, che all’impatto del trattamento sugli interessati, devono essere considerate anche le aspettative ragionevoli di questi ultimi. Infatti, in ragione della complessità delle tecnologie utilizzate nei modelli di IA, potrebbe essere difficile per gli interessati comprendere le modalità di utilizzo e le diverse attività di trattamento coinvolte.

Come verificare

A questo proposito, l’EDPB evidenzia che per verificare se gli interessati possano ragionevolmente aspettarsi che i loro dati personali siano trattati devono essere tenuti in considerazione e valutati sia le informazioni fornite agli interessati sia il contesto del trattamento.

Misure

Infine, l’EDPB evidenzia che laddove gli interessi, i diritti e le libertà degli interessati sembrino prevalere sugli interessi legittimi perseguiti dal titolare o da un terzo, il titolare può considerare l’introduzione di misure di mitigazione per limitare l’impatto del trattamento (tra cui rientrano sia misure di sicurezza che misure volte a facilitare l’esercizio dei diritti da parte degli interessati).

È interessante notare che l’EDPB ha individuato specifiche misure di mitigazione da adottare nel contesto del web scraping tra cui, ad esempio, l’esclusione di pubblicazioni che potrebbero includere dati personali comportanti rischi per particolari persone o gruppi di persone quali individui che potrebbero essere soggetti ad abusi, pregiudizi o addirittura danni fisici se le informazioni venissero rese pubbliche. In tutti i casi, le misure di mitigazione devono essere ulteriori rispetto a quelle che il titolare è comunque tenuto ad adottare per garantire la conformità al GDPR e devono essere adattate alle circostanze del caso e alle caratteristiche del modello di IA, incluso il suo uso previsto.

In merito all’ultimo quesito, l’EDPB ricorda che le autorità di controllo godono di poteri discrezionali per valutare le possibili violazioni e devono adottare misure appropriate, necessarie e proporzionate, tenendo conto delle circostanze del caso di specie. L’EDPB evidenzia poi tre scenari di trattamento illecito.

I tre scenari prospettati dall’EDPB

  • Nel primo scenario, un titolare del trattamento tratta illecitamente dati personali per sviluppare il modello, li conserva nel modello stesso e, successivamente, li tratta nella fase di utilizzo. L’EDPB afferma che le autorità devono svolgere una valutazione caso per caso, considerato anche che la fase di addestramento e quella di utilizzo hanno finalità distinte (costituendo quindi attività di trattamento separate), per stabilire in che misura la mancanza di una base giuridica per l’attività di trattamento iniziale influisca sulla liceità del trattamento successivo.
  • Nel secondo scenario, un titolare del trattamento tratta illecitamente i dati personali nella fase di sviluppo del modello di IA, i dati personali sono conservati nel modello e sono trattati nella fase di utilizzo da un titolare del trattamento diverso da quello che ha sviluppato il modello. L’EDPB ricorda che è necessario accertare i ruoli del trattamento assegnati ai diversi attori (titolare, responsabile, contitolare) al fine di identificare i relativi obblighi. Inoltre, le autorità dovrebbero considerare anche se il titolare del trattamento che implementa il modello ha condotto una valutazione appropriata al fine di accertare che il modello di IA sia stato sviluppato trattando i dati personali in modo lecito. È interessante notare che l’EDPB richiami anche l’AI Act osservando che lo stesso richiede ai fornitori di sistemi di IA ad alto rischio di redigere una dichiarazione di conformità dell’UE, e che tale dichiarazione deve contenere l’affermazione secondo cui il sistema di IA è conforme alle leggi sulla protezione dei dati dell’UE. L’EDPB ritiene che tale dichiarazione non sia sufficiente a provare il rispetto del GDPR; tuttavia, può essere presa in considerazione dalle autorità di controllo.
  • Nel terzo scenario, un titolare tratta illecitamente i dati personali per sviluppare il modello di IA, poi “anonimizza” il modello. Successivamente, lo stesso titolare o un altro titolare usa il modello “anonimo” e tratta dei dati personali in fase di utilizzo. Sul punto, l’EDPB afferma che se si dimostra che l’utilizzo successivo del modello di IA non comporta il trattamento di dati personali, il GDPR non si applica in tale fase. Pertanto, l’illiceità del trattamento iniziale non dovrebbe influire sull’utilizzo successivo del modello. In ogni caso, l’EDPB sottolinea che: una semplice dichiarazione circa il fatto che il modello sia “anonimo” non è sufficiente a considerarlo tale; i titolari che trattano i dati personali, raccolti nella fase di utilizzo del modello, devono rispettare il GDPR. In questi casi la liceità del trattamento effettuato nella fase di utilizzo non dovrebbe essere influenzata dall’illiceità del trattamento iniziale in fase di sviluppo.

Le prospettive

Lo sviluppo di modelli di IA, di cui si sta parlando molto anche in relazione all’AI Act[1], solleva importanti questioni legate alla protezione dei dati personali. Con l’evoluzione delle tecnologie di IA, infatti, la capacità di questi modelli di elaborare grandi quantità di dati personali pone sfide significative in termini di protezione dei dati personali.

Questi aspetti sono stati evidenziati anche dalle autorità nazionali, tra cui il Garante per la protezione dei dati personali che, già nel marzo 2023, aveva avviato un’istruttoria nei confronti di Open AI che si è conclusa con il provvedimento correttivo e sanzionatorio del 2 novembre 2024[2].

Il parere dell’EDPB si pone come un punto di riferimento nell’ambito dello sviluppo e dell’utilizzo di modelli di IA ogni volta in cui siano trattati dati personali. In un contesto così delineato sarà altresì importante monitorare gli interventi delle autorità nei casi specifici per garantire uno sviluppo e un utilizzo di tali modelli conforme alla normativa.

[1] Da ultimo si pensi alla pubblicazione della seconda bozza del Codice di buone pratiche per i modelli di IA per finalità generali.

[2] Garante per la protezione dei dati personali, Provvedimento n. 755 del 2 novembre 2024

[3] EDPB, Linee guida sul trattamento di dati personali fondato sull’articolo 6(1)(f) GDPR, versione 1.0, adottata l’8 ottobre 2024.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Giacomo Borgognone
p4i
C
Anna Cataleta
Senior Partner di P4I e Senior Advisor presso l’Osservatorio Cybersecurity & Data Protection (MIP)
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • scenari

    L'IA aiuta la PA, per il bene comune: i progetti delle Regioni

    12 Dic 2024

    di Gianpiero Ruggiero

    Condividi

  • Il vademecum

    Marca da bollo o imposta di bollo (virtuale o cartacea) nelle fatture, la guida per tutte le situazioni

    19 Giu 2024

    di Tiziano D'Angelo e Daniele Tumietto

    Condividi

  • strategie

    Innovazione e sostenibilità per rilanciare l'Ue: serve una politica industriale

    08 Lug 2024

    di Giovanni Baroni

    Condividi

Prossimo

L'IA aiuta la PA, per il bene comune: i progetti delle Regioni

Articolo 1 di 4