Il Garante europeo della protezione dei dati (GEPD) ha recentemente pubblicato una guida iniziale sull'uso dell'intelligenza artificiale generativa (IA generativa, GAI). La guida è rivolta principalmente alle istituzioni dell'UE. Tuttavia, gli obblighi di protezione dei dati che contiene per l'IA generativa possono essere utili anche per le aziende.
Consigli per la protezione dei dati per l'IA generativa
La guida si propone di fornire consigli pratici sul trattamento dei dati personali in relazione all'utilizzo di sistemi PII. L'obiettivo è quello di garantire un utilizzo di tali sistemi compatibile con la protezione dei dati, senza violare i diritti fondamentali degli interessati.
La buona notizia all'inizio della guida è che tutte le organizzazioni dell'UE possono sviluppare e utilizzare le proprie soluzioni di IA generativa. In alternativa, possono anche utilizzare soluzioni disponibili sul mercato per il proprio uso. È necessario rispettare solo le condizioni quadro legali.
Le linee guida sottolineano la necessità di un'attenta valutazione dei rischi e di un monitoraggio continuo quando si utilizzano i sistemi di intelligenza artificiale. Ciò riguarda, tra l'altro, la minimizzazione della raccolta dei dati e la garanzia della loro accuratezza. Si sottolinea inoltre la protezione dei diritti degli interessati, come il diritto di accesso, rettifica o cancellazione dei dati.
Il ruolo del responsabile della protezione dei dati (RPD) è particolarmente enfatizzato. L'RPD deve garantire che i sistemi del GAI siano conformi ai requisiti di protezione dei dati.
Inoltre, le istituzioni devono adottare misure tecniche e organizzative per garantire la sicurezza dei dati e prevenire l'uso improprio da parte di terzi.
Autorizzazione al trattamento dei dati personali nei sistemi di IA
La guida sottolinea esplicitamente che i fornitori di modelli generativi di IA possono rivendicare un interesse legittimo ai sensi del Regolamento generale sulla protezione dei dati come base giuridica per il trattamento dei dati. Ciò vale in particolare per la raccolta dei dati utilizzati per lo sviluppo del sistema, compresi i processi di formazione e convalida.
La Corte di giustizia europea ha definito tre condizioni affinché il trattamento dei dati personali sia lecito:
- il perseguimento di un interesse legittimo da parte del responsabile del trattamento (o di una terza parte);
- la necessità di trattare i dati personali ai fini del legittimo interesse perseguito;
- Gli interessi o le libertà fondamentali e i diritti dell'interessato non prevalgono sul legittimo interesse del responsabile del trattamento (o di una terza parte).
Tuttavia, il GEPD lo riconosce: Nel caso del trattamento dei dati da parte di sistemi di intelligenza artificiale generativa, molte circostanze possono influenzare il processo di bilanciamento. Ciò può comportare incertezza giuridica sia per gli interessati che per i responsabili del trattamento.
Suggerimento di lettura: L'AI Act è entrato in vigore il 1° agosto: ecco cosa succederà ora!
Trasparenza ed equità nell'utilizzo dei sistemi GAI
La guida sottolinea l'importanza della trasparenza nell'informare gli interessati sul trattamento dei loro dati da parte dei sistemi di IA generativa. Le organizzazioni devono fornire informazioni chiare e complete sui set di dati utilizzati, sul funzionamento degli algoritmi e sul potenziale impatto sugli interessati.
Inoltre, è necessario prendere precauzioni per garantire che i sistemi GAI funzionino in modo equo e senza pregiudizi discriminatori. Ciò richiede una revisione e un adeguamento regolari dei sistemi per riconoscere e correggere le distorsioni.
Conclusione: L'uso dell'IA generativa offre numerose opportunità alle istituzioni dell'UE, ma richiede un'attenta considerazione dei requisiti di protezione dei dati. Le linee guida pubblicate dal GEPD sono un primo passo per garantire l'uso conforme alla protezione dei dati di queste tecnologie. Il GEPD intende perfezionare e ampliare queste linee guida nel tempo per rispondere alle sfide in continua evoluzione.