Il 18 dicembre 2024, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato un parere completo sullo sviluppo e l'utilizzo di modelli di IA conformi alla protezione dei dati. Il parere affronta le questioni più importanti relative al trattamento dei dati personali e fornisce linee guida pratiche per aziende e organizzazioni.
Anonimato dei modelli di IA
Un argomento centrale della dichiarazione EDPB è la definizione e la garanzia dell'anonimato dei modelli di IA. L'anonimato di un modello è di importanza cruciale. Infatti, determina se i dati elaborati sono ancora considerati dati personali e quindi soggetti ai requisiti del GDPR. L'EDPB sottolinea che un modello può essere considerato anonimo solo se è tecnicamente impossibile identificare gli interessati. Inoltre, non deve essere possibile estrarre dati personali dal modello attraverso interrogazioni o ricostruzioni mirate.
Per garantire l'anonimato, il comitato raccomanda l'uso di procedure specifiche. I metodi più importanti sono l'anonimato K, la privacy differenziale e la pseudonimizzazione. L'anonimato K mira a mascherare i singoli record di dati in un gruppo in modo tale che non possano più essere chiaramente assegnati a una persona. La privacy differenziale fa un ulteriore passo avanti e garantisce che le modifiche al database non abbiano un impatto significativo sul modello, riducendo così al minimo il rischio di re-identificazione. La pseudonimizzazione, invece, sostituisce le caratteristiche identificative con pseudonimi, ma non offre una protezione completa contro la reidentificazione e può essere annullata in determinate condizioni.
Un altro aspetto importante è l'attuazione di valutazioni d'impatto sulla protezione dei dati ai sensi dell'art. 35 del GDPR, soprattutto se esiste un rischio elevato per i diritti e le libertà degli interessati. Le aziende devono adottare misure non solo tecniche ma anche organizzative per garantire che i loro modelli di IA siano addestrati e utilizzati in conformità con le norme sulla protezione dei dati. Ciò include, ad esempio, la verifica regolare dell'anonimato dei dati e l'implementazione di meccanismi di controllo per impedire la reidentificazione involontaria.
Interesse legittimo: Test in tre fasi
Una componente fondamentale del parere dell'EDPB è la categorizzazione giuridica del legittimo interesse come possibile base giuridica per il trattamento dei dati personali nel contesto dei modelli di IA. Ai sensi dell'articolo 6, paragrafo 1, lettera f del GDPR, il trattamento può essere consentito se l'interesse legittimo del responsabile del trattamento o di un terzo supera gli interessi o i diritti e le libertà fondamentali dell'interessato. L'EDPB propone un test in tre fasi che richiede un attento esame e una documentazione per garantire che questo bilanciamento sia giuridicamente valido.
In primo luogo, il responsabile del trattamento deve definire chiaramente la finalità del trattamento e giustificare il motivo per cui il trattamento dei dati personali è necessario per perseguire tale interesse. Un interesse legittimo può risiedere, ad esempio, nello sviluppo di tecnologie innovative di intelligenza artificiale o nel miglioramento dei servizi attraverso analisi basate sui dati. È necessario prestare attenzione affinché tale interesse non sia vago o speculativo, ma si fondi su una base concreta e dimostrabile.
La seconda fase consiste nell'analizzare se il trattamento è effettivamente necessario per raggiungere la finalità specificata. Ciò significa che il responsabile del trattamento deve analizzare se esistono mezzi alternativi con cui lo stesso scopo potrebbe essere raggiunto con misure meno invasive per gli interessati. In tal caso, il trattamento può essere considerato sproporzionato e quindi non può essere basato sul legittimo interesse.
Il terzo e decisivo passo consiste nel soppesare gli interessi del responsabile del trattamento con i diritti e le libertà fondamentali degli interessati. In particolare, si deve tenere conto delle ragionevoli aspettative degli interessati. Se una persona interessata non si aspetta ragionevolmente che i suoi dati siano trattati per uno scopo specifico, questo può essere un forte indizio che il trattamento non è autorizzato. Allo stesso modo, devono essere prese in considerazione garanzie speciali per ridurre al minimo il rischio per gli interessati. Ad esempio, attraverso una comunicazione trasparente sul trattamento dei dati o misure tecniche di sicurezza aggiuntive.
Conseguenze del trattamento illecito dei dati
Un'altra preoccupazione dell'EDPB è la gestione dei dati personali trattati illegalmente nei modelli di IA. Il parere chiarisce che non è possibile legittimare a posteriori un trattamento illecito dei dati. I responsabili del trattamento dei dati sono tenuti ad adottare misure adeguate per ridurre al minimo l'impatto del trattamento illecito e a rispettare i requisiti di protezione dei dati.
Queste misure includono principalmente la cancellazione completa dei dati raccolti illegalmente dal modello di IA e dai database associati. Se la cancellazione non è tecnicamente possibile, ad esempio perché il modello è già stato addestrato con i dati in questione e l'estrazione non è più possibile, l'EDPB raccomanda soluzioni alternative. Una di queste alternative è la riqualificazione del modello con un nuovo database legale (riqualificazione del modello con dati raccolti legalmente). Nei casi in cui ciò non sia possibile, può essere necessario limitare l'uso del modello in questione.
Inoltre, l'EDPB sottolinea che le aziende sono obbligate a documentare le violazioni della protezione dei dati esistenti e ad adottare misure interne adeguate per prevenire futuri trattamenti illeciti dei dati. Ciò include l'esecuzione regolare di valutazioni d'impatto sulla protezione dei dati ai sensi dell'art. 35 del GDPR e l'istituzione di meccanismi per il monitoraggio continuo delle operazioni di trattamento dei dati.
Suggerimento di lettura: Regolamento AI (KI-VO) - Si applicherà alle aziende a partire dal febbraio 2025.
Conseguenze pratiche per le aziende
La dichiarazione dell'EDPB fornisce consigli pratici alle aziende che sviluppano o utilizzano tecnologie di IA. Ne derivano le seguenti raccomandazioni:
L'EDPB chiarisce che l'anonimato dei modelli di IA non dipende solo dall'intenzione del responsabile del trattamento, ma deve essere garantito attraverso misure tecniche adeguate e processi di revisione regolari. Le aziende che utilizzano le tecnologie di IA devono garantire l'adozione di misure adeguate per la protezione dei dati e la revisione continua dei modelli per individuare potenziali rischi per la protezione dei dati.
L'applicazione del test in tre fasi per valutare l'esistenza di un interesse legittimo non è solo un requisito formale. Richiede un'analisi sostanziale dell'impatto del trattamento dei dati sugli interessati. Le aziende devono quindi attuare misure di trasparenza (ai sensi dell'art. 12 del GDPR) e documentare in dettaglio le ragioni per cui prevale il loro legittimo interesse. Ciò può essere fatto attraverso valutazioni d'impatto sulla protezione dei dati o un'analisi interna dettagliata dei rischi.
In caso di dubbio, si raccomanda di coordinarsi con le autorità di protezione dei dati per evitare incertezze legali e garantire la conformità al GDPR.
Conclusione: l'EDSA ritiene le aziende responsabili dell'IA
Il parere dell'EDPB fornisce importanti linee guida per l'utilizzo conforme alla protezione dei dati delle tecnologie AI. Chiarisce che lo sviluppo e l'utilizzo di modelli di IA sono soggetti a requisiti rigorosi in materia di anonimato, base giuridica e trattamento dei dati. Le aziende devono quindi implementare misure adeguate per garantire la conformità al GDPR ed evitare rischi di responsabilità. Gestendo i dati personali in modo trasparente e responsabile, la potenza innovativa dell'IA può essere armonizzata con i diritti di protezione dei dati degli utenti.
Volete rendere la vostra azienda adatta all'uso dell'IA? Lo affronteremo insieme! I nostri esperti saranno lieti di consigliarvi. Chiamateci o scriveteci:
Tel: +39 045 475 7198
E-mail: verona@2b-advice.com
Italian 
German 
English 
French