• Privacy - Intelligenza artificiale -Tecnologie dell'informazione e della comunicazione (ICT)

12 giugno 2024

Gli Orientamenti EDPS sull'Intelligenza Artificiale Generativa e la protezione dei dati personali: una prima analisi

di Aurora Agostini

Il documento "Orientamenti sull'Intelligenza Artificiale Generativa e la Protezione dei Dati Personali" pubblicato dal Garante Europeo della Protezione dei Dati (EDPS) il 3 giugno 2024 rappresenta una guida essenziale per le istituzioni dell'Unione Europea (EUI) che intendono utilizzare sistemi di intelligenza artificiale generativa (IA). Questi orientamenti forniscono consigli pratici e istruzioni dettagliate per garantire che il trattamento dei dati personali sia conforme al Regolamento (UE) 2018/1725, con particolare attenzione ai principi generali di protezione dei dati. L'obiettivo del documento è quello di coprire una vasta gamma di scenari e applicazioni senza prescrivere misure tecniche specifiche, ma concentrandosi sui principi di base necessari per rispettare la normativa sulla protezione dei dati.


Il documento è strutturato in sezioni che affrontano vari aspetti del trattamento dei dati personali nel contesto dell'IA generativa. Tra i temi trattati, si includono la definizione dell'IA generativa, i requisiti per l'uso delle EUI di tali sistemi, e il ruolo dei responsabili della protezione dei dati (DPO) nel processo di sviluppo e implementazione dei sistemi di IA generativa.

Nei paragrafi seguenti, riportiamo una sintesi delle questioni chiave affrontate dal documento con riferimento ad alcuni aspetti della protezione dei dati personali, come la necessità di una valutazione d'impatto sulla protezione dei dati (DPIA), la liceità del trattamento dei dati personali, il principio di minimizzazione dei dati, la precisione dei dati e l'informazione agli individui sul trattamento dei dati personali.

  • Quando dovrebbe essere effettuata una DPIA?

Uno degli aspetti fondamentali trattati è l'importanza di condurre una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) prima di intraprendere qualsiasi operazione di trattamento che possa comportare un alto rischio per i diritti e le libertà fondamentali delle persone.

Questo è particolarmente rilevante nel caso di utilizzo di nuove tecnologie come i sistemi di IA generativa, che possono presentare rischi significativi e non precedentemente valutati. La DPIA consente di identificare e mitigare tali rischi in anticipo, garantendo che le misure tecniche e organizzative siano adeguate​​.

Inoltre, coinvolgere il Responsabile della protezione dei dati (DPO) durante la DPIA è essenziale per assicurare una supervisione competente e indipendente. Documentare tutte le decisioni e azioni prese durante il ciclo di vita del sistema di IA generativa è fondamentale per garantire trasparenza e responsabilità.

  • Quando è lecito il trattamento dei dati personali durante la progettazione, sviluppo e validazione dei sistemi di IA generativa?

Il trattamento dei dati personali nei sistemi di IA generativa può coprire l'intero ciclo di vita del sistema, dalla raccolta dei dati alla generazione di contenuti. È essenziale che il trattamento sia basato su una delle basi giuridiche previste dal Regolamento, come il consenso degli interessati o l'adempimento di un compito di interesse pubblico. In particolare, il trattamento deve essere trasparente e prevedibile, con una chiara base giuridica stabilita dal diritto dell'UE. Le EUI devono anche valutare attentamente l'uso del consenso, assicurando che sia ottenuto in modo informato e volontario. Inoltre, è cruciale garantire che il trattamento dei dati speciali sia giustificato da eccezioni specifiche previste dal Regolamento, e che tutte le misure di protezione appropriate siano messe in atto per salvaguardare i diritti degli individui.

  • Come garantire il principio di minimizzazione dei dati quando si utilizzano i sistemi di IA generativa?

Il principio di minimizzazione dei dati richiede che i dati personali trattati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono trattati. Questo principio è spesso frainteso nel contesto dell'IA, dove si potrebbe pensare che la raccolta massiccia di dati sia sempre necessaria. Tuttavia, le EUI devono limitare la raccolta e il trattamento dei dati personali solo a quelli strettamente necessari, assicurando che i dataset utilizzati siano di alta qualità e ben curati. Inoltre, è importante adottare tecniche di anonimizzazione e pseudonimizzazione ove possibile, per ridurre ulteriormente i rischi per la privacy. La documentazione accurata dei dataset e dei processi di trattamento aiuta a mantenere la trasparenza e a facilitare le revisioni periodiche per garantire la continua conformità con il principio di minimizzazione.

  • I sistemi di IA generativa rispettano il principio di accuratezza dei dati?

Il principio di accuratezza dei dati richiede che i dati personali siano esatti e, se necessario, aggiornati. I sistemi di IA generativa devono quindi essere progettati per minimizzare il rischio di errori e garantire che i dati utilizzati siano affidabili. Le EUI devono adottare misure per verificare regolarmente l'accuratezza dei dati e correggere eventuali inesattezze​​.

Questo implica non solo la verifica dei dataset di addestramento, ma anche il monitoraggio continuo delle uscite del sistema per identificare e correggere eventuali errori. L'inclusione di una supervisione umana nel processo di valutazione può contribuire a mantenere alti standard di accuratezza. Inoltre, le EUI devono garantire che i fornitori di IA rispettino gli stessi standard di accuratezza, richiedendo documentazione e garanzie contrattuali sulla qualità dei dati forniti.

  • Come informare gli individui sul trattamento dei dati personali quando le EUI utilizzano i sistemi di IA generativa?

Un altro aspetto cruciale è l'obbligo di informare adeguatamente gli individui sul trattamento dei loro dati personali. Le EUI devono garantire che le persone siano consapevoli del fatto che i loro dati sono trattati, delle finalità del trattamento e dei loro diritti in relazione ai dati. Questo include fornire informazioni chiare e accessibili in conformità con i requisiti del Regolamento​​.

È importante che le EUI sviluppino e mantengano politiche di trasparenza e comunicazione che includano dettagli sulle modalità di raccolta, utilizzo e conservazione dei dati. Le informazioni devono essere aggiornate regolarmente per riflettere eventuali cambiamenti nelle pratiche di trattamento dei dati. Inoltre, in caso di utilizzo di sistemi di IA che prendono decisioni automatizzate, è essenziale spiegare la logica delle decisioni e le possibili conseguenze per gli individui, garantendo loro il diritto di contestare tali decisioni.



Gli orientamenti dell'EDPS sull'IA generativa rappresentano un passo importante verso la gestione responsabile e conforme dei dati personali nell'uso di tecnologie avanzate. Le EUI sono chiamate a implementare misure adeguate per garantire la protezione dei dati, effettuando valutazioni d'impatto, minimizzando il trattamento dei dati, assicurando l'accuratezza e informando adeguatamente gli individui. Questo approccio non solo aiuta a proteggere i diritti fondamentali, ma promuove anche la fiducia del pubblico nelle nuove tecnologie. Con l'evoluzione continua dell'IA, è essenziale che le linee guida vengano aggiornate e adattate per affrontare nuove sfide e garantire una protezione efficace dei dati personali.
 


Avv. Aurora Agostini
LEXIA