Il Garante europeo per la protezione dei dati personali (EDPS, European Data Protection Supervisor) ha pubblicato le linee guida sull’AI Generativa sul rapporto tra AI e protezione dei dati personali.
Il 3 giugno 2024 l’EDPS ha pubblicato le linee guida sull’AI Generativa (le “Linee Guida”) che hanno lo scopo di fornire delle raccomandazioni pratiche alle istituzioni europee, su come utilizzare l’AI generativa in modo responsabile, e come questo utilizzo si deve intersecare con la normativa sul trattamento dei dati personali. Benché il documento sia rivolto ad organi pubblici, offre delle chiare indicazioni anche ai privati.
Si riportano di seguito i principali punti affrontati dall’EDPS nelle Linee Guida:
- Come capire se i sistemi di AI Generativa comportano un trattamento dei dati personali?
Il trattamento dei dati personali nell’AI Generativa può avvenire in varie fasi, senza che questo sia evidente ad un primo contatto con tali sistemi (ad esempio, il trattamento dei dati personali può essere avvenuto nella fase di training). Per tale ragione, l’EDPS raccomanda un monitoraggio sistemico su tutte le fasi di implementazione dell’AI Generativa al fine di verificare concretamente se vi è stato o meno un trattamento dei dati personali (con conseguente applicazione delle norme di cui al GDPR).
- Qual è il ruolo del DPO nella fase di progettazione e utilizzo dell’AI Generativa?
Secondo l’EDPS, il verificare che tali sistemi siano conformi al GDPR non dev’essere lo sforzo di un solo soggetto, come il DPO, ma è necessario un coordinamento anche con l’’ufficio Legale, il dipartimento IT e il Responsabile Locale della Sicurezza Informatica (LISO) devono essere coinvolti sin dalle prime fasi dello sviluppo o dell’implementazione di sistemi di AI Generativa per assicurare la conformità alle normative vigenti. In particolare, la creazione di un “AI Task Force”, e la preparazione di procedure e guide interne può sicuramente giovare a tale obiettivo.
- Quando dev’essere svolta la DPIA?
I rischi per la protezione dei dati devono essere identificati e affrontati durante l’intero ciclo di vita del sistema di AI generativa. Per tale ragione, è necessario monitorare in modo regolare e sistemico, all’evolversi del sistema, quali sono i nuovi rischi che l’AI Generativa crea per i soggetti interessati.
- Qual è la corretta base giuridica per l’utilizzo dell’AI Generativa?
L’EDPS ricorda come il trattamento dei dati personali effettuato attraverso l’AI Generativa deve considerare tutto il ciclo di vita del sistema, e che questo ha un impatto anche sulle basi giuridiche. L’EDPS ritiene che se il trattamento è basato su un requisito di legge, o sull’interesse pubblico, ciò dev’essere chiaramente previsto dalla normativa europea. Per quanto attiene al consenso, invece, l’EDPS ritiene che possa essere utilizzato come base giuridica, ma solo in alcune specifiche circostanze. Mentre, per quanto attiene al legittimo interesse, in particolar modo per quanto attiene alla raccolta dei dati per i training dei sistemi, l’EDPS richiama la decisione del 4 luglio 2023 (C-252/21) che riguarda Meta, evidenziando come occorra specifica attenzione in questo senso.
- Come può essere garantito il principio di minimizzazione dei dati quando si utilizzano sistemi di AI Generativa?
L’utilizzo di una grande quantità di dati non comporta necessariamente che con il sistema di AI Generativa si otterranno risultati migliori. L’EDPS ricorda, in tal senso, di dare priorità alla “qualità” dei dati, e non alla “quantità”, che è il modo più efficiente per garantire il principio di minimizzazione.
- È necessario informare i soggetti interessati quando si utilizzano sistemi di AI Generativa?
Sì, se questo comporta un trattamento dei dati personali, è necessario fornire tutte le informazioni di cui all’art. 13 del GDPR.
- Come garantire un trattamento equo evitando distorsioni quando si usano sistemi di AI Generativa?
Le istituzioni devono adottare procedure per identificare e mitigare i bias nei sistemi di AI, garantendo un trattamento equo e non discriminatorio dei dati. Pertanto, l’adozione di procedure e best practice volte a mitigare eventuali bias devono essere una priorità in tutto il ciclo vita del sistema di AI Generativa.
- Come garantire l’esercizio dei diritti degli interessati?
I titolari del trattamento sono responsabili del trattamento dei dati personali attraverso i sistemi di AI Generativa fin dalla sua implementazione: è pertanto necessario adottare misure tecniche ed organizzative, che, fin dal principio, garantiscano la possibilità per i soggetti interessati di esercitare i loro diritti.
Su un simile argomento può essere interessante: “L’EDPB pubblica il rapporto della Taskforce su ChatGPT evidenziando le principali sfide per la conformità alla privacy dell’IA generativa”