by

La posizione dell’Autorità per la protezione dei dati di Amburgo sull’assenza di trattamento dei dati personali da parte dei LLM durante l’archiviazione dei dati, se combinata con il recente parere della CNIL, potrebbe segnare un cambiamento a 360 gradi nell’approccio delle autorità per la privacy a qualsiasi trattamento dei dati effettuato dall’intelligenza artificiale generativa (IA).

Il punto di vista dell’Autorità per la protezione dei dati di Amburgo sull’archiviazione dei dati da parte degli LLM

In un precedente articolo, ho parlato del documento pubblicato dall’Autorità per la protezione dei dati di Amburgo. A differenza dei sistemi di dati tradizionali, questo documento sostiene che i LLM elaborano token e relazioni vettoriali (embeddings). Questi token frammentano le informazioni originali in parti così piccole che la loro memorizzazione non costituisce un trattamento di dati personali.

Secondo l’autorità, i token e gli embedding presenti nei LLM non hanno il legame diretto e identificabile con gli individui richiesto dalla giurisprudenza della CGUE per essere classificati come dati personali. Inoltre, quando gli LLM rispondono alle richieste, generano nuove informazioni che non possono essere considerate una copia dell’originale a causa della fase di “creazione”.

Sebbene sia possibile estrarre dati di addestramento dai LLM, gli sviluppatori di soluzioni di intelligenza artificiale devono assicurarsi che i risultati non possano essere considerati copie o addirittura opere derivate del contenuto originale, implementando le opportune protezioni.

Interpretazioni innovative della CNIL su privacy e IA generativa

La posizione dell’autorità di Amburgo si allinea strettamente con le opinioni espresse dall’Autorità francese per la protezione dei dati (CNIL) nella sua attuale consultazione sull’applicazione del GDPR ai modelli di IA.

Il CNIL ha chiesto alle parti interessat e di “fare luce sulle condizioni in cui i modelli di IA possono essere considerati anonimi o devono essere regolamentati dal GDPR”.

Il CNIL ha inoltre mostrato un approccio più aperto nei confronti dell’affidamento ai legittimi interessi come base giuridica per lo sviluppo di sistemi di IA, che è fondamentale per la fase di raccolta dei dati necessaria per l’addestramento dell’IA. Il CNIL sottolinea che gli interessi legittimi alla base del trattamento dei dati devono essere chiaramente definiti nella valutazione dell’interesse legittimo (LIA) e che lo scopo commerciale dello sviluppo di un sistema di IA non contraddice l’uso dell’interesse legittimo come base giuridica.

In ogni caso, gli sviluppatori devono garantire che il trattamento dei dati sia essenziale per lo sviluppo e non minacci i diritti e le libertà delle persone.

Potenziale convergenza di vedute tra Amburgo e la CNIL sull’IA

Se combiniamo le posizioni dell’Autorità di Amburgo per la protezione dei dati e quelle della CNIL, gli sviluppatori e gli implementatori potrebbero trovare un importante supporto per mantenere la conformità al GDPR del trattamento dei dati attraverso soluzioni di intelligenza artificiale generativa. In particolare:

  • I dati raccolti potrebbero essere trattati sulla base di un interesse legittimo, ma con la maggior parte dei dati personali rilevanti rimossi automaticamente subito dopo la raccolta per rafforzare la LIA;
  • Solo i dati filtrati dovrebbero essere forniti al modello di intelligenza artificiale per l’addestramento, rafforzando l’argomentazione secondo cui i token memorizzati dagli LLM non si qualificano come dati personali.
  • devono essere previste delle barriere di sicurezza per garantire che i risultati non possano essere copie o opere derivate dei dati utilizzati per l’addestramento.

Questo approccio dovrebbe essere supportato da una dettagliata valutazione dell’impatto sulla protezione dei dati (DPIA) e da una valutazione dell’interesse legittimo (LIA) e potrebbe offrire una protezione significativa alle aziende che sviluppano e sfruttano soluzioni di IA generativa.

Inoltre, questo approccio potrebbe essere utile per difendersi dalle contestazioni sulla proprietà intellettuale, in quanto si allinea con l’eccezione per il copyright del Text and Data Mining (TDM).

Su un argomento simile potrebbe essere d’interesse l’articolo “Scraping di dati e AI generativa: il controverso orientamento dell’Autorità olandese per la protezione dei dati personali

(Visited 65 times, 1 visits today)
Close Search Window