Home Artificial IntelligenceQuando un sistema di Intelligenza Artificiale è anonimo secondo l’EDPB

Quando un sistema di Intelligenza Artificiale è anonimo secondo l’EDPB

26 Febbraio 2025 by

L’opinione dell’EDPB fornisce un quadro di riferimento importante per comprendere quando un sistema di IA può essere considerato anonimo.

Il 18 dicembre 2024, il Comitato Europeo per la Protezione dei Dati (“EDPB“) ha pubblicato un’opinione (l'”Opinione“) che affronta alcune tematiche centrali relative all’intersezione tra il Regolamento (UE) 2018/679 (“GDPR“) e l’intelligenza artificiale (“IA“) tra le quali l’anonimizzazione dei sistemi di IA. L’opinione fornisce un quadro di riferimento importante per comprendere quando un sistema di IA può essere considerato anonimo e quali sono i rischi per i soggetti coinvolti nel trattamento dei dati personali legati all’utilizzo di sistemi di IA non correttamente anonimizzati.

Definizione di anonimizzazione

Secondo l’Opinione, un sistema di IA può essere considerato anonimo quando la probabilità di estrarre dati personali o di re-identificare individui utilizzando “mezzi ragionevoli” è insignificante. Questa definizione è particolarmente rilevante perché sottolinea che non è sufficiente eliminare i dati personali dal dataset: è necessario che il sistema non consenta in alcun modo l’estrazione di tali dati.

Nel contesto dei sistemi di IA generativa, che producono output testuali o grafici, tale anonimizzazione è garantita solo quando:

  • Il sistema non rileva accidentalmente dati personali durante il suo normale funzionamento.
  • È progettato per resistere a prompt mirati, ovvero richieste specifiche degli utenti volte a estrapolare informazioni personali o dettagli su uno o più soggetti.

L’anonimizzazione non si limita, dunque, alla rimozione dei dati personali dal dataset, ma coinvolge anche la progettazione stessa del modello e delle sue funzionalità. In questo senso, anche un sistema che è stato addestrato illegittimamente potrebbe raggiungere la piena anonimizzazione, se viene garantita la non esfiltrazione dei dati personali ivi contenuti.

Implicazioni lato privacy

L’opinione dell’EDPB colloca la definizione di sistema anonimo nel contesto delle conseguenze privacy derivanti da un eventuale trattamento illecito durante la fase di training e il successivo utilizzo del sistema di IA. Questo tema assume grande rilevanza, considerando che molte aziende utilizzano sistemi di IA sviluppati da terze parti, assumendo il ruolo di titolari del trattamento per le operazioni effettuate durante l’uso del sistema (e.g. i dati raccolti durante l’utilizzo del sistema di IA da parte degli utenti).

L’Opinione distingue due scenari principali.

Se il sistema di IA è effettivamente anonimo, i dati personali non sono più presenti nel modello e non possono essere estratti in alcun modo. In tal caso, anche se durante la fase di training ci fosse stato un trattamento illecito, il successivo funzionamento del modello non comporterebbe il trattamento dei dati personali utilizzati durante la fase di training, e dunque non influenzerebbe l’utilizzo successivo del modello. Questo significa che, per chi utilizza un sistema anonimo, non vi sono rischi legati a eventuali irregolarità commesse nella fase di training. Chiaramente, per le ulteriori attività realizzate durante la fase di utilizzo, si applicheranno tutti i principi del GDPR.

Se il sistema di IA non fosse anonimo e trattenesse informazioni relative a persone identificate o identificabili, le violazioni commesse durante la fase di training potrebbero avere impatti sul trattamento successivo. Per esempio, se il trattamento iniziale dichiarato illegittimo si basava sul legittimo interesse, potrebbe risultare impattata anche la successiva attività di trattamento.

L’Opinione sottolinea dunque la necessità di condurre un’accurata due diligence sul sistema di IA sviluppato da terzi parti al fine di verificare che il modello non sia stato sviluppato attraverso il trattamento illecito di dati personali. Tra i criteri da considerare figurano:

  • La provenienza dei dati utilizzati per il training
  • Eventuali accertamenti da parte di autorità o tribunali che abbiano stabilito che il modello deriva da una violazione del GDPR.

Queste valutazioni sono cruciali perché, anche dopo il completamento della fase di training, le irregolarità iniziali possono continuare a rappresentare un rischio per coloro che si qualifichino quali titolari del trattamento durante l’utilizzo del sistema.

La posizione dell’EDPB su un sistema di IA

L’opinione dell’EDPB chiarisce l’importanza di garantire la conformità al GDPR sia nella fase di addestramento che in quella di utilizzo dei sistemi di IA. Viene evidenziata non solo la responsabilità dei titolari del trattamento durante l’addestramento, ma anche quella di chi utilizza sistemi di IA non anonimi sviluppati da terzi.

Per questo motivo, è fondamentale che sviluppatori e utilizzatori adottino solide salvaguardie in ambito privacy. Recenti sanzioni contro noti fornitori di sistemi di IA generativa dimostrano quanto sia importante prevenire eventuali violazioni, anche attraverso approfondite verifiche delle attività di training.

Su un argomento simile può essere di interesse l’articolo “L’addestramento dell’IA al vaglio delle autorità europee per la privacy

(Visited 23 times, 1 visits today)

Potrebbe interessarti

ia deregolamentazione

Artificial Intelligence

200 miliardi di sfide: IA, deregolamentazione e futuro dell’Europa

  La Commissione Europea annuncia un maxi-fondo per l’intelligenza artificiale mentre la politica...

ai super bowl

Artificial IntelligenceTechnology Media & Telecom

Quando il Super Bowl incontra l’AI – Gli Eagles Vincono, il Dibattito Legale si Infiamma

Gli Eagles si aggiudicano il Super Bowl, ma gli annunci basati sull’intelligenza artificiale hanno...

IA e Legal Tech: soluzioni innovative per rivoluzionare la professione legale

L’implementazione dell’IA nelle operazioni legali è una sfida complessa e al tempo stesso...

Close Search Window