Il Comitato Europeo per la Protezione dei Dati (EDPB) in data 17 dicembre 2024, ha adottato l’Opinion 28/2024 riguardante alcuni aspetti della protezione dei dati personali nel contesto dei modelli di intelligenza artificiale (IA).
L’opinione è stata richiesta dall’autorità di controllo irlandese in base all’articolo 64, par. 2, del GDPR, per affrontare questioni generali relative alla protezione dei dati nel contesto dello sviluppo e dell’implementazione di modelli di IA. Le questioni sottoposte dall’autorità irlandese possono essere riassunte in:
1. Criteri per l’anonimizzazione dei modelli di IA: richiesti chiarimenti su quando e come un modello di intelligenza artificiale possa essere considerato anonimo. Questo aspetto è cruciale per determinare l’applicabilità del GDPR ai modelli di IA, poiché un modello anonimo non rientrerebbe nell’ambito di applicazione del Regolamento.
2. Interesse legittimo come base giuridica: richieste indicazioni su come i titolari del trattamento possano dimostrare l’adeguatezza del legittimo interesse come base giuridica nella fase di sviluppo dei modelli di IA. Questa fase include tutte le attività che precedono il deployment del modello, come lo sviluppo del codice, la raccolta e la preelaborazione dei dati personali di addestramento, nonché l’addestramento stesso del modello.
3. Conseguenze del trattamento illecito: conseguenze legali di un trattamento illecito di dati personali durante la fase di sviluppo di un modello di IA e il suo impatto sui trattamenti successivi. Questo include scenari in cui un modello sviluppato illecitamente viene utilizzato da un diverso titolare del trattamento.
4. Misure di mitigazione: richiesti suggerimenti su misure di mitigazione che i titolari del trattamento possono adottare per dimostrare l’anonimizzazione dei modelli di IA e per mitigare i rischi associati al trattamento dei dati personali.
Nell’ambito dell’Opinion l’EDPB ha chiarito che i modelli di IA addestrati con dati personali non possono essere considerati anonimi in tutti i casi. Per essere considerato anonimo, un modello di IA deve garantire che sia insignificante la probabilità di estrarre dati personali direttamente o indirettamente. L’anonimizzazione deve essere valutata caso per caso, considerando i mezzi ragionevolmente utilizzabili per identificare gli individui.
L’EDPB ha fornito considerazioni generali su come valutare l’uso dell’interesse legittimo come base giuridica per il trattamento dei dati personali nel contesto dei modelli di IA. Ha sottolineato che non esiste una gerarchia tra le basi giuridiche previste dal GDPR e che spetta ai titolari del trattamento identificare la base giuridica appropriata. L’analisi dell’interesse legittimo deve seguire un procedimento caratterizzato da tre fasi: (a) identificazione dell’interesse legittimo perseguito; (b) analisi della necessità del trattamento per perseguire tale interesse; (c) valutazione del bilanciamento tra l’interesse legittimo e i diritti e le libertà fondamentali degli interessati.
L’EDPB ha delineato tre scenari principali riguardanti il trattamento illecito dei dati personali durante lo sviluppo e l’implementazione dei modelli di intelligenza artificiale (IA). Sottolinea poi che le autorità di controllo hanno il potere discrezionale di valutare le possibili violazioni e scegliere le misure appropriate, necessarie e proporzionate, tenendo conto delle circostanze di ciascun caso, così poi da adottare le misure correttive più appropriate.
L’Opinion fornisce poi una lista non esaustiva di misure che i titolari del trattamento possono adottare per dimostrare l’anonimizzazione dei modelli di IA e per mitigare i rischi associati al trattamento dei dati personali. Queste misure includono tecniche di pseudonimizzazione, filtri di output e misure di trasparenza.
