Anonimizzazione, interesse legittimo e dati illeciti: l'EDPB guida le aziende sull'utilizzo dell'IA nel rispetto del GDPR
L'EDPB ha pubblicato l’Opinion 28/2024 per chiarire l’applicazione del GDPR ai modelli di Intelligenza Artificiale (IA). Il documento analizza tre aspetti chiave: anonimizzazione dei modelli, uso dell’interesse legittimo come base giuridica e gestione del trattamento illecito dei dati. L’EDPB evidenzia la necessità di un approccio proattivo per garantire la conformità normativa, suggerendo azioni concrete per le aziende: effettuare valutazioni d’impatto, documentare la base legale, testare le vulnerabilità e monitorare costantemente gli aggiornamenti normativi. Un passo essenziale per uno sviluppo dell’IA etico e conforme al GDPR.
A cura di Avv. Alessia Lipari e Dott.ssa Benedetta Crespi
Il 17 dicembre scorso, il Comitato Europeo per la Protezione dei Dati Personali (EDPB) ha pubblicato l’Opinion 28/2024, un parere volto a chiarire l’applicazione del GDPR ai modelli di Intelligenza Artificiale (IA). Questo documento, richiesto dall'Autorità irlandese per la protezione dei dati (DPA) per favorire un’armonizzazione normativa a livello europeo, affronta tematiche cruciali per il futuro dell’IA e della tutela della privacy, concentrandosi su tre aspetti principali:
o Anonimizzazione dei modelli di IA
o Utilizzo dell’interesse legittimo come base giuridica per lo sviluppo e l’impiego dei modelli
o Gestione delle conseguenze derivanti dal trattamento illecito dei dati durante lo sviluppo dei modelli
Data la complessità e la rapidità dell’evoluzione dell’IA, il parere dell’EDPB si propone di fornire una guida flessibile, applicabile non solo ai Large Language Models (LLM) e all’IA generativa, ma a qualsiasi modello addestrato su dati personali. L’obiettivo è fornire un quadro di riferimento per un’analisi caso per caso, garantendo una base solida per la valutazione della conformità normativa.
Anonimizzazione dei modelli di IA
L’EDPB evidenzia che l’anonimizzazione deve essere valutata in base alle circostanze specifiche. Un modello di IA può essere considerato anonimo solo se risulta altamente improbabile sia l’identificazione diretta o indiretta delle persone i cui dati sono stati utilizzati, sia l’estrazione di dati personali dal modello stesso. Il Comitato fornisce un elenco di metodi che consentono alle organizzazioni di dimostrare l’efficacia dell’anonimizzazione, assicurando che il rischio di re-identificazione sia ragionevolmente improbabile.
Interesse legittimo come base giuridica
L’Opinion 28/2024 chiarisce che non esiste una gerarchia prestabilita tra le basi giuridiche per il trattamento dei dati. Ciò posto, l’interesse legittimo può essere invocato solo se soddisfa un test, articolato in tre fasi, puntualmente descritto nell'Opinion. Il documento riporta esempi concreti, come quello degli assistenti conversazionali: tali strumenti possono essere vantaggiosi per gli utenti, ma il loro sviluppo basato sull’interesse legittimo è lecito solo se il trattamento dei dati è strettamente necessario e conforme al bilanciamento dei diritti.
Trattamento illecito dei dati e sviluppo dei modelli
L’EDPB sottolinea che un modello addestrato su dati personali acquisiti illecitamente sarà a sua volta illecitamente distribuito. Il Comitato individua tre scenari principali:
o contaminazione dei dati utilizzati per l’addestramento del modello;
o acquisizione del modello da parte di terzi ignari dell’origine illecita dei dati;
o possibile anonimizzazione del modello prima della sua distribuzione.
Conclusioni e raccomandazioni
L’EDPB invita le aziende che intendono adottare strumenti di IA a seguire un approccio proattivo, adottando misure volte a garantire la conformità al GDPR. Tra le principali raccomandazioni:
▪️eseguire una valutazione d’impatto sulla protezione dei dati (DPIA);
▪️documentare la base legale identificata per il trattamento;
▪️conservare una documentazione dettagliata delle procedure adottate;
▪️testare le vulnerabilità del modello per minimizzare i rischi;
▪️garantire la trasparenza nei processi di trattamento dei dati;
▪️monitorare costantemente gli aggiornamenti normativi.
In un contesto in cui l’IA è sempre più centrale nelle strategie aziendali e nelle politiche pubbliche, il parere dell’EDPB rappresenta un punto di riferimento essenziale per lo sviluppo di modelli rispettosi della normativa sulla protezione dei dati.
o Anonimizzazione dei modelli di IA
o Utilizzo dell’interesse legittimo come base giuridica per lo sviluppo e l’impiego dei modelli
o Gestione delle conseguenze derivanti dal trattamento illecito dei dati durante lo sviluppo dei modelli
Data la complessità e la rapidità dell’evoluzione dell’IA, il parere dell’EDPB si propone di fornire una guida flessibile, applicabile non solo ai Large Language Models (LLM) e all’IA generativa, ma a qualsiasi modello addestrato su dati personali. L’obiettivo è fornire un quadro di riferimento per un’analisi caso per caso, garantendo una base solida per la valutazione della conformità normativa.
Anonimizzazione dei modelli di IA
L’EDPB evidenzia che l’anonimizzazione deve essere valutata in base alle circostanze specifiche. Un modello di IA può essere considerato anonimo solo se risulta altamente improbabile sia l’identificazione diretta o indiretta delle persone i cui dati sono stati utilizzati, sia l’estrazione di dati personali dal modello stesso. Il Comitato fornisce un elenco di metodi che consentono alle organizzazioni di dimostrare l’efficacia dell’anonimizzazione, assicurando che il rischio di re-identificazione sia ragionevolmente improbabile.
Interesse legittimo come base giuridica
L’Opinion 28/2024 chiarisce che non esiste una gerarchia prestabilita tra le basi giuridiche per il trattamento dei dati. Ciò posto, l’interesse legittimo può essere invocato solo se soddisfa un test, articolato in tre fasi, puntualmente descritto nell'Opinion. Il documento riporta esempi concreti, come quello degli assistenti conversazionali: tali strumenti possono essere vantaggiosi per gli utenti, ma il loro sviluppo basato sull’interesse legittimo è lecito solo se il trattamento dei dati è strettamente necessario e conforme al bilanciamento dei diritti.
Trattamento illecito dei dati e sviluppo dei modelli
L’EDPB sottolinea che un modello addestrato su dati personali acquisiti illecitamente sarà a sua volta illecitamente distribuito. Il Comitato individua tre scenari principali:
o contaminazione dei dati utilizzati per l’addestramento del modello;
o acquisizione del modello da parte di terzi ignari dell’origine illecita dei dati;
o possibile anonimizzazione del modello prima della sua distribuzione.
Conclusioni e raccomandazioni
L’EDPB invita le aziende che intendono adottare strumenti di IA a seguire un approccio proattivo, adottando misure volte a garantire la conformità al GDPR. Tra le principali raccomandazioni:
▪️eseguire una valutazione d’impatto sulla protezione dei dati (DPIA);
▪️documentare la base legale identificata per il trattamento;
▪️conservare una documentazione dettagliata delle procedure adottate;
▪️testare le vulnerabilità del modello per minimizzare i rischi;
▪️garantire la trasparenza nei processi di trattamento dei dati;
▪️monitorare costantemente gli aggiornamenti normativi.
In un contesto in cui l’IA è sempre più centrale nelle strategie aziendali e nelle politiche pubbliche, il parere dell’EDPB rappresenta un punto di riferimento essenziale per lo sviluppo di modelli rispettosi della normativa sulla protezione dei dati.