AI Act e GDPR: le linee guida del garante UE della privacy

Il Garante Europeo per la Protezione dei Dati (GEPD) ha recentemente pubblicato una serie di linee guida sulla gestione della privacy nei sistemi di intelligenza artificiale generativa, coerentemente con le regole previste dall’AI Act e dal GDPR.

Destinati alle istituzioni, agli organi e alle agenzie dell’Unione Europea (UE), questi orientamenti mirano a offrire suggerimenti pratici per garantire che il trattamento dei dati personali rispetti le normative vigenti.

Obiettivi delle linee guida

Nonostante il Regolamento UE 2018/1725 (EUDPR) non faccia riferimento diretto all’intelligenza artificiale (IA), il GEPD sottolinea come una corretta applicazione dei principi di protezione dei dati sia fondamentale per utilizzare l’IA generativa senza compromettere i diritti e le libertà fondamentali degli individui. Queste linee guida rappresentano un primo passo verso indicazioni più approfondite che verranno gradualmente ampliate e aggiornate nel tempo, considerando l’evoluzione tecnologica e l’emergere di nuove questioni.

La natura dell’intelligenza artificiale generativa

L’IA generativa, un ramo specifico dell’IA, si basa su modelli di machine learning avanzati capaci di produrre una varietà di output in ambiti come testo, immagini e audio. Questi modelli di base, detti “foundation models”, vengono addestrati su vasti insiemi di dati pubblicamente accessibili, permettendo loro di rappresentare complessi schemi visivi, linguistici e sonori. Le applicazioni spaziano dalla creazione di codice all’assistenza virtuale, dalla diagnosi medica fino agli strumenti di ricerca scientifica. La tutela della privacy in questi casi richiede attenzione alle basi giuridiche su cui si fonda l’elaborazione dei dati, soprattutto per quanto riguarda l’interazione con gli utenti e l’uso dei dati generati.

Le modifiche introdotte dall’AI ACT

L’AI Act (REGOLAMENTO UE 2024/1689) vieta pratiche considerate inaccettabili, come la deduzione di caratteristiche e opinioni personali basate su dati biometrici, e regola un’ampia gamma di possibili applicazioni. Questo testo riflette le priorità del Parlamento Europeo, concentrandosi sulla trasparenza, la sicurezza dei modelli più potenti e gli obiettivi ambientali.

La legge, nata da un lungo percorso iniziato nel 2021, disciplina lo sviluppo, l’immissione sul mercato e l’utilizzo dei sistemi di IA. Si applica a fornitori, importatori, distributori e utenti responsabili, sia a livello personale che professionale, al di là del settore.

La questione della legittimità del trattamento dei dati nell’IA generativa

Nel contesto dell’intelligenza artificiale generativa, la questione della liceità del trattamento dei dati personali è una delle principali preoccupazioni, considerata la quantità di informazioni sensibili utilizzate per l’addestramento dei modelli. La normativa europea in materia di protezione dei dati personali, il Regolamento Generale sulla Protezione dei Dati (GDPR), offre ai fornitori di IA la possibilità di utilizzare l’“interesse legittimo” come base giuridica per giustificare la raccolta dei dati necessari allo sviluppo e alla validazione dei modelli di IA generativa.

Tuttavia, questa base giuridica non può essere invocata senza una rigorosa valutazione preliminare. Perché sia valida, infatti, il GDPR impone il rispetto di tre condizioni fondamentali:

Legittimo interesse concreto: il titolare del trattamento deve dimostrare che esiste un interesse legittimo concreto, ad esempio migliorare l’efficienza o la sicurezza del sistema o offrire un servizio innovativo. Questo interesse, tuttavia, deve essere adeguatamente documentato e giustificato, dimostrando che il trattamento dei dati è necessario per raggiungere un obiettivo specifico e concreto.
Necessità del trattamento: il trattamento dei dati personali deve essere strettamente necessario per perseguire l’interesse legittimo individuato. Ciò implica che non devono esistere alternative meno invasive per raggiungere lo stesso scopo, a garanzia che i dati raccolti siano davvero indispensabili per l’addestramento del modello di IA generativa.
Bilanciamento tra interessi legittimi e diritti degli interessati: anche quando il trattamento risponde ai requisiti precedenti, deve essere rispettato un principio di bilanciamento, che richiede di comparare l’interesse legittimo del titolare con i diritti e le libertà fondamentali degli individui coinvolti. In pratica, l’interesse del titolare non deve prevalere se rischia di compromettere la privacy e i diritti delle persone i cui dati sono utilizzati. Questo bilanciamento è spesso complesso nel caso dell’IA generativa, in cui i dati personali possono essere utilizzati per addestrare modelli capaci di apprendere informazioni anche sensibili, come tendenze o preferenze.

Le istituzioni europee sono chiamate a svolgere un ruolo cruciale in questa valutazione, verificando che i fornitori di IA rispettino i criteri sopra descritti. Poiché i sistemi di IA generativa possono presentare effetti imprevedibili sui soggetti interessati e comportare incertezze giuridiche per chi gestisce i dati, il monitoraggio delle pratiche di trattamento è essenziale per minimizzare i rischi.

Trasferimenti di dati personali e adempimenti giuridici

Quando i dati personali risultano trattati attraverso sistemi di IA generativa, una questione chiave riguarda i trasferimenti di dati, soprattutto se tali trasferimenti avvengono verso Paesi al di fuori dello Spazio Economico Europeo (SEE). Il GDPR regola in modo rigoroso queste operazioni, stabilendo che i trasferimenti siano permessi solo se le condizioni sono conformi a quanto previsto dal Capitolo V del Regolamento, il quale disciplina in particolare la protezione dei dati nei trasferimenti internazionali.

Per le istituzioni europee, questa normativa implica una serie di responsabilità specifiche:

Adeguatezza dello scopo del trattamento: i dati trasferiti hanno il loro uso per uno scopo ben definito e conforme al trattamento originale per cui risultavano raccolti. Ad esempio, se i dati sono raccolti per addestrare un modello IA, il trasferimento deve rispettare questo scopo senza deviazioni, garantendo che i dati non vengano utilizzati per finalità non previste.
Rispetto delle basi legali per i trasferimenti: qualora il trattamento dei dati richieda trasferimenti internazionali per l’addestramento o la validazione di modelli di IA, è indispensabile che la base giuridica di tale trattamento sia chiaramente definita. Per esempio, se i dati personali devono essere trasferiti per essere utilizzati da un modello di IA su un cloud esterno al SEE, è necessario assicurarsi che questo trasferimento avvenga solo nel rispetto delle basi giuridiche previste e delle tutele aggiuntive come le clausole contrattuali standard.
Rendicontazione e trasparenza: le istituzioni devono mantenere registrazioni dettagliate dei trasferimenti e delle basi legali sottostanti. Devono anche assicurarsi che qualsiasi dato trasferito sia protetto con misure adeguate, come la crittografia, per prevenire accessi non autorizzati durante il trasferimento.

La conformità a questi requisiti permette alle istituzioni di garantire che l’utilizzo di IA generativa non comprometta la privacy e i diritti dei cittadini, assicurando che i dati personali siano trattati con il massimo rispetto delle norme di protezione.