AI e GDPR: nuove direttive per bilanciare innovazione e privacy | Chatgpt download | Chat gpt in italiano cos'è | Llm machine learning | Turtles AI
AI e GDPR: nuove direttive per bilanciare innovazione e privacy
L’EDPB analizza anonimato, basi giuridiche e legalità del trattamento dati nell’era dell’AI
Editorial Team18 dicembre 2024
Il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato un parere cruciale che analizza l’uso dei dati personali nello sviluppo di modelli di AI come i LLM, concentrandosi su anonimato, basi giuridiche e implicazioni legali del trattamento illecito dei dati.
Punti chiave:
- Approfondimento sull’anonimato dei modelli di AI e criteri di valutazione.
- Valutazioni sull’uso della base giuridica di "interesse legittimo" per l’AI.
- Implicazioni legali per modelli addestrati con dati raccolti illecitamente.
- Indicazioni pratiche per sviluppatori e autorità di regolamentazione.
Il Comitato europeo per la protezione dei dati (EDPB) ha diffuso un parere che potrebbe costituire una svolta per la regolamentazione dell’AI in Europa. L’analisi si concentra sui nodi critici del rapporto tra sviluppo tecnologico e normative sulla privacy, delineando scenari e suggerendo linee guida per garantire il rispetto del Regolamento generale sulla protezione dei dati (GDPR). Nel documento emergono tre ambiti di discussione principali: la possibilità di considerare anonimi i modelli di AI, la legittimità dell’uso dell’interesse legittimo come base giuridica per il trattamento dei dati personali e le conseguenze dell’utilizzo di dati trattati in modo illecito nella fase di addestramento.
Per quanto riguarda l’anonimato, il Board chiarisce che un modello di AI può essere ritenuto anonimo solo se risulta altamente improbabile identificare direttamente o indirettamente gli individui i cui dati sono stati utilizzati per addestrarlo. Inoltre, gli sviluppatori devono garantire che sia altrettanto improbabile estrarre informazioni personali tramite interrogazioni al modello. Per raggiungere tale obiettivo, il parere propone un insieme di approcci, tra cui la selezione accurata delle fonti di dati, il filtraggio delle informazioni personali durante la preparazione dei dati e l’adozione di metodologie avanzate per ridurre il rischio di identificabilità, come la privacy differenziale o altre tecniche di protezione. Il Board sottolinea che l’anonimato non può essere dato per scontato e richiede una valutazione caso per caso, un principio che si discosta da interpretazioni più rigide secondo cui i modelli di AI non potrebbero mai essere considerati anonimizzati.
Sulla questione dell’interesse legittimo, il documento si sofferma sul fatto che, tra le basi giuridiche previste dal GDPR, questa potrebbe rappresentare una soluzione praticabile per gli sviluppatori di AI. L’uso dell’interesse legittimo consentirebbe infatti di elaborare grandi quantità di dati senza ottenere il consenso individuale, che risulta spesso poco realistico per progetti su larga scala come i modelli di linguaggio di grandi dimensioni. Tuttavia, il Board stabilisce che l’applicabilità dell’interesse legittimo debba essere valutata attraverso un test in tre fasi: verifica della liceità e specificità dello scopo, necessità del trattamento rispetto all’obiettivo e bilanciamento con i diritti degli interessati. Quest’ultimo aspetto implica considerazioni sulla proporzionalità e minimizzazione dei dati, tenendo conto anche delle aspettative ragionevoli degli individui rispetto all’uso delle loro informazioni. Misure di mitigazione come la pseudonimizzazione, la trasparenza o la possibilità per gli utenti di esercitare diritti sui propri dati potrebbero aiutare a riequilibrare l’impatto del trattamento, rendendo la base giuridica più solida.
Un’altra problematica analizzata dal parere riguarda l’uso di dati raccolti in modo illecito per l’addestramento di modelli di AI. Pur ribadendo che il trattamento iniziale di dati personali deve avvenire nel rispetto del GDPR, l’EDPB introduce un elemento di flessibilità: se uno sviluppatore è in grado di dimostrare che il modello utilizza esclusivamente dati anonimi nella fase operativa, il trattamento potrebbe non essere più soggetto al regolamento. Tuttavia, questa posizione potrebbe rappresentare un rischio di utilizzi impropri, come ha sottolineato Lukasz Olejnik, che teme una potenziale legittimazione implicita dello scraping indiscriminato dei dati web. Il principio fondamentale del GDPR richiede che i dati personali siano trattati legalmente in ogni fase, e non solo nel risultato finale.
Il parere, richiesto dalla Commissione irlandese per la protezione dei dati (DPC), si inserisce in un contesto di crescente pressione regolamentare sull’AI, evidenziato dai procedimenti già avviati contro OpenAI in Italia, Polonia e Austria. Il caso italiano, in particolare, aveva rilevato violazioni del GDPR da parte di ChatGPT, portando l’attenzione sui limiti normativi di tecnologie avanzate come i chatbot generativi.
Nonostante i numerosi reclami e l’urgenza di definire un quadro chiaro, l’applicazione delle normative rimane limitata, poiché le autorità di protezione dei dati lottano per adattare leggi consolidate a un panorama tecnologico in rapida evoluzione. L’EDPB spera che il proprio parere possa offrire un supporto pratico sia agli organismi di controllo sia agli sviluppatori, ma ribadisce che le valutazioni rimarranno necessariamente individualizzate. La complessità della materia e l’impatto sui diritti fondamentali rendono indispensabile un approccio calibrato caso per caso.
A corollario, il parere segnala che non esisterà una soluzione universale per affrontare le sfide legali legate all’AI, ma solo un percorso di regolamentazione attenta e costante.