IA Generativa e Dati personali: prime indicazioni del Garante europeo privacy

Com’è noto l’EDPS è l’organismo europeo che garantisce che le istituzioni e gli organi dell’UE rispettino il diritto dei cittadini al trattamento riservato dei dati personali. Le sue indicazioni forniscono un riferimento importante per la Commissione europea e per tutti gli Stati membri e i Garanti nazionali.

Occorre ricordare che l’EDPS assumerà, come dispone l’AI Act, il ruolo di Autorità di controllo sull’IA per gli organismi dell’UE.  Sicuramente seguiranno specifiche Linee Guida.

Intanto vediamo insieme i punti più rilevanti di queste prime indicazioni per una gestione dei dati personali sempre coerente, responsabile e compliance.

La definizione

L’intelligenza artificiale generativa è un sottoinsieme dell’IA che utilizza modelli specifici di apprendimento automatico progettati per produrre molteplici output, in grado di svolgere una serie di attività e applicazioni, come la generazione di testo, immagini o audio, in diversi campi con l’obiettivo di supportare e migliorare le capacità umane. Impatta sicuramente su diritti e su libertà fondamentali dell’uomo: aspetti questi che vanno adeguatamente affrontati.

L’uso dell’IA da parete degli organismi dell’UE

Non ci sono ostacoli all’implementazione e all’uso di sistemi di IA generativa nella fornitura di servizi pubblici: occorre valutarne i casi di utilizzo e farne un uso responsabile e vantaggioso per il bene pubblico. Durante tutte le fasi del suo ciclo di vita è necessario assicurare, con un monitoraggio continuo, il rispetto della normativa in materia di protezione dei dati personali.

Particolare attenzione va posta alla fase di addestramento per individuare l’esistenza stessa di un trattamento di dati personali. L’EDPB ha già messo in guardia dall’uso di tecniche di web scraping per raccogliere dati personali, che possono indurre le persone a perdere il controllo delle proprie informazioni personali laddove queste vengono raccolte a loro insaputa, contro le loro aspettative e per scopi diversi da quelli della raccolta originale.

Il Ruolo del RPD nel processo di sviluppo o implementazione di sistemi di IA generativa

I RPD hanno il compito di informare e consigliare i titolari del trattamento sugli obblighi in materia di protezione dei dati, monitorando la conformità interna e fornendo consulenza. Se nell’implementazione di sistemi di IA generativa sono trattati dati personali, il DPO, nell’ambito del suo ruolo, deve essere in grado di intervenire e avere, quindi, una corretta comprensione del ciclo di vita dei sistemi di intelligenza artificiale generativa ed essere coinvolto già nella fase di definizione degli accordi con i fornitori di modelli.

Non solo. L’EDPS sottolinea come emerga evidente l’esigenza di una piena collaborazione tra tutte le funzioni interessate all’interno dell’organizzazione: almeno RPD, servizio legale, servizio IT e responsabile della sicurezza informatica devono lavorare insieme con l’obiettivo di garantire che l’organizzazione operi entro i parametri di un’IA generativa affidabile, con riferimenti chiari di governance. Auspicabile la creazione di una task force sull’IA con un piano d’azione, che comprenda anche iniziative di formazione e sensibilizzazione, procedure e modelli di riferimento.

La DPIA

Applicare i principi della privacy by design e by default può consentire di considerare e mitigare, con sufficiente anticipo, le minacce e i rischi che comportano l’uso di sistemi di IA generativa.

Del resto, la DPIA deve essere sempre effettuata dai titolare prima dell’avvio di qualsiasi trattamento che possa comportare un rischio elevato per i diritti e le libertà fondamentali delle persone fisiche soprattutto quando devono essere utilizzate nuove tecnologie.

Parimenti a seguito della valutazione, dovranno essere adottate misure tecniche e organizzative adeguate per mitigare i rischi e individuate le responsabilità. Sarà altresì necessario procedere ad un monitoraggio regolare e revisioni in caso di variazione tecnologiche o all’emergere di nuovi rischi.

La liceità del trattamento

Anche per la ricerca della base giuridica del trattamento vanno seguiti i principi generali del Regolamento.

Occorre una loro identificazione preliminare e analitica, relativamente ad ogni fase: dalla raccolta dei dati utilizzati per lo sviluppo; alla formazione, convalida e test di set di dati utilizzati; dall’interazioni degli individui con sistemi, ai contenuti generati.

Se il trattamento dei dati si basa su un obbligo legale o sull’esercizio di pubblici poteri, tale base giuridica deve essere individuata in modo chiaro e preciso nel diritto dell’Unione (o dei singoli Stati nazionali). L’utilizzo del consenso come base giuridica richiede una ancora più attenta considerazione per garantire che soddisfi i requisiti del Regolamento, per essere valido.

Il Principio di minimizzazione, accuratezza

I titolari del trattamento hanno sempre l’obbligo di limitare la raccolta e il trattamento dei dati personali a quanto necessario per le finalità del trattamento stesso e prestare attenzione alla qualità dei dati utilizzati. Elemento fondamentale nella fase di sviluppo di modelli addestramento.

Principi da applicare anche nei rapporti con i fornitori che devono fornire idonee garanzie e documentazione sulle procedure seguite per garantire l’accuratezza dei dati utilizzati per lo sviluppo del sistema. Ciò è ancora più importante poiché i modelli, anche se addestrati con dati rappresentativi di alta qualità, possono generare output contenenti informazioni inesatte o false, inclusi dati personali, le cosiddette “allucinazioni”.

L’EDPS sottolinea come l’uso di grandi quantità di dati per addestrare un sistema di IA generativa non implica necessariamente una maggiore efficacia o risultati migliori.

L’informazione ai soggetti interessati e un trattamento equo

Devono essere adottateadeguate politiche di informazione e trasparenza che possano contribuire a mitigare i rischi per le persone e garantire la conformità ai requisiti del Regolamento, in particolare fornendo informazioni dettagliate su come, quando e perché il titolare tratti i dati personali nei sistemi di IA generativa.

Per evitare distorsioni e pregiudizi che, nei sistemi di intelligenza artificiale generativa, possono portare a significative conseguenze negative per i diritti e le libertà fondamentali degli individui, compresi trattamenti iniqui e discriminazioni, occorre intervenire sui set di dati utilizzati per creare e addestrare modelli garantiscano una rappresentazione adeguata ed equa del mondo reale, ma soprattutto introdurre meccanismi di responsabilità e supervisione che consentono un monitoraggio continuo per prevenire i rischi.

La consapevolezza dei rischi e la sicurezza dei dati

Le particolari caratteristiche dei sistemi di IA generativa e la mancanza di informazioni complete sui rischi per la sicurezza e su possibili evoluzioni di cui ancora non siamo perfettamente consapevoli, richiede una estrema cautela e la necessità di effettuare una pianificazione dettagliata di tutti gli aspetti relativi alla sicurezza informatica, compreso il monitoraggio continuo e il supporto tecnico specializzato.

Occorre la consapevolezza del rischio e del rilevante impatto su tutti i diritti fondamentali: occorre adottare misure tecniche, organizzative e procedurali adeguate per garantire il rispetto e l’esercizio effettivo dei diritti individuali con misure progettate e implementate fin dalle prime fasi del ciclo di vita del sistema, consentendo la registrazione dettagliata e la tracciabilità delle attività di trattamento.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA.