MODELLI IA: IL PARERE DELL'EDPB SULL'USO DEI DATI PERSONALI
Pubblicato da Maria Teresa De Luca in Pareri · 20 Dicembre 2024
MODELLI IA: IL
PARERE DELL'EDPB SULL'USO DEI DATI PERSONALI
L’EDPB (Comitato europeo per la protezione dei dati) ha emesso il 17 dicembre u.s., un parere relativo al trattamento dei dati personali ai fini dello sviluppo e dell’applicazione di modelli di intelligenza artificiale, nel rispetto delle disposizioni del GDPR.
Di seguito sono riportati i principali temi trattati nel parere.
1. Anonimizzazione dei modelli di IA
Un modello è considerato anonimo solo se è molto improbabile:
- Identificare direttamente o indirettamente gli individui dai dati utilizzati.
- Estrarre dati personali tramite interrogazioni (query).
Le DPA devono valutare caso per caso se un modello sia realmente anonimo.
2. Interesse legittimo come base giuridica
Principio chiave: Non esiste una gerarchia tra le basi giuridiche del GDPR; spetta al titolare scegliere quella appropriata.
Per usare l’interesse legittimo come base giuridica, va condotto un test in tre fasi:
Identificare l’interesse legittimo:
Deve essere reale, preciso e non speculativo (es. sviluppo/distribuzione di un modello IA).
Necessità del trattamento:
Verificare che il trattamento sia necessario per l’interesse legittimo e che non esistano alternative meno invasive.
Prestare attenzione a proporzionalità e minimizzazione dei dati.
Test di bilanciamento:
Valutare se gli interessi o i diritti fondamentali degli interessati prevalgono sull’interesse legittimo.
Considerare:
Natura e contesto dei dati trattati.
Ragionevoli aspettative degli interessati rispetto al trattamento.
Misure di mitigazione che limitano l’impatto negativo (es. controlli su web scraping o protezioni specifiche).
3. Conseguenze del trattamento illecito
Le DPA hanno discrezionalità nel valutare violazioni e adottare misure proporzionate.
Sono delineati tre scenari principali:
Scenario 1: I dati personali sono conservati nel modello e riutilizzati dallo stesso titolare:
Va valutata l’impatto della mancanza di base giuridica iniziale sulle successive elaborazioni.
Scenario 2: I dati personali sono elaborati da un altro titolare:
Il nuovo titolare deve verificare la conformità del modello, tenendo conto della fonte dei dati e di eventuali accertamenti di violazioni precedenti.
Scenario 3: I dati sono trattati illecitamente per lo sviluppo del modello, ma successivamente anonimizzati:
Se il successivo uso del modello non comporta trattamento di dati personali, il GDPR non si applica e l’illegittimità iniziale non influisce sul successivo funzionamento.
L’EDPB evidenzia i rischi specifici per i diritti fondamentali nelle fasi di sviluppo e distribuzione dei modelli di IA.
Le misure di mitigazione sono cruciali per ridurre l’impatto negativo sui diritti degli interessati.
L’EDPB (Comitato europeo per la protezione dei dati) ha emesso il 17 dicembre u.s., un parere relativo al trattamento dei dati personali ai fini dello sviluppo e dell’applicazione di modelli di intelligenza artificiale, nel rispetto delle disposizioni del GDPR.
Di seguito sono riportati i principali temi trattati nel parere.
1. Anonimizzazione dei modelli di IA
Un modello è considerato anonimo solo se è molto improbabile:
- Identificare direttamente o indirettamente gli individui dai dati utilizzati.
- Estrarre dati personali tramite interrogazioni (query).
Le DPA devono valutare caso per caso se un modello sia realmente anonimo.
2. Interesse legittimo come base giuridica
Principio chiave: Non esiste una gerarchia tra le basi giuridiche del GDPR; spetta al titolare scegliere quella appropriata.
Per usare l’interesse legittimo come base giuridica, va condotto un test in tre fasi:
Identificare l’interesse legittimo:
Deve essere reale, preciso e non speculativo (es. sviluppo/distribuzione di un modello IA).
Necessità del trattamento:
Verificare che il trattamento sia necessario per l’interesse legittimo e che non esistano alternative meno invasive.
Prestare attenzione a proporzionalità e minimizzazione dei dati.
Test di bilanciamento:
Valutare se gli interessi o i diritti fondamentali degli interessati prevalgono sull’interesse legittimo.
Considerare:
Natura e contesto dei dati trattati.
Ragionevoli aspettative degli interessati rispetto al trattamento.
Misure di mitigazione che limitano l’impatto negativo (es. controlli su web scraping o protezioni specifiche).
3. Conseguenze del trattamento illecito
Le DPA hanno discrezionalità nel valutare violazioni e adottare misure proporzionate.
Sono delineati tre scenari principali:
Scenario 1: I dati personali sono conservati nel modello e riutilizzati dallo stesso titolare:
Va valutata l’impatto della mancanza di base giuridica iniziale sulle successive elaborazioni.
Scenario 2: I dati personali sono elaborati da un altro titolare:
Il nuovo titolare deve verificare la conformità del modello, tenendo conto della fonte dei dati e di eventuali accertamenti di violazioni precedenti.
Scenario 3: I dati sono trattati illecitamente per lo sviluppo del modello, ma successivamente anonimizzati:
Se il successivo uso del modello non comporta trattamento di dati personali, il GDPR non si applica e l’illegittimità iniziale non influisce sul successivo funzionamento.
L’EDPB evidenzia i rischi specifici per i diritti fondamentali nelle fasi di sviluppo e distribuzione dei modelli di IA.
Le misure di mitigazione sono cruciali per ridurre l’impatto negativo sui diritti degli interessati.