Ieri, martedì 17 dicembre 2024, il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato il Parere n. 28/2024, affrontando le questioni legate al trattamento dei dati personali nel contesto dello sviluppo e della distribuzione dei modelli di intelligenza artificiale. Questo parere risponde a una richiesta dell’Autorità di controllo irlandese, sottolineando l’importanza di una chiara interpretazione delle norme del GDPR in un’epoca di rapida evoluzione tecnologica.
Dati anonimi o personali? La questione centrale dell’anonimizzazione dei modelli di intelligenza artificiale
Uno dei punti focali del parere riguarda la possibilità di considerare i modelli di intelligenza artificiale come anonimi, anche se addestrati con dati personali. L’EDPB chiarisce che non tutti i modelli di intelligenza artificiale addestrati con dati personali possono essere automaticamente considerati anonimi. Perché un modello sia considerato tale, devono essere soddisfatte due condizioni cumulative:
- La probabilità che il modello possa consentire l’estrazione di dati personali deve essere insignificante.
- La probabilità di ottenere dati personali attraverso l’uso del modello deve essere trascurabile.
Le autorità di controllo devono valutare la documentazione fornita dai titolari del trattamento per dimostrare il livello di anonimizzazione, seguendo criteri specifici e dettagliati.
Base giuridica per il trattamento: l’interesse legittimo nei modelli di intelligenza artificiale
Il parere affronta anche la questione della legittimità del trattamento dei dati personali durante le fasi di sviluppo e distribuzione dei modelli di IA. L’EDPB ribadisce che l’interesse legittimo può costituire una base giuridica adeguata, ma deve essere sottoposto a un rigoroso test in tre fasi:
- identificazione dell’interesse legittimo perseguito;
- verifica della necessità del trattamento;
- bilanciamento tra l’interesse del titolare e i diritti e le libertà fondamentali degli interessati.
Questo processo deve essere documentato e le autorità di controllo devono verificare l’effettiva applicazione di queste misure.
Le conseguenze del trattamento illecito durante lo sviluppo dei modelli di intelligenza artificiale
L’EDPB esamina tre scenari che delineano le conseguenze di un trattamento illecito durante la fase di sviluppo:
- se i dati personali restano nel modello e sono utilizzati dallo stesso titolare, il trattamento successivo potrebbe essere considerato illecito;
- se il modello viene distribuito a un altro titolare, quest’ultimo deve garantire che il modello non sia stato sviluppato con dati trattati illecitamente;
- se il modello viene anonimizzato dopo lo sviluppo, il trattamento successivo non ricadrà sotto il GDPR, a meno che nuovi dati personali non siano elaborati.
Conclusioni
Il parere n. 28/2024 dell’EDPB rappresenta un documento chiave per chiarire le responsabilità dei titolari del trattamento che operano nel settore dell’intelligenza artificiale. Le aziende dovranno adottare un approccio proattivo, assicurandosi che ogni fase dello sviluppo e della distribuzione dei modelli di IA rispetti i principi del GDPR, con particolare attenzione ai concetti di anonimizzazione e interesse legittimo. L’armonizzazione tra innovazione e protezione dei dati rappresenta la sfida cruciale per il futuro dell’intelligenza artificiale in Europa.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Parere EDPB sull’intelligenza artificiale: trattamento dei dati personali e implicazioni - Dicembre 18, 2024
- Analisi giuridica e peculiarità del reato di frode informatica - Dicembre 16, 2024
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024