Proteggere i dati quando si usa l’AI generativa, dal Garante europeo linee guida per istituzioni e agenzie Ue

L’AI offre soluzioni destinate a sostenere e migliorare le capacità umane ma crea anche sfide con potenziale impatto sui diritti e sulle libertà fondamentali
3 settimane fa
2 minuti di lettura
Intelligenza Artificiale
Intelligenza artificiale

Cogliere le opportunità, proteggere le persone. Questi i due punti fermi delle Linee guida del Garante europeo per la protezione dei dati (GEPD) sull’IA generativa, pubblicate lunedì.

Le linee contengono gli orientamenti in materia di intelligenza artificiale generativa e dati personali e sono rivolti alle istituzioni, agli uffici, agli organi e alle agenzie dell’Unione europea (EUI) con l’obiettivo di aiutarli a rispettare gli obblighi in materia di protezione dei dati nel momento in cui utilizzano o sviluppano strumenti di IA generativa, ambito in cui si fa riferimento al regolamento (UE) 2018/1725.

Anche se il regolamento, precisano le linee guida, non menziona esplicitamente il concetto di intelligenza artificiale, una corretta interpretazione e applicazione dei principi di protezione dei dati è essenziale per un uso di tali sistemi che non pregiudichi i diritti fondamentali delle persone.

Ecco perché gli orientamenti non vogliono trattare dettagliatamente tutte le questioni correlate alla materia: alcune domande sono ancora aperte e altre ancora sorgeranno, vista l’evoluzione rapida e continua della tecnologia, tanto più in questo campo.

Naturalmente si è cercato di coprire il numero più ampio possibile di applicazioni, come spiegato dal garante Wojciech Wiewiórowski in una nota: “Le linee guida sull’IA generativa sono un primo passo verso raccomandazioni più ampie in risposta al panorama in evoluzione di questi strumenti (…), con l’obiettivo di coprire il maggior numero possibile di scenari che coinvolgono l’uso dell’IA generativa, per fornire consigli duraturi alle EUI in modo che possano proteggere le informazioni personali e la privacy delle persone”.

Nel tempo, infatti, si prevede di aggiornare gli orientamenti e arrivare a una guida completa.

Le domande chiave delle Linee guida

Le linee guida si basano su principi fondamentali relativi alla protezione dei dati e prevedono allo stesso tempo esempi concreti su come anticipare i rischi, le sfide ma anche le opportunità dei sistemi e degli strumenti di IA generativa.

“L’AI generativa, come altre nuove tecnologie, offre soluzioni in diversi campi destinati a sostenere e migliorare le capacità umane. Tuttavia, crea anche sfide con potenziale impatto sui diritti e sulle libertà fondamentali che rischiano di passare inosservati, trascurati, non adeguatamente considerati e valutati”, spiega infatti il documento.

Queste nello specifico le domande a cui gli orientamenti vogliono rispondere:

• Come sapere se l’utilizzo di un sistema di IA generativa coinvolge l’elaborazione di dati personali?
• Qual è il ruolo del Data Protection Officer (DPO) nel processo di sviluppo o implementazione di sistemi di IA generativa?
• Se una EUI vuole sviluppare o implementare sistemi di IA generativa, quando deve essere effettuata una valutazione di impatto del trattamento dei dati (DPIA, Data Protection Impact Assessment)?
• Quando è legittimo il trattamento dei dati personali durante la progettazione, lo sviluppo e la validazione dei sistemi di IA generativa?
• Come si può garantire il principio della minimizzazione dei dati (che prevede che il loro trattamento sia adeguato, pertinente e limitato a quanto necessario, ndr)?
• I sistemi di IA generativa rispettano il principio di accuratezza dei dati?
• Come informare le persone in merito al trattamento dei dati personali quando le EUI utilizzano sistemi di IA generativa?
• Le decisioni automatizzate ai sensi dell’articolo 24 del Regolamento (che prevede una serie di garanzie sulle tutele individuali)
• In che modo è possibile garantire un’elaborazione equa ed evitare bias nell’utilizzo dell’IA generativa?
• L’esercizio dei diritti individuali
• La sicurezza dei dati

Wiewiórowski ha infine precisato che gli orientamenti appena pubblicati rientrano nel suo ruolo di autorità di controllo per la protezione dei dati delle EUI, e non nel suo ruolo di autorità di sorveglianza dell’IA ai sensi dell’AI Act LINK . In questo ambito infatti il Garante sta preparando una strategia specifica.