L’intelligenza artificiale rappresenta una delle innovazioni più rivoluzionarie dell’era digitale, offrendo opportunità straordinarie in numerosi settori, dalla sanità alla sicurezza informatica, fino alla comunicazione e all’automazione industriale. Tuttavia, il suo sviluppo e utilizzo sollevano questioni critiche in materia di protezione dei dati personali.
Proprio per rispondere a queste sfide, il Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato l’Opinione 28/2024, su richiesta dell’Autorità irlandese per la protezione dei dati, con l’obiettivo di chiarire alcuni aspetti fondamentali del trattamento dei dati personali nell’ambito dell’intelligenza artificiale.
L’opinione, adottata il 17 dicembre 2024, affronta quattro questioni principali: la possibilità di considerare anonimi i modelli di AI, l’uso dell’interesse legittimo come base giuridica per il trattamento dei dati, le conseguenze di un trattamento illecito nella fase di sviluppo di un modello di AI e le possibili misure per ridurre i rischi per la privacy degli interessati.
Anonimizzazione e Modelli di AI
Un tema centrale analizzato dall’EDPB riguarda la possibilità che un modello di intelligenza artificiale sia considerato anonimo e, quindi, che non rientri nell’ambito di applicazione del GDPR.
Il Comitato sottolinea che un modello addestrato con dati personali non può automaticamente essere ritenuto anonimo, poiché potrebbe comunque contenere informazioni riconducibili a individui specifici. Perché un modello possa effettivamente essere definito anonimo, deve essere dimostrato che il rischio di estrazione di dati personali sia insignificante e che non vi sia alcuna possibilità di identificare, anche indirettamente, gli individui attraverso interrogazioni o attacchi al sistema.
L’EDPB evidenzia come questa valutazione debba essere condotta caso per caso, analizzando diversi fattori, tra cui le tecniche di anonimizzazione adottate, il rischio di re-identificazione tramite attacchi informatici e il contesto di utilizzo del modello. Ad esempio, esistono tecniche avanzate di attacco, come i membership inference attacks e i model inversion attacks, che possono consentire di risalire ai dati originali utilizzati per l’addestramento.
Pertanto, se un modello non può essere considerato anonimo, esso deve rispettare le disposizioni del GDPR in materia di protezione dei dati personali.
L’interesse legittimo come base giuridica
Un altro aspetto centrale analizzato dal Comitato riguarda l’utilizzo dell’interesse legittimo come base giuridica per il trattamento dei dati personali nelle fasi di sviluppo e implementazione di un modello di IA. Secondo il GDPR, un trattamento è lecito se persegue un interesse legittimo, è necessario per realizzare tale interesse e non prevalgono i diritti e le libertà fondamentali delle persone interessate. L’EDPB chiarisce che l’interesse legittimo deve essere ben definito, reale e non puramente ipotetico.
Nell’ambito dell’intelligenza artificiale, possono essere considerati legittimi interessi, ad esempio, lo sviluppo di assistenti virtuali per facilitare l’interazione con gli utenti o la creazione di sistemi per migliorare la sicurezza informatica attraverso la rilevazione di attività fraudolente. Tuttavia, è necessario dimostrare che il trattamento dei dati sia effettivamente necessario per raggiungere questi obiettivi e che non esistano alternative meno invasive.
Un elemento particolarmente importante è la valutazione dell’impatto del trattamento sui diritti degli interessati. Il Comitato sottolinea come la complessità delle tecnologie utilizzate nei modelli di IA possa rendere difficile per gli utenti comprendere l’uso dei propri dati. Pertanto, è fondamentale considerare le loro aspettative ragionevoli: se un utente, ad esempio, ha pubblicato alcune informazioni online senza l’intenzione che queste vengano utilizzate per addestrare un modello di IA, il trattamento potrebbe non essere giustificabile sulla base dell’interesse legittimo.
L’impatto del trattamento illecito nella fase di sviluppo
Un ulteriore tema affrontato dall’EDPB riguarda le conseguenze di un trattamento illecito dei dati personali nella fase di sviluppo di un modello di intelligenza artificiale. Il Comitato analizza diversi scenari per valutare come l’illegittimità della fase iniziale possa influenzare la successiva operatività del modello.
Nel primo scenario, il modello conserva dati personali e viene utilizzato dallo stesso titolare del trattamento. In questo caso, è necessario verificare se lo sviluppo e l’implementazione rappresentino fasi distinte del trattamento e se l’assenza di una base giuridica valida nella prima fase renda illecito l’utilizzo successivo.
Nel secondo scenario, il modello viene trasferito a un altro titolare che lo utilizza senza aver preso parte alla fase di sviluppo. Qui l’EDPB chiarisce che il nuovo titolare ha l’obbligo di verificare se il modello sia stato sviluppato nel rispetto del GDPR, accertandosi che il trattamento dei dati personali sia lecito.
Infine, il Comitato analizza il caso in cui un modello venga anonimizzato dopo essere stato sviluppato illecitamente. Se il processo di anonimizzazione è effettivo e il modello non tratta più dati personali, il GDPR non si applica. Tuttavia, nel caso in cui il modello venga successivamente utilizzato per trattare nuovi dati personali, questi devono essere gestiti nel pieno rispetto della normativa.
Misure di mitigazione e obblighi per i titolari del trattamento
Per ridurre i rischi per la privacy degli interessati, l’EDPB raccomanda una serie di misure di mitigazione che i titolari del trattamento dovrebbero adottare. Tra queste, una particolare attenzione deve essere riservata alla limitazione della raccolta di dati personali durante la fase di addestramento del modello, privilegiando l’uso di dati anonimizzati o sintetici quando possibile.
È essenziale applicare tecniche di protezione come la pseudonimizzazione e l’anonimizzazione avanzata, oltre a eseguire regolari test di sicurezza per prevenire attacchi di inversione e di estrazione dei dati. Un aspetto cruciale riguarda la trasparenza: i titolari del trattamento devono fornire informazioni chiare agli interessati su come i loro dati vengono trattati, garantendo loro la possibilità di esercitare i propri diritti, come il diritto di accesso, rettifica e opposizione al trattamento.
Conclusioni
L’opinione dell’EDPB fornisce un quadro chiaro sulle sfide che l’intelligenza artificiale pone in materia di protezione dei dati personali e ribadisce l’importanza di garantire il rispetto del GDPR durante tutto il ciclo di vita dei modelli di IA.
Tra i punti principali emersi, si evidenzia che i modelli di IA addestrati con dati personali non possono essere considerati automaticamente anonimi e devono rispettare le norme sulla protezione dei dati. Inoltre, l’utilizzo dell’interesse legittimo come base giuridica deve essere attentamente valutato, tenendo conto delle aspettative degli interessati e del principio di minimizzazione dei dati.
Il trattamento illecito dei dati nella fase di sviluppo può influenzare la legittimità dell’utilizzo successivo del modello, rendendo essenziali misure di mitigazione per ridurre i rischi per la privacy.
Con l’evoluzione della tecnologia e delle normative, è cruciale che aziende e sviluppatori adottino un approccio proattivo alla protezione dei dati, garantendo un equilibrio tra innovazione e diritti fondamentali degli individui.
Teresa Franza