Il Garante europeo per la protezione dei dati ha pubblicato i primi orientamenti su come garantire la compliance dataprotection in caso di ricorso a sistemi di Intelligenza artificiale generativa (AI generativa).
Questi orientamenti intendono fornire consigli e istruzioni pratiche alle istituzioni, agli organi e agli organismi dell’UE sul trattamento dei dati personali nell’utilizzo di sistemi di IA generativa, al fine di agevolare il rispetto degli obblighi in materia di protezione dei dati stabiliti dal Regolamento (UE) 2018/1725.
Il Garante emette questi orientamenti nel suo ruolo di autorità di controllo della protezione dei dati e non nel suo nuovo ruolo di controllo dell’IA, ai sensi della legge sull’IA.
Anche se il Regolamento citato non menziona esplicitamente il concetto di Intelligenza Artificiale (IA), la giusta interpretazione e applicazione dei principi di protezione dei dati è essenziale per ottenere un uso vantaggioso di questi sistemi, che non danneggi i diritti e le libertà fondamentali delle persone.
Alcune delle questioni affrontate sono ancora aperte e altre potrebbero probabilmente ne sorgeranno altre, man mano che l’uso di questi sistemi aumenterà e la tecnologia si evolverà in un modo che permetta di comprendere meglio il funzionamento dell’IA generativa.
Poiché la tecnologia dell’intelligenza artificiale si evolve rapidamente, gli strumenti e i mezzi specifici utilizzati per fornire questi tipi di servizi sono diversi e possono cambiare molto rapidamente: pertanto, gli orientamenti sono stati redatti per coprire il maggior numero possibile di scenari e applicazioni.
Sono strutturati come segue:
- domande chiave
- risposte iniziali con alcune conclusioni preliminari
- ulteriori chiarimenti o esempi.
Entro 12 mesi gli orientamenti in questione verranno aggiornati, perfezionati e ampliati per affrontare ulteriori elementi necessari a supportare le istituzioni UE nello sviluppo e nell’implementazione di questi sistemi.
Le questioni affrontate, sinteticamente, sono le seguenti:
- Che cos’è l’IA generativa
- Se le istituzioni UE possano utilizzare l’IA generativa
- Come sapere se l’uso di un sistema di IA generativa comporti il trattamento di dati personali
- Qual è il ruolo dei DPO nel processo di sviluppo o implementazione di sistemi di IA generativa
- Se un’istituzione vuole sviluppare o implementare sistemi di IA generativa, quando dovrebbe essere effettuata una DPIA
- Quando è da considerarsi lecito il trattamento dei dati personali durante la progettazione, lo sviluppo e la validazione di sistemi di IA generativi
- Come si possa garantire il principio di minimizzazione dei dati quando si utilizzano sistemi di IA generativa
- Se i sistemi di IA generativa rispettano il principio di accuratezza dei dati
- Come informare le persone sul trattamento dei dati personali quando le IEU utilizzino sistemi di IA generativa
- Come vanno considerate le decisioni automatizzate ai sensi dell’art. 24 del GDPR
- Come si può garantire un trattamento equo ed evitare pregiudizi quando si utilizzano sistemi di IA generativa
- Le questioni legate all’esercizio dei diritti individuali e alla sicurezza dei dati.