Il Comitato europeo per la protezione dei dati (EDPB) ha adottato un parere sull’uso dei dati personali per lo sviluppo e l’implementazione di modelli di IA, in conformità al GDPR.
Di seguito, i principali temi oggetto dell’opinion.
Quando e come i modelli di IA possono essere considerati anonimi
Il parere fornisce un elenco non prescrittivo e non esaustivo di metodi per dimostrare l’anonimato, considerando che le Autorità di protezione dei dati personali (DPA) dovrebbero valutare caso per caso se un modello di IA sia o meno anonimo; affinché un modello sia anonimo, dovrebbe essere molto improbabile:
-
- identificare direttamente o indirettamente gli individui i cui dati sono stati utilizzati per creare il modello
- estrarre tali dati personali dal modello tramite query.
L’appropriatezza dell’interesse legittimo come base giuridica
Il Parere ricorda che non esiste una gerarchia tra le basi giuridiche fornite dal GDPR e che spetta ai titolari del trattamento identificare la base giuridica appropriata per le loro attività di trattamento; richiama quindi il test in tre fasi che dovrebbe essere condotto quando si valuta l’uso dell’interesse legittimo come base giuridica:
- identificare l’interesse legittimo perseguito dal titolare del trattamento o da una terza parte: un interesse può essere considerato legittimo se sono soddisfatti i tre criteri cumulativi:
- l’interesse è legittimo
- l’interesse è chiaramente e precisamente articolato
- l’interesse è reale e presente (non speculativo): tale interesse può riguardare, ad esempio, lo sviluppo di un modello di intelligenza artificiale, ovvero lo sviluppo del servizio di un agente conversazionale per assistere gli utenti, o la sua distribuzione, ovvero il miglioramento del rilevamento delle minacce in un sistema informativo.
- analizzare la necessità del trattamento ai fini dell’interesse legittimo perseguito: la valutazione della necessità implica considerare se l’attività di elaborazione consentirà il perseguimento dell’interesse legittimo e se non esiste un modo meno invasivo per perseguire tale interesse; nel valutare se la condizione di necessità è soddisfatta, le autorità di controllo dovrebbero prestare particolare attenzione alla quantità di dati personali trattati e se è proporzionato perseguire l’interesse legittimo in gioco, anche alla luce del principio di minimizzazione dei dati
- valutare che l’interesse legittimo non sia annullato dagli interessi o dai diritti e dalle libertà fondamentali degli interessati (anche definito “test di bilanciamento”) tenendo conto delle circostanze specifiche di ciascun caso; il Parere, pertanto:
- fornisce una panoramica degli elementi che le SA possono prendere in considerazione quando valutano se l’interesse di un titolare del trattamento o di una terza parte sia prevalso sugli interessi, sui diritti e sulle libertà fondamentali degli interessati
- evidenzia rischi specifici per i diritti fondamentali che possono emergere nelle fasi di sviluppo o di distribuzione dei modelli di IA
- chiarisce che il trattamento dei dati personali che avviene durante le fasi di sviluppo e distribuzione dei modelli di IA può avere un impatto sugli interessati in diversi modi, che possono essere positivi o negativi: per valutare tale impatto, le SA possono considerare la natura dei dati trattati dai modelli, il contesto del trattamento e le possibili ulteriori conseguenze del trattamento
- evidenzia il ruolo delle ragionevoli aspettative degli interessati nel test di bilanciamento: sia le informazioni fornite agli interessati, sia il contesto dell’elaborazione, possono essere tra gli elementi da considerare per valutare se gli interessati possono ragionevolmente aspettarsi che i loro dati personali vengano elaborati. Il contesto può includere: se i dati personali erano o meno disponibili al pubblico, la natura della relazione tra l’interessato e il titolare del trattamento, la natura del servizio, il contesto in cui sono stati raccolti i dati personali, la fonte da cui i dati sono stati raccolti, i potenziali ulteriori utilizzi del modello e se gli interessati sono effettivamente consapevoli che i loro dati personali sono online
- ricorda che, quando gli interessi, i diritti e le libertà degli interessati sembrano prevalere sugli interessi legittimi perseguiti dal titolare del trattamento o da una terza parte, il titolare del trattamento può prendere in considerazione l’introduzione di misure di mitigazione per limitare l’impatto del trattamento su tali interessati, che non devono essere confuse con le misure che il titolare del trattamento è legalmente tenuto ad adottare comunque per garantire la conformità al GDPR
- fornisce un elenco non esaustivo di esempi di misure di mitigazione in relazione alla fase di sviluppo (anche per quanto riguarda il web scraping) e alla fase di distribuzione: le misure di mitigazione possono essere soggette a rapida evoluzione e devono essere adattate alle circostanze del caso.
Conseguenze del trattamento illecito dei dati personali nei modelli di IA
Le SA possono valutare discrezionalmente le possibili violazioni e scegliere misure appropriate, necessarie e proporzionate, tenendo conto delle circostanze di ogni singolo caso.
Il Parere considera quindi tre scenari:
- Nello scenario 1, i dati personali vengono conservati nel modello di IA (il che significa che il modello non può essere considerato anonimo) e vengono successivamente elaborati dallo stesso titolare del trattamento (ad esempio nel contesto dell’implementazione del modello): se le fasi di sviluppo e implementazione comportano finalità distinte (costituendo quindi attività di elaborazione distinte), dovrebbe essere valutato caso per caso in quale misura la mancanza di base giuridica per l’attività di elaborazione iniziale incide sulla liceità dell’elaborazione successiva
- Nello scenario 2, i dati personali vengono conservati nel modello, e vengono elaborati da un altro titolare del trattamento nel contesto dell’implementazione del modello: il Parere afferma che le SA dovrebbero considerare se il titolare del trattamento che implementa il modello ha condotto una valutazione appropriata, come parte dei suoi obblighi di responsabilità per dimostrare la conformità all’art. 5 e 6 GDPR, per accertare che il modello di IA non sia stato sviluppato elaborando illecitamente dati personali; questa valutazione dovrebbe tenere conto, ad esempio, della fonte dei dati personali e se il trattamento nella fase di sviluppo sia stato soggetto all‘accertamento di una violazione, in particolare se è stato determinato da una SA o da un tribunale, e dovrebbe essere meno o più dettagliata a seconda dei rischi sollevati dal trattamento nella fase di implementazione.
- Nello scenario 3, un titolare del trattamento elabora illecitamente dati personali per sviluppare il modello di IA, quindi assicura che siano resi anonimi, prima che lo stesso o un altro titolare del trattamento avvii un altro trattamento di dati personali nel contesto dell’implementazione: a questo proposito, il Parere afferma che se si può dimostrare che il successivo funzionamento del modello di IA non comporta il trattamento di dati personali, l’EDPB ritiene che il GDPR non si applica; pertanto, l’illegittimità del trattamento iniziale non dovrebbe influire sul successivo funzionamento del modello.
