Il Comitato Europeo per la Protezione dei Dati (Edpb) è l’organismo indipendente che, all’interno dell’Unione Europea, assicura l’applicazione coerente del Gdpr e promuove la collaborazione tra le autorità di protezione dati degli Stati membri dell’UE. Il suo intervento nel campo dell’AI nasce da una necessità duplice: da un lato, garantire un’adeguata tutela dei diritti e delle libertà degli interessati (cioè i soggetti di cui vengono trattati i dati); dall’altro, stimolare la crescita tecnologica mantenendo però un elevato livello di protezione dei dati personali.
In un contesto in cui l’AI è in veloce evoluzione, a fronte di potenzialità che appaiono davvero straordinarie, altrettanto rilevanti paiono anche i rischi connessi al trattamento dei dati personali e alla tutela dei diritti fondamentali, ma il Gdpr mostra ancora tutta la sua “attualità” e si conferma strumento di riferimento efficace per conciliare innovazione e salvaguardia della privacy e della dignità umana.
Lo evidenzia proprio il recente parere Edpb, Opinion on AI models: Gdpr Principles to Support Responsible AI, che ha lo scopo di offrire chiarimenti e indirizzi su come implementare concretamente i principi del Regolamento Generale sulla Protezione dei Dati nei modelli di AI, così da garantire uno sviluppo e un utilizzo responsabili di tali tecnologie.
L’obiettivo del parere dell’Edpb è semplicemente quello di richiamare tutti gli attori coinvolti – sviluppatori, fornitori di servizi, responsabili del trattamento dei dati e autorità – ad adottare una visione by design e by default che consenta di incorporare i principi di protezione dati sin dalle prime fasi di sviluppo dei sistemi di AI. Con una prospettiva particolare, ovvero quella relativa ad una necessaria integrazione tra Gdpr e AI Act dove, mentre l’AI Act fornisce linee guida specifiche per l’uso di sistemi AI ad alto rischio e stabilisce regole precise in termini di valutazioni di conformità, il Gdpr garantisce un set di principi e obblighi per il trattamento dei dati, che sono validi anche per le soluzioni di AI. Una complementarità che è bene mantenere e rafforzare per creare un ecosistema sicuro. Spiega la presidente Edpb, Anu Talus: “Le tecnologie di IA possono offrire molte opportunità e vantaggi a diversi settori e ambiti della vita. Dobbiamo garantire che queste innovazioni siano fatte in modo etico, sicuro e in un modo che vada a beneficio di tutti. L’Edpb intende sostenere l’innovazione responsabile in materia di IA garantendo la protezione dei dati personali e nel pieno rispetto del regolamento generale sulla protezione dei dati (Gdpr)”. Il documento affronta quindi le questioni chiave riguardanti l’anonimato dei modelli di IA, l’applicabilità dell’interesse legittimo come base giuridica per il trattamento dei dati e le implicazioni derivanti dall’uso di dati personali trattati illecitamente.
I principi chiave del Gdpr di riferimento per l’AI
Ecco quindi i diversi principi chiave del Gdpr che, secondo Edpb, devono guidare anche l’intero ciclo di vita dei modelli di AI.
Il principio di liceità, correttezza e trasparenza (1) prevede che il trattamento dei dati personali deve avvenire su basi giuridiche adeguate – ad esempio il consenso dell’interessato, l’adempimento di un obbligo contrattuale o un legittimo interesse, purché siano bilanciati i diritti dell’interessato – e in modo trasparente, con un’informativa chiara e accessibile che spieghi come e perché i dati vengono trattati.
I dati personali devono poi essere raccolti per finalità determinate (limitazione della finalità, 2), esplicite e legittime e non devono essere ulteriormente trattati per scopi incompatibili con quelli originali. Solo i dati strettamente necessari per la finalità designata devono essere raccolti e trattati (minimizzazione dei dati, 3). Per i modelli di AI questo principio richiede di progettare meccanismi di filtraggio e selezione, nonché di valutare la possibilità di ricorrere a tecniche di anonimizzazione o pseudonimizzazione. Si devono quindi utilizzare solo dati aggiornati e ‘corretti’ (accuratezza, 4), perché è noto come un dataset obsoleto o errato possa generare conseguenze enormi in termini di bias e discriminazione. I dati personali devono poi essere conservati per un periodo limitato (conservazione limitata, 5) e nei progetti di AI, dove i dati possono essere utilizzati a lungo per migliorare i modelli, occorre definire policy chiare sui tempi di ritenzione e sulle procedure di cancellazione o anonimizzazione. Integrità e riservatezza (6) insieme al principio di responsabilizzazione (7) chiudono la serie. Si intende quindi richiamare l’adozione di misure tecniche e organizzative adeguate a garantire la sicurezza dei dati, e i titolari del trattamento ad essere in grado di dimostrare la conformità al Gdpr. Questo significa documentare le scelte progettuali, le analisi di rischio e le misure di mitigazione adottate in ogni fase, dalla raccolta dei dati all’implementazione del modello IA. Principi che dovrebbero tradursi in obblighi concreti di governance, trasparenza e valutazione dell’impatto.
In particolare, tra i rilievi ripresi da Edpb merita di essere sottolineato quello relativo alla trasparenza che è collegata alla cosiddetta “spiegabilità” (explainability) dei modelli di IA. Mentre il Gdpr impone di fornire all’interessato informazioni su come vengono trattati i suoi dati personali, la complessità degli algoritmi di AI potrebbe rendere la spiegazione di tali processi assai intricata. Per questo l’Edpb ritiene che la trasparenza non debba limitarsi a un elenco di informative o a documenti legali poco comprensibili, ma l’impegno a fornire spiegazioni chiare, semplici e accessibili sui criteri di funzionamento del modello AI, in particolare quando da esso derivano decisioni che hanno effetti significativi sulle persone.
Serve quindi raggiungere un difficile equilibrio tra la necessità di proteggere i segreti commerciali (ad esempio, il codice sorgente) e il diritto degli interessati di comprendere come vengono prese le decisioni. Ecco, secondo l’Edpb, le aziende e gli sviluppatori di AI devono trovare modi per rendere i sistemi più interpretabili, almeno nelle loro finalità e nei risultati, evitando l’uso di “scatole nere” impenetrabili.
AI generativa e sfide emergenti
l parere dell’Edpb non manca di sottolineare le sfide che emergono dal rapido progresso della GenAI (come i modelli di linguaggio di grandi dimensioni, i sistemi di creazione di immagini, i deepfake, ecc.). Per esempio, i sistemi di AI generativa possono creare testi, immagini o video che sembrano autentici, ma che in realtà sono del tutto sintetici. Ciò può dar luogo a fenomeni di disinformazione, manipolazione dell’opinione pubblica e anche i contenuti generati (o derivati) da dati personali possono configurare un trattamento rilevante ai fini del Gdpr, specialmente se permettono di risalire a un individuo o di veicolarne attributi personali. Inoltre, i modelli generativi hanno spesso bisogno di enormi dataset per l’addestramento, aumentando il rischio di trattare dati personali senza aver ottenuto un’adeguata base giuridica o senza aver fornito un’informativa adeguata. Le aziende che sviluppano o impiegano tali sistemi dovranno quindi prestare particolare attenzione al principio di limitazione della finalità e di minimizzazione.
Le responsabilità
Il parere dell’Edpb si chiude con una serie di raccomandazioni pratiche per diversi attori coinvolti nell’ecosistema AI. I titolari e responsabili del trattamento devono implementare procedure di data protection by design and by default, svolgere Dpia (data protection impact assessment) specifiche per i sistemi di AI, garantire la formazione continua del personale e predisporre canali di comunicazione chiari e accessibili per gli interessati che vogliono esercitare i propri diritti. E’ delle autorità di controllo, invece, il compito di fornire orientamenti pratici sugli aspetti più complessi (ad esempio la valutazione del rischio, l’uso di dati sensibili, il riutilizzo dei dati), monitorare le evoluzioni tecnologiche e promuovere una cultura della protezione dati che metta al centro la persona. Gli sviluppatori e i fornitori di tecnologie AI sono chiamati a progettare sistemi trasparenti e spiegabili, sottoporre regolarmente gli algoritmi a test di non discriminazione e bias, adottare tecniche di minimizzazione e anonimizzazione, mantenere la conformità al Gdpr come priorità di business e non come semplice onere burocratico. Ed infine i decisori politici dovranno vigilare sulla coerenza tra l’AI Act e il Gdpr, fornire risorse adeguate alle autorità di protezione dati, sostenere la ricerca sull’AI etica e responsabile, incentivare l’adozione di standard e codici di condotta condivisi a livello europeo.
© RIPRODUZIONE RISERVATA
