top of page
Immagine del redattoreRedazione AIRIA

La Decisione EDPB sulla protezione dei dati personali nell’AI generativa

Il Filo di Airia - Pillole


 


Quanto di seguito esposto è un estratto dell’Opinion 28/2024 dell'EDPB che affronta gli aspetti della protezione dei dati nel contesto dei modelli di Intelligenza Artificiale (IA). I punti salienti dell'Opinion sono i seguenti.


Introduzione:

○ L'IA presenta opportunità in diversi settori.

○ Il GDPR tutela il diritto alla protezione dei dati e promuove l'innovazione responsabile.

○ Il Parere 28/2024 affronta le questioni relative al trattamento dei dati personali durante lo sviluppo e l'implementazione dei modelli di IA.


Anonimato dei modelli di IA:

L'EDPB ritiene che i modelli di IA addestrati con dati personali non siano sempre anonimi.

○ I dati personali possono rimanere "assorbiti" nei parametri del modello.

○ La valutazione dell'anonimato deve essere condotta caso per caso.

○ Le Autorità di Controllo devono valutare la probabilità di estrazione dei dati e l'ottenimento di dati personali tramite query.


Elementi per la valutazione dell'anonimato:

Progettazione del modello di IA: Selezione delle fonti, preparazione dei dati, metodologie di addestramento, misure relative agli output.

Analisi del modello: Audit documentati, revisione del codice, analisi teorica.

Test e resistenza agli attacchi: Test contro attacchi noti (es. inferenza di appartenenza, esfiltrazione, inversione del modello).

Documentazione: Documentazione completa del processo di trattamento, comprese le misure di mitigazione e le valutazioni dei rischi.


Interesse legittimo come base giuridica (Articolo 6(1)(f) GDPR):

○ Il GDPR non stabilisce una gerarchia tra le basi giuridiche.

Valutazione in tre fasi:

Perseguimento di un interesse legittimo: Definito, lecito, reale e attuale.

Necessità del trattamento: Essenziale per raggiungere la finalità, non sostituibile con metodi meno invasivi.

Bilanciamento degli interessi: Gli interessi del titolare del trattamento non devono prevalere sui diritti e le libertà degli interessati.


Aspetti chiave da considerare:

Principio di responsabilizzazione (Articolo 5(2) GDPR): I titolari del trattamento sono responsabili della conformità al GDPR e devono dimostrarla.

Principi di liceità, correttezza e trasparenza (Articolo 5(1)(a) GDPR): I processi di trattamento devono essere conformi alla legge e trasparenti per gli interessati.

Principi di limitazione della finalità e minimizzazione dei dati (Articolo 5(1)(b) e (c) GDPR): I dati personali devono essere trattati solo per le finalità dichiarate e in quantità minima necessaria.

Diritti dell'interessato (Capitolo III GDPR): Gli interessati devono poter esercitare i loro diritti, incluso il diritto di opposizione (Articolo 21 GDPR) quando si applica l'interesse legittimo.


Aspettative ragionevoli degli interessati:

○ La complessità dell'IA rende difficile la comprensione del trattamento dei dati.

○ Le informazioni fornite agli interessati devono essere chiare e comprensibili.

○ Il contesto del trattamento è importante per valutare le aspettative (es. la relazione tra l'interessato e il titolare del trattamento).


Misure di mitigazione:

Fase di sviluppo: Pseudonimizzazione, mascheramento dei dati, opt-out, trasparenza.

Web scraping: Esclusione di fonti sensibili, rispetto dei meccanismi di opt-out, liste di esclusione.

Fase di implementazione: Misure per prevenire la memorizzazione o la generazione di dati personali, meccanismi per facilitare l'esercizio dei diritti.


Impatto del trattamento illecito:

○ Le Autorità di Controllo possono intervenire e imporre misure correttive (es. sanzioni, cancellazione dei dati, divieto di trattamento).

Tre scenari:

■ Trattamento illecito, dati conservati, stesso titolare del trattamento.

■ Trattamento illecito, dati conservati, diverso titolare del trattamento.

■ Trattamento illecito, anonimizzazione successiva.

○ L'impatto del trattamento illecito iniziale sulla liceità del trattamento successivo dipende dalle circostanze del caso.


Conclusioni:

○ Il Parere 28/2024 fornisce un quadro per la valutazione dei modelli di IA.

○ Le Autorità di Controllo devono valutare i casi specifici.

○ La rapida evoluzione dell'IA richiede un'interpretazione flessibile del Parere.


Informazioni aggiuntive:

● Esempi concreti di modelli di IA e casi d'uso.

● Riferimenti a casi specifici e decisioni delle Autorità di Controllo.

● Statistiche sull'uso dell'IA e sull'impatto sulla protezione dei dati.

Utilizzando questi punti salienti, si può creare una presentazione .ppt efficace che illustri le principali conclusioni del Parere 28/2024 dell'EDPB.


Post correlati

Diventa Socio

Chiedi informazioni o presenta la tua domanda per partecipare alla nostra associazione. Potrai partecipare alle attività di AIRIA e unirti alla comunità dei nostri soci, sia a titolo personale che tramite l'organizzazione che rappresenti. Contattaci per scoprire le varie iniziative e i servizi riservati ai soci di AIRIA.

bottom of page