Il Filo di Airia - Pillole
Quanto di seguito esposto è un estratto dell’Opinion 28/2024 dell'EDPB che affronta gli aspetti della protezione dei dati nel contesto dei modelli di Intelligenza Artificiale (IA). I punti salienti dell'Opinion sono i seguenti.
Introduzione:
○ L'IA presenta opportunità in diversi settori.
○ Il GDPR tutela il diritto alla protezione dei dati e promuove l'innovazione responsabile.
○ Il Parere 28/2024 affronta le questioni relative al trattamento dei dati personali durante lo sviluppo e l'implementazione dei modelli di IA.
Anonimato dei modelli di IA:
○ L'EDPB ritiene che i modelli di IA addestrati con dati personali non siano sempre anonimi.
○ I dati personali possono rimanere "assorbiti" nei parametri del modello.
○ La valutazione dell'anonimato deve essere condotta caso per caso.
○ Le Autorità di Controllo devono valutare la probabilità di estrazione dei dati e l'ottenimento di dati personali tramite query.
Elementi per la valutazione dell'anonimato:
○ Progettazione del modello di IA: Selezione delle fonti, preparazione dei dati, metodologie di addestramento, misure relative agli output.
○ Analisi del modello: Audit documentati, revisione del codice, analisi teorica.
○ Test e resistenza agli attacchi: Test contro attacchi noti (es. inferenza di appartenenza, esfiltrazione, inversione del modello).
○ Documentazione: Documentazione completa del processo di trattamento, comprese le misure di mitigazione e le valutazioni dei rischi.
Interesse legittimo come base giuridica (Articolo 6(1)(f) GDPR):
○ Il GDPR non stabilisce una gerarchia tra le basi giuridiche.
○ Valutazione in tre fasi:
■ Perseguimento di un interesse legittimo: Definito, lecito, reale e attuale.
■ Necessità del trattamento: Essenziale per raggiungere la finalità, non sostituibile con metodi meno invasivi.
■ Bilanciamento degli interessi: Gli interessi del titolare del trattamento non devono prevalere sui diritti e le libertà degli interessati.
Aspetti chiave da considerare:
○ Principio di responsabilizzazione (Articolo 5(2) GDPR): I titolari del trattamento sono responsabili della conformità al GDPR e devono dimostrarla.
○ Principi di liceità, correttezza e trasparenza (Articolo 5(1)(a) GDPR): I processi di trattamento devono essere conformi alla legge e trasparenti per gli interessati.
○ Principi di limitazione della finalità e minimizzazione dei dati (Articolo 5(1)(b) e (c) GDPR): I dati personali devono essere trattati solo per le finalità dichiarate e in quantità minima necessaria.
○ Diritti dell'interessato (Capitolo III GDPR): Gli interessati devono poter esercitare i loro diritti, incluso il diritto di opposizione (Articolo 21 GDPR) quando si applica l'interesse legittimo.
Aspettative ragionevoli degli interessati:
○ La complessità dell'IA rende difficile la comprensione del trattamento dei dati.
○ Le informazioni fornite agli interessati devono essere chiare e comprensibili.
○ Il contesto del trattamento è importante per valutare le aspettative (es. la relazione tra l'interessato e il titolare del trattamento).
Misure di mitigazione:
○ Fase di sviluppo: Pseudonimizzazione, mascheramento dei dati, opt-out, trasparenza.
○ Web scraping: Esclusione di fonti sensibili, rispetto dei meccanismi di opt-out, liste di esclusione.
○ Fase di implementazione: Misure per prevenire la memorizzazione o la generazione di dati personali, meccanismi per facilitare l'esercizio dei diritti.
Impatto del trattamento illecito:
○ Le Autorità di Controllo possono intervenire e imporre misure correttive (es. sanzioni, cancellazione dei dati, divieto di trattamento).
○ Tre scenari:
■ Trattamento illecito, dati conservati, stesso titolare del trattamento.
■ Trattamento illecito, dati conservati, diverso titolare del trattamento.
■ Trattamento illecito, anonimizzazione successiva.
○ L'impatto del trattamento illecito iniziale sulla liceità del trattamento successivo dipende dalle circostanze del caso.
Conclusioni:
○ Il Parere 28/2024 fornisce un quadro per la valutazione dei modelli di IA.
○ Le Autorità di Controllo devono valutare i casi specifici.
○ La rapida evoluzione dell'IA richiede un'interpretazione flessibile del Parere.
Informazioni aggiuntive:
● Esempi concreti di modelli di IA e casi d'uso.
● Riferimenti a casi specifici e decisioni delle Autorità di Controllo.
● Statistiche sull'uso dell'IA e sull'impatto sulla protezione dei dati.
Utilizzando questi punti salienti, si può creare una presentazione .ppt efficace che illustri le principali conclusioni del Parere 28/2024 dell'EDPB.