Volto virtuale

AI Generativa e protezione dei dati: gli orientamenti del Garante europeo della privacy

385 0

Il Garante europeo della Privacy (GEPD) ha pubblicato le “Linee guida sull’intelligenza artificiale generativa e sui dati personali per le istituzioni, gli organi e gli organismi dell’UE” (IUE): “Guidelines on generative Artificial Intelligence and personal data for EU institutions, bodies, offices and agencies (EUIs)”.

Il Garante è peraltro supervisore dell’applicazione dell’IA delle imprese europee ai sensi del recente Ai-Act, per la quale è in fase di preparazione una strategia distinta.

  • Cosa consiglia il GEDP nelle Linee guida sull’AI Generativa?

Linee Guida GEDP su AI Generativa: a cosa serve

Gli orientamenti del GEDP mirano ad aiutare le imprese europee a rispettare gli obblighi in materia di protezione dei dati di cui al regolamento (UE) 2018/1725 quando utilizzano o sviluppano strumenti di IA generativa.

Nelle linee guida il garante delinea:

  • i principi fondamentali della protezione dei dati, combinati con esempi concreti, come ausilio per anticipare i rischi, le sfide e le opportunità dei sistemi e degli strumenti di IA generativa.
  • quando l’uso di tali strumenti comporta il trattamento dei dati delle persone e quando condurre una valutazione d’impatto sulla protezione dei dati.
  • le raccomandazioni essenziali in materia di protezione dei dati in particolare con riferimento al regolamento (UE) 2018/1725.

La Linea guida si articola in 13 punti che spaziano dalla definizione di AI Generativa agli strumenti per capire se l’uso di un sistema di intelligenza artificiale generativa comporta il trattamento di dati personali (Cap.2) e quando è lecito il trattamento dei dati personali durante la progettazione, lo sviluppo e la convalida di questi sistemi.

Le Linee guida trattano anche altri aspetti organizzativi come il ruolo possibile dei DPO nel processo di sviluppo o implementazione di sistemi di IA e aspetti legati alla minimizzazione dei dati e alla verifica del rispetto del principio di accuratezza dei dati e l’obbligo di informazione delle persone in merito al trattamento dei dati stessi.

Cos’è l’AI Generativa

L’IA generativa, ricorda il garante, è un sottoinsieme dell’IA che utilizza modelli di apprendimento automatico specializzati progettati per produrre un’ampia e generale varietà di output, in grado di svolgere una serie di compiti e applicazioni, come la generazione di testo, immagini o audio. Concretamente, si basa sull’uso dei cosiddetti modelli di base, che fungono da modelli di base per altri sistemi di IA generativa che saranno “messi a punto” da essi.

AI Generativa e trattamento dei dati personali: quando si applica la normativa del Trattamento dati personali

Qualora l’utilizzo di sistemi di IA generativa comporti il trattamento di dati personali, il Regolamento si applica integralmente, riporta il GEDP.

Il Regolamento è tecnologicamente neutro e si applica a tutte le attività di trattamento dei dati personali, indipendentemente dalle tecnologie utilizzate e fatti salvi altri quadri giuridici, in particolare la legge sull’IA. Il principio di accountability richiede che le responsabilità siano chiaramente identificate e rispettate tra i vari attori coinvolti nella catena di fornitura del modello di IA generativa.

Trattamento dati non conforme: quali rischi dall’AI generativa?

Come sapere se l’uso di un sistema di intelligenza artificiale generativa comporta il trattamento di dati personali?

Il paragrafo 3 delle Linee guida spiega che, quando uno sviluppatore o un fornitore di un sistema di IA generativa afferma che il proprio sistema non elabora dati personali è fondamentale chiedere informazioni sui controlli specifici che sono stati messi in atto per garantire ciò. In sostanza, li organismi dell’UE potrebbero voler sapere quali passaggi o procedure utilizza il fornitore per garantire che i dati personali non vengano elaborati dal modello.

Il GEPD ricordando i rischi derivanti dal web scraping per la raccolta di dati personali, attraverso le quali le persone possono perdere il controllo delle loro informazioni personali quando queste vengono raccolte a loro insaputa, contro le loro aspettative e per scopi diversi da quelli della raccolta originaria.

Secondo il Garante l’utilizzo potrebbe non essere conforme ai principi pertinenti in materia di protezione dei dati, tra cui la minimizzazione dei dati e il principio di accuratezza, nella misura in cui non vi sia una valutazione dell’affidabilità delle fonti.

Il ruolo del DPO nel trattamento dati derivante da Sistemi di AI Generativa

Ricorda il garante nelle Linee guida che i titolari del trattamento dovrebbero collaborare con tutte le funzioni pertinenti all’interno dell’organizzazione, in particolare con il responsabile della protezione dei dati, il servizio giuridico, il servizio informatico e il responsabile locale della sicurezza informatica (LISO), al fine di garantire che l’IUE funzioni nel rispetto dei parametri di un’IA generativa affidabile, di una buona governance dei dati e sia conforme al regolamento.

La creazione di una task force per l’IA, compreso il responsabile della protezione dei dati, e l’elaborazione di un piano d’azione, comprese azioni di sensibilizzazione a tutti i livelli dell’organizzazione e l’elaborazione di orientamenti interni, possono contribuire al conseguimento di tali obiettivi.

Cibersicurezza e protezione dei dati: informazione e formazione per il professionista della Security

Come proteggersi da un attacco Hacker?
InSic suggerisce la consultazione del seguente Libro di EPC Editore:

Cybersecurity e cyberwarfare
Caria Giovanni Battista, Iaselli Michele
Libro
Edizione: gennaio 2023

L’opera che vede come curatori e in parte anche autori Michele Iaselli e Giovanni Caria con il coinvolgimento di esperti di sicurezza informatica e giuristi specializzati nel settore, ha come focus la cyberwar intesa come l’uso di computer e di reti per attaccare o difendersi nel cyberspazio e più nello specifico la cyberwarfare intesa come attacchi informatici condotti non contro singole aziende, ma contro intere nazioni.

Per formarsi in materia di CyberSecurity, consigliamo il Corso di Istituto informa:

Cyber Security e Cyber Strategy Aziendale
data di inizio 27/06/2023

Corso di formazione che esplora i concetti fondamentali in tema di cyber security anche alla luce dei recenti mutamenti normativi introdotti (es. Direttiva NIS, GDPR, ecc.), con particolare riferimento alle metodologie di valutazione dei rischi ed alle best practices internazionali. 

Valido come Aggiornamento per “Professionista della security”, “DPO”, “HSE Manager” e “Auditor/Esperto 231” certificati da ICMQ/CERSA (8 crediti formativi)

Redazione InSic

Una squadra di professionisti editoriali ed esperti nelle tematiche della salute e sicurezza sul lavoro, prevenzione incendi, tutela dell'ambiente, edilizia, security e privacy. Da oltre 20 anni alla guida del canale di informazione online di EPC Editore