What are generative AI tools?

Generative AI tools are a type of artificial intelligence that can create new content, such as text, code, music, and images. They are often trained on large datasets of existing content and can be used to generate new content that is similar to the training data.

Why is the legal basis for data processing important?

The GDPR requires controllers to have a legal basis for processing personal data. This means that they must have a valid reason for collecting and using personal data. There are six legal bases under the GDPR: consent, contract, legal obligation, vital interests, public interest, and legitimate interests.

What legal bases are relevant for generative AI tools?

The most relevant legal bases for generative AI tools are consent and legitimate interests. Consent is the most preferred legal basis, but it can be difficult to obtain informed consent for generative AI tools, as they are often complex and opaque. Legitimate interests can be used as a legal basis if the controller can demonstrate the strict necessity in processing personal data on a large scale, and if the interests of the data subject are not overridden by the controller's interests.

What are some of the challenges of using generative AI tools in compliance with the GDPR?

Some of the challenges of using generative AI tools in compliance with the GDPR include: - Transparency: It can be difficult to be transparent about how generative AI tools process personal data, as they are often complex and opaque. - Fairness: Generative AI tools can be biased, which can lead to unfair or discriminatory outcomes. - Security: Generative AI tools can be used to create synthetic data that is indistinguishable from real data, which could be used for malicious purposes.

What can companies do to use generative AI tools in compliance with the GDPR?

Companies that want to use generative AI tools in compliance with the GDPR should take the following steps: - Identify the legal basis for processing personal data: Companies should identify the legal basis for processing personal data in each specific use case. This should be done on a case-by-case basis. - Be transparent: Companies should be transparent about how they use generative AI tools and how they process personal data. This includes providing clear and concise privacy notices to data subjects. - Mitigate bias: Companies should take steps to mitigate bias in generative AI tools. This includes using diverse training data and monitoring the outputs of generative AI tools for bias. - Implement security measures: Companies should implement security measures to protect personal data from unauthorized access, use, disclosure, modification, or destruction.

Aggiornamento: La legge europea sull'intelligenza artificiale (AI Act)

Il 12 luglio 2024, l'Unione Europea ha pubblicato ufficialmente la Legge sull'intelligenza artificiale (AI Act), Regolamento (UE) 2024/1689, nella Gazzetta ufficiale dell'UE. Questa storica normativa istituisce il primo quadro giuridico completo per la regolamentazione dei sistemi di IA nei 27 Stati membri dell'UE. Il Regolamento entrerà in vigore il 1° agosto 2024, con la maggior parte delle sue disposizioni applicabili a partire dal 2 agosto 2026.

large language model wittmann legal services

Panoramica

La legge europea sull'intelligenza artificiale è il risultato di lunghe trattative, finalizzate a creare un quadro giuridico armonizzato per lo sviluppo, la commercializzazione e l'uso dei sistemi di IA all'interno dell'UE. Il regolamento comprende 180 considerando e 113 articoli, adottando un approccio basato sul rischio per regolare l'intero ciclo di vita dei sistemi di IA. Il mancato rispetto della legge può comportare sanzioni finanziarie significative fino a 35 milioni di euro o al 7% del fatturato annuo globale, a seconda di quale importo sia più elevato.

Ambito di Applicazione

Il Regolamento definisce i sistemi di IA come sistemi basati su macchine con diversi gradi di autonomia, progettati per generare risultati come previsioni, raccomandazioni o decisioni che influenzano ambienti fisici o virtuali. Questa definizione ampia mira a distinguere l'IA dai sistemi software più semplici, allineandosi agli standard internazionali come quelli stabiliti dall'OCSE.

La legge europea sull'intelligenza artificiale si applica a vari attori, inclusi fornitori, utilizzatori, importatori e distributori di sistemi di IA, in particolare quelli che operano nel mercato UE. Importante è che la legge si applichi anche ai fornitori di paesi terzi se i risultati del loro sistema di IA sono utilizzati all'interno dell'UE. Alcune eccezioni si applicano, ad esempio per i sistemi di IA open-source che non sono classificati come ad alto rischio o utilizzati esclusivamente per scopi di ricerca scientifica.

Sistemi di IA Proibiti

Il Regolamento vieta specifiche pratiche di IA considerate dannose o manipolative, come tecniche subliminali che manipolano il comportamento o pratiche ingannevoli che distorcono il processo decisionale umano. Eccezioni limitate sono previste per le forze dell'ordine, in particolare per l'identificazione biometrica remota in tempo reale in spazi pubblici.

Sistemi di IA ad Alto Rischio

Il Regolamento classifica i sistemi di IA in base ai rischi che presentano, con i sistemi di IA ad "alto rischio" soggetti ai requisiti più rigorosi. Questi includono i sistemi di IA utilizzati in aree critiche come l'istruzione, l'occupazione e l'applicazione della legge. I sistemi ad alto rischio devono rispettare standard rigorosi in materia di governance dei dati, trasparenza, supervisione umana e sicurezza informatica. La legge prevede anche un processo per aggiornare l'elenco dei casi d'uso ad alto rischio in base all'evoluzione della tecnologia IA.

Modelli di IA Generale (GPAI Models)

Il Regolamento dedica un capitolo specifico ai modelli di IA generale (GPAI models), definiti come modelli di IA capaci di eseguire una vasta gamma di compiti in applicazioni diverse. I fornitori di modelli GPAI devono soddisfare obblighi dettagliati, tra cui mantenere la documentazione tecnica, garantire il rispetto delle leggi nazionali e collaborare con le autorità dell'UE. I modelli classificati come a rischio sistemico sono soggetti a requisiti aggiuntivi, come valutazioni standardizzate e segnalazione di incidenti.

Sanzioni

Il mancato rispetto delle rigide norme della legge europea sull'intelligenza artificiale può comportare sanzioni significative. La multa massima per violazioni relative a pratiche di IA vietate è di 35 milioni di euro o il 7% del fatturato globale. Le violazioni minori possono comportare sanzioni fino a 15 milioni di euro o il 3% del fatturato. Sanzioni speciali si applicano anche ai fornitori di modelli GPAI.