L'IA generativa e il GDPR - una guida completa
Una guida completa per le aziende che utilizzano strumenti di IA generativa per garantire la conformità, la trasparenza e affrontare le potenziali sfide come i pregiudizi e i problemi di sicurezza, nonché il trattamento dei dati ai sensi del GDPR in relazione all'IA generativa.
L'IA generativa e la base giuridica per il trattamento dei dati ai sensi del GDPR
In conformità al principio di liceità delineato nell'Articolo 5(1)(a) del Regolamento generale sulla protezione dei dati (GDPR), i responsabili del trattamento devono invocare una base giuridica legittima per il trattamento dei dati. Dato il potenziale degli strumenti di AI di trattare i dati personali, le autorità di protezione dei dati stanno esaminando i fornitori di applicazioni di AI generativa, in particolare OpenAI. Anche il Consiglio europeo per la protezione dei dati ha istituito una task force dedicata alle questioni legate all'AI. Una preoccupazione ricorrente tra le autorità è la determinazione di una base giuridica valida per il trattamento dei dati personali.
Basi legali ai sensi del GDPR
L'Articolo 6 del GDPR delinea varie opzioni per stabilire una base giuridica: il trattamento è consentito quando l'interessato ha fornito il consenso (Articolo 6(1)(a) GDPR), quando il trattamento è necessario per l'adempimento di un contratto o di misure precontrattuali (Articolo 6(1)(b) GDPR), o quando il trattamento è necessario per perseguire interessi legittimi (Articolo 6(1)(f) GDPR). Inoltre, l'Articolo 9 del GDPR specifica ulteriori basi giuridiche per il trattamento di categorie speciali di dati personali, come i dati sanitari, i dati biometrici e le opinioni politiche.
Requisiti di base giuridica per le fasi di trattamento
Nel determinare la base giuridica applicabile, è fondamentale distinguere tra le varie fasi del trattamento. In primo luogo, occorre distinguere tra l'elaborazione dei dati di input da parte dell'utente, l'elaborazione di tali dati di input da parte dello strumento stesso e l'elaborazione dei dati di output sia da parte dello strumento che dell'utente. Inoltre, i dati di input e di output sono tipicamente utilizzati dai fornitori di strumenti di AI per addestrare l'algoritmo sottostante. Ogni volta che i dati personali vengono elaborati durante queste singole fasi, il responsabile del trattamento deve basarsi su una base giuridica valida.
Critiche delle Autorità alle basi giuridiche applicabili
L'autorità italiana per la protezione dei dati, il 'Garante', ha vietato il servizio di ChatGPT in Italia, in parte a causa delle preoccupazioni relative alla mancanza di una base legale per il trattamento da parte di ChatGPT di una quantità sostanziale di dati personali a scopo di formazione. Le autorità di vigilanza tedesche condividono preoccupazioni simili, e sia la Conferenza tedesca per la protezione dei dati (DSK) che il Consiglio europeo per la protezione dei dati (EDPB) hanno istituito una task force AI, che si occuperà della base legale di varie operazioni di trattamento dei dati personali in ChatGPT. Se il consenso viene utilizzato come base legale, il Commissario di Stato per la Protezione dei Dati dello Schleswig-Holstein chiederà a ChatGPT di fornire un esempio di dichiarazione di consenso. L'Autorità per la Protezione dei Dati dell'Assia ha chiesto a Chat GPT di spiegare in che modo eseguirà le richieste di accesso e di cancellazione dei dati degli interessati e come elaborerà le revoche del consenso. Se ChatGPT o terze parti invocano gli interessi legittimi come base legale, ChatGPT deve spiegare la logica e le considerazioni alla base del rispettivo bilanciamento degli interessi.
Selezione della base giuridica appropriata
Per le aziende che consentono ai propri dipendenti di utilizzare strumenti di intelligenza artificiale, è essenziale stabilire una base giuridica per l'inserimento di dati personali sotto forma di prompt. La base giuridica applicabile dipende dallo specifico trattamento dei dati coinvolto in ciascun caso d'uso e può assumere la forma di consenso o di interesse legittimo nell'inserimento dei dati. Le aziende devono considerare attentamente questi fattori per i rispettivi casi d'uso e documentarli nei loro registri delle attività di trattamento. Inoltre, devono essere considerati altri obblighi di protezione dei dati di un responsabile del trattamento, come la conduzione di valutazioni d'impatto sulla protezione dei dati e l'adempimento degli obblighi di trasparenza, come discusso negli articoli successivi.
Nell'aprile 2023, il Garante italiano ha informato OpenAI che il trattamento dei dati personali per l'addestramento dell'algoritmo ChatGPT non poteva basarsi sulla base giuridica dell'adempimento del contratto (Articolo 6(1)(b) GDPR). Resta da stabilire se OpenAI possa invocare una base giuridica valida per il trattamento a fini di formazione. Poiché il consenso ai sensi dell'Articolo 6(1)(a) del GDPR è efficace solo se informato e trasparente, e le applicazioni di IA sono attualmente considerate scatole nere a questo riguardo.
OpenAI probabilmente si baserà sulla base giuridica dell'interesse legittimo.
Sarà interessante osservare se OpenAI riuscirà a bilanciare in modo convincente gli interessi in questo contesto. La CGUE ha recentemente confermato che l'elaborazione di quantità massicce di dati raggruppati da una moltitudine di fonti diverse ai fini dello sviluppo e del miglioramento del prodotto si basa su un interesse legittimo ai sensi dell'Articolo 6(1)(f) del GDPR (Meta contro l'Ufficio tedesco per i cartelli (C-252/21), dal 4 luglio 2023). Tuttavia, il tribunale ha anche stabilito che deve essere applicato il test di stretta necessità: 1) un interesse legittimo di tutti i Controllori, 2) che il trattamento è strettamente necessario, il che significa 64 che questo interesse non può essere raggiunto con nessun altro mezzo (tenendo conto anche dei principi di minimizzazione dei dati), e 3) che i diritti e le libertà fondamentali delle persone non superano gli interessi legittimi. La CGUE ha anche confermato nella sua sentenza Meta che i dati sensibili di dominio pubblico sono ancora protetti e richiedono il consenso preventivo per un ulteriore trattamento. Chat GPT dovrà affidarsi a dei filtri per eliminare l'elaborazione non autorizzata dei dati sensibili.