INFORMATION TECHNOLOGY
AI e GDPR: la CNIL pubblica nuove raccomandazioni a sostegno dell'innovazione responsabile.
ll GDPR consente lo sviluppo di un'IA innovativa e responsabile in Europa. Le nuove raccomandazioni della CNIL lo illustrano fornendo soluzioni concrete per informare le persone i cui dati vengono utilizzati e per facilitare l'esercizio dei loro diritti.
Adattare i principi del GDPR alle specificità dell'IA.
Alcuni modelli di intelligenza artificiale sono anonimi e quindi non sono soggetti al GDPR. Tuttavia, altri modelli, come un modello linguistico di grandi dimensioni (LLM), possono contenere dati personali. Il Comitato europeo per la protezione dei dati (EDPB) ha recentemente fornito criteri pertinenti sull'applicazione del GDPR ai modelli di IA.
Quando si applica il GDPR, i dati delle persone devono essere protetti, sia all'interno di set di dati di addestramento, sia all'interno di modelli che potrebbero aver memorizzato dati o attraverso l'utilizzo del modello tramite prompt. Sebbene i principi fondamentali della protezione dei dati rimangano applicabili, essi devono essere adattati al contesto specifico dell'IA.
La CNIL ha da tempo stabilito che:
La CNIL ha pubblicato due nuove Raccomandazioni per promuovere l'uso responsabile dell'IA, garantendo al contempo il rispetto della protezione dei dati personali. Queste raccomandazioni confermano che i requisiti del GDPR sono sufficientemente equilibrati per affrontare le sfide specifiche dell'IA. Esse forniscono soluzioni concrete e proporzionate per informare le persone e facilitare l'esercizio dei loro diritti.
Quando i dati personali sono utilizzati per addestrare un modello di IA e possono essere potenzialmente memorizzati da esso, le persone interessate devono essere informate.
Il modo in cui queste informazioni vengono fornite può essere adattato in base ai rischi per gli individui e ai vincoli operativi. Ai sensi del GDPR, in alcuni casi, soprattutto quando i modelli di intelligenza artificiale si basano su fonti di dati di terze parti e il fornitore non può contattare direttamente le persone, le organizzazioni possono limitarsi a informazioni generali (ad esempio, pubblicate sul loro sito web). Quando vengono utilizzate più fonti, come è comune con i modelli di intelligenza artificiale generici, è generalmente sufficiente un'ampia divulgazione che indichi le categorie di fonti o elenchi alcune fonti chiave.
Quanto alla Raccomandazione sull'esercizio dei diritti, la normativa europea conferisce alle persone fisiche il diritto di accedere, rettificare, opporsi e cancellare i propri dati personali.
Tuttavia, l'esercizio di questi diritti può essere particolarmente impegnativo nel contesto dei modelli di IA, sia a causa delle difficoltà nell'identificare gli individui all'interno del modello sia a causa della modifica del modello stesso. La CNIL esorta gli sviluppatori di intelligenza artificiale a incorporare la protezione della privacy fin dalla fase di progettazione, a prestare particolare attenzione ai dati personali all'interno dei set di dati di addestramento, a sforzarsi di anonimizzare i modelli ogni volta che ciò non compromette lo scopo previsto ed a sviluppare soluzioni innovative per prevenire la divulgazione di dati personali riservati da parte di modelli di IA.
In alcuni casi, il costo, l'impossibilità tecnica o le difficoltà pratiche possono giustificare il rifiuto di soddisfare una richiesta di esercizio di tali diritti. Tuttavia, laddove il diritto debba essere garantito, la CNIL prenderà in considerazione soluzioni ragionevoli a disposizione del creatore del modello e potrà autorizzare termini di riscontro alle istanze scadenze flessibili. La CNIL sottolinea inoltre che la ricerca scientifica in questo settore si sta evolvendo rapidamente ed esorta le parti interessate dell'IA a rimanere informate sugli ultimi progressi per garantire la migliore protezione possibile dei diritti delle persone.
Adattare i principi del GDPR alle specificità dell'IA.
Alcuni modelli di intelligenza artificiale sono anonimi e quindi non sono soggetti al GDPR. Tuttavia, altri modelli, come un modello linguistico di grandi dimensioni (LLM), possono contenere dati personali. Il Comitato europeo per la protezione dei dati (EDPB) ha recentemente fornito criteri pertinenti sull'applicazione del GDPR ai modelli di IA.
Quando si applica il GDPR, i dati delle persone devono essere protetti, sia all'interno di set di dati di addestramento, sia all'interno di modelli che potrebbero aver memorizzato dati o attraverso l'utilizzo del modello tramite prompt. Sebbene i principi fondamentali della protezione dei dati rimangano applicabili, essi devono essere adattati al contesto specifico dell'IA.
La CNIL ha da tempo stabilito che:
- la determinazione dello scopo va applicata in modo flessibile ai sistemi di IA di uso generale: un operatore che non è in grado di definire tutte le potenziali applicazioni nella fase di addestramento può invece descrivere il tipo di sistema in fase di sviluppo e illustrare le principali funzionalità potenziali.
- il principio di minimizzazione dei dati non impedisce l'uso di grandi set di dati di addestramento. Tuttavia, i dati dovrebbero generalmente essere selezionati e puliti per ottimizzare l'addestramento degli algoritmi, evitando al contempo l'inutile elaborazione di dati personali.
- la conservazione dei dati di addestramento può essere estesa se giustificato e se il set di dati è soggetto a misure di sicurezza adeguate. Ciò è particolarmente importante per le banche dati che richiedono investimenti scientifici e finanziari significativi, che a volte diventano standard riconosciuti all'interno della comunità di ricerca.
- in molti casi è possibile il riutilizzo delle banche dati, comprese quelle disponibili online, a condizione che i dati non siano stati raccolti illecitamente e che il loro riutilizzo sia in linea con lo scopo originario della raccolta.
La CNIL ha pubblicato due nuove Raccomandazioni per promuovere l'uso responsabile dell'IA, garantendo al contempo il rispetto della protezione dei dati personali. Queste raccomandazioni confermano che i requisiti del GDPR sono sufficientemente equilibrati per affrontare le sfide specifiche dell'IA. Esse forniscono soluzioni concrete e proporzionate per informare le persone e facilitare l'esercizio dei loro diritti.
Quando i dati personali sono utilizzati per addestrare un modello di IA e possono essere potenzialmente memorizzati da esso, le persone interessate devono essere informate.
Il modo in cui queste informazioni vengono fornite può essere adattato in base ai rischi per gli individui e ai vincoli operativi. Ai sensi del GDPR, in alcuni casi, soprattutto quando i modelli di intelligenza artificiale si basano su fonti di dati di terze parti e il fornitore non può contattare direttamente le persone, le organizzazioni possono limitarsi a informazioni generali (ad esempio, pubblicate sul loro sito web). Quando vengono utilizzate più fonti, come è comune con i modelli di intelligenza artificiale generici, è generalmente sufficiente un'ampia divulgazione che indichi le categorie di fonti o elenchi alcune fonti chiave.
Quanto alla Raccomandazione sull'esercizio dei diritti, la normativa europea conferisce alle persone fisiche il diritto di accedere, rettificare, opporsi e cancellare i propri dati personali.
Tuttavia, l'esercizio di questi diritti può essere particolarmente impegnativo nel contesto dei modelli di IA, sia a causa delle difficoltà nell'identificare gli individui all'interno del modello sia a causa della modifica del modello stesso. La CNIL esorta gli sviluppatori di intelligenza artificiale a incorporare la protezione della privacy fin dalla fase di progettazione, a prestare particolare attenzione ai dati personali all'interno dei set di dati di addestramento, a sforzarsi di anonimizzare i modelli ogni volta che ciò non compromette lo scopo previsto ed a sviluppare soluzioni innovative per prevenire la divulgazione di dati personali riservati da parte di modelli di IA.
In alcuni casi, il costo, l'impossibilità tecnica o le difficoltà pratiche possono giustificare il rifiuto di soddisfare una richiesta di esercizio di tali diritti. Tuttavia, laddove il diritto debba essere garantito, la CNIL prenderà in considerazione soluzioni ragionevoli a disposizione del creatore del modello e potrà autorizzare termini di riscontro alle istanze scadenze flessibili. La CNIL sottolinea inoltre che la ricerca scientifica in questo settore si sta evolvendo rapidamente ed esorta le parti interessate dell'IA a rimanere informate sugli ultimi progressi per garantire la migliore protezione possibile dei diritti delle persone.
