L’organismo dell’Unione europea per la privacy è intervenuto sulle questioni emergenti riguardanti la legalità di GenAI. Il comitato ha esplorato le lacune che gli sviluppatori di intelligenza artificiale potrebbero sfruttare per elaborare i dati personali senza violare la legislazione attuale .
Il Comitato europeo per la protezione dei dati ha sollevato dubbi sulla base giuridica per cui gli sviluppatori di intelligenza artificiale trattano i dati personali degli utenti. In un parere pubblicato il 17 dicembre, il collegio ha affrontato diverse questioni di portata generale in conformità con l’articolo 64, paragrafo 2, del GDPR.
Il comitato per la privacy dell’Unione europea interviene sulle questioni relative alla protezione dei dati e all’implementazione dell’intelligenza artificiale
Il Comitato europeo per la protezione dei dati (EDPB) ha emesso il parere su richiesta dell'autorità di controllo irlandese. Il consiglio ha sottolineato di avere un mandato legale ai sensi del Regolamento generale sulla protezione dei dati (GDPR) per emettere un parere su questioni che riguardano più di uno Stato membro all’interno dell’Unione Europea.
L'agenzia ha sottolineato le richieste presentate dall'organismo irlandese relative al trattamento dei dati personali durante le fasi di sviluppo e diffusione dell'intelligenza artificiale (AI). Ha ristretto il parere a quattro questioni relative alla protezione dei dati all'interno dell'Unione europea.
Le questioni includevano quando e come un modello di intelligenza artificiale può essere considerato anonimo e come i controllori possono illustrare la necessità di un interesse legittimo nella sua implementazione. Il comitato ha inoltre esaminato le conseguenze del trattamento illecito dei dati durante la fase di sviluppo di un modello di IA sul successivo funzionamento del modello di IA.
Per quanto riguarda la questione di quando e come può essere determinato l'anonimato di un modello di IA, l'organismo ha affermato che un'autorità locale competente dovrebbe prendere tale decisione caso per caso. Il comitato ha dichiarato di non considerare tutti i modelli di intelligenza artificiale addestrati utilizzando i dati personali in modo anonimo.
L'organismo ha raccomandato alle autorità nazionali di vigilanza di valutare la documentazione pertinente fornita dal titolare del trattamento per determinare l'anonimato di un modello. Ha aggiunto che i titolari del trattamento dovrebbero anche adottare le misure pertinenti per limitare la raccolta di dati personali durante la formazione e mitigare potenziali attacchi.
Sulla questione dell’interesse legittimo come base giuridica adeguata per il trattamento dei dati personali durante l’implementazione dei modelli di intelligenza artificiale, il consiglio ha lasciato ai titolari del trattamento il compito di determinare la base giuridica adeguata per il trattamento di tali dati.
L'EDPB ha sottolineato il test in tre fasi per determinare l'interesse legittimo da parte degli organismi di vigilanza. I passaggi includevano l’identificazione dell’effettivo interesse legittimo e l’analisi della sua necessità. I titolari del trattamento devono inoltre valutare se l'interesse legittimo concilia i diritti e le libertà degli interessati.
Nel valutare le conseguenze, l'organismo ha rimesso la discrezionalità alle autorità di vigilanza dei rispettivi Stati. Ha aggiunto che le autorità di controllo dovrebbero scegliere le conseguenze appropriate in base ai fatti di ciascuno scenario.
La Commissione irlandese per la protezione dei dati commenta il parere dell'EDPB sul modello di regolamentazione dell'IA
La Commissione irlandese per la protezione dei dati ha risposto in una dichiarazione sottolineando che il parere promuoverebbe una regolamentazione del modello di intelligenza artificiale efficace e coerente nell’UE. Il commissario Dale Sunderland ha commentato:
Sosterrà inoltre l'impegno del DPC con le aziende che sviluppano nuovi modelli di intelligenza artificiale prima del loro lancio sul mercato dell'UE, nonché la gestione dei numerosi reclami relativi all'IA che sono stati presentati al DPC.
Dale Sunderland
Secondo quanto riferito, negli ultimi mesi sono stati sollevati reclami nei confronti del produttore di ChatGPT OpenAI. L'autorità polacca per la protezione dei dati ha sollevato domande l'anno scorso sulla conformità dello sviluppatore di intelligenza artificiale al GDPR.
L’autorità ha affermato che OpenAI ha trascurato requisiti come la consultazione preventiva con le autorità di regolamentazione in caso di rischio di violazione dei dati personali. L'autorità di regolamentazione ha osservato che OpenAI ha lanciato ChatGPT senza consultare le autorità di regolamentazione locali in violazione delle linee guida GDPR.
Il Garante italiano ha inoltre ordinato a OpenAI di cessare il trattamento dei dati personali nel 2023 prima di affrontare i problemi identificati con la piattaforma dell'azienda. Ha evidenziato che la società con sede a San Fransico non disponeva di misure per impedire ai minori di accedere alla tecnologia come richiesto dalla legge.
L'autorità di regolamentazione ha avvertito che il mancato rispetto delle linee guida comporterà sanzioni, tra cui un fatturato annuo del 4% o venti milioni di euro, a seconda di quale importo sia maggiore.
Ottieni un lavoro Web3 ben pagato in 90 giorni: la tabella di marcia definitiva