Intelligenza artificiale e protezione dei dati personali: la posizione dei Garanti europei
Sviluppare l’intelligenza artificiale senza violare la privacy è possibile? La risposta, affermativa, arriva da un recente parere del Comitato europeo dei Garanti privacy (Edpb), che ha analizzato in che modo le società possono usare i dati dei cittadini per creare o utilizzare modelli di IA rispettando le leggi privacy.
L’Edpb è composto da tutti i Garanti dell’Ue e ha il compito di guidare l’applicazione delle norme sulla protezione dei dati personali, e in particolare il Gdpr. Per questo, i suoi provvedimenti sono estremamente importanti, e quello appena adottato può essere considerato il primo vero testo di riferimento sui rapporti tra privacy e IA.
La pronuncia dell’Edpb nasce da una richiesta del Garante irlandese. Si tratta dell’autorità competente a controllare che molte grandi aziende di internet, che hanno stabilito la propria sede in Irlanda, rispettino le leggi sulla privacy europee. La Data Protection Commission irlandese ha chiesto all’Edpb di rispondere a una serie di quesiti, in modo che tutti i Garanti europei possano seguire le stesse linee guida quando applicano il Gdpr ai sistemi di intelligenza artificiale.
Innanzitutto, l’Edpb ha chiarito se e quando un modello di intelligenza artificiale può essere considerato anonimo. La questione è importante perché ciò che è anonimo non è sottoposto alle leggi sulla privacy. Per i Garanti, la valutazione deve essere svolta caso per caso. Saranno anonimi solo i modelli in cui la probabilità di estrarre i dati personali usati per addestrare l’algoritmo e la probabilità di ottenere tali dati interrogando il modello risultino insignificanti.
Per dimostrare che un modello è anonimo, l’Edpb ha elencato alcuni possibili elementi da considerare, come ad esempio la presenza di tecniche di selezione e filtraggio dei dati per l’addestramento capaci di escludere la raccolta di informazioni personali.
L’Edpb si è poi espressa sulla possibilità di usare il legittimo interesse come base giuridica per trattare i dati personali nei modelli di IA. Anche questo è un punto particolarmente rilevante, soprattutto per le imprese. Il Gdpr, infatti, elenca le basi giuridiche su cui una società può fondare un trattamento di dati personali, e poche sono applicabili all’IA. Tra queste c’è il consenso delle persone, ma anche il legittimo interesse dell’azienda, e in questo secondo caso non serve raccogliere l’assenso del cittadino.
Ammessa la possibilità di avvalersi del legittimo interesse per sviluppare modelli di IA con dati personali, i Garanti hanno indicato quali valutazioni svolgere e i parametri da prendere in considerazione. Tra questi c’è la necessità di fare un bilanciamento tra il legittimo interesse della società e i diritti fondamentali dei cittadini, che deve verificare anche se le persone si aspettano che i propri dati saranno dati in pasto a un algoritmo. Anche in questo caso, l’Edpb ha proposto alcune misure per attenuare l’impatto dell’IA sui diritti delle persone, come ad esempio prevedere un periodo di tempo tra la raccolta dei dati e il loro utilizzo per il training dell’IA, per permettere alle persone di opporsi a questa attività.
di Gabriele Franco (Repubblica)