AI generativa e protezione dei dati nelle istituzioni UE
Pubblicata la seconda versione degli orientamenti EDPS sull’uso dell’intelligenza artificiale generativa in conformità con l’EUDPR
Il Garante europeo della protezione dei dati (EDPS) ha pubblicato la nuova versione aggiornata degli Orientamenti sull’intelligenza artificiale generativa e l’EUDPR, fissando le regole per un uso etico e conforme dell’AI nelle istituzioni e agenzie dell’Unione Europea. Il documento mira a rafforzare la tutela dei diritti fondamentali e la trasparenza nell’impiego delle tecnologie di intelligenza artificiale di ultima generazione.
Le finalità del documento EDPS
Con questo aggiornamento, il Garante ribadisce il proprio ruolo di autorità di controllo indipendente in materia di protezione dei dati per le istituzioni europee, precisando che gli orientamenti non rientrano nel nuovo ruolo di vigilanza sul mercato previsto dall’AI Act. L’obiettivo non è coprire in modo esaustivo tutte le questioni aperte, ma fornire un quadro operativo che possa evolversi con l’avanzare della tecnologia e la diffusione dei sistemi di AI generativa.
I principi cardine: accountability e conformità
L’accountability è il principio guida dell’intero documento. Le istituzioni UE sono invitate a seguire un processo rigoroso e documentato, che garantisca la piena tracciabilità delle decisioni e la responsabilità lungo tutta la catena di fornitura del modello AI.
I passaggi essenziali comprendono:
- Definizione dello scopo e base giuridica: individuare chiaramente finalità e fondamento giuridico del trattamento.
- Valutazione dei rischi e DPIA: effettuare una Data Protection Impact Assessment quando il trattamento comporta rischi elevati per i diritti e le libertà degli interessati.
- Data protection by design e by default: integrare la tutela dei dati fin dalla progettazione dei sistemi.
- Due diligence sui fornitori terzi: verificare la conformità dei modelli sviluppati da soggetti esterni e formalizzare accordi di trattamento conformi all’art. 29 EUDPR.
Il ruolo centrale del DPO e la tutela dei diritti individuali
Il Responsabile della protezione dei dati (DPO) riveste un ruolo fondamentale: deve conoscere il funzionamento tecnico e giuridico dei sistemi di AI, supportare il titolare nella valutazione dei rischi e garantire l’indipendenza della consulenza. La responsabilità ultima della conformità resta tuttavia in capo al titolare del trattamento. Le EUIs devono adottare procedure efficaci per l’esercizio dei diritti degli interessati, distinguendo tra dataset di addestramento, input degli utenti e output generati.
Nuove sfide di sicurezza nell’era dell’AI generativa
L’EDPS segnala che l’AI generativa introduce nuove vulnerabilità, come gli attacchi di model inversion, prompt injection e jailbreak. Le istituzioni sono pertanto invitate ad implementare misure di sicurezza specifiche e aggiornate, proporzionate al livello di rischio e in linea con gli standard europei di protezione dei dati.
FAQ – AI generativa e protezione dei dati nelle istituzioni UE
- Cosa prevedono i nuovi orientamenti del Garante europeo sull’AI generativa?
Gli orientamenti dell’EDPS stabiliscono le regole per l’uso conforme dell’intelligenza artificiale generativa nelle istituzioni e agenzie UE, garantendo il rispetto del Regolamento (UE) 2018/1725 (EUDPR).
- Qual è l’obiettivo principale del documento dell’EDPS?
L’obiettivo è fornire indicazioni pratiche per assicurare che l’utilizzo dei sistemi di AI generativa avvenga nel pieno rispetto dei principi di trasparenza, accountability e sicurezza dei dati personali.
- Quali sono i principi cardine da rispettare?
Accountability, protezione dei dati fin dalla progettazione (data protection by design), minimizzazione dei dati, valutazione d’impatto (DPIA) e definizione chiara dei ruoli di titolare e responsabile.
- L’uso del consenso è una base giuridica valida per l’AI generativa?
L’EDPS ritiene il consenso difficilmente applicabile, poiché i modelli di AI generativa si basano spesso su grandi quantità di dati pubblici o raccolti su larga scala, rendendo complesso garantire un consenso realmente libero e revocabile.
- Quali rischi emergono dall’uso dell’AI generativa?
Tra i principali rischi vi sono la violazione della privacy attraverso il web scraping, la difficoltà nell’esercizio dei diritti individuali e nuove minacce di sicurezza come prompt injection e model inversion.
- Che ruolo svolge il DPO nelle istituzioni UE?
Il Responsabile della protezione dei dati (DPO) ha un ruolo cruciale di consulenza indipendente: supporta la valutazione dei rischi, la DPIA e verifica la conformità dei sistemi di AI generativa, pur restando la responsabilità finale in capo al titolare del trattamento.
