L'organismo dell'Unione Europea per la privacy ha espresso il suo parere sulle questioni emergenti relative alla liceità della GenAI. Il comitato ha esaminato le scappatoie che gli sviluppatori di IA potrebbero sfruttare per elaborare dati personali senza violare la legislazione vigente.
Il Comitato europeo per la protezione dei dati (EDPB) ha sollevato dubbi sulla base giuridica del trattamento dei dati personali degli utenti da parte degli sviluppatori di IA. In un parere pubblicato il 17 dicembre, il comitato ha affrontato diverse questioni di applicazione generale in conformità all'articolo 64, paragrafo 2, del GDPR.
Il comitato per la privacy dell'Unione europea interviene sulle questioni relative alla protezione dei dati e all'implementazione dell'intelligenza artificiale
Il Comitato europeo per la protezione dei dati (EDPB) ha emesso il parere su richiesta dell'autorità di controllo irlandese. Il Comitato ha osservato di avere un mandato statutario, ai sensi del Regolamento generale sulla protezione dei dati (GDPR), per esprimere un parere su questioni che riguardano più di uno Stato membro dell'Unione europea.
L'agenzia ha evidenziato le richieste presentate dall'organismo irlandese in merito al trattamento dei dati personali durante le fasi di sviluppo e implementazione dell'Intelligenza Artificiale (IA). Ha limitato il parere a quattro questioni relative alla protezione dei dati all'interno dell'Unione Europea.
Le questioni includevano quando e come un modello di IA può essere considerato anonimo e come i titolari del trattamento possono dimostrare la necessità di un legittimo interesse nell'implementazione. Il comitato ha inoltre esaminato le conseguenze del trattamento illecito dei dati durante la fase di sviluppo di un modello di IA sul successivo funzionamento del modello stesso.
Per quanto riguarda la questione di quando e come si possa determinare l'anonimato di un modello di intelligenza artificiale, l'organismo ha affermato che una valutazione di questo tipo dovrebbe essere effettuata caso per caso da un'autorità locale competente. Il consiglio ha precisato di non considerare anonimi tutti i modelli di intelligenza artificiale addestrati utilizzando dati personali.
L'organismo ha raccomandato alle autorità nazionali di controllo di valutare la documentazione pertinente fornita dal titolare del trattamento per determinare l'anonimato di un modello. Ha aggiunto che i titolari del trattamento dovrebbero anche adottare le misure necessarie per limitare la raccolta di dati personali durante la formazione e mitigare potenziali attacchi.
Per quanto riguarda la questione dell'interesse legittimo come base giuridica appropriata per il trattamento dei dati personali durante l'implementazione di modelli di intelligenza artificiale, il consiglio ha lasciato ai titolari del trattamento il compito di determinare la base giuridica appropriata per il trattamento di tali dati.
Il Comitato europeo per la protezione dei dati (EDPB) ha sottolineato l'importanza del test in tre fasi per la determinazione dell'interesse legittimo da parte degli organi di controllo. Le fasi includevano l'dentdell'interesse legittimo effettivo e l'analisi della sua necessità. I titolari del trattamento devono inoltre valutare se l'interesse legittimo sia compatibile con i diritti e le libertà degli interessati.
Nel valutare le conseguenze, l'organismo ha demandato la discrezionalità alle autorità di vigilanza dei rispettivi Stati. Ha aggiunto che le autorità di vigilanza dovrebbero scegliere le conseguenze appropriate in base alle circostanze di ciascun scenario.
La Commissione irlandese per la protezione dei dati commenta il parere dell'EDPB sulla regolamentazione del modello di intelligenza artificiale
La Commissione irlandese per la protezione dei dati ha risposto in una dichiarazione, sottolineando che il parere promuoverebbe una regolamentazione efficace e coerente dei modelli di intelligenza artificiale nell'UE. Il commissario Dale Sunderland ha commentato:
Sosterrà inoltre l'impegno del DPC con le aziende che sviluppano nuovi modelli di intelligenza artificiale prima del loro lancio sul mercato dell'UE, nonché la gestione dei numerosi reclami relativi all'intelligenza artificiale presentati al DPC.
Dale Sunderland
Secondo quanto riferito, negli ultimi mesi sono stati presentati reclami contro OpenAI, il produttore di ChatGPT. L'Autorità polacca per la protezione dei dati ha sollevato dubbi lo scorso anno sulla conformità al GDPR da parte dello sviluppatore di intelligenza artificiale.
L'autorità ha sostenuto che OpenAI ha ignorato requisiti come la consultazione preventiva con le autorità di regolamentazione, laddove sussisteva un rischio di violazione dei dati personali. L'autorità ha osservato che OpenAI ha lanciato ChatGPT senza consultare le autorità di regolamentazione locali, in violazione delle linee guida del GDPR.
il Garante italiano ha ordinato a OpenAI di interrompere il trattamento dei dati personali nel 2023, prima di affrontare le problematiche individuatedentpiattaforma dell'azienda. Ha sottolineato che la società con sede a San Francisco non disponeva delle misure necessarie per impedire ai minori di accedere alla tecnologia, come previsto dalla legge.
L'autorità di regolamentazione ha avvertito che il mancato rispetto delle linee guidatracsanzioni, tra cui una riduzione del quattro percento del fatturato annuo o di venti milioni di euro, a seconda di quale sia l'importo maggiore.
