Il corpo per la privacy dell'Unione Europea ha pesato su questioni emergenti riguardanti la liceità di GenAI. Il comitato ha esplorato le lacune che gli sviluppatori di IA potrebbero sfruttare per trattare i dati personali senza violare la legislazione attuale.
Il Comitato Europeo per la Protezione dei Dati ha sollevato domande sulla base legale per gli sviluppatori di IA che trattano i dati personali degli utenti. In un parere pubblicato il 17 dicembre, il comitato ha affrontato varie questioni di applicazione generale in conformità con l'Articolo 64(2) del GDPR.
Il comitato per la privacy dell'Unione Europea si è espresso su questioni relative alla protezione dei dati e al dispiegamento dell'IA
Il Comitato Europeo per la Protezione dei Dati (EDPB) ha emesso il parere su richiesta dell'autorità di vigilanza irlandese. Il comitato ha notato di avere un mandato statutario ai sensi del Regolamento Generale sulla Protezione dei Dati (GDPR) per emettere un parere su questioni che riguardano più di uno stato membro all'interno dell'Unione Europea.
L'agenzia ha sottolineato le richieste presentate dall'organo irlandese relative al trattamento dei dati personali durante le fasi di sviluppo e dispiegamento dell'Intelligenza Artificiale (IA). Ha ristretto il parere a quattro questioni relative alla protezione dei dati all'interno dell'Unione Europea.
Le questioni includevano quando e come un modello di IA può essere considerato anonimo e come i titolari del trattamento possano illustrare la necessità di un interesse legittimo nel dispiegamento. Il comitato ha anche esplorato le conseguenze del trattamento illecito dei dati durante la fase di sviluppo di un modello di IA sul successivo funzionamento del modello di IA.
Riguardo alla questione di quando e come può essere determinata l'anonimità di un modello di IA, l'organo ha dichiarato che un'autorità locale competente dovrebbe fare tale determinazione caso per caso. Il comitato ha espresso che non considerava tutti i modelli di IA addestrati utilizzando i dati personali come anonimi.
L'organo ha raccomandato che le autorità nazionali di vigilanza valutino la documentazione pertinente fornita dal titolare del trattamento per determinare l'anonimità di un modello. Ha aggiunto che i titolari del trattamento dovrebbero anche adottare le misure pertinenti per limitare la raccolta di dati personali durante l'addestramento e mitigare potenziali attacchi.
Sulla questione dell'interesse legittimo come base legale appropriata per il trattamento dei dati personali durante il dispiegamento dei modelli di IA, il comitato ha lasciato ai titolari del trattamento la determinazione della base legale appropriata per il trattamento di tali dati.
L'EDPB ha sottolineato il test in tre fasi per determinare l'interesse legittimo da parte degli organi di vigilanza. I passaggi includevano l'identificazione dell'interesse legittimo effettivo e l'analisi della sua necessità. I titolari del trattamento devono anche valutare se l'interesse legittimo bilanci con i diritti e le libertà degli interessati.
Nel valutare le conseguenze, l'organo ha rimandato la discrezione alle autorità di vigilanza negli stati rispettivi. Ha aggiunto che le SAs dovrebbero scegliere le conseguenze appropriate a seconda dei fatti di ciascuno scenario.
Commenti della Commissione per la Protezione dei Dati dell'Irlanda sul parere dell'EDPB sulla regolamentazione dei modelli di IA
La Commissione per la Protezione dei Dati dell'Irlanda ha risposto in una dichiarazione notando che il parere promuoverebbe una regolamentazione efficace e coerente dei modelli di IA nell'UE. Il Commissario Dale Sunderland ha commentato:
Sosterà anche l'impegno della DPC con le aziende che sviluppano nuovi modelli di IA prima del loro lancio nel mercato dell'UE, così come la gestione dei numerosi reclami relativi all'IA che sono stati presentati alla DPC.
Dale Sunderland
Le lamentele riguardo al creatore di ChatGPT OpenAI sono state segnalate negli ultimi mesi. L'Autorità Polacca per la Protezione dei Dati ha sollevato domande lo scorso anno sulla conformità dello sviluppatore di IA con il GDPR.
L'autorità ha sostenuto che OpenAI ha trascurato requisiti come la consultazione preventiva con i regolatori quando c'era un rischio di violazione dei dati personali. Il regolatore ha notato che OpenAI ha lanciato ChatGPT senza consultare i regolatori locali in violazione delle linee guida del GDPR.
Il Garante per la Protezione dei Dati dell'Italia ha anche ordinato a OpenAI di cessare il trattamento dei dati personali nel 2023 prima di affrontare le questioni che aveva identificato con la piattaforma dell'azienda. Ha evidenziato che l'azienda con sede a San Francisco mancava di misure per impedire l'accesso dei minorenni alla tecnologia come richiesto dalla legge.
L'autorità di regolamentazione ha avvertito che la mancata conformità alle linee guida comporterebbe sanzioni, inclusi il quattro percento del fatturato annuale o venti milioni di euro, a seconda di quale fosse maggiore.
Ottieni un lavoro ben retribuito nel Web3 in 90 giorni: La roadmap definitiva