Argomenti trattati
Il 28 ottobre 2025, il Garante europeo per la protezione dei dati (EDPS) ha pubblicato la seconda versione delle Orientazioni per garantire la conformità alla protezione dei dati nell’uso dei sistemi di AI generativa. Questa guida offre indicazioni operative fondamentali per le istituzioni e gli organismi dell’Unione Europea, ma è applicabile anche a pubbliche amministrazioni e soggetti privati soggetti al GDPR.
Strutturata in forma di domande e risposte, la guida affronta tematiche cruciali per garantire che l’uso di AI generativa non comprometta i diritti degli interessati. In questo articolo, esploreremo i principali punti della guida, fornendo un’analisi utile per la loro applicazione pratica.
Definizione dei ruoli e responsabilità
Una delle difficoltà iniziali nell’applicare l’AI generativa è l’individuazione dei ruoli. Se l’AI Act distingue tra provider, developer e deployer, queste terminologie non si sovrappongono a quelle di titolare e responsabile del trattamento dati del GDPR. È fondamentale che le organizzazioni definiscano chiaramente chi decide in merito al trattamento dei dati.
Esempio pratico di titolarità
Immaginiamo un’agenzia governativa, denominata Istituzione A, che sviluppa un software per la gestione delle risorse umane utilizzando un modello di AI generativa. Durante la fase di sviluppo, l’Istituzione A è considerata il titolare poiché determina le finalità e i mezzi del trattamento. Tuttavia, se un’altra entità, Istituzione B, acquista il software e lo utilizza con i propri dati, diventa titolare a sua volta, creando un nuovo trattamento di dati.
Analisi dei dati personali e rischi associati
Un tema critico è la presenza di dati personali all’interno dei sistemi di AI generativa. Non si può presupporre che non ci siano dati personali. È necessario effettuare una verifica concreta, tenendo conto delle varie fasi come l’addestramento e la generazione dei risultati.
La complessità dell’anonimizzazione
Il Garante sottolinea che l’anonimizzazione può essere complicata, specialmente quando i dati di addestramento provengono da tecniche di web scraping. Inoltre, il Data Protection Officer (DPO) deve essere coinvolto fin dall’inizio per fornire consulenze e supporto nella gestione dei rischi.
Valutazione dell’impatto e basi giuridiche
L’analisi dei rischi associati all’uso dell’AI generativa può portare alla necessità di una Valutazione di impatto sulla protezione dei dati (DPIA). Questo è particolarmente rilevante se il sistema è classificato come AI ad alto rischio. La DPIA deve essere condotta per identificare e mitigare i rischi potenziali.
Il dilemma del consenso
Un altro aspetto da considerare è la base giuridica del trattamento. Per le entità pubbliche, il legittimo interesse non è applicabile, mentre l’interesse pubblico o l’obbligo legale possono fungere da basi giuridiche. Raccogliere il consenso su larga scala è problematico e può creare difficoltà nel trattamento e nella conservazione dei dati.
Principi di trasparenza e accuratezza
È essenziale che le organizzazioni implementino principi di trasparenza e minimizzazione dei dati. Ogni fase del ciclo di vita dell’AI generativa deve essere analizzata per garantire che i dati siano trattati in modo lecito e che gli interessati possano esercitare i propri diritti in conformità con il GDPR.
Monitoraggio e verifica continua
Le istituzioni devono adottare procedure di data governance con revisioni periodiche, documentando i dataset e i modelli utilizzati. È importante verificare l’accuratezza delle informazioni trattate, in particolare quando si utilizzano terze parti per la raccolta e l’elaborazione dei dati.
In conclusione, l’adozione di sistemi di AI generativa deve essere gestita con cautela per rispettare le normative vigenti e proteggere i diritti delle persone. La guida dell’EDPS offre un quadro chiaro per le istituzioni e le aziende per navigare nel complesso mondo dell’AI generativa in modo conforme ed etico.