I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione GDPR (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

Controlli e intelligenza artificiale – 2

Riprendiamo l’analisi delle implicazioni che lo sviluppo di strumenti di intelligenza artificiale (“IA”) genera nell’ambito della protezione dei dati personali, proseguendo sulle direttrici tracciate nel corso del precedente Editoriale del 16 novembre 2023.

L’acquisizione di un set di dati da parte dello sviluppatore, al fine di utilizzarli per addestrare il modello di IA, allorquando tali dati contengano in tutto o in parte dati personali, realizza un trattamento di dati rientrante nell’ambito applicativo materiale del GDPR.

In relazione a tale trattamento, come già rilevato, lo sviluppatore che agisce in proprio assume il ruolo di titolare e ad esso incombe la responsabilità del rispetto delle prescrizioni del Regolamento, in primis, dei principi generali elencati all’articolo 5.

Principi GDPR

I trattamenti di dati personali effettuati nella fase di sviluppo dell’IA devono innanzitutto soddisfare i principi generali dettati dal GDPR (art. 5). È compito dell’azienda che decide autonomamente di sviluppare lo strumento di IA di accertare, sin dalla fase di progettazione, che i trattamenti di dati personali connessi a tale sviluppo siano conformi ai principi generali.

Lo sviluppatore non può utilizzare un set di dati se conosce, o avrebbe dovuto conoscere usando l’ordinaria diligenza, che esso sia di provenienza illecita; ad esempio, perché realizzato compiendo violazioni alla sicurezza dei dati oppure perché oggetto di un trattamento lesivo di alcuno dei principi o delle regole del GDPR attuative della liceità.

Liceità

I principi generali non seguono un ordine di priorità o di rilevanza, in quanto tutti sono sullo stesso piano giuridico. Ciò non esclude, comunque, che alcuni possano trovarsi in rapporto di presupposto, essendo una condizione indispensabile affinché l’altro principio possa legittimamente produrre la propria efficacia giuridica. È questo il caso del principio di liceità che inevitabilmente influenza gli altri principi dell’articolo 5 del Regolamento. In base ad esso, è compito dello sviluppatore-titolare accertarsi che il trattamento effettuato per la raccolta del set di dati e per l’addestramento del modello sia lecito.

La liceità del trattamento per l’addestramento IA è anche strettamente connessa alla liceità dello scopo che si intende perseguire tramite lo strumento IA in corso di sviluppo.

Riguardo alla specificità della finalità del trattamento, l’onere dell’accertamento della liceità nella fase di acquisizione dei dati può variare in dipendenza della finalità della raccolta.

Si possono verificare due principali casistiche, ciascuna con correlate modalità:

  • Se lo scopo della raccolta originaria è l’addestramento del modello IA e lo sviluppatore acquisisce i dati:
    • direttamente presso gli stessi interessati
    • indirettamente, ad esempio, da fornitore che li ha intenzionalmente messi a disposizione di terzi per il loro riutilizzo come “dati aperti”, ad esempio pubblicandoli su Internet.
  • Se lo sviluppatore riutilizza dati per finalità diverse da quelle originarie
    • raccolti dallo stesso sviluppatore
    • acquisiti da una fonte terza.
Figura – Sintesi delle verifiche di liceità nell’attività di acquisizione dei dati per addestramento IA.

Continua…

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione GDPR.

Sei già abbonato?

Abbonati al SIG

Scopri gli abbonamenti

Data Hub

Scopri di più

Iscriviti al bollettino

Compila il form