L’evoluzione dell’Intelligenza Artificiale generativa sta trasformando radicalmente il modo in cui le organizzazioni trattano i dati, offrendo nuove opportunità ma anche sfide rilevanti in termini di protezione dei dati personali. In questo senso, le recenti linee guida emanate dall’Autorità svedese per la protezione dei dati (IMY) e le raccomandazioni del garante francese (CNIL) hanno iniziato a tracciare un percorso nel tentativo di coniugare privacy e intelligenza artificiale, bilanciare l’innovazione in ambito AI col rispetto del GDPR e dei diritti degli interessati. Analizziamo allora i principali aspetti normativi e operativi per un utilizzo responsabile dell’AI generativa.
Indice
Bilanciare privacy e intelligenza artificiale
L’utilizzo dell’AI generativa comporta il trattamento di enormi quantità di dati. La versatilità, l’accessibilità, e la facilità d’uso di strumenti come ChatGPT, Copilot, Claude, Gemini, ecc., devono tuttavia essere bilanciate con un’adeguata gestione dei rischi per la protezione dei dati personali. Le valutazioni d’impatto sulla protezione dei dati (DPIA) diventano quindi sempre più essenziali per comprendere e mitigare i potenziali rischi.
E sebbene alcune posizioni tendano a percepire maggiormente le limitazioni imposte dalle normative, il rispetto dei principi del GDPR può contribuire anche nel contesto dell’AI a favorire uno sviluppo sostenibile, soprattutto se applicato con flessibilità e attenzione alle esigenze emergenti.
L’approccio delle Autorità alla protezione dei dati trattati tramite AI
Nel documento pubblicato il 5 febbraio 2025, IMY fornisce indicazioni operative per l’utilizzo dell’AI generativa nella pubblica amministrazione, evidenziando aspetti di conformità ai principi di protezione dei dati, tra cui spiccano le pratiche di minimizzazione dei dati, quelle in favore della trasparenza nel trattamento, nonché l’importanza di implementare politiche che regolamentino l’uso dell’AI – supportato da una adeguata base legale – e ne definiscano i limiti operativi.
Per l’autorità svedese, un corretto approccio alla divisione dei ruoli rappresenta altresì un elemento sostanziale che deve consentire di regolare i rapporti tra utilizzatore e fornitore del sistema, e prevenire trattamenti imprevisti da parte di quest’ultimo.
Posizioni analoghe sono assunte anche dalla CNIL attraverso le raccomandazioni pubblicate il 7 febbraio 2025. L’autorità francese enfatizza in particolar modo la trasparenza, la selezione delle fonti e la qualità dei dataset, e si distingue per la spinta verso meccanismi di controllo sugli output, che permettano agli utenti di correggere o segnalare risposte errate.
Trasparenza nei trattamenti di dati dell’AI generativa
I sistemi di Intelligenza Artificiale generativa possono trattare dati personali in fase di sviluppo del modello (accesso ed elaborazione dei dataset di addestramento), così come attraverso l’utilizzo del modello stesso (acquisizione degli input e generazione delle risposte).
Per entrambe le circostanze, la regola è che gli utenti debbano essere adeguatamente e chiaramente informati su come e perché i loro dati sono raccolti, utilizzati e memorizzati da un sistema AI.
Secondo le indicazioni delle autorità europee, ciò implica un impegno nella pubblicazione di policy sulla trasparenza, nell’uso di interfacce con notifiche informative, e/o meccanismi di controllo sugli output generati, per fornire almeno:
- Informazioni chiare sulla fonte dei dati: se un modello viene addestrato su dati personali, le organizzazioni devono dichiararne l’origine, specificando ad esempio se provengano da fonti pubbliche, dataset proprietari o contributi degli utenti.
- Chiarimenti sulle finalità del trattamento: gli utenti devono sapere se i loro dati vengono utilizzati per migliorare l’algoritmo, per personalizzare risposte o per altri scopi aziendali.
- Indicazioni sulle modalità di esercizio dei diritti: nonostante le complessità tecniche, ciò implica l’impegno a progettare soluzioni per l’accesso, la rettifica, la cancellazione dei dati personali (o almeno una particolare attenzione alle eventuali limitazioni per questi diritti).
- Chiarezza sui limiti del sistema: gli utenti devono essere resi consapevoli che i modelli statistici utilizzati dall’AI generativa possono generare contenuti imprecisi, evitando così un’eccessiva fiducia nelle risposte fornite.
[ved. anche Machine Learning e privacy: i miti da sfatare]
Chi risponde del trattamento dati dell’AI generativa?
Come abbiamo visto, un elemento centrale per garantire la conformità al GDPR è la chiara definizione dei ruoli. Adottando una semplificazione generale, le Autorità sono concordi nell’individuare:
-
Titolare del Trattamento. L’organizzazione che utilizza l’AI generativa è il primo soggetto chiamato a definire correttamente le finalità e i mezzi di trattamento dei dati, assicurando la conformità normativa attraverso audit e controlli interni.
-
Responsabile del Trattamento. Il fornitore del sistema AI, che elaborerà i dati per conto dell’organizzazione titolare, agirà invece come Responsabile del trattamento. L’adozione di un tipico accordo sulla protezione dei dati, pur con le specificità del caso, garantirà da un punto di vista contrattuale le corrette modalità di trattamento dei dati, evitando ad esempio che il fornitore utilizzi i dati per scopi propri o per ulteriori sviluppi del modello.
[Ved. anche Provider e Deployer nell’AI Act: chi sono e cosa fanno?]
Attenzione, quindi, alle circostanze in cui l’AI dovesse elaborare dati in modo inaspettato o comportare trattamenti non previsti. Potrebbe trattarsi di un chatbot usato per il supporto ai clienti che restituisce informazioni errate causando un disservizio, oppure un sistema di analisi automatizzata utilizzato nella selezione del personale che filtra i candidati in maniera errata per via di un bias nei dati storici. Senza chiare limitazioni e tutele da parte del fornitore tecnico, sarà l’organizzazione titolare a dover rispondere in primis per violazioni di questa natura.
Migliorare la consapevolezza: l’esempio delle “allucinazioni”
Uno degli aspetti critici dell’AI generativa è il fenomeno delle allucinazioni: il modello AI – affidandosi a modelli puramente probabilistici – può generare informazioni apparentemente plausibili ma prive di fondamento reale, creando contenuti di fatto errati o inventati. Questo fenomeno può compromettere l’affidabilità delle risposte e, di conseguenza, la qualità del trattamento dei dati personali.
È l’esempio ideale per evidenziare quanto sia essenziale promuovere una maggiore consapevolezza tra gli utenti aziendali sull’uso di questi strumenti. Oltre che promuovere una “sana diffidenza” verso gli output dei sistemi AI, può diventare rilevante rendersi consapevoli che il modo stesso in cui vengono poste le domande potrà influenzare le risposte. Che alcune strutture linguistiche possono incentivare l’AI a produrre contenuti inesatti nel tentativo di “accontentare l’utente”. Che in settori particolarmente critici (come quello sanitario, legale o finanziario, dove un errore potrebbe avere conseguenze marcate) potrebbero essere necessarie delle specifiche limitazioni d’uso, o l’integrazione di soluzioni di revisione attenta e dei meccanismi di feedback per raccogliere le segnalazioni di errori.
L’integrazione di queste strategie nei processi aziendali non solo riduce il rischio di errori, ma aiuta anche a costruire una cultura aziendale più informata e consapevole nell’uso dell’AI generativa.
[ved. anche Cybersecurity dell’AI: l’affidabilità va messa nell’equazione]
Fondamento giuridico e gestione dei rischi
Come per qualsiasi forma di trattamento dati, anche l’utilizzo di AI generativa richiede il supporto di una base legale specifica. E se, da una parte, gli enti pubblici potranno essere in qualche misura agevolati a integrare i sistemi AI ove correlati alle necessità di svolgere attività di interesse pubblico, per le operazioni private sarà innanzitutto essenziale dimostrare la necessità e l’efficacia dei trattamenti messi in atto attraverso l’utilizzo dell’AI.
A prescindere dal soggetto, ancora una volta emerge l’utilità di un approccio sistematico alla gestione dei rischi, che includa il ricorso alla valutazione d’Impatto. Per legittimare l’interesse di un’organizzazione a implementare strumenti basati su AI, sarà indispensabile condurre un’analisi mirata capace di identificare i rischi relativi alla privacy e che porti all’implementazione di idonee misure di mitigazione. Dalle “classiche” pratiche di anonimizzazione e pseudonimizzazione dei dati personali affidati al modello AI, all’integrazione di metodi per la validazione umana degli output generati automaticamente dai sistemi.
Ma anche soluzioni organizzative. Con specifico riferimento all’utilizzo di sistemi basati su AI generativa, ad esempio, molte realtà stanno avvicinando l’opportunità di posizionarsi esplicitamente attraverso un codice etico aziendale sull’AI, la promozione di politiche di formazione e sensibilizzazione del personale. Obiettivi dichiarati: consentire agli operatori di identificare i rischi insiti nell’utilizzo degli strumenti AI, o le più corrette e sicure modalità d’uso. E magari, fissare qualche paletto verso i dipendenti per proteggere dati personali, informazioni riservate e know-how dell’impresa, senza per questo frenare l’innovazione.
Verso un uso responsabile dell’AI generativa
Le raccomandazioni delle autorità europee evidenziano la necessità di un utilizzo consapevole e regolamentato dell’AI generativa. Sul piano operativo, per le imprese private, si potrebbero riassumere le principali pratiche suggerite in:
- Valutazione dei rischi: eseguire valutazioni d’impatto sulla protezione dei dati (DPIA) per identificare e mitigare potenziali rischi.
- Definizione dei ruoli: con precisi vincoli e responsabilità nei rapporti titolari e responsabili del trattamento dei dati.
- Garanzie di trasparenza: informare chiaramente gli utenti su come i loro dati vengono raccolti, utilizzati e protetti.
- Formazione del personale: dare indicazioni operative, promuovere una cultura per il corretto utilizzo degli strumenti AI e sulle loro implicazioni.
- Implementare misure di controllo: adottare politiche e procedure per monitorare e verificare gli output generati dall’AI, assicurando la qualità e l’affidabilità delle informazioni.
Integrare l’AI nei processi aziendali richiede un equilibrio tra innovazione e conformità. Attività come quelle in elenco possono ridurre significativamente i rischi di trattamento illecito o errato dei dati, e un approccio che combini sicurezza, trasparenza e supervisione umana consentirà alle organizzazioni di sfruttare il potenziale dell’AI generativa minimizzando i rischi per la protezione dei dati personali e per la fiducia degli utenti.
