AI, innovazione responsabile a prova di privacy: le raccomandazioni della CNIL

GDPR e AI: le due raccomandazioni della CNIL

Ancora una volta il GDPR fa da apripista pur essendo una normativa di un decennio fa e, come dice la CNIL, lo stesso “consente lo sviluppo di un’intelligenza artificiale innovativa e responsabile”.

In altri termini, il GDPR consente un’intelligenza artificiale innovativa che rispetti i dati personali. Né è innegabile che proprio la AI da qui ai prossimi anni avrà un potenziale enorme in materia di innovazione e competitività.

Da questo assunto, ecco che l’Autorità garante privacy francese meglio nota come CNIL pensa bene di elaborare due nuove raccomandazioni che offrono soluzioni concrete al riguardo, stabilendo che gli utenti/interessati siano informati di come i loro dati vengono utilizzati, e facilitando al contempo l’esercizio dei diritti.

Si tratta di raccomandazioni/linee guida risultanze di consultazioni pubbliche con organizzazioni/ricercatori/esperti del settore, sì da garantire che le stesse riflettano le applicazioni dell’AI nei contesto reali.

Obbligo d’informativa agli interessati in caso di addestramento di modelli di AI

Scrive testualmente la CNIL: “Quando i dati personali vengono utilizzati per addestrare un modello di intelligenza artificiale e vengono potenzialmente memorizzati da quest’ultimo, le persone interessate devono esserne informate”.

Quindi, la prima raccomandazione consiste nell’obbligare chi sviluppa di informare l’utente/interessato/deployer se i suoi dati personali servono all’addestramento di modelli di AI a maggior ragione se tali dati possono essere in potenza memorizzati.

Non solo, afferma anche che “le modalità di informazione possono essere adattate in base ai rischi per le persone e ai vincoli operativi”.

Del resto, il GDPR consente, in taluni casi, vieppiù quando i modelli di intelligenza artificiale sono nutriti da dati di terze parti e il fornitore non è in grado di contattare individualmente le persone, “di limitarsi a informazioni di carattere generale (ad esempio, sul sito web dell’organizzazione)”.

È chiaro che il ricorso a svariate fonti, come nel caso di modelli di AI ad uso generale, determina che possano bastare “informazioni globali”, nel senso che possono bastare “categorie di fonti o anche i nomi di alcune fonti principali”.

Esercizio dei diritti il più agevole possibile

Il GDPR, come noto, prevede una serie di diritti come l’accesso, la rettifica, l’opposizione e la cancellazione dei dati personali.

Ecco che l’altra raccomandazione si preoccupa di fare in modo che detti diritti siano accessibili a chiunque e quindi esercitabili da chiunque vi abbia interesse, ben consapevoli che gli stessi possano essere “particolarmente difficili da attuare nel contesto dei modelli di intelligenza artificiale, sia per identificare le persone all’interno del modello sia per modificarlo”.

Di qui, la richiesta della CNIL di “fare il possibile per tenere conto della tutela della privacy fin dalla fase di progettazione del modello”.

In una battuta potremmo così riassumere: privacy e AI un binomio possibilema solo se by design.

GDPR e AI: punti nevralgici delle raccomandazioni CNIL

La CNIL consapevole delle sfide legate anche alla “chiarificazione del quadro giuridico” in materia, si è adoperata per garantire la sicurezza delle parti interessate, al fine di promuovere una innovazione responsabile e accountable.

D’altronde, dal 1978 la Francia è attenta su questi temi, e a maggior ragione oggi con l’uso dell’AI. l’ultima frontiera, ricordando che “dall’avvio del suo  piano d’azione sull’intelligenza artificiale  nel maggio 2023, la CNIL ha adottato nella fattispecie una serie di raccomandazioni per lo sviluppo dei sistemi di intelligenza artificiale”, cui si rinvia.

La chiave di volta è sempre la stessa: “fiducia per le persone e misure di sicurezza per le organizzazioni”.

Adattare i principi del GDPR alle sfide dell’AI

I sistemi di intelligenza artificiale come i cd Large Language Models – LLM spesso contengono dati personali, e in quanto tale richiedono il rispetto dei principi del GDPR con applicazioni dello stesso ad hoc.

Di qui, occorre un necessario adattamento dei principi del GDPR alle specificità dell’AI, sostiene la CNIL.

L’EDPB di recente ha fornito i criteri per l’applicazione del GDPR a un modello di intelligenza artificiale, e laddove si applichi il GDPR, i dati delle persone devono essere protetti, ora attraverso basi di dati, ora all’interno dei modelli che possono averli memorizzati, ora nell’uso dei modelli istruiti tramite i comandi “cd prompt”.

Principio di finalità e limitazione dello scopo

La CNIL ritiene testualmente che: “il principio di finalità si applicherà in modo appropriato ai sistemi di intelligenza artificiale di uso generale”.

Quindi, gli sviluppatori di sistemi di AI debbono descrivere tipi e funzionalità, del sistema che intendono sviluppare con applicazioni specifiche che non possono essere completamente definite durante l’addestramento, limitandone lo scopo.

Minimizzazione dei dati e conservazione dei dati di formazione

Sono consentiti set di dati di grandi dimensioni, purché siano esclusi i dati personali non strettamente necessari. Infatti, dice la CNIL in queste raccomandazioni che“il principio di minimizzazione non impedisce l’utilizzo di grandi database di addestramento”.

Peraltro, i dati utilizzati vanno “selezionati e ripuliti” in modo da ottimizzare l’addestramento dell’algoritmo, evitando così lo sfruttamento di dati personali non strettamente necessari.

Quanto al periodo di conservazione dei dati, questo può essere più o meno lungo se giustificato e nella misura in cui il database sia soggetto ad adeguate misure di sicurezza, in particolare per quei database che richiedono notevoli investimenti sia a livello scientifico che finanziario.

Il costo, l’impossibilità o le difficoltà pratiche possono, afferma la CNIL “talvolta giustificare il rifiuto di esercitare i diritti; quando il diritto deve essere garantito, la CNIL terrà conto delle soluzioni ragionevoli a disposizione del creatore del modello e le condizioni di prescrizione potranno essere modificate”.

La CNIL sottolinea infine che “la ricerca scientifica in questo settore evolve rapidamente”, invitando le parti interessate a tenersi informate sull’evoluzione dello stato dell’arte per tutelare al meglio i diritti delle persone.

Misure concrete per la trasparenza e la protezione dei diritti

Due quindi sono le misure concrete:

1. informare le persone, quando i dati personali vengono utilizzati nell’addestramento dell’intelligenza artificiale;
2. garantire un agevole esercizio dei diritti (di accesso, rettifica, opposizione e cancellazione) in ogni momento fin dalla progettazione (by design), anonimizzando i dati laddove possibile, così prevenendo divulgazioni involontarie.

Flessibilità nella conformità e approccio proattivo e collaborativo

Sebbene la compliance sia prevista, la CNIL riconosce limiti tecnici e pratici, consentendo tempistiche e soluzioni flessibili allorché la piena conformità non sia possibile immediatamente.

La posizione proattiva della CNIL intende quindi fornire una certezza/chiarezza giuridica, aumentando la fiducia nei sistemi di AI, grazie a una innovazione consapevole e più responsabile che rispetti i diritti fondamentali.

Di qui, l’approccio collaborativo affinché le Organizzazioni siano incoraggiate a integrare queste raccomandazioni/linee guisa nei loro processi di sviluppo di sistemi di AI a prova di accountability GDPR e oltre, al passo coi tempi.