Il GDPR consente lo sviluppo di un’intelligenza artificiale innovativa e responsabile in Europa. Le due nuove raccomandazioni della CNIL lo dimostrano, proponendo soluzioni concrete per informare le persone i cui dati vengono utilizzati e facilitare l’esercizio dei loro diritti.

Il GDPR consente un’intelligenza artificiale innovativa che rispetta i dati personali

L’ Artificial Intelligence Action Summit , organizzato dalla Francia dal 6 all’11 febbraio 2025, ospiterà numerosi eventi che confermeranno che l’intelligenza artificiale ha un potenziale di innovazione e competitività per i prossimi anni.

Dal 1978 la Francia ha adottato norme volte a disciplinare l’uso dei dati personali da parte delle tecnologie digitali. In Europa, queste norme sono state armonizzate dal Regolamento generale sulla protezione dei dati (GDPR), i cui principi ispirano molti paesi a livello internazionale.

Consapevole delle sfide legate alla chiarificazione del quadro giuridico, la CNIL si adopera, attraverso tutte le sue azioni, per garantire la sicurezza delle parti interessate, al fine di promuovere l’innovazione nell’intelligenza artificiale, garantendo nel contempo il rispetto dei diritti fondamentali degli europei . Dall’avvio del suo  piano d’azione sull’intelligenza artificiale  nel maggio 2023, la CNIL ha in particolare adottato una serie di raccomandazioni per lo sviluppo dei sistemi di intelligenza artificiale . Così chiarita e chiarita, l’applicazione del GDPR è un fattore di fiducia per le persone e di sicurezza giuridica per le aziende.

Un necessario adattamento dei principi del GDPR alle specificità dell’IA

Alcuni modelli di intelligenza artificiale sono anonimi: non sono tenuti ad applicare il GDPR. Ma altri modelli, come il Language Model (LLM), possono contenere dati personali. Il Comitato europeo per la protezione dei dati ha recentemente fornito criteri pertinenti per l’applicazione del GDPR a un modello di intelligenza artificiale.

Laddove sia applicabile il GDPR, i dati delle persone devono essere protetti, sia attraverso basi di formazione, sia all’interno dei modelli che possono averli memorizzati, sia nell’uso dei modelli mediante prompt. Ma i principi cardinali di questa tutela, che restano validi, devono essere applicati nel contesto specifico dell’intelligenza artificiale.

La CNIL ha quindi ritenuto che: 

• il principio di finalità si applicherà in modo appropriato ai sistemi di intelligenza artificiale di uso generale  : un operatore che non è in grado di definire con precisione tutte le sue future applicazioni a partire dalla fase di formazione potrà limitarsi a descrivere il tipo di sistema sviluppato e ad illustrare le principali possibili funzionalità;
   
• il principio di minimizzazione non impedisce l’utilizzo di grandi database di addestramento . In linea di principio, i dati utilizzati dovrebbero essere selezionati e ripuliti in modo da ottimizzare l’addestramento dell’algoritmo , evitando al contempo lo sfruttamento di dati personali non necessari.
   
• il periodo di conservazione dei dati di formazione può essere lungo se giustificato e se il database è soggetto ad adeguate misure di sicurezza , in particolare per i database che richiedono notevoli investimenti scientifici e finanziari e talvolta diventano standard riconosciuti. dalla comunità scientifica.
   
• il riutilizzo delle banche dati, in particolare di quelle accessibili online, è possibile in molti casi , previa verifica che i dati non siano stati raccolti in modo manifestamente illecito e che il riutilizzo sia compatibile con la raccolta iniziale.

Le nuove raccomandazioni della CNIL

La CNIL pubblica oggi  due nuove raccomandazioni  per l’uso dell’intelligenza artificiale nel rispetto dei dati personali, che confermano che i requisiti del GDPR sono sufficientemente equilibrati per rispondere alle specificità dell’intelligenza artificiale. Queste raccomandazioni propongono soluzioni concrete e proporzionate per informare e facilitare l’esercizio dei diritti delle persone:

• Quando i dati personali vengono utilizzati per addestrare un modello di intelligenza artificiale e vengono potenzialmente memorizzati da quest’ultimo, le persone interessate devono esserne informate.
  
  Le modalità di informazione possono essere adattate in base ai rischi per le persone e ai vincoli operativi. Il GDPR consente, in determinati casi, in particolare quando i modelli di intelligenza artificiale vengono creati a partire da fonti terze ( dati di terze parti ) e il fornitore non è in grado di contattare le persone individualmente, di limitarsi a informazioni di carattere generale (ad esempio, sul sito web dell’organizzazione). Quando si utilizzano numerose fonti, come nel caso ad esempio dei modelli di intelligenza artificiale di uso generale, di solito sono sufficienti informazioni globali, ad esempio che indichino categorie di fonti o anche i nomi di alcune fonti principali.

Consultare le raccomandazioni della CNIL per informare le persone

• La normativa europea prevede diritti di accesso, rettifica, opposizione e cancellazione dei dati personali.
  
  Tuttavia, questi diritti possono essere particolarmente difficili da attuare nel contesto dei modelli di intelligenza artificiale, sia per identificare le persone all’interno del modello sia per modificarlo. La CNIL chiede alle parti interessate di fare il possibile per tenere conto della tutela della privacy fin dalla fase di progettazione del modello. In particolare, si invitano gli interessati a prestare particolare attenzione ai dati personali presenti nelle basi formative:
  • cercando di rendere anonimi i modelli, quando ciò non sia contrario all’obiettivo perseguito; E
     
  • sviluppando soluzioni innovative per impedire la divulgazione di dati personali riservati da parte del modello.

Il costo, l’impossibilità o le difficoltà pratiche possono talvolta giustificare il rifiuto di esercitare i diritti; quando il diritto deve essere garantito, la CNIL terrà conto delle soluzioni ragionevoli a disposizione del creatore del modello e le condizioni di prescrizione potranno essere modificate. La CNIL sottolinea che la ricerca scientifica in questo settore evolve rapidamente e invita le parti interessate a tenersi informate sull’evoluzione dello stato dell’arte per tutelare al meglio i diritti delle persone.
 

Vedere le raccomandazioni della CNIL sui diritti delle persone

 ►  Vedi tutte le raccomandazioni CNIL sull’IA 

Consultazione con gli stakeholder dell’IA e la società civile

Tutte queste raccomandazioni sono state sviluppate a seguito di una consultazione pubblica. Le parti interessate (aziende, ricercatori, accademici, associazioni, consulenti legali e tecnici, sindacati, federazioni, ecc.) hanno potuto esprimersi e  consentire alla CNIL di proporre raccomandazioni il più possibile vicine alle loro domande e alla realtà degli utilizzi dell’IA.

Visualizza il riepilogo dei contributi 

Il lavoro della CNIL per garantire un’applicazione completa e pragmatica del GDPR nel campo dell’intelligenza artificiale continuerà nei prossimi mesi con nuove raccomandazioni e supporto alle organizzazioni. Inoltre, la CNIL sta seguendo i lavori dell’ufficio IA della Commissione europea per elaborare un codice di buone pratiche sull’IA di uso generale e si sta coordinando con il lavoro di chiarimento del quadro giuridico svolto a livello europeo.

https://www.cnil.fr/fr/ia-et-rgpd-la-cnil-publie-ses-nouvelles-recommandations-pour-accompagner-une-innovation-responsable