Chiarimenti sulla GDPR per l’addestramento dell’AI

Chiarimenti della CNIL sulla Base Giuridica del GDPR per l’Addestramento dell’IA

La recente guida della Commission Nationale de l’Informatique et des Libertés (CNIL) riguardo l’applicazione dell’interesse legittimo come base giuridica per il trattamento dei dati nell’addestramento dei modelli di intelligenza artificiale (IA) offre una chiarezza benvenuta su una questione controversa: l’uso dei dati personali estratti da fonti pubbliche.

Sebbene significativa, questa rappresenta solo uno strato in un complesso insieme di questioni normative che circondano l’addestramento conforme dei modelli di IA. La guida della CNIL contribuisce a ridurre l’incertezza riguardo all’esposizione al GDPR nella fase di addestramento, ma non risolve i problemi legati al copyright, ai diritti sui database, ai rischi di contenzioso post-addestramento e alle obbligazioni di distribuzione.

Cosa Chiarisce la Guida della CNIL

La CNIL afferma che l’addestramento dei modelli di IA su dati personali provenienti da contenuti pubblici può essere lecito ai sensi dell’interesse legittimo, a condizione che vengano rispettate determinate condizioni. Queste richiedono un bilanciamento credibile degli interessi, salvaguardie dimostrabili e documentazione chiara.

Alcuni punti chiave di chiarimento includono:

• Lo scraping web potrebbe essere consentito, a condizione che rispetti le aspettative di privacy contestuali. Non dovrebbe avvenire in siti che lo proibiscono attivamente o da piattaforme destinate ai minori.
• L’uso di dati su larga scala non è intrinsecamente illecito. La CNIL riconosce che dataset ampi possono essere necessari per lo sviluppo efficace dell’IA.
• Il beneficio per l’utente finale potrebbe favorire il titolare del trattamento nella valutazione dell’interesse legittimo.
• Il rischio di rigurgito deve essere affrontato, non eliminato. La CNIL non si aspetta la perfezione, ma evidenze di mitigazione.
• I diritti degli interessati possono essere rispettati indirettamente. Dove le architetture dei modelli rendono difficile l’implementazione dell’osservazione o della cancellazione individuale, possono essere ammesse alternative.
• La documentazione deve essere preparata al momento dell’addestramento.
• Le DPIA possono essere ancora richieste.

Confronto con Altri Regolatori

Sebbene la guida della CNIL sia la più strutturata fino ad oggi, altre autorità per la protezione dei dati stanno operando con vari livelli di chiarezza:

• L’ICO del Regno Unito ha riconosciuto che le regole esistenti del GDPR possono essere sufficienti per giustificare l’addestramento dell’IA.
• La DPC irlandese e il Garante italiano si sono concentrati principalmente sull’applicazione nella fase di distribuzione.
• Un approccio pan-europeo rimane assente.

La Situazione Normativa più Ampia

La guida della CNIL offre una posizione difendibile sul GDPR per l’addestramento dei modelli, ma non risolve altre restrizioni legali che limitano ancora la viabilità dei sistemi di IA, specialmente in ambito commerciale.

• Le leggi sul copyright e sui database rimangono vincolanti.
• I termini contrattuali limitano l’accesso e il riutilizzo.
• Il dispiegamento introduce nuovi strati normativi.

Questo frazionamento normativo sta diventando sempre più geopolitico. Come ha osservato il Presidente francese Emmanuel Macron, “L’IA non può essere il Far West … devono esserci delle regole.”

Priorità Operative e Posizionamento Legale

Per i team legali, di privacy e di prodotto che navigano in questi regimi sovrapposti, le priorità non riguardano la reinvenzione della governance, ma l’applicazione di un giudizio strutturato nei momenti chiave.

• Utilizzare la guida della CNIL per rafforzare la governance della privacy esistente.
• La conformità nella fase di addestramento non consente l’uso commerciale.
• Il dispiegamento rimane un livello di conformità separato.
• Lavorare in modo trasversale ed efficiente.
• Assegnare responsabilità interne.
• Pianificare per l’incoerenza e documentare tutto.

Nonostante questa chiarezza, le organizzazioni dovrebbero resistere alla tentazione di considerare la conformità nella fase di addestramento del GDPR come un problema risolto. L’interpretazione varierà tra gli stati membri, e l’applicazione si concentrerà probabilmente su risultati end-to-end.