Vai al contenuto principale Vai in fondo alla pagina

Dichiarazione delle Autorità per la Protezione dei Dati Personali sull’IA generativa al G7 Giappone 2023

Data:

23 Marzo 2025

Tempo di lettura:

5 minimo

Argomenti
News
Dichiarazione delle Autorità per la protezione dei Dati Personali sull'AI generative al G7 Giappone 2023.

Dichiarazione delle Autorità per la Protezione dei Dati Personali sull’IA generativa al G7 Giappone 2023

  1. Noi, i Garanti per la protezione dei dati personali e della privacy (Data Protection and Privacy Authorities, DPA) del G7, ci siamo riuniti per discutere i recenti sviluppi e le nuove sfide relativamente alle tecnologie di IA generativa dal punto di vista della protezione dei dati e della privacy.
  2. Nel quadro del rapido sviluppo e della diffusione delle tecnologie di IA generativa, dell’ampia proliferazione del loro utilizzo in tutto il mondo e della loro sempre più frequente adozione in vari ambiti, rileviamo un aumento delle preoccupazioni riguardo al fatto che l’IA generativa possa comportare rischi e potenziali danni alla privacy, alla protezione dei dati e ad altri diritti umani fondamentali, se non adeguatamente sviluppata e regolamentata. A questo proposito, accogliamo con favore la Dichiarazione Ministeriale del G7 Digital and Tech dell’aprile 2023, che ribadisce la posizione secondo cui le leggi, i regolamenti, le politiche e gli standard relativi all’IA “dovrebbero incentrarsi sull’uomo e basarsi su valori democratici, tra cui la tutela dei diritti umani e delle libertà fondamentali e la protezione della privacy e dei dati personali”.
  3. Prendiamo atto che la legge attuale si applica ai prodotti e agli impieghi dell’IA generativa, sebbene le diverse giurisdizioni continuino a sviluppare leggi e politiche specifiche per l’IA.
  4. Richiamiamo l’attenzione sulle principali aree di interesse in cui potrebbero insorgere rischi per la privacy e la protezione dei dati nel contesto degli strumenti di IA generativa, tra cui, a titolo esemplificativo e non esaustivo:
  • Autorità giuridica per il trattamento dei dati personali, in particolare quelli di minori e bambini, in relazione a:
    • banche dati utilizzate per addestrare, convalidare e testare i modelli di IA generativa;
    • interazioni degli individui con gli strumenti di IA generativa; e
    • contenuti generati dagli strumenti di IA generativa.
  • Misure di sicurezza contro minacce e attacchi volti a:
    • invertire il modello di IA generativa al fine di estrarre o riprodurre le informazioni personali originariamente elaborate nelle banche dati utilizzate per addestrare il modello; e
    • minare l’efficacia delle misure concepite al fine di promuovere l’osservanza di altri requisiti di privacy e protezione dei dati.
  • Misure di mitigazione e di monitoraggio volte a garantire che le informazioni personali generate da strumenti di IA generativa siano:
    • accurate, complete e aggiornate; e
    • prive di effetti discriminatori, illegali o altrimenti ingiustificabili.
  • Misure di trasparenza atte a promuovere l’accessibilità e la chiarezza del funzionamento degli strumenti di IA generativa, in particolare nei casi in cui tali strumenti vengono utilizzati al fine di adottare o contribuire a decisioni aventi ad oggetto le persone.
  • Produzione di documentazione tecnica nell’ambito del ciclo di vita dello sviluppo, al fine di valutare la conformità degli strumenti di IA generativa ai requisiti di privacy e protezione dei dati.
  • Misure tecniche e organizzative volte a garantire che i soggetti interessati o coinvolti da questi sistemi abbiano la possibilità di esercitare i loro diritti in relazione agli strumenti di IA generativa relativamente a:
    • accesso alle proprie informazioni personali;
    • rettifica di informazioni personali inesatte;
    • cancellazione delle proprie informazioni personali; e
    • rifiuto di sottostare a decisioni basate su processi esclusivamente automatizzati e con effetti significativi.
  • Misure di accountability (responsabilizzazione) atte a garantire livelli adeguati di responsabilità tra le parti della catena di fornitura di IA, specialmente quando i modelli di IA generativa sono basati l’uno sull’altro.
  • Limitare la raccolta dei dati personali esclusivamente a quanto necessario alla realizzazione delle specifiche attività.
  1. Prendiamo atto dei recenti sviluppi all’interno del G7. In particolare, ricordiamo che il Garante per la protezione dei dati personali (nell’ambito di un’attività investigativa ancora in corso) aveva sospeso temporaneamente i servizi che utilizzano IA generativa in Italia, a causa di una possibile violazione del GDPR e della relativa legge nazionale, sebbene la sospensione sia stata revocata in seguito all’implementazione di miglioramenti in materia di trasparenza e di diritti individuali nei confronti del suo servizio, in conformità al provvedimento emanato dall’autorità italiana. Segnaliamo che un atteggiamento di attenzione da parte delle aziende tecnologiche nei confronti dei requisiti legali e delle linee guida dei Garanti Privacy e, laddove appropriato, una proficua comunicazione tra le aziende tecnologiche e i Garanti Privacy, possono contribuire alla progettazione, allo sviluppo e all’implementazione responsabile di prodotti e servizi di IA generativa, al fine di garantire il riconoscimento e la protezione della privacy e di altri diritti umani fondamentali. Inoltre, prendiamo atto delle varie azioni in corso da parte dei Garanti Privacy del G7, tra cui:
    • Studio dell’IA generativa in base alle rispettive legislazioni ed emissione di un avviso normativo.
    • Promozione della cooperazione e scambio di informazioni su possibili interventi esecutivi mediante una task force
    • Attività di informazione in materia di IA, quali indicazioni sulle migliori pratiche in materia di protezione dei dati e di conformità alla privacy.
    • Sostegno a progetti e operatori innovativi basati sull’IA, ivi inclusa una sandbox regolamentare.
  2. Gli sviluppatori e i fornitori dovrebbero integrare la tutela della privacy nella progettazione, nell’ideazione, nel funzionamento e nella gestione di nuovi prodotti e servizi che utilizzano tecnologie di IA generativa, basandosi sul concetto di “Privacy by Design” e documentando le loro scelte e analisi nell’ambito di una valutazione dell’impatto sulla privacy. In particolare, gli sviluppatori e i fornitori sono tenuti a conformarsi alle leggi esistenti e ad aderire ai principi chiave di protezione dei dati e della privacy osservati a livello internazionale, come la minimizzazione e la qualità dei dati, la specificazione delle finalità, la limitazione dell’uso, le garanzie di sicurezza, la trasparenza, i diritti degli interessati, ivi incluso il diritto di ricevere informazioni sulla raccolta e sull’uso dei loro dati personali, e la responsabilità. Gli sviluppatori e i fornitori dovrebbero inoltre mettere in atto misure volte a garantire che anche chi impiega/adotta i loro sistemi sia in grado di adempiere ai propri obblighi in materia di protezione dei dati e di privacy.
  3. I Garanti Privacy del G7 concordano sulla necessità di ulteriori discussioni e collaborazioni sulla questione della protezione dei dati personali nel contesto dell’IA generativa, da un punto di vista etico, legale, sociale e tecnico, e continueranno a studiare il modo migliore per proteggere la privacy in relazione all’IA generativa nel Gruppo di lavoro sulle tecnologie emergenti e nel Gruppo di lavoro sulla cooperazione per l’applicazione della legge nell’ambito della Tavola rotonda della Autorità per la protezione dei dati e della privacy del G7. Contribuiremo alle discussioni sull’IA generativa tenute in altri consessi internazionali e sottolineeremo la necessità di prestare molta attenzione alla protezione dei dati e alla privacy.
Design Agency