Parere dell’EDPB sui modelli di IA: I principi del GDPR supportano l’IA responsabile
-
- 28 Gennaio 2025
In data 18 dicembre 2024, il comitato europeo per la protezione dei dati (EDPB) ha adottato un parere sull’uso dei dati personali per lo sviluppo e la diffusione di modelli di IA.
Il parere[1] esamina i seguenti aspetti:
1) quando e come i modelli di IA possono essere considerati anonimi,
2) se e come l’interesse legittimo può essere utilizzato come base giuridica per lo sviluppo o l’utilizzo di modelli di IA,
3) cosa succede se un modello di IA è sviluppato utilizzando dati personali trattati illecitamente. Considera anche l’uso di dati di prima e terza parte.[2]
Il Consiglio concorda con l’Autorità Garante richiedente che, dal punto di vista della protezione dei dati, lo sviluppo e l’implementazione di modelli di intelligenza artificiale sollevano questioni fondamentali in materia di protezione dei dati.
A proposito di dato anonimo
Per quanto riguarda l’anonimato, il parere afferma che l’anonimato di un modello di IA dovrebbe essere valutato caso per caso dalle autorità di protezione dei dati. Affinché un modello sia anonimo, dovrebbe essere molto improbabile, che si verifichino entrambi le ipotesi:
(1) identificare direttamente o indirettamente le persone i cui dati sono stati utilizzati per creare il modello, e
(2) estrarre tali dati personali dal modello attraverso query.
Il parere fornisce un elenco non prescrittivo e non esaustivo di metodi per dimostrare l’anonimato.
Pertanto, alla domanda si può rispondere analizzando se un modello di IA risultante da una formazione che comporta il trattamento di dati personali debba, in ogni caso, essere considerato anonimo. In base alla formulazione della domanda, l’EDPB farà riferimento in questa sezione al processo di “addestramento” di un modello di intelligenza artificiale. Innanzitutto, l’EDPB desidera fornire le seguenti considerazioni generali.
I modelli di intelligenza artificiale, indipendentemente dal fatto che siano addestrati o meno con dati personali, sono generalmente progettati per fare previsioni o trarre conclusioni, ovvero sono progettati per dedurre.
Inoltre, i modelli di intelligenza artificiale addestrati con dati personali sono spesso progettati per fare inferenze su individui diversi da quelli i cui dati personali sono stati utilizzati per addestrare il modello di intelligenza artificiale. Tuttavia, alcuni modelli di intelligenza artificiale sono progettati specificamente per fornire dati personali riguardanti individui i cui dati personali sono stati utilizzati per addestrare il modello o in qualche modo per rendere disponibili tali dati. In questi casi, tali modelli di intelligenza artificiale includeranno intrinsecamente (e in genere necessariamente) informazioni relative a una persona fisica identificata o identificabile, e quindi comporteranno il trattamento di dati personali. Pertanto, questi tipi di modelli di intelligenza artificiale non possono essere considerati anonimi. Questo sarebbe il caso, ad esempio,
(i) di un modello generativo messo a punto sulle registrazioni vocali di un individuo per imitarne la voce; o
(ii) qualsiasi modello progettato per rispondere con i dati personali della formazione quando vengono richieste informazioni riguardanti una persona specifica.
L’EDPB ritiene che, anche quando un modello di IA non è stato intenzionalmente progettato per produrre informazioni relative a una persona fisica identificata o identificabile dai dati di addestramento, le informazioni provenienti dall’insieme di dati di addestramento, compresi i dati personali, potrebbero comunque rimanere “assorbite” nei parametri del modello, ovvero rappresentato attraverso oggetti matematici.
Possono differire dai dati di addestramento originali, ma possono comunque conservare le informazioni originali di tali dati, che alla fine possono essere estraibili o altrimenti ottenute, direttamente o indirettamente, dal modello. Ogni volta che informazioni relative a individui identificati o identificabili i cui dati personali sono stati utilizzati per addestrare il modello possono essere ottenute da un modello di intelligenza artificiale con mezzi ragionevolmente probabili da utilizzare, si può concludere che tale modello non è anonimo.
Sulla base delle considerazioni di cui sopra, l’EDPB ritiene che i modelli di IA addestrati sui dati personali non possano, in tutti i casi, essere considerati anonimi.
Invece, la determinazione se un modello di IA sia anonimo dovrebbe essere valutata, sulla base di criteri specifici, caso per caso. Si chiede all’EDPB di chiarire le circostanze in cui un modello di IA, che è stato formato utilizzando dati personali, può essere considerato anonimo.
Si chiede, altresì, all’EDPB di chiarire quali prove e/o documentazione le autorità di revisione dovrebbero prendere in considerazione nel valutare se un modello di IA è anonimo.
Poiché i modelli di intelligenza artificiale di solito non contengono record che possono essere direttamente isolati o collegati, ma piuttosto parametri che rappresentano relazioni probabilistiche tra i dati contenuti nel modello, potrebbe essere possibile dedurre informazioni dal modello, come l’inferenza dell’appartenenza, in scenari realistici. Pertanto, affinché un’autorità di controllo possa concordare con il titolare del trattamento che un determinato modello di IA possa essere considerato anonimo, dovrebbe verificare almeno se ha ricevuto prove sufficienti che, con mezzi ragionevoli:
(i) i dati personali, relativi ai dati di formazione, non possono essere estratto dal modello; e
(ii) qualsiasi output prodotto durante l’interrogazione del modello non si riferisce agli interessati i cui dati personali sono stati utilizzati per addestrare il modello.
Le autorità di controllo dovrebbero considerare tre elementi nel valutare se tali condizioni siano soddisfatte.
In primo luogo, le autorità competenti dovrebbero considerare gli elementi individuati nei più recenti pareri del WP29 e/o nelle linee guida dell’EDPB in materia. Per quanto riguarda l’anonimizzazione alla data del presente Parere, le SA dovrebbero considerare gli elementi inclusi nel WP29 Opinion 05/2014[3] sulle tecniche di anonimizzazione (il “WP29 Opinion 05/2014”), il quale afferma che se non è possibile individuare, collegare e dedurre informazioni da un set di dati apparentemente anonimo, i dati possono essere considerati anonimi. Si afferma inoltre che “ogniqualvolta una proposta non soddisfa uno dei criteri, dovrebbe essere effettuata una valutazione approfondita dei rischi di identificazione”.
In sintesi, l’EDPB ritiene che, affinché un modello di IA possa essere considerato anonimo, utilizzando mezzi ragionevoli, sia
(i) la probabilità di estrazione diretta (anche probabilistica) di dati personali riguardanti individui i cui dati personali sono stati utilizzati per addestrare il modello; nonché
(ii) la probabilità di ottenere, intenzionalmente o meno, tali dati personali a seguito di query, dovrebbe essere insignificante per qualsiasi interessato.
Per impostazione predefinita, le autorità di vigilanza dovrebbero considerare che i modelli di IA richiederanno probabilmente una valutazione approfondita della probabilità di identificazione per giungere a una conclusione sulla loro possibile natura anonima. Tale probabilità dovrebbe essere valutata tenendo conto di “tutti i mezzi che ragionevolmente possono essere utilizzati” dal titolare del trattamento o da un’altra persona, e dovrebbe anche considerare il (ri)utilizzo o la divulgazione non intenzionale del modello.
L’interesse legittimo quale base giuridica?
Per quanto riguarda l’interesse legittimo, da utilizzare quale base giuridica per il trattamento dei dati personali, il parere fornisce considerazioni generali di cui le autorità di protezione dei dati dovrebbero tenere conto nel valutare se l’interesse legittimo sia una base giuridica adeguata per il trattamento dei dati personali ai fini dello sviluppo e della diffusione di modelli di IA.
Sull’adeguatezza dell’interesse legittimo come base giuridica per il trattamento dei dati personali nel contesto dello sviluppo e dell’implementazione dei modelli di IA l’EDPB innanzitutto fornire osservazioni generali su alcuni aspetti importanti di cui le autorità competenti dovrebbero tenere conto, indipendentemente dalla base giuridica del trattamento, nel valutare come i titolari del trattamento possano dimostrare la conformità al GDPR nel contesto dei modelli di IA.
L’EDPB, basandosi sulle Linee guida 1/2024[4] sul trattamento dei dati personali basate sull’articolo 6, paragrafo 1, lettera f), GDPR, prenderà quindi in considerazione le tre fasi richieste dalla valutazione dell’interesse legittimo nel contesto dello sviluppo e dell’implementazione di modelli di IA.
Le organizzazioni trattano spesso dati personali per svolgere compiti relativi alle loro attività. Per poter trattare i dati personali, le organizzazioni devono innanzitutto garantire che il trattamento sia lecito. Pertanto, devono fare affidamento su una delle sei basi giuridiche stabilite nell’articolo 6 GDPR, una delle quali è l’interesse legittimo (articolo 6, paragrafo 1, lettera f)). L’interesse legittimo può essere applicato in diverse situazioni, come la costruzione di rapporti con i clienti, il marketing diretto, la prevenzione delle frodi, la sicurezza. Le linee guida dell’EDPB sull’interesse legittimo spiegano quando l’interesse legittimo può o meno essere invocato.
FASE 1 Esiste un interesse legittimo del titolare del trattamento o di terzi? Non tutti gli interessi possono essere considerati legittimi. Come regola generale, l’interesse perseguito da un’organizzazione o da un terzo dovrebbe essere correlato alle loro attività effettive e non dovrebbe essere contrario al diritto dell’UE o degli Stati membri. L’interesse legittimo deve essere chiaro e precisamente articolato ed efficace alla data del trattamento dei dati (non ipotetico). Ottobre 2024 Esempi di interessi legittimi possono includere la prevenzione delle frodi, l’accesso alle informazioni online, la garanzia del funzionamento continuo di siti Web accessibili al pubblico, l’ottenimento delle informazioni personali di una persona che ha danneggiato la proprietà di qualcuno al fine di citarla in giudizio per danni, la protezione della proprietà, salute e vita dei comproprietari di un immobile, interesse commerciale, miglioramento del prodotto e valutazione del merito creditizio dei privati. Fase 2 Il trattamento è realmente necessario per il legittimo interesse? Nel valutare se il trattamento sia realmente necessario, l’organizzazione dovrebbe esaminare se l’interesse legittimo perseguito possa essere raggiunto con altri mezzi meno restrittivi dei diritti e delle libertà fondamentali delle persone. Il trattamento dovrebbe essere effettuato solo nella misura strettamente necessaria per il perseguimento dell’interesse legittimo individuato. Nell’effettuare tale valutazione, l’organizzazione dovrebbe esaminare se i dati sono rilevanti per lo scopo perseguito e limitati a quanto necessario per raggiungere tale scopo (principio di minimizzazione dei dati).
Fase 3 Gli interessi o i diritti e le libertà fondamentali degli individui prevalgono sull’interesse legittimo? Per applicare l’interesse legittimo, la terza e ultima condizione da soddisfare è che sull’interesse legittimo in questione non prevalgano gli interessi o i diritti e le libertà fondamentali delle persone, tenendo conto delle ragionevoli aspettative delle persone in base al loro rapporto con dell’organizzazione e misure di attenuazione che limitano l’impatto del trattamento. Gli interessi delle persone che possono prevalere sull’interesse legittimo includono, ad esempio, interessi finanziari, interessi sociali o interessi personali. I diritti e le libertà fondamentali delle persone comprendono il diritto alla protezione dei dati e alla vita privata, ma anche altri diritti e libertà fondamentali, come il diritto alla libertà e alla sicurezza, la libertà di espressione e di informazione, la libertà di pensiero, di coscienza e di religione, la libertà di riunione e di associazione, divieto di discriminazione, diritto di proprietà o diritto all’integrità fisica e mentale
Diritti degli interessati (Capitolo III GDPR)
Fatta salva la necessità per le autorità competenti di garantire che tutti i diritti degli interessati siano rispettati quando i modelli di intelligenza artificiale sono sviluppati e utilizzati dai titolari del trattamento, l’EDPB ricorda che ogni volta che un titolare del trattamento fa affidamento sull’interesse legittimo come base giuridica, si applica il diritto di opposizione ai sensi dell’articolo 21 GDPR[5] e dovrebbe essere garantito.[6]
Considerazioni sulle tre fasi della valutazione dell’interesse legittimo nel contesto dello sviluppo e dell’implementazione di modelli di IA Al fine di determinare se un determinato trattamento di dati personali possa essere basato sull’articolo 6, paragrafo 1, lettera f), GDPR, SAs dovrebbero verificare che i titolari del trattamento abbiano attentamente valutato e documentato se sono soddisfatte le tre seguenti condizioni cumulative:
(i) il perseguimento di un interesse legittimo da parte del titolare del trattamento o di terzi;
(ii) il trattamento è necessario per il perseguimento del legittimo interesse;
(iii) sull’interesse legittimo non prevalgono gli interessi o i diritti e le libertà fondamentali degli interessati.
Un test in tre fasi aiuta a valutare l’uso dell’interesse legittimo come base giuridica. L’EDPB fornisce gli esempi di un agente conversazionale per assistere gli utenti e l’uso dell’IA per migliorare la cibersicurezza. Questi servizi possono essere vantaggiosi per gli individui e possono fare affidamento sull’interesse legittimo come base giuridica, ma solo se il trattamento si dimostra strettamente necessario e viene rispettato il bilanciamento dei diritti.
Il parere include anche una serie di criteri per aiutare le autorità di protezione dei dati a valutare se le persone possono ragionevolmente aspettarsi determinati usi dei loro dati personali. Tali criteri comprendono:
– se i dati personali fossero o meno accessibili al pubblico,
– la natura del rapporto tra l’individuo e il responsabile del trattamento,
– la natura del servizio,
– il contesto in cui sono stati raccolti i dati personali,
– la fonte da cui sono stati raccolti i dati,
– i potenziali ulteriori usi del modello e
– se le persone siano effettivamente a conoscenza del fatto che i loro dati personali sono online.
Se il test comparativo dimostra che il trattamento non dovrebbe aver luogo a causa dell’impatto negativo sulle persone, le misure di attenuazione possono limitare tale impatto negativo. Il parere contiene un elenco non esaustivo di esempi di tali misure di attenuazione, che possono essere di natura tecnica o rendere più facile per le persone l’esercizio dei loro diritti o aumentare la trasparenza.
Infine, quando un modello di IA è stato sviluppato con dati personali trattati illecitamente, ciò potrebbe avere un impatto sulla liceità della sua diffusione, a meno che il modello non sia stato debitamente anonimizzato.
Considerando la portata della richiesta dell’autorità irlandese per la protezione dei dati, l’ampia diversità dei modelli di IA e la loro rapida evoluzione, il parere mira a fornire orientamenti su vari elementi che possono essere utilizzati per condurre un’analisi caso per caso.
Inoltre, l’EDPB sta attualmente elaborando orientamenti riguardanti questioni più specifiche, come il web scraping.[7]
Le misure di mitigazione
Quando gli interessi, i diritti e le libertà degli interessati sembrano prevalere sugli interessi legittimi perseguiti dal titolare del trattamento o da terzi, il titolare del trattamento può prendere in considerazione l’introduzione di misure attenuanti per limitare l’impatto del trattamento su tali interessati. Le misure attenuanti sono garanzie che dovrebbero essere adattate alle circostanze del caso e dipendono da diversi fattori, compreso l’uso previsto del modello di IA. Tali misure attenuanti mirerebbero a garantire che non vengano prevalsi gli interessi del titolare del trattamento o di terzi, in modo che il titolare del trattamento possa fare affidamento su tale base giuridica. Come ricordato nelle Linee guida dell’EDPB sul legittimo interesse, le misure attenuanti non vanno confuse con le misure che il titolare del trattamento è comunque tenuto per legge ad adottare per garantire il rispetto del GDPR, indipendentemente dal fatto che il trattamento sia basato o meno sull’articolo 6, paragrafo 1, lettera f) GDPR
Ciò è particolarmente importante per le misure che, ad esempio, richiedono il rispetto dei principi del GDPR, come il principio della minimizzazione dei dati. L’elenco delle misure fornito di seguito non è esaustivo né prescrittivo e l’attuazione delle misure dovrebbe essere considerata caso per caso. Anche se, a seconda delle circostanze, alcune delle misure riportate di seguito potrebbero essere necessarie per rispettare obblighi specifici del GDPR, in caso contrario potrebbero essere prese in considerazione come garanzie aggiuntive. Inoltre, alcune delle misure menzionate di seguito riguardano aree soggette a rapida evoluzione e nuovi sviluppi e dovrebbero essere prese in considerazione dalle autorità di controllo quando trattano un caso specifico.
In relazione alla fase di sviluppo dei modelli di intelligenza artificiale, potrebbero essere adottate diverse misure per mitigare i rischi posti dal trattamento di dati sia di prima parte che di terzi (anche per mitigare i rischi legati alle pratiche di web scraping). Sulla base di quanto sopra, l’EDPB fornisce alcuni esempi di misure che potrebbero essere implementate per mitigare i rischi identificati nel test comparativo e che dovrebbero essere prese in considerazione dalle autorità di vigilanza nel valutare caso per caso specifici modelli di IA.
Misure tecniche.
a. Misure menzionate nella Sezione 3.2.2 idonee a mitigare i rischi in gioco, laddove tali misure non comportino l’anonimizzazione del modello e non siano richieste per conformarsi ad altri obblighi GDPR o nell’ambito della prova di necessità (seconda fase della verifica dell’interesse legittimo valutazione).
Oltre a queste, altre misure rilevanti possono includere:
b. Misure di pseudonimizzazione: ciò potrebbe, ad esempio, includere misure per impedire qualsiasi combinazione di dati basata su identificatori individuali. Tali misure potrebbero non essere appropriate qualora l’autorità di controllo ritenga che il titolare del trattamento abbia dimostrato la ragionevole necessità di raccogliere dati diversi su un particolare individuo per lo sviluppo del sistema o del modello di IA in questione.
c. Misure per mascherare i dati personali o sostituirli con dati personali falsi nel set di formazione (ad esempio, la sostituzione di nomi e indirizzi e-mail con nomi falsi ed e-mail con falsi indirizzi). Questa misura può essere particolarmente appropriata quando il contenuto sostanziale effettivo dei dati non è rilevante per il trattamento complessivo (ad esempio nella formazione LLM).
Considerazioni specifiche riguardanti le misure di attenuazione nella fase di implementazione. Sebbene alcune delle misure sopra menzionate possano essere rilevanti anche per la fase di implementazione, a seconda delle circostanze, l’EDPB fornisce di seguito un elenco non esaustivo di ulteriori misure di sostegno che potrebbero essere implementate e che dovrebbero essere valutati dalle autorità di vigilanza caso per caso.
Potrebbero essere messe in atto misure tecniche per impedire, ad esempio, l’archiviazione, il rigurgito o la generazione di dati personali, soprattutto nel contesto di modelli di intelligenza artificiale generativa (come i filtri di output) e/o per mitigare il rischio di riutilizzo illegale da parte dell’IA per scopi generali modelli (ad esempio filigrana digitale degli output generati dall’intelligenza artificiale). Misure che facilitano o accelerano l’esercizio dei diritti delle persone nella fase di implementazione.
Oltre quanto richiesto dalla legge, riguardanti in particolare, e non solo, l’esercizio del diritto alla cancellazione dei dati personali dai dati di output del modello o alla deduplicazione, e tecniche di post-formazione che tentano di rimuovere o sopprimere dati personali.
Nell’indagare sull’implementazione di uno specifico modello di IA, le autorità di vigilanza dovrebbero considerare se il titolare del trattamento abbia pubblicato il test comparativo condotto, in quanto ciò potrebbe aumentare la trasparenza e l’equità.[8]
L’EDPB ribadisce inoltre che un elemento da considerare è se il titolare del trattamento abbia coinvolto il DPO, ove applicabile.
[1] Il parere è stato richiesto dall’autorità irlandese per la protezione dei dati (DPA) al fine di conseguire un’armonizzazione normativa a livello europeo. Per raccogliere contributi per il presente parere, che tratta di tecnologie in rapida evoluzione che hanno un impatto importante sulla società, l’EDPB ha organizzato un evento per le parti interessate e ha avuto uno scambio con l’Ufficio dell’UE per l’IA.
[2] Il presidente dell’EDPB Talus ha dichiarato: “Le tecnologie di IA possono offrire molte opportunità e vantaggi a diversi settori e ambiti della vita. Dobbiamo garantire che queste innovazioni siano fatte in modo etico, sicuro e in un modo che vada a beneficio di tutti. L’EDPB intende sostenere l’innovazione responsabile in materia di IA garantendo la protezione dei dati personali e nel pieno rispetto del regolamento generale sulla protezione dei dati (RGPD).”
[3] In questo parere, il WP analizza l’efficacia e i limiti delle tecniche di anonimizzazione esistenti rispetto al contesto giuridico dell’UE in materia di protezione dei dati e fornisce raccomandazioni per gestire queste tecniche tenendo conto del rischio residuo di identificazione inerente a ciascuna di esse. Il WP riconosce il valore potenziale dell’anonimizzazione, in particolare come strategia per raccogliere i benefici dei “dati aperti” per gli individui e la società in generale, mitigando al tempo stesso i rischi per gli individui interessati. Tuttavia, studi di casi e pubblicazioni di ricerca hanno dimostrato quanto sia difficile creare un set di dati veramente anonimo conservando al contempo tutte le informazioni sottostanti necessarie per l’attività. Alla luce della direttiva 95/46/CE e di altri strumenti giuridici dell’UE pertinenti, l’anonimizzazione deriva dal trattamento dei dati personali al fine di impedirne in modo irreversibile l’identificazione. Nel fare ciò, diversi elementi dovrebbero essere presi in considerazione dai titolari del trattamento, tenendo conto di tutti i mezzi “probabilmente ragionevolmente” che possono essere utilizzati per l’identificazione (da parte del titolare del trattamento o di terzi). L’anonimizzazione costituisce un ulteriore trattamento dei dati personali; in quanto tale, deve soddisfare il requisito di compatibilità tenendo conto delle basi giuridiche e delle circostanze dell’ulteriore trattamento. Inoltre, i dati anonimizzati non rientrano nell’ambito della legislazione sulla protezione dei dati, ma gli interessati possono comunque avere diritto alla protezione ai sensi di altre disposizioni (come quelle che tutelano la riservatezza delle comunicazioni). Nel presente parere vengono descritte le principali tecniche di anonimizzazione, vale a dire la randomizzazione e la generalizzazione. In particolare, il parere discute di aggiunta di rumore, permutazione, privacy differenziale, aggregazione, k-anonimato, l-diversità e t-vicinanza. Spiega i loro principi, i loro punti di forza e di debolezza, nonché gli errori e i fallimenti comuni legati all’uso di ciascuna tecnica. Il parere approfondisce la robustezza di ciascuna tecnica sulla base di tre criteri: (i) è ancora possibile individuare un individuo, (ii) è ancora possibile collegare i record relativi a un individuo e (iii) è possibile dedurre informazioni riguardante un individuo?
[4]Link: https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_en
[5] Articolo 21 Diritto di opposizione (C69, C70)
1. L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f ), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
2. Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha
il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.
3. Qualora l’interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità.
4. Il diritto di cui ai paragrafi 1 e 2 è esplicitamente portato all’attenzione dell’interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l’interessato.
5. Nel contesto dell’utilizzo di servizi della società dell’informazione e fatta salva la direttiva 2002/58/CE, l’interessato può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche tecniche.
6. Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici a norma dell’articolo 89, paragrafo 1, l’interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguarda, salvo se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico.
[6] Interessi, diritti e libertà fondamentali degli interessati. L’articolo 6, paragrafo 1, lettera f), GDPR prevede che, nel valutare le diverse componenti nell’ambito del test comparativo, il titolare del trattamento tenga conto degli interessi, i diritti e le libertà fondamentali degli interessati. Gli interessi degli interessati sono quelli che potrebbero essere influenzati dal trattamento in questione. Nel contesto della fase di sviluppo di un modello di IA, questi possono includere, ma non solo, l’interesse all’autodeterminazione e al mantenimento del controllo sui propri dati personali (ad esempio i dati raccolti per lo sviluppo del modello). Nel contesto dell’implementazione di un modello di IA, gli interessi degli interessati possono includere, ma non sono limitati a, interessi a mantenere il controllo sui propri dati personali (ad esempio i dati trattati una volta implementato il modello), interessi finanziari (ad esempio laddove un modello di IA viene utilizzato dall’interessato per generare ricavi o viene utilizzato da un individuo nel contesto della propria attività professionale), vantaggi personali (ad esempio quando un modello di IA viene utilizzato per migliorare l’accessibilità a determinati servizi) o interessi socioeconomici (per esempio. laddove un modello di intelligenza artificiale consente l’accesso a un’assistenza sanitaria migliore o facilita l’esercizio di un diritto fondamentale come l’accesso all’istruzione).
[7] l web scraping (detto anche web harvesting o web data extraction) è una tecnica informatica di estrazione di dati da un sito web per mezzo di programmi software. Di solito, tali programmi simulano la navigazione umana nel World Wide Web utilizzando l’Hypertext Transfer Protocol (HTTP) o attraverso browser, come Internet Explorer o Mozilla Firefox. Strettamente correlato all’indicizzazione dei siti Internet, tale tecnica è attuata mediante l’uso di bot dalla maggior parte dei motori di ricerca. D’altro canto, il web scraping si concentra di più sulla trasformazione di dati non strutturati presenti in Rete, di solito in formato HTML, in metadati che possono essere memorizzati e analizzati in locale in un database. Il web harvesting è altresì affine alla web automation, che consiste nella simulazione della navigazione umana in Rete attraverso l’uso di software per computer.
(Link: https://it.wikipedia.org/wiki/Web_scraping )
[8] Come menzionato negli orientamenti dell’EDPB sull’interesse legittimo, si possono prendere in considerazione altre misure per fornire agli interessati le informazioni derivanti dal test comparativo prima di qualsiasi raccolta di dati personali
