Riflettori accesi su Google e lo sviluppo di un modello di AI: la Commissione per la protezione dei dati irlandese -Dpc, in qualità di Garante (privacy) a nome della Unione Europea, ha annunciato in una recente nota di aver avviato un’indagine sull’utilizzo, da parte di Google Ireland Limited, il noto colosso del web, di dati personali dei cittadini/utenti europei in ordine allo sviluppo di uno dei suoi modelli di intelligenza artificiale (Pathways Language Model 2 –PaLM 2).
La Dpc vuole vederci chiaro e capire se Google ha violato gli obblighi previsti dal GDPR facendo o meno la valutazione di impatto (art. 35).
Ma andiamo per gradi, seguendo il ragionamento dell’Autorità irlandese.
Indice degli argomenti
Google e il suo modello AI: l’indagine aperta
La Commissione per la protezione dei dati irlandese non risparmia Google e la sua corsa nell’aver sviluppato modelli di AI, volendo sapere se lo ha fatto in maniera conforme al GDPR.
Stiamo parlando di un modello di AI denominato PaLM 2 (Pathways Language Model 2) che il colosso del web ha lanciato nel 2023, l’antenato di Gemini; e lo fa comunicandolo in una nota del 12 settembre 2024 dalla quale emerge che la Dpc vuole vedere chiaro per capire se Google ha violato o meno gli obblighi previsti dal Regolamento UE 2016/679, l’arcinoto GDPR.
Così avvia un’istruttoria o più precisamente “un’indagine statutaria transfrontaliera[1]” nei confronti del noto colosso.
I motivi dell’istruttoria avviata dal Garante irlandese
A quanto leggiamo nel comunicato ufficiale sopra citato, il motivo principale che ha spinto la Dpc ad aprire un fascicolo, è capire se nello sviluppo di detto modello (LLM) Google ha fatto o meno la valutazione di impatto privacy ai sensi dell’art. 35 GDPR.
Si tratta di un adempimento fondamentale che riveste una “importanza cruciale per garantire che i diritti e le libertà fondamentali degli individui siano adeguatamente considerati e protetti quando è probabile che il trattamento dei dati personali comporti un rischio elevato”, afferma la Dpc, concludendo che: “Questa indagine statutaria rientra negli sforzi più ampi del DPC, che collabora con i suoi omologhi regolatori UE/SEE, nel regolamentare il trattamento dei dati personali dei soggetti interessati UE/SEE nello sviluppo di modelli e sistemi di intelligenza artificiale”.
Il dubbio della Dpc e la mancata ottemperanza dell’obbligo di DPIA
L’articolo 35 del GDPR prevede, come noto, che sia richiesta una valutazione d’impatto sulla protezione dei dati cd DPIA, allorché “un tipo di trattamento, in particolare mediante l’uso di nuove tecnologie e tenendo conto della natura, dell’ambito, del contesto e delle finalità del trattamento, può comportare un rischio elevato per i diritti e le libertà delle persone”.
Si tratta, dunque, di un adempimento/processo fondamentale al fine di creare e dimostrare la compliance al GDPR, garantendo che i titolari del trattamento dei dati pongano in essere identificazioni e mitigazioni dei rischi per la data protection.
Rischi (eventuali) che derivano da un tipo di trattamento comportante un rischio cd elevato il quale impone l’obbligo, per il titolare del trattamento, di effettuare una valutazione di impatto.
Google e i modelli di AI: l’importanza della DPIA
Ancora, e più in generale, la valutazione dei rischi dei sistemi di AI rappresenta, come più volte detto, un processo assolutamente fondamentale, atto a garantire che detti sistemi siano sviluppati e utilizzati in modo sicuro, etico e responsabile.
Esistono diversi approcci alla valutazione dei rischi dei sistemi di AI: un approccio comune consiste nell’utilizzare una metodologia di valutazione del rischio basata su standard consolidati, come la ISO/IEC 31010 o la famiglia delle ISO/IEC 27001.
In ogni caso, la valutazione dei rischi dei sistemi di AI deve includere almeno una:
- identificazione dei sistemi di AI da valutare nonché dei rischi potenziali ad essi associati;
- descrizione dei sistemi di AI ivi comprese le sue funzionalità, i dati utilizzati e gli scopi previsti;
- valutazione dei rischi, dopo aver identificato quelli cd potenziali, occorre valutarli in termini di probabilità e di impatto;
- documentazione della “valutazione dei rischi” includendo la descrizione dei sistemi di AI dopo che questi sono stati valutati, e quindi identificati i rischi, valutati anche alla luce dei cit. piani di mitigazione.
Da ultimo, si tenga presente che la valutazione dei rischi dei sistemi AI è un processo costante e continuo, a garanzia non di meno dell’attualità dell’intero impianto.
È sempre questione di dati
Tutta l’AI, a ben guardare, è una questione di “dati”: da quelli elaborati, analizzati, macinati per imparare e assunti per operare.
Di qui, ben si comprende come l’adozione di un corretto sistema di governance dei dati costituisce, prima ancora che un obbligo, una necessità di efficacia ed efficienza di qualsiasi fornitori di un sistema di AI, ad alto o rischio o meno; e sull’indagine aperta dalla Dpc seguiamo gli sviluppi.
[1] Cfr. nota ufficiale: “Per elaborazione transfrontaliera si intende: trattamento di dati personali che ha luogo nel contesto delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione, quando il titolare del trattamento o il responsabile del trattamento è stabilito in più di uno Stato membro; oppure trattamento di dati personali che ha luogo nel contesto delle attività di un unico stabilimento di un titolare del trattamento o di un responsabile del trattamento nell’Unione, ma che incide o è probabile che incida in modo sostanziale su interessati in più di uno Stato membro”.
