Il Garante europeo per la protezione dei dati personali (EDPS) adotta le nuove Linee guida su IA generativa e protezione dei dati.

Il Garante europeo della protezione dei dati (EDPS) ha pubblicato la versione 2.0 delle Linee guida sull’uso conforme dei sistemi di intelligenza artificiale generativa, aggiornando il documento del 2024 per riflettere l’evoluzione tecnologica e l’aumento dell’utilizzo di tali strumenti da parte delle istituzioni europee.

Le Linee guida – adottate ai sensi del Regolamento (UE) 2018/1725 – rappresentano oggi il principale riferimento per assicurare che l’uso dell’IA generativa nelle amministrazioni UE rispetti i diritti fondamentali e i principi di protezione dei dati.

Il documento fornisce orientamenti pratici su sedici aree chiave, tra cui la definizione dei ruoli e delle responsabilità dei soggetti coinvolti, la scelta della base giuridica per ciascuna fase di trattamento, la redazione di DPIA dedicate, la limitazione delle finalità e la minimizzazione dei dati, la gestione della qualità e accuratezza delle informazioni, la tutela dei diritti degli interessati, la prevenzione dei bias algoritmici, la sicurezza informatica e la piena accountability.

Tra i punti più rilevanti:

• L’EDPS chiarisce che i concetti di fornitore, sviluppatore e deployer del Regolamento IA non coincidono automaticamente con le figure di titolare e responsabile del trattamento, che devono essere identificate caso per caso.

• L’utilizzo di basi giuridiche distinte per le fasi di sviluppo e di implementazione è essenziale: il consenso è considerato eccezionale, mentre la regola resta l’interesse pubblico, purché fondato su norme di diritto dell’Unione.

• L’attività di web scraping per finalità di addestramento richiede particolare cautela e rispetto rigoroso dei principi di liceità, trasparenza e proporzionalità.

• I titolari devono integrare misure di sicurezza specifiche per i rischi dell’IA generativa – come prompt injection, model inversion, data poisoning – e documentare ogni fase del ciclo di vita del sistema.

• Centrale il ruolo del Data Protection Officer, chiamato a garantire competenze tecniche adeguate, partecipazione continuativa e coordinamento con le altre funzioni organizzative.

• Le istituzioni UE devono svolgere una DPIA obbligatoria prima di ogni trattamento che possa comportare rischi elevati per i diritti delle persone e mantenere un tracciamento completo delle attività di trattamento.

• L’anonimizzazione dei modelli è considerata ammissibile solo quando il rischio di re-identificazione è “insignificante”, anche in presenza di tecniche probabilistiche.

Le nuove Linee guida sottolineano la necessità di una vigilanza continua, invitando le istituzioni europee a un approccio basato su documentazione, trasparenza e controllo costante. L’EDPS non detta misure tecniche rigide, ma propone un quadro di principi che unisce responsabilità, proporzionalità e fiducia: elementi imprescindibili per un’IA realmente conforme e affidabile nel contesto europeo.