L’utilizzo di dati personali per l’addestramento di sistemi di intelligenza artificiale pone continuamente questioni articolate in materia di protezione dei dati.
Il quadro normativo di riferimento resta sempre il Regolamento generale sulla protezione dei dati (GDPR), che si applica ogniqualvolta un trattamento riguardi dati personali affiancato, questa volta, con l’AI Act Europeo e la normativa italiana sull’intelligenza artificiale.
1. Quando addestrare un sistema AI diventa un trattamento di dati personali
Quando per addestrare modelli di intelligenza artificiale si utilizzano dati personali (ossia, lo ricordiamo, informazioni che direttamente o indirettamente possono ricondurre ad una persona fisica) si compie, a tutti gli effetti, un “trattamento”, spesso complesso e, a volte, su larga scala.
Ciò implica il rispetto dei principi fondamentali in materia di privacy: liceità, correttezza, trasparenza, minimizzazione e limitazione della finalità.
Prima di attivare questo trattamento di dati, è doveroso per il titolare del trattamento individuare la base giuridica corretta che lo legittimi.
2. Le basi giuridiche possibili: consenso vs legittimo interesse
Tralasciando l’obbligo legale (art. 6.1. c. GDPR), base giuridica che si usa solo quando il trattamento è imposto dalla legge, come anche la base giuridica della ricerca/scientifica o statistica (art. 5 + 89 GDPR) che ricorre appunto solo quando l’addestramento è compiuto esclusivamente per tali finalità, tralasciando, al pari, l’esecuzione contrattuale (art. 6.1.b GDPR), raramente in tali ambiti, almeno per il momento, utilizzata quale base giuridica, in quanto l’addestramento di sistemi AI rappresenta spesso un elemento secondario rispetto ad altro servizio principale fornito e quindi il trattamento dei dati in tali circostanze, non può considerarsi necessario, possiamo dire che le basi giuridiche residue da considerare, nella maggior parte dei contesti in cui si intendono impiegare dati personali per istruire modelli di intelligenza artificiale, restano il consenso dell’interessato e il legittimo interesse del titolare del trattamento.
Quando, dunque, è opportuno utilizzare una, piuttosto che un’altra, tra le due basi giuridiche?
Analizziamole più in dettaglio, provando, attraverso alcuni esempi pratici, ad entrare in situazioni reali per comprendere come meglio muoversi.
Consenso
Il consenso è richiesto quando:
- i dati sono utilizzati per finalità nuove o non compatibili con quelle originarie;
- gli interessati non si aspettano ragionevolmente tale utilizzo;
- il trattamento è particolarmente invasivo.
Il consenso rappresenta certamente la base più “sicura”, ma anche la più onerosa da gestire.
Legittimo interesse
Può essere utilizzato quando:
- il trattamento è necessario per un interesse legittimo del titolare;
- non prevalgono i diritti degli interessati;
- è stato effettuato un test di bilanciamento (LIA).
È spesso questa la base più utilizzata in ambito aziendale, ma va documentata con attenzione.
3. Esempi pratici (marketing e CRM)
Esempio a.
Marketing – quando è necessario il consenso
Un’azienda utilizza dati raccolti online (es. comportamento di navigazione, interazioni social) per addestrare un modello AI che:
- profila gli utenti,
- predice comportamenti d’acquisto,
- personalizza offerte.
In questo caso, il trattamento è invasivo e non sempre prevedibile, pertanto per legittimare il trattamento è necessario il consenso esplicito
Marketing – quando il legittimo interesse può bastare
Un’azienda utilizza dati già raccolti dai propri clienti (es. storico acquisti) per:
• migliorare raccomandazioni di prodotti,
• ottimizzare campagne di soft spam, ossia invio di e_mail non invasive.
In questo caso, il trattamento appare coerente con il rapporto esistente (gli interessati sono già clienti dell’azienda), può essere basato su legittimo interesse, con LIA e opt-out garantito
Esempio b.
CRM – uso interno dei dati
Un’azienda addestra un sistema AI sui dati del proprio CRM per:
• migliorare il servizio clienti,
• suggerire risposte automatiche agli operatori,
• prevedere esigenze dei clienti.
Cosa si verifica nel concreto?
I dati sono già nella disponibilità dell’azienda e il loro uso è interno e prevedibile
E’ possibile ricorrere al legittimo interesse come base giuridica possibile, purchè:
- i dati sono minimizzati;
- non si creano effetti invasivi sugli interessati
CRM – caso critico
Tuttavia se gli stessi dati CRM vengono:
- con fonti esterne;
- usati per profilazione avanzata o per adottare decisioni automatizzate,
allora il rischio aumenta e può diventare necessario il consenso o una DPIA.
4. Buone pratiche operative
Come comportarsi allora per ridurre i rischi e non violare le norme?
Innanzitutto, occorre:
- aggiornare l’informativa privacy;
- limitare i dati utilizzati;
- adottare misure di sicurezza, quali pseudonimizzazione o anonimizzazione;
- effettuare una DPIA nei casi ad alto rischio;
- documentare sempre la base giuridica scelta.
5. Regola pratica
In una frase, se l’uso dei dati è atteso e proporzionato, il legittimo interesse può essere sufficiente, difendendo la scelta con una valutazione di bilanciamento tra interessi del titolare e diritti e libertà dell’interessato (LIA); se il trattamento è invasivo o singolare, preferibile spostarsi sul consenso.
6. Conclusione
Ad ogni modo, non è corretto pensare che la scelta tra consenso e legittimo interesse sia da ricondurre ad una “ricetta” standard, tutto dipende dal contesto. Nel caso dell’intelligenza artificiale, è fondamentale adottare un approccio prudente, documentato e trasparente, in linea con i principi del GDPR.
Per valutare correttamente la base giuridica opportuna per addestrare un modello di AI nel proprio contesto aziendale o, più in generale, organizzativo, è pertanto consigliabile effettuare un’analisi adeguata caso per caso.