Nella riforma cd. “Digital Omnibus”, presentata il 19 novembre scorso, la Commissione europea  ha proposto di modificare il Gdpr riconoscendo il “legittimo interesse” come base giuridica per il training di modelli di intelligenza artificiale con dati personali.

Il legittimo interesse è una delle sei basi giuridiche per il trattamento dei dati personali previste dall’Art. 6, par. 1, lett. f del Gdpr. Affinché un trattamento sia lecito, devono essere soddisfatte tre condizioni:

1. Esistenza di un interesse legittimo: Il titolare del trattamento deve avere un interesse reale e lecito al trattamento dei dati. Nel contesto dell’AI, questo si traduce nella necessità di addestrare algoritmi per sviluppare nuovi prodotti, migliorare servizi esistenti o condurre ricerca e sviluppo.
2. Necessità del trattamento: Il trattamento dei dati personali deve essere necessario per perseguire tale interesse. L’addestramento di modelli di AI su grandi volumi di dati, spesso non direttamente anonimi, è tecnicamente indispensabile per lo sviluppo di sistemi performanti.
3. Bilanciamento con gli interessi e i diritti dell’interessato: L’interesse del titolare deve prevalere sugli interessi, i diritti e le libertà fondamentali dell’interessato. E’ il punto più delicato.

Argomentare che l’addestramento dell’AI si basi sul legittimo interesse, senza richiedere il consenso esplicito, potrebbe fondarsi su diversi principi e strumenti chiave:

• Proporzionalità e minimizzazione dei dati: In primo luogo, il legittimo interesse potrebbe essere sostenuto quando l’addestramento dei modelli avviene utilizzando tecniche che garantiscono la pseudonimizzazione o la anonimizzazione, come la privacy differenziale o l’uso di dati sintetici. Questo approccio ridurrebbe il rischio per la privacy e rafforzerebbe l’argomento che l’interesse del titolare non pregiudica in modo sproporzionato i diritti degli interessati.
• Impatto pratico del consenso: La richiesta di consenso per ogni singolo dataset utilizzato per l’addestramento su larga scala pare tecnicamente e logisticamente insostenibile. L’AI, in particolare i modelli generativi, richiede miliardi di punti dati per apprendere modelli di linguaggio o di immagine. Ottenere un consenso specifico, informato e revocabile per ogni individuo i cui dati sono stati utilizzati per addestrare un modello, finirebbe per paralizzare l’innovazione.
• Valutazione dei rischi (DPIA): Le aziende potrebbero sostenere il legittimo interesse attraverso una rigorosa Valutazione d’Impatto sulla Protezione dei Dati. Una DPIA ben condotta non solo identificherebbe i rischi per la privacy, ma proporrebbe anche misure di mitigazione adeguate, dimostrando l’impegno dell’organizzazione a rispettare i diritti degli interessati. Se la DPIA dimostrasse che i rischi sono stati minimizzati e che l’interesse economico dell’azienda è significativo, il bilanciamento potrebbe essere superato in favore del legittimo interesse.
• La tesi del Rapporto Draghi: Alcuni dei problemi con il quadro europeo di protezione dei dati personali sono stati evidenziati nel Rapporto Draghi. Le incertezze applicative influenzano le decisioni aziendali e hanno un impatto diretto sulla redditività, la ricerca e lo sviluppo e la competitività dell’Europa. Il legittimo interesse, se interpretato in modo più flessibile e coerente, potrebbe essere una delle “terapie” per queste problematiche.

In conclusione, sostenere che il legittimo interesse sia la base giuridica appropriata per l’addestramento dell’AI non significa ignorare la privacy, bensì riconoscere l’importanza dell’innovazione e della competitività. La soluzione non è l’abbandono del Gdpr, ma un’evoluzione della sua interpretazione che bilanci in modo più efficace la tutela dei dati con le esigenze tecniche e competitive dell’era dell’AI.