Innovation Law Insights
31 Dicembre 2024Podcast
Opinione dell’EDPB sul training dei modelli di AI: Come affrontare la conformità al GDPR?
L’Opinione 28/2024 del Comitato Europeo per la Protezione dei Dati (EDPB) rappresenta uno sforzo epocale da parte dell’EDPB per chiarire come il GDPR si applichi ai modelli di AI.
Potete guardare l'episodio del nostro podcast sull’opinione dell’EDPB sull’addestramento dell’IA QUI.
Data Protection & Cybersecurity
Fondamentale decisione del Garante Privacy nei confronti di un chatbot AI
Il Garante Privacy ha recentemente emesso un importante provvedimento in relazione a violazioni del GDPR da parte di un chatbot AI.
Più specificamente, le indagini del Garante sono state avviate a seguito di una violazione dei dati che ha subito il 20 marzo 2023 il chatbot. Il Garante ha rilevato che l'azienda non aveva notificato all'autorità la violazione in modo tempestivo, come richiesto dall'articolo 33 del GDPR, nonostante la violazione potesse potenzialmente causare rischi significativi agli interessati.
Inoltre, l'indagine ha rivelato che l'azienda ha violato ulteriori obblighi del GDPR, il che ha portato a una multa di 15.000.000 di euro. Di seguito riportiamo le principali violazioni riscontrate dal Garante.
Base giuridica
Il Garante ha riscontrato una violazione dell'articolo 5, paragrafo 2, e dell'articolo 6 del GDPR per non aver individuato una base giuridica valida per il trattamento dei dati personali per l'addestramento del modello di intelligenza artificiale prima del lancio del servizio.
L'azienda ha sostenuto che il trattamento per la fornitura del servizio si basava sull'esecuzione di un contratto e che la formazione dell'algoritmo si basava su un interesse legittimo. Tuttavia, il Garante ha stabilito che l'azienda non aveva individuato tali basi giuridiche prima del lancio del servizio. Inoltre, la documentazione presentata nel corso del procedimento, come la valutazione dell'impatto sulla protezione dei dati (DPIA) e il test di bilanciamento (LIA), è stata redatta mesi dopo l'avvio del servizio.
Dato che la società ha sede in Irlanda, il Garante ha deferito la questione all'Autorità irlandese, in qualità di autorità di controllo principale ai sensi dell'articolo 56 del GDPR, per un'ulteriore valutazione e azione in merito all'uso del legittimo interesse come base giuridica.
Trasparenza
Il Garante Privacy ha riscontrato che l'azienda ha violato gli articoli 5(1)(a), 12 e 13 del GDPR a causa di carenze significative nella sua informativa privacy. Le principali criticità riguardavano la mancanza di trasparenza, accessibilità e completezza delle informazioni fornite sulle modalità di trattamento dei dati personali, in particolare per l'addestramento dei modelli di intelligenza artificiale.
L'indagine ha rivelato che l'informativa privacy era disponibile solo in inglese e non era facilmente accessibile. Gli utenti non potevano prendere visione dell'informativa prima di fornire i propri dati, in quanto mal posizionata nella pagina di registrazione. Inoltre, l'informativa privacy riguardava solo i dati raccolti per l'utilizzo del servizio di chatbot, senza fornire alcuna informazione sulle modalità di trattamento dei dati personali, compresi quelli pubblicamente disponibili dei non utenti, durante l'addestramento dei modelli di intelligenza artificiale.
Inoltre, il linguaggio dell'informativa privacy risultava vago e poco chiaro. I termini utilizzati, come “migliorare i servizi”, non comunicavano lo scopo specifico dell'addestramento dei modelli di intelligenza artificiale, come la messa a punto o la ricerca avanzata sull'AI. Questa mancanza di chiarezza ha reso difficile per le persone comprendere la natura e la portata delle attività di trattamento dei dati, che includevano l'uso innovativo e complesso della tecnologia AI.
L'azienda ha sostenuto di aver adottato misure per garantire la trasparenza con le informative sulla privacy, i pop-up e varie pubblicazioni, compresi i documenti di ricerca e le note tecniche rese disponibili dal 2019. Tuttavia, il Garante ha concluso che questi sforzi erano insufficienti. L'informativa privacy non forniva informazioni critiche, come la base giuridica per il trattamento dei dati o i potenziali impatti delle attività di addestramento dei modelli con i dati personali. La previsione di documenti supplementari non soddisfaceva i requisiti del GDPR, poiché non era ragionevole aspettarsi che gli utenti e i non utenti cercassero o esaminassero tali materiali in modo indipendente.
Verifica dell'età dei minori
Un'altra questione critica affrontata dal Garante è stata la protezione dei dati dei minori. L'indagine ha rivelato violazioni degli articoli 24 e 25(1) del GDPR per non aver implementato sistemi adeguati per verificare l'età degli utenti che si registrano al chatbot.
Più specificamente, i termini di servizio affermavano che i minori di età compresa tra i 13 e i 18 anni dovevano ottenere il consenso dei genitori per utilizzare il servizio, ma non erano previsti meccanismi per far rispettare questo requisito. Questa omissione ha permesso a tutti gli utenti, compresi i minori, di accedere al servizio senza verifica dell'età o coinvolgimento dei genitori.
Il Garante ha osservato che la mancanza di standard europei comuni per la verifica dell'età non esime i titolari del trattamento dalla responsabilità di verificare la capacità contrattuale degli utenti, come richiesto dal GDPR.
Conclusioni
Con questa decisione si conclude uno dei primi procedimenti del Garante contro un'azienda che offre servizi AI direttamente agli utenti finali.
Questa decisione evidenzia la visione restrittiva del Garante sulla tecnologia AI, in particolare con riferimento ai principi di responsabilità e trasparenza. Inoltre, le aziende che forniscono servizi basati sull'ai direttamente agli utenti finali dovranno valutare attentamente l'adozione di misure appropriate per verificare l'età degli utenti.
La decisione crea un importante precedente, segnalando che le autorità esamineranno attentamente il funzionamento delle tecnologie di AI e il loro allineamento con le leggi sulla privacy e sulla protezione dei dati. Per le aziende, ciò evidenzia la necessità di integrare la conformità nella progettazione e nelle funzionalità di base dei loro sistemi di IA.
Su un argomento simile può essere d'interesse l'articolo "L’EDPB pubblica il rapporto della Taskforce su ChatGPT evidenziando le principali sfide per la conformità alla privacy dell’IA generativa"
Autore: Roxana Smeria
Intellectual Property
IA e Diritto d’Autore: Il parere della Commissione Europea al Disegno di Legge Italiano
La Commissione europea, il 5 novembre 2024, ha trasmesso all’Italia un parere circostanziato (C (2024) 7814) redarguendo l’Italia, quasi articolo per articolo, in ordine al disegno di legge in materia di AI. Sono state rilevate criticità in più punti, anche tra le disposizioni relative al rapporto tra Intelligenza Artificiale e diritto d'autore.
Ad aprile 2024, è stato approvato un disegno di legge che introduce misure per disciplinare l’utilizzo dell’intelligenza artificiale (IA) nel rispetto del quadro normativo europeo e dei diritti fondamentali, incluso il diritto d'autore. Il disegno di legge individua criteri regolatori capaci di riequilibrare il rapporto tra le opportunità che offrono le nuove tecnologie e i rischi legati al loro uso improprio, al loro sottoutilizzo o al loro impiego dannoso. Il testo prevede disposizioni specifiche volte a garantire trasparenza, sicurezza e tutela dei diritti degli utenti rispetto ai contenuti generati o modificati tramite sistemi di IA. Tuttavia, alcune disposizioni del DDL hanno sollevato osservazioni da parte della Commissione europea, che ha richiesto modifiche per evitare sovrapposizioni con il Regolamento europeo sull’IA. Tra gli articoli interessati rientrano anche quelli dedicati al rapporto tra Intelligenza Artificiale e Diritto d'autore.
In particolare, il DDL affronta il tema del diritto d'autore legato all'IA, seguendo principalmente due linee di intervento:
- l'Identificazione dei contenuti generati da sistemi di Intelligenza Artificiale (articolo 23);
- la tutela del diritto d'autore delle opere generate con ausilio dell'Intelligenza Artificiale (articolo 24).
L'articolo 23 introduce l’obbligo di identificare i contenuti prodotti o modificati da IA con un segno visibile, come una filigrana con l’acronimo "IA", oppure con un annuncio audio per i contenuti sonori. L’identificazione deve essere presente all’inizio e alla fine della trasmissione e dopo ogni interruzione pubblicitaria, con alcune eccezioni per contenuti manifestamente artistici o satirici. L’obiettivo è garantire che gli utenti siano consapevoli della natura artificiale dei contenuti con cui interagiscono.
L'articolo 24 invece, modifica la legge sul diritto d'autore, introducendo una disciplina specifica per le opere create con l’ausilio di sistemi di Intelligenza Artificiale. Le principali previsioni includono:
- Riconoscimento della titolarità dei diritti: i contenuti generati da sistemi di IA non possono essere considerati opere dell’ingegno ai sensi della legge sul diritto d’autore, a meno che non vi sia un contributo umano creativo.
- Licenze obbligatorie per l’uso di opere protette: i fornitori di sistemi di intelligenza artificiale devono ottenere licenze specifiche per l’utilizzo di opere protette da diritto d’autore durante l’addestramento dei modelli.
Nel suo parere del novembre 2024, la commissione ha espresso preoccupazioni in particolare sulle disposizioni contenute all'articolo 23, evidenziandone il rischio di sovrapposizioni con il Regolamento europeo sull'IA. In particolare:
- L' Articolo 23, comma 1, lettera b), il quale prevede che i contenuti prodotti dai sistemi di IA debbano essere chiaramente riconoscibili mediante un segno visibile con l'acronimo "IA" o mediante un annuncio audio., è stato ritenuto ridondante dalla Commissione rispetto agli obblighi di cui all’articolo 50, paragrafi 2 e 4, del Regolamento europeo sull’IA; e
- Articolo 23, comma 1, lettera c): la norma che impone ai fornitori di piattaforme video di tutelare il pubblico da contenuti informativi generati o modificati con IA, presentandoli come reali, è stata giudicata poco chiara e sovrapposta agli articoli 50, commi 1, 2 e 4, del Regolamento europeo sull’IA.
Nel parere, la Commissione ha infine richiamato lagiurisprudenza della Corte di Giustizia UE (cause 34/73, Fratelli Variola, e 50/76, Amsterdam Bulb), ribadendo che è vietato agli Stati membri duplicare le disposizioni di un regolamento europeo nel diritto nazionale e quindi nascondere la loro origine nel diritto dell’Unione.
Nonostante, dunque, le buone intenzioni le osservazioni della Commissione sottolineano il rischio che alcune disposizioni del DDL italiano risultino non conformi al diritto dell’Unione. Sebbene infatti l’intenzione del legislatore italiano fosse quella di rafforzare la trasparenza e la tutela del diritto d’autore nell’ambito dell’IA, le previsioni introdotte potrebbero generare conflitti normativi, ostacolando l’applicazione uniforme del Regolamento europeo sull’IA.
Su un argomento simile può essere di interesse l'articolo "Normativa sull’AI in Europa: il nuovo disegno di legge sull’AI introduce in Italia peculiarità locali rispetto all’AI Act europeo"
Autore: Maria Vittoria Pessina
UK: al via le consultazioni del governo in materia di IA e copyright
Il 17 dicembre scorso, il governo britannico ha avviato una consultazione pubblica sul diritto d'autore e l'intelligenza artificiale che consta di 47 domande rivolta ai professionisti del settore, che avranno l'opportunità di condividere le proprie opinioni fino al 25 febbraio 2025.
A seguito della Brexit, il Regno Unito non è più vincolato dal recepimento della Direttiva sul diritto d'autore nel mercato unico digitale, che ha introdotto importanti novità nel diritto d'autore, comprese eccezioni per consentire il text and data mining (TDM) in presenza di determinate condizioni. Di conseguenza, l'unica eccezione attualmente vigente nel Regno Unito per quanto riguarda il TDM è costituita dalle previsioni del Copyright, Design and Patent Act del 1988, che tuttavia non contempla le attività commerciali.
Di qui l'urgenza di aggiornare il quadro normativo in materia di diritto d'autore e di prevedere una nuova eccezione che tenga conto del ruolo sempre più emergente dell'intelligenza artificiale, da contemperare con l'interesse dei titolari di essere remunerati per l'uso delle proprie opere nell'addestramento dell'IA. Già nel 2021 era stata avviata una consultazione relativamente alle opere generate dai sistemi di intelligenza artificiale, che aveva vagliato l'opportunità di estendere l'eccezione del text and data mining alle attività commerciali; tuttavia, questa misura non era stata attuata.
La consultazione in parola tiene conto, tra le altre, delle seguenti tematiche: trasparenza, strumenti tecnici, etichettatura.
Con riguardo alla trasparenza, secondo il governo britannico, una sinergia di successo tra diritto d'autore e intelligenza artificiale dipenderà dal rafforzamento del rapporto tra sviluppatori informatici e titolari dei diritti. A questo proposito, si rende dunque necessario interpellare i professionisti del settore sul livello di trasparenza richiesto per l'utilizzo delle opere per l'addestramento di modelli di IA.
Quanto agli strumenti tecnici che permettono di proteggere i diritti d'autore, per quanto indubbiamente già numerosi, meritano di essere ulteriormente implementati al fine di bilanciare i diritti dei titolari con quelli degli sviluppatori dei sistemi di IA.
Il Governo si interroga poi sulla possibilità di etichettare un'opera come "generata dall'intelligenza artificiale". Tale operazione, indubbiamente vantaggiosa per i titolari dei diritti e per il pubblico, lancia una sfida tecnica non da poco.
Malgrado l'ipotesi maggiormente auspicabile sia per i governatori britannici una riforma che ampli l'eccezione del diritto d'autore con riferimento al TDM anche a fini commerciali, il Governo, mediante la consultazione avviata, non esclude la possibilità di lasciare invariato il quadro normativo (Opzione 0). Le altre tre opzioni, invece, si sostanziano nella direzione di un mutamento. Una prima opzione mirerebbe infatti a una maggiore tutela del diritto d'autore attraverso la concessione di licenze ogni volta che si voglia addestrare un modello di IA. Una seconda possibilità consisterebbe nell'introduzione di un'ampia eccezione per il data mining, consentendo l'estrazione di dati da opere protette da copyright senza l'autorizzazione dei titolari dei diritti. Un terzo scenario invece si prospetterebbe qualora si optasse per l'istituzione di un'eccezione per l'estrazione dei dati dalle opere coperte da diritto d'autore, che sia però sostenuta da misure di trasparenza per garantire che gli sviluppatori di IA siano chiari riguardo alle opere utilizzate per addestrare i propri modelli.
Restiamo dunque in attesa di conoscere l'esito della consultazione che potrebbe, infatti, tracciare la strada per un futuro in cui il diritto d'autore e l'intelligenza artificiale coesistano in modo equo e trasparente, rispondendo alle esigenze di un settore in rapida trasformazione.
Su di un simile argomento può essere interessante leggere: Opt-out training AI con materiale diritto d'autore non è illimitato
Autore: Noemi Canova
Technology Media and Telecommunication
Consultazioni pubbliche del BEREC sulle bozze di Report sullo switch-off della rete in rame, sulla regolamentazione dell'accesso alle infrastrutture fisiche e sull'Infrastructure Sharing
Il BEREC (Body of European Regulators for Electronic Communications) ha recentemente avviato tre consultazioni pubbliche aventi ad oggetto le bozze di report in materia di:
- gestione dello spegnimento ("switch-off") della rete in rame;
- regolamentazione dell'accesso alle infrastrutture fisiche;
- condivisione delle infrastrutture ("Infrastructure Sharing") come leva per la sostenibilità ambientale delle reti e dei servizi di comunicazione elettronica.
Le bozze dei report sono state approvate nel corso delle riunioni plenarie del BEREC tenutesi il 5 e il 6 dicembre scorsi.
La bozza di report sulla gestione dello switch-off della rete in rame è volta a fornire un aggiornamento sull'avanzamento dello spegnimento della rete in rame in Europa. Il report include inoltre alcuni spunti relativi alla gestione dello switch-off e alla relativa regolamentazione da parte dei paesi più avanzati.
Come indicato dal BEREC, la bozza di report si basa sui dati forniti dalle autorità nazionali di regolamentazione (ANR) di 31 paesi europei. Il documento fornisce anzitutto una panoramica dello stato attuale della migrazione e dello switch-off della rete in rame e dei relativi piani futuri (capitoli 2, 3 e 4). Prosegue poi con un'analisi dettagliata delle regole stabilite dalle ANR per il processo di migrazione e per lo switch-off del rame (capitolo 5) e con una descrizione delle misure ulteriori che le ANR potrebbero adottare per facilitare tale processo (capitolo 6). Il report descrive infine le "lezioni" apprese dalle ANR negli ultimi anni durante la gestione del processo di migrazione dalle reti in rame verso quelle basate su tecnologie più avanzate.
La bozza di report sulla regolamentazione dell'accesso alle infrastrutture fisiche si focalizza, invece, sull'accesso alle infrastrutture fisiche per lo sviluppo di reti fisse ad altissima capacità. La bozza fornisce un quadro rispetto all'accesso alle infrastrutture fisiche (sia di proprietà di operatori di comunicazioni elettroniche che non) in Europa, nonché alle strategie adottate dagli operatori di comunicazioni elettroniche quando intendono espandere la propria rete e hanno bisogno di utilizzare elementi di infrastrutture fisiche.
Il report inoltre esamina come le ANR abbiano considerato l'infrastruttura fisica nel contesto delle loro analisi del mercato rilevante; se, e in quale fase, sia stata valutata l'infrastruttura fisica e se agli operatori muniti di un significativo potere di mercato siano stati imposti obblighi relativi all'accesso all'infrastruttura fisica (sezione 3). Le sezioni successive illustrano invece l'esercizio di raccolta dei dati svolto dalle autorità nazionali per condurre le loro analisi di mercato (sezione 4) e le misure correttive da esse applicate (sezione 5), nonché la regolamentazione asimmetrica e simmetrica nel contesto dell'incentivazione dello sviluppo di reti ad altissima capacità, fornendo anche esempi sulle esperienze di alcuni paesi e verificando l'interazione tra i due tipi di regolamentazione in un'ottica di raggiungimento degli obiettivi di connettività (sezione 6). La sezione 7 riporta invece le aspettative e le sfide future individuate dalle ANR.
La terza bozza di report, invece, come anticipato sopra, analizza la condivisione delle infrastrutture come leva per la sostenibilità ambientale delle reti e dei servizi di comunicazione elettronica, allineandosi agli obiettivi più ampi dell'UE di ridurre l'impatto ambientale del settore Information and Communications Technology (ICT).
In particolare, in linea con gli obiettivi previsti nell'ambito del Green Deal dell'UE e dell'Agenda 2030 delle Nazioni Unite, il BEREC esamina come gli strumenti normativi possano migliorare le prestazioni ambientali delle telecomunicazioni riducendo al minimo l'impatto ambientale (la cd. "impronta" o "footprint") associato all'installazione e al funzionamento della rete. Il documento si basa su precedenti pubblicazioni del BEREC relative all'Infrastructure Sharing e fonda la sua analisi su un sondaggio diffuso tra le ANR e su una consultazione delle parti interessate realizzata nel contesto di un seminario tecnico.
I soggetti interessati potranno presentare i propri contributi relativi alle consultazioni pubbliche sulle bozze di report sulla gestione dello switch off della rete in rame e sull'Infrastructure Sharing entro il 31 gennaio 2025. I contributi alla consultazione pubblica sulla regolamentazione dell'accesso alle infrastrutture fisiche invece potranno essere presentati entro il 19 febbraio 2025.
Su un argomento simile può essere d'interesse l'articolo "Il BEREC ha avviato una consultazione pubblica sulle reti 5G private e pubbliche"
Autore: Massimo D'Andrea, Flaminia Perna, Matilde Losa, Arianna Porretti
La rubrica Innovation Law Insights è stata redatta dai professionisti dello studio legale DLA Piper con il coordinamento di Edoardo Bardelli, Carolina Battistella, Carlotta Busani, Giorgia Carneri, Noemi Canova, Gabriele Cattaneo, Maria Rita Cormaci, Camila Crisci, Cristina Criscuoli, Tamara D’Angeli, Chiara D’Onofrio, Federico Maria Di Vizio, Nadia Feola, Laura Gastaldi, Vincenzo Giuffré, Nicola Landolfi, Giacomo Lusardi, Valentina Mazza, Lara Mastrangelo, Maria Chiara Meneghetti, Deborah Paracchini, Maria Vittoria Pessina, Tommaso Ricci, Marianna Riedo, Marianna Riedo, Rebecca Rossi, Roxana Smeria, Massimiliano Tiberio, Federico Toscani, Federico Toscani, Giulia Zappaterra.
Gli articoli in materia di Telecommunications sono a cura di Massimo D’Andrea, Flaminia Perna e Matilde Losa.
Per maggiori informazioni sugli argomenti trattati, è possibile contattare i soci responsabili delle questioni Giulio Coraggio, Marco de Morpurgo, Gualtiero Dragotti, Alessandro Ferrari, Roberto Valenti, Elena Varese, Alessandro Boso Caretta, Ginevra Righini.
Scoprite Prisca AI Compliance, il tool di legal tech sviluppato da DLA Piper per valutare la maturità dei sistemi di intelligenza artificiale rispetto alle principali normative e standard tecnici qui.
È possibile sapere di più su “Transfer”, il tool di legal tech realizzato da DLA Piper per supportare le aziende nella valutazione dei trasferimenti dei dati fuori dello SEE (TIA) qui e consultare una pubblicazione di DLA Piper che illustra la normativa sul Gambling qui, nonché un report che analizza le principali questioni legali derivanti dal metaverso qui, e una guida comparativa delle norme in materia di loot boxes qui.
DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.
Qualora non si volesse più ricevere gli Innovation Law Insights o ci si volesse iscrivere alla stessa, è possibile inviare un'email a Silvia Molignani.
