L'autorità principale di regolamentazione della privacy di Google nell'Unione Europea ha avviato un'indagine per verificare se l'azienda abbia rispettato le leggi sulla protezione dei dati dell'Unione in relazione all'uso delle informazioni delle persone per l'addestramento dell'intelligenza artificiale generativa.
Nello specifico, si sta valutando se il colosso della tecnologia dovesse effettuare una valutazione d'impatto sulla protezione dei dati (DPIA) per valutare in modo proattivo i rischi che le sue tecnologie di intelligenza artificiale potrebbero rappresentare per i diritti e le libertà delle persone le cui informazioni sono state utilizzate per addestrare i modelli.
Gli strumenti di intelligenza artificiale generativa sono tristemente noti per la produzione di falsità apparentemente plausibili. Questa tendenza, unita alla capacità di fornire informazioni personali su richiesta, crea molti rischi legali per i loro creatori. La Commissione per la protezione dei dati (DPC) irlandese, che supervisiona la conformità di Google al Regolamento generale sulla protezione dei dati (GDPR) del blocco, ha il potere di imporre multe fino al 4% del fatturato annuo globale di Alphabet (l'entità madre di Google) per qualsiasi violazione confermata.
Google ha sviluppato diversi strumenti di intelligenza artificiale generativa, tra cui un'intera famiglia di modelli di linguaggio di grandi dimensioni (LLM) di uso generale, che ha chiamato Gemini (ex Bard). Utilizza la tecnologia per alimentare chatbot di intelligenza artificiale, anche per migliorare la ricerca sul Web. Alla base di questi strumenti di intelligenza artificiale rivolti al consumatore c'è un LLM di Google chiamato PaLM2, lanciato l'anno scorso alla sua conferenza per sviluppatori I/O.
Il DPC irlandese afferma di star indagando sulle modalità con cui Google ha sviluppato questo modello fondamentale di intelligenza artificiale, ai sensi della Sezione 110 del Data Protection Act irlandese del 2018, che ha recepito il GDPR nella legislazione nazionale.
L'addestramento dei modelli GenAI richiede in genere grandi quantità di dati e i tipi di informazioni che i creatori di LLM hanno acquisito, nonché come e dove le hanno ottenute, sono sempre più esaminati in relazione a una serie di questioni legali, tra cui il copyright e la privacy.
In quest'ultimo caso, le informazioni utilizzate come materiale di addestramento per l'intelligenza artificiale che contengono informazioni personali di cittadini dell'UE sono soggette alle norme sulla protezione dei dati del blocco, indipendentemente dal fatto che siano state copiate da Internet pubblico o acquisite direttamente dagli utenti. Ecco perché diversi LLM hanno già dovuto affrontare domande, e alcune misure di applicazione del GDPR, relative alla conformità alla privacy, tra cui OpenAI, il produttore di GPT (e ChatGPT); e Meta, che sviluppa il modello Llama AI.
Anche X, di proprietà di Elon Musk, ha attirato reclami GDPR e l'ira del DPC per l'uso dei dati delle persone per la formazione AI, portando a un procedimento giudiziario e a un impegno da parte di X di limitare l'elaborazione dei dati, ma nessuna sanzione. Tuttavia, X potrebbe comunque affrontare una sanzione GDPR se il DPC determina che l'elaborazione dei dati degli utenti per addestrare il suo strumento AI Grok ha violato il regime.
L'indagine DPIA del DPC su GenAI di Google è l'ultimo provvedimento normativo in questo ambito.
“L'indagine statutaria riguarda la questione se Google abbia rispettato eventuali obblighi che avrebbe potuto avere per intraprendere una valutazione, ai sensi dell'articolo 35 del Regolamento generale sulla protezione dei dati (valutazione dell'impatto sulla protezione dei dati), prima di impegnarsi nel trattamento dei dati personali dei soggetti interessati UE/SEE associati allo sviluppo del suo modello di intelligenza artificiale fondamentale, Pathways Language Model 2 (PaLM 2)”, ha scritto il DPC in un comunicato stampa.
Sottolinea che una DPIA può essere di “importanza cruciale nel garantire che i diritti e le libertà fondamentali degli individui siano adeguatamente considerati e protetti quando il trattamento dei dati personali può comportare un rischio elevato”.
“Questa indagine statutaria fa parte degli sforzi più ampi del DPC, che lavora in collaborazione con la sua Unione Europea/SEE [European Economic Area] “autorità di regolamentazione paritarie, nella regolamentazione del trattamento dei dati personali dei soggetti interessati UE/SEE nello sviluppo di modelli e sistemi di intelligenza artificiale”, ha aggiunto il DPC, facendo riferimento agli sforzi in corso da parte della rete di autorità di controllo del GDPR del blocco per raggiungere una sorta di consenso su come applicare al meglio la legge sulla privacy agli strumenti GenAI.
Google non ha risposto alle domande sulle fonti dei dati utilizzati per addestrare i suoi strumenti GenAI, ma il portavoce Jay Stoll ha inviato via e-mail una dichiarazione in cui Google ha scritto: “Prendiamo sul serio i nostri obblighi ai sensi del GDPR e lavoreremo in modo costruttivo con il DPC per rispondere alle loro domande”.
