Il GDPR (Regolamento UE 2016/679) è la legge europea che dal 25 maggio 2018 regola come si trattano i dati personali in Europa. Si applica a chiunque, anche aziende americane o cinesi, se tratta dati di residenti UE.
Per chi usa o sviluppa IA, il GDPR è il primo paletto da considerare. Non un dettaglio: la base.
Punti chiave per l'IA:
- Base giuridica: per addestrare un modello con dati personali serve una base legale (consenso, interesse legittimo, contratto). OpenAI nel 2023 si è beccata il blocco dal Garante italiano proprio perché non aveva una base giuridica chiara per l'addestramento di ChatGPT.
- Diritto di accesso e cancellazione: l'utente può chiederti che dati hai su di lui e farteli cancellare. Su un modello già addestrato è tecnicamente difficile (non si "scancella" un peso da una rete neurale).
- Decisioni automatizzate (art. 22): l'utente ha diritto a non essere soggetto a decisioni totalmente automatiche con effetti giuridici. Vuol dire che se usi IA per decidere chi assumere o chi avere un mutuo, serve supervisione umana.
- Trasferimenti extra-UE: mandare dati a server USA è regolamentato. Vedi trasferimento extra-UE.
Sanzioni: fino al 4% del fatturato globale annuo o 20 milioni di euro, il maggiore dei due. Nel dicembre 2024 il Garante ha multato OpenAI di 15 milioni proprio per violazioni GDPR.
Errore tipico delle PMI italiane: pensare che il GDPR sia "roba da grandi aziende". Falso. Si applica anche a chi gestisce un sito con form contatto. Se ci metti dentro un chatbot IA, devi sapere cosa fa con i dati.