הממונה על הגנת המידע במוסדות האיחוד האירופי (European Data Protection Supervisor - EDPS) פרסם המלצות למוסדות האיחוד האירופי על השימוש בכלי בינה מלאכותית המערבים עיבוד מידע אישי. כאשר מוסדות האיחוד, הכפופים לחקיקה דמוית GDPR, מעוניינים להשתמש בכלי בינה מלאכותית, הם נדרשים לברר תחילה אם השימוש כרוך בעיבוד מידע אישי. אם כן, עליהם לבחון את מעמדם מנקודת המבט של כללי הגנת המידע: האם אם בעלי שליטה עצמאיים במידע (controller), בעלי שליטה בצוותא (joint controller) או מעבדי מידע בלבד (processor).
רשות המעוניינת להשתמש בכלי בינה מלאכותית נדרשת לערוך תסקיר השפעה על הפרטיות (Data Protection Impact Assessment - DPIA) ועליה להיוועץ בממונה על הגנת המידע באותה רשות. שימוש בכלי בינה מלאכותית הכולל עיבוד מידע אישי מחייב לבסס עילה חוקית לעיבוד המידע, מתוך רשימת העילות המצדיקות עיבוד מידע אישי. לעיקרון מזעור המידע יש חשיבות מיוחדת בשלב הלמידה של בינה מלאכותית. אף שהנטיה היא לחשוב שמידע רב יותר יפיק תוצאת למידה טובה יותר, לימוד המכונה צריך להיעשות בתהליך מפוקח מבחינת כמות ואיכות המידע.
הרשויות גם נדרשות לבחון את דיוק המידע שמפיקה הבינה המלאכותית. בהתחשב בתופעה הנפוצה של מידע מוטעה שמפיקה בינה מלאכותית, רשויות נדרשות לשקול האם להימנע משימוש בבינה מלאכותית שלא עומדת בחובת דיוק המידע שבחקיקה. מעבר לכך, שימוש בבינה מלאכותית לא פוטר את הרשות מחובת היידוע שהיא חייבת בה כלפי נושאי המידע. לממונה הגנת המידע בכל רשות יש תפקיד מרכזי בליווי ופיקוח על השימוש בכלי בינה מלאכותית, אף שהוא לא יכול לבדו לטפל בכל ההיבטים הנדרשים בפרויקט כזה.