garante privacy

Pizzetti, ChatGpt: senza diritti siamo nudi davanti all’intelligenza artificiale

In ChatGpt di OpenAI manca una adeguata informazione che renda agevole agli interessati far valere i loro diritti, a cominciare da un uso consapevole e responsabile della chat. Ma così non possiamo tutelare le nostre identità e relazioni, che sono sempre più basati sui dati. Il provvedimento del Garante anticipa un’epoca

Pubblicato il 03 Apr 2023

Franco Pizzetti

professore emerito diritto costituzionale all'Università di Torino, ex Garante Privacy

Coltivando il verso: la sfida di scrivere poesia con GPT4

In data 30 marzo 2023 il Presidente della Autorità italiana garante dei dati personali, avvalendosi dei poteri d’urgenza previsti dall’art.5.comma 8 del Regolamento 1/200058 e di quanto disposto dall’art.58 par. 2, lettera f) del GDPR, ha adottato un provvedimento di urgenza nei confronti della società OpenAi quale società sviluppatrice e gestrice di ChatGPT, col quale ha disposto con effetto immediato la limitazione provvisoria del trattamento di dati di utenti italiani.

I motivi di un provvedimento d’urgenza, ancora da ratificare

Il provvedimento è conseguente all’allarme scattato in seguito alla pubblicazione di dati sensibili degli utenti avvenuto a causa di un bug contenuto in una libreria open source usata da OpenAi per il servizio di ChatGPT.

ChatGPT è il buco nero della privacy, il Garante ha fatto bene: ecco perché

Il provvedimento, che dovrà essere ratificato dal Collegio nella prima seduta utile, sembra basarsi su due motivi diversi:

  • il primo riguarda la assenza di una adeguata informativa sui trattamenti dei dati personali degli interessati, come dimostrerebbe il fatto che le informazioni fornite da ChatGPT “non sempre corrispondono al dato reale”;
  • il secondo attiene invece al fatto che nel sistema CHARGPT manca la previsione di “qualsivoglia verifica dell’età degli utenti dei servizi forniti da ChatGPT” malgrado che i termini di uso del servizio specifichino che esso “è riservato a soggetti che abbiano compiuto almeno 13 anni”.

In base a questi due motivi, il primo dei quali solo affermato ma non chiaramente motivato stante la urgenza del provvedimento che non ha consentito, si direbbe, una istruttoria adeguata, il Presidente del Garante, avvalendosi appunto dei suoi poteri di urgenza, ha imposto “la limitazione dei trattamenti dei dati personali degli interessati stabiliti sul territorio italiano”.

Poiché, come è ben noto, ChatGPT utilizza un sistema di IA per il suo funzionamento, con particolare riguardo all’analisi dei dati necessaria per interloquire con gli utilizzatori della Chat, il provvedimento del Presidente del Garante ha attirato una singolare ma spiegabile attenzione, compresa la ricerca, non nuova in casi come questi, dell’eventuale esistenza di modalità idonee ad aggirare l’eventuale limitazione dell’uso di questa Chat da parte di interessati stabiliti in Italia.

Sul secondo punto ha fatto molto rumore fra alcune categorie di addetti ai lavori la riflessione che comunque con un adeguato uso di reti VPN la Chat continua ad essere utilizzabile anche da stabilimenti situati in territorio italiano malgrado eventuali, e più che prevedibili, modalità di limitazione dell’uso adottate da OpenAI per conformarsi alla decisione del Garante.

Il dibattito giuridico e tecnico

Sul primo, e certamente più importante, punto invece la discussione si è rapidamente concentrata su due piani distinti ma collegati.

  • Da un lato molti giuristi hanno analizzato il provvedimento dal punto di vista giuridico sia con riguardo alle motivazioni adottate e alle violazioni affermate che con riguardo alla chiarezza e persuasività delle argomentazioni esposte. Da questo punto di vista non è mancato chi ha lamentato una certa assertività delle affermazioni fatte in ordine alle violazioni che si dichiara di aver riscontrato; assertività che certamente potrà essere corretta e superata a valle del completamento della fase istruttoria dopo le risposte che eventualmente OpenAI vorrà fornire, ma che allo stato sono difficilmente confutabili.
  • Sul secondo piano invece le sottolineature tecnologiche relative alla facile aggirabilità del provvedimento appaiono francamente poco interessanti perché ben note e strettamente connesse agli aspetti propri della rete digitale e del suo uso.

Il punto centrale: OpenAI non ci consente di fare valere i nostri diritti nei confronti dell’intelligenza artificiale

Ciò detto, e in attesa dello sviluppo della vicenda e, in particolare, dell’auspicabile contradditorio tra il Garante e OpenAI, vale la pena di osservare che forse, anche come conseguenza della suggestione provocata dal fatto che, sia pure indirettamente, il provvedimento coinvolge anche la nuova tecnologia della IA, merita richiamare l’attenzione su quello che a me pare essere il punto centrale del provvedimento, e cioè la mancanza di una adeguata informazione che renda agevole agli interessati far valere i loro diritti, a cominciare da un uso consapevole e responsabile della Chat.

È questo, del resto, anche il profilo che lega il motivo generale della mancanza di una informativa adeguata e quello più specifico della mancanza di una attenzione adeguata all’età di chi fa uso della Chat.

Da questo punto di vista il provvedimento in questione è assolutamente importante e meritevole della massima valorizzazione.

Come chi scrive ha già detto in diverse occasioni, da ultimo nell’intervento alla giornata organizzata dal Garante per il 25 anniversario della istituzione dell’Autorità, è assolutamente essenziale che nella società digitale sia adeguatamente tutelato e garantito il diritto di coloro che si avvalgono della rete di poter conoscere come sono trattati i dati e da chi, ma soprattutto “chi sono”  “come operano” gli interlocutori che ciascuno può incontrare sulla rete e con i quali può entrare in relazione.

Pizzetti: “Le sfide della nuova privacy nella società digitale e dell’IA”

Nella società digitale non si tratta più solo di tutelare il tradizionale diritto alla privacy inteso come diritto individuale relativo all’uso dei dati riferiti o riferibili a una persona individuata o individuabile”. Certo questo diritto resta ed assume anche una nuova centralità: non a caso tutti i provvedimenti relativi all’uso di tecnologie digitali che si avvalgono del trattamento di dati ribadiscono sempre la loro compatibilità col GDPR e i diritti in esso garantiti.

Tuttavia è altrettanto evidente che una società come quella digitale, sempre più basata su relazioni che comportano scambi di dati, non può limitarsi a tutelare i dati e le reti come infrastrutture tecniche.

Le relazioni si basano sempre più sui dati

Proprio perché le relazioni (personali, sociali, economiche) si basano su dati che non sono solo scambiati nell’ambito della relazione ma anche usati e trattati per definire chi sia l’interlocutore col quale si entra in relazione e se i dati che in rete lo rappresentano e ne definiscono le attività siano o no esatti e affidabili, il diritto degli interessati (che in questa logica diventano tutti gli utenti della rete) ad essere adeguatamente informati sull’uso e l’affidabilità dei dati che concorrono anche a definire i loro interlocutori, e dunque incidono direttamente sulla affidabilità della relazione, diventa assolutamente centrale.

Ovviamente il GDPR, proprio perché pensato da chi ben sapeva che stava arrivando la società digitale e voleva predisporre un apparato normativo adeguato alle nuove esigenze, prima fra tutte quella di consolidare la fiducia degli utenti nella società digitale, contiene già norme utilizzabili nella nova società digitale, prima fra tutte la tante volte citata regola contenuta nell’art.22 circa i trattamenti interamente automatizzati.

Il Garante anticipa una nuova epoca

È evidente però, e sempre più lo sarà, che malgrado ogni sforzo il GDPR presto non sarà più sufficiente e richiederà un aggiornamento profondo. Lo stesso destino, insomma, che toccò a suo tempo alla nota Direttiva 95/46 che proprio il GDPR superò al fin i preparare regole idonee agli sviluppi tecnologici che stava no per arrivare.

In questo quadro è evidente che il provvedimento in discussione, non a caso tutto incentrato sull’assenza di adeguata informativa sui trattamenti dei dati è molto importante proprio per il suo carattere “anticipatorio” di una nuova epoca ormai già in pieno sviluppo. Che poi questo provvedimento utilizzi dal punto di vista giuridico la norma relativa all’informativa relativa ai trattamenti dei dati personali può certamente presentare limiti e legittimare critiche, come del resto è avvenuto.

Tuttavia è evidente che in una situazione come questa, analogamente a quanto accadeva negli anni immediatamente precedenti al GDPR, i Garanti si trovano costretti a usar una “cassetta degli attrezzi” inadeguata elle necessità e segnata da una evidente crescente obsolescenza. Per questo le critiche dei giuristi, molte delle quali in diritto appezzabili e interessanti, non vanno troppo enfatizzate. Esse sono certamente utili a segnalare l’urgenza delle innovazioni normative necessarie e la crescente inadeguatezza di quelle in vigore oggi.

Sono anche preziose per indicare i problemi più urgenti da risolvere e per guidare i Garanti e i futuri legislatori sulla strada di un utile e proficuo aggiornamento della regolazione, senza il quale il rischio concreto è che la società digitale metta in pericolo i nostri diritti fondamentali complessivamente intesi, anche al di là della protezione dei dati in quanto tale.

Un’ultima considerazione merita di essere fatta anche tenendo conto delle sottili ma fondate critiche fatte dai tecnologici circa la facile aggirabilità in concreto del provvedimento.

Queste critiche, pur prevedibili e in parte “maliziose”, mettono in rilievo la debolezza della protezione dei dati o della società digitale operata, pur con ogni sapienza, da una singola Autorità nazionale.

Come tutti constatiamo ogni giorno la società digitale è per sua natura globale e soprattutto la Unione, proprio per consolidare le sue stesse ragioni d’essere, sempre più deve garantire lo “spazio unico digitale europeo”, inteso come uno spazio unico caratterizzato dalla valenza di regole omogenee e di reti interoperabili.

Necessario coordinamento tra Garanti privacy ue

Dunque è pacifico che le Autorità possono utilmente anticipare tutele e garantire modalità di funzionamento della società digitale europea solo se operano in sintonia tra loro e in modo coordinato.

Anche questo era ben noto agli estensori del GDPR che non a caso hanno tanto insistito sul rafforzamento dello EDPB e sulle norme che garantiscono la “cooperazione e coerenza” tra le Autorità di protezione dati.

Dunque un limite del provvedimento del Garante italiano è certamente quello di esser stato adottato, proprio per l’urgenza, in solitudine e senza adeguata consultazione delle altre Autorità.

Tuttavia anche questo limite può trasformarsi in un comportamento virtuoso se, come è auspicabile, non solo il Collegio ratificherà il provvedimento del Presidente ma se la Autorità promuova e stimoli un’adeguata attenzione da parte di tutte le Autorità nazionali proprio nell’ambito ello EDPB.

Infine, proprio tenendo conto delle cose dette, è bene che ci prepariamo fin da ora a un’epoca che vedrà sempre più crescere il ruolo dell’Autorità Garanti e gli strumenti di cooperazione tra di loro. L’evoluzione tecnologica tipica della società digitale è inevitabilmente rapida e continua: per questo i provvedimenti più recenti ampliano i poteri della commissione di adottare atti delegati e tendono a istituire nuovi Comitati e nuove sedi di cooperazione tra le Autorità (si pensi al Regolamento sulla IA attualmente ancora in discussione).

Tuttavia non basteranno i poteri normativi della Commissione e far fronte a evoluzioni così rapide. Sarà certamente necessario e fondamentale che le Autorità garanti rafforzino sempre di più il loro ruolo di correttori e vigilatori della società digitale anche adottando provvedimenti che, come quello qui in esame, siano anticipatori e fortemente innovativi.

Gli studiosi di questa materia, destinata ad essere sempre più affascinante, tengono conto di questa evoluzione che riguarderà anche loro e in particolare i DPO e in generale i responsabili dell’uso dei dati nella società tecnologica.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3