intelligenza artificiale

ChatGPT in azienda: come evitare problemi privacy

Home Sicurezza digitale Privacy
Indirizzo copiato

Prima di avvalersi delle molte potenzialità dell’intelligenza generativa in azienda è importante valutarne l’impatto sulla protezione dei dati degli interessati per non ledere i loro diritti e delle loro libertà. Vediamone l’impatto sulla normativa privacy e gli accorgimenti che un’organizzazione dovrebbe attuare prima della sua adozione e del suo uso

Pubblicato il 24 lug 2023
Simona Custer

A&A Studio Legale

Sara Della Piazza

A&A Studio Legale

Cybersecurity,Mixed,Media,With,Virtual,Locking,Padlock,On,Cityscape,Background.

ChatGPT può essere un grande aiuto per consentire alle società di aumentare i relativi business e produttività nei più disparati settori.

Tuttavia, prima di servirsi delle innumerevoli potenzialità di questo servizio, è importante valutare l’impatto dello stesso sulla protezione dei dati degli interessati per non incorrere nella lesione dei loro diritti e delle loro libertà.

Pizzetti: “Il mondo cerca regole per l’IA, ma non sarà pranzo di gala”

Intelligenza artificiale e diritti

Il progresso tecnologico e le sue numerose espressioni, tra cui l’intelligenza artificiale (IA), non possono prescindere dal rispetto dei diritti fondamentali e delle normative vigenti. Da mesi, infatti, si dibatte pubblicamente delle infinite potenzialità previste dai software che utilizzano l’AI – tra cui uno dei più noti è ChatGPT, software di intelligenza artificiale generativa – che vanno, però, a scontrarsi con i numerosi rischi derivanti dalla carenza di norme che ne regolamentino il loro uso.

Proprio in questo senso si è attivato a livello nazionale il Garante per la protezione dei dati personali, il quale ha emesso non uno, ma ben due provvedimenti nei confronti del gestore di ChatGPT (OpenAI L.C.C.) e ha avviato un’attività istruttoria. Ciò, in quanto l’utilizzo di ChatGPT è molteplice e può comportare anche violazioni di norme in materia di protezione dei dati personali.

Un successivo passo è stato, poi, mosso dallo European Data Protection Board (EDPB), che ha realizzato una task force dedicata con l’obiettivo di agevolare la cooperazione e lo scambio di informazioni sulle possibili azioni di enforcement portate avanti dalle singole Autorità di Controllo nazionali sul tema e dal Parlamento europeo che, lo scorso 14 giugno, ha approvato l’Artificial Intelligence Act (cd. “AI Act”) che, tra le altre cose, va a stabilire delle precise regole anche per l’intelligenza artificiale generativa, tra cui il rispetto di requisiti di trasparenza.

Andiamo, quindi, a vedere l’impatto di ChatGPT sulla normativa privacy e gli accorgimenti che una società dovrebbe attuare prima della sua adozione e del suo utilizzo.

Utilizzo di ChatGPT in azienda

È innegabile: ChatGPT ha innumerevoli applicazioni che possono migliorare il lavoro e le performance aziendali.

Si pensi ad esempio:

  • alla predisposizione di testi, tra cui report, relazioni e documenti interni;
  • alla traduzione di testi e documenti in altre lingue;
  • al supporto nella scrittura e nella correzione di codici per la programmazione informatica;
  • ai sistemi di assistenza automatizzata per i clienti (customer service) da collegare a chat già esistenti per fornire risposte più veloci alle domande generiche più frequenti dei clienti. Tale funzionalità risulta particolarmente utile per quelle società che erogano servizi online;
  • a generare ricerche statistiche, come quelle di mercato e/o di marketing;
  • al social media marketing, per la creazione di contenuti pubblicitari, piani editoriali di pubblicazione e/o per la stesura dei testi da utilizzare nelle campagne sponsorizzate.

La posizione del Garante per la protezione dei dati personali

Due i provvedimenti emanati dal Garante per la protezione dei dati personali nei confronti di OpenAI L.C.C. e da analizzare. Il primo,adottatod’urgenzail 30 marzo 2023, è stato finalizzato – a fronte del successo avuto nel nostro paese – a limitare l’invasività di ChatGPT nelle vite degli utenti interessati. Sono state numerose, infatti, le criticità rilevate dal Garante, tra cui:

  • la mancanza di un’informativa sul trattamento dei dati personali pergli utenti e per gli interessati i cui dati sono stati raccolti e trattati tramite il servizio di ChatGPT;
  • l’assenza di un’idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per la finalità di addestramento degli algoritmi sottesi al funzionamento di ChatGPT;
  • l’inesattezza del trattamento dei dati personali degli interessati, in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale;
  • l’assenza di qualsivoglia verifica dell’età degli utenti in relazione al servizio ChatGPT che, secondo i termini pubblicati da OpenAI L.L.C. è riservato ai soggetti che abbiano compiuto almeno 13 anni di età.

In considerazione di quanto sopra indicato, il Garante ha quindi deciso di disporre, in via d’urgenza e nelle more del completamento della necessaria istruttoria, la limitazione provvisoria ed immediata del trattamento di tutti i dati personali degli interessati stabiliti nel territorio italiano da parte del gestore di ChatGPT.

A seguito del completamento dell’attività istruttoria e della disponibilità manifestata da OpenAI L.C.C. nel corso della stessa, in data 11 aprile 2023 il Garante ha emesso il suo secondo provvedimento con cui ha sospeso il precedente provvedimento di limitazione provvisoria a condizione che la società adempiesse alle prescrizioni di seguito indicate – peraltro valide per tutti coloro che operino con software analoghi o che “addestrino algoritmi” – nei termini espressamente previsti dall’Autorità. Nello specifico, entro il 30 aprile OpenAI L.C.C. ha dovuto provvedere a:

  • predisporre e pubblicare sul proprio sito web un’informativa sul trattamento dei dati personali, che descriva in modo chiaro e trasparente agli interessati, anche diversi dagli utenti del servizio ChatGPT, i cui dati sono stati raccolti e trattati ai fini dell’addestramento degli algoritmi, le modalità del trattamento e la logica sottesa al trattamento necessario al funzionamento del servizio, i diritti spettanti loro e ogni altra informazione prevista dal Regolamento UE n. 2016/679;
  • mettere a disposizione sul proprio sito web uno strumento che consenta di esercitare il diritto di opposizione rispetto ai trattamenti realizzati dalla società per fini di addestramento degli algoritmi ed erogazione del servizio, oltre che uno strumento che permetta di chiedere ed ottenere la correzione di eventuali dati personali trattati in maniera inesatti nella generazione dei contenuti o, se non è possibile, la cancellazione dei propri dati personali;
  • prevedere un link all’informativa sul trattamento dei dati personali all’interno della fase di registrazione, collocandola in posizione facilmente accessibile e che consenta all’utente di essere letta prima di procedere con la registrazione e, comunque, al primo accesso successivo all’eventuale riattivazione del servizio;
  • modificare la base giuridica del trattamento dei dati personali degli utenti per il fine di addestramento algoritmico, eliminando qualsivoglia riferimento al contratto e prevedendo come corretta base giuridica del trattamento il consenso o il legittimo interesse, in considerazione alle valutazioni interne svolte dalla società in un’ottica di accountability;
  • implementare un sistema per richiedere a tutti gli utenti che si collegano dall’Italia, ivi compresi quelli già registrati, di superare in sede di primo accesso un cd. “age gate”, che consenta di escludere la fruizione del servizio ai soli utenti minorenni.

Entro il 15 maggio, OpenAI L.C.C. ha dovuto programmare una compagna di informazione degli interessati circa l’uso dei loro dati per il fine di addestramento degli algoritmi.

Da ultimo entro il 31 maggio, OpenAI L.C.C. ha dovuto sottoporre al Garante un piano di azione che prevedesse – entro il prossimo 30 settembre – l’implementazione di strumenti di “age verification” in grado di inibire l’accesso al servizio agli infra tredicenni e a quei soggetti minorenni per i quali manchi il consenso dei genitori.

L’adozione da parte di OpenAI degli accorgimenti richiesti entro le tempistiche stabilite ha, quindi, favorito un’accelerazione nell’accessibilità del servizio ChatGPT agli utenti italiani.

Accorgimenti privacy da non trascurare

Le prescrizioni elencate dal Garante per la protezione dei dati personali nel provvedimento di aprile sono di grande spunto per tutte quelle società che decidano di implementare, al proprio interno, ChatGPT o di utilizzare un servizio simile. In particolare, dette società saranno tenute a:

  • informare adeguatamente gli interessati circa il trattamento dei dati realizzato, anche con riferimento all’inserimento dei dati in eventuali software (si pensi, ad esempio, ai dati dei clienti rispetto ai servizi di customer care);
  • assicurare l’esattezza dei dati degli interessati;
  • predisporre una specifica policy aziendale, che vada internamente a regolamentare l’utilizzo di tale servizio;
  • formare adeguatamente coloro che, internamente, avranno accesso ai dati.

Qualora, invece, l’obiettivo della società sia quello di “addestrare algoritmi” così da renderli “intelligenti” mediante l’utilizzo di sistemi di intelligenza artificiali simili a ChatGPT sarà fondamentale:

  • informare gli interessati, fornendo loro una descrizione completa e dettagliata del trattamento;
  • valutare una base giuridica appropriata, che non possa però ricondursi all’esecuzione del contratto;
  • assicurare l’esattezza dei dati degli interessati;
  • mettere a disposizione uno strumento che consenta all’interessato di esercitare il diritto di opposizione o, quanto meno, di cancellazione;
  • effettuare una valutazione d’impatto.

Conclusioni

Se da un lato è innegabile che la normativa privacy soffra, ormai da tempo, della continua evoluzione tecnologica e del fatto che non vi siano norme in grado di disciplinare gli aspetti così peculiari delle nuove tecnologie, dall’altro lasciare liberi di agire i padroni delle AI potrebbe comportare il rischio che questi decidano – in presenza di “silenzio” istituzionale – di autoregolamentarsi.

Proprio al fine di evitare ciò, il Garante per la protezione dei dati personali e l’AI Act cercano con i relativi provvedimenti e disposizioni di evitare che le Big Tech gestiscano autocraticamente il settore. Tuttavia, le incertezze di oggi pongono coloro che operano nel mercato digitale e, in generale, coloro che all’interno del proprio business si muniscono di sistemi AI, in una situazione di particolare difficoltà e dinnanzi a scelte spesso non adeguatamente ponderate a garanzia della tutela dei diritti delle persone interessate.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • Intelligenza artificiale

    ChatGPT guida completa: cos’è, come si usa e cosa può fare per aziende e professionisti

    25 Ott 2024

    di Mirella Castigli e Pierluigi Sandonnini

    Condividi

Prossimo

ChatGPT guida completa: cos’è, come si usa e cosa può fare per aziende e professionisti

Articolo 1 di 2