Non è necessario attendere l’AI Act per vedere effetti di regolamentazione sull’intelligenza artificiale nello spazio economico europeo: GDPR prima e DSA poi hanno già dispiegato il loro effetti sulla regolamentazione dele app più popolari.
OpenAI non si è lasciata sfuggire l’opportunità di impostare la propria compliance per il servizio di ChatGPT Enterprise, ossia la versione aziendale del sistema di AI più famoso al mondo.
In che modo il Digital Service Act impatta sulle AI
Per capire meglio di cosa si tratta e del perché è importante parlarne, è utile riportare la descrizione di ChatGPT Enterprise fornita direttamente da OpenAI: “Progettato per le aziende, ChatGPT Enterprise offre alle organizzazioni la possibilità di utilizzare ChatGPT con controlli, strumenti di distribuzione e velocità necessari per rendere l’intera organizzazione più produttiva. Ulteriori informazioni su ChatGPT Enterprise”.
Nella primavera 2023 OpenAI aveva dovuto gestire una vera e propria levata di scudi da parte dei Garanti europei (quello italiano in primis) per le modalità di trattamento dei dati personali non conformi al GDPR.
Ora, a fine estate 2023, OpenAI pare aver assimilato l’esigenza di gestire in anticipo la compliance ai regolamenti dell’Unione ed il DSA è al primo posto tra le normative che le piattaforme devono gestire a breve.
Tutte le novità inserite da OpenAI vanno verso un sistema più trasparente rispetto alla situazione precedente e ad un contesto in cui gli eventuali contenziosi sono ridotti al minimo alla fonte, perché vengono sciolti alcuni nodi per via contrattuale.
Il problema della proprietà degli input-output, della gestione del modello e della sicurezza dei dati
La soluzione “trovata” da OpenAI per essere conforme, contemporaneamente, a GDPR e DSA è attribuire la titolarità all’azienda dei dati inseriti, con una particolarità: OpenAI afferma che anche gli output sono “aziendali”.
La questione è interessante, perché, mentre è certo che gli input provengono – e quindi dovrebbero appartenere – all’azienda, non è scontato di chi siano gli output.
Le condizioni generali di utilizzo di ChatGPT Enterprise, però, chiudono la questione in questi termini: “Mantieni tutti i diritti sugli input che fornisci ai nostri servizi. Possiedi inoltre qualsiasi output che ricevi legittimamente dai servizi nella misura consentita dalla legge. Riceviamo solo i diritti di input e output necessari per fornirti i nostri servizi, rispettare la legge applicabile e far rispettare le nostre politiche”.
Input ed output possono essere utilizzati per in training dell’AI? In caso di risposta affermativa, infatti, la titolarità dei dati in capo all’azienda sarebbe quasi fasulla.
OpenAI però si smarca anche in questo caso, rispondendo alla domanda così: “Assolutamente no. Non utilizziamo i tuoi dati aziendali, input o output per addestrare i nostri modelli”.
Ulteriore stretta sulla sicurezza dei dati: crittografia certificata e testata: “OpenAI crittografa tutti i dati inattivi (AES-256) e in transito (TLS 1.2+) e utilizza severi controlli di accesso per limitare chi può accedere ai dati. Il nostro team di sicurezza ha una rotazione di guardia con copertura 24 ore su 24, 7 giorni su 7, 365 giorni all’anno e viene contattato in caso di potenziali incidenti di sicurezza. Offriamo un programma Bug Bounty per la divulgazione responsabile delle vulnerabilità scoperte sulla nostra piattaforma e sui nostri prodotti. Per ulteriori dettagli, visita il nostro portale Trust”.
Sempre sulla sicurezza informatica della piattaforma, OpenAI non lesina: “Possiamo gestire tutti i dati aziendali inviati ai servizi OpenAI tramite classificatori automatizzati dei contenuti. I classificatori sono metadati relativi ai dati aziendali ma non contengono alcun dato aziendale stesso. I dati aziendali sono soggetti solo a revisione umana, come descritto di seguito, servizio per servizio”.
Ultima questione: la compliance al GDPR dell’azienda che utilizza ChatGPT Enterprise: “Sì, siamo in grado di stipulare un Addendum sull’elaborazione dei dati (DPA) con i clienti per l’utilizzo di ChatGPT Enterprise e dell’API a supporto della loro conformità al GDPR e ad altre leggi sulla privacy. Compila il nostro modulo DPA per eseguire un DPA con OpenAI”.
Per spiegare con chiarezza cosa implica tutto questo apparato, è necessario comprendere che ChatGPT può essere impiegato per svariate finalità, anche trattando dati particolari dei clienti delle aziende che ne fanno utilizzo.
Questo significa che mantenere la titolarità dei dati aziendali, per ChatGPT, sarebbe un’attività eccessivamente rischiosa ed economicamente a rischio di essere in perdita.
Discorso analogo vale per il training dell’intelligenza artificiale: utilizzare dati aziendali per queste finalità sarebbe rischiosissimo.
Da qui le due necessità correlate di garantire uno standard di sicurezza informatica elevatissimo e di offrire ai propri clienti delle piattaforme di compliance al GDPR, di modo da non farli “uscire” da ChatGPT per questa finalità.
Conclusioni
ChatGPT Enterprise offre un set di condizioni generali di contratto e di servizi integrati molto interessante in prospettiva, perché si pone tra le prime piattaforme a mostrare una compliance integrata tra GDPR e DSA.
La titolarità di input ed output in capo alle aziende, infatti, risponde alla duplice finalità di tutelarsi sotto il profilo del GDPR e del DSA.
Sotto il profilo privacy, responsabilizza l’utilizzatore della piattaforma; sotto i profilo dei servizi digitali e del loro mercato, evita contenziosi legati alla proprietà industriale, intellettuale e a tutte le questioni inerenti alla moderazione dei contenuti.
OpenAI, in conclusione, si colloca, in termini di business, come gestore del modello, scaricando sull’utente tutte le questioni che riguardano l’utilizzo della piattaforma.
Ad un primo sguardo, la scelta sembra ben ponderata e vincente, ma i termini e condizioni sono alle “prime armi”, così come le normative sui servizi digitali; le sorprese non sono, quindi, impossibili.
