Lo scorso 2 febbraio il Garante privacy ha sospeso un chatbot basato sull’intelligenza artificiale con un provvedimento d’urgenza che impone alla società sviluppatrice di cessare il trattamento dei dati degli utenti e di adottare misure correttive per non incorrere in sanzioni salate.
Il provvedimento potrebbe avere implicazioni più ampie e non solo sui sistemi di AI perché riapre un tema tanto delicato quanto rischioso: l’adeguata verifica dell’età degli utenti per consentire o negare l’accesso a servizi e contenuti sul web. Siamo ad un punto di svolta?
L’amico virtuale che ti ascolta: ecco gli usi del chatbot nel mirino del Garante
Un amico virtuale che possa aiutare a gestire le emozioni e offrire una compagnia empatica a tutti.
Così si propone Replika, un chatbot sviluppato per simulare il comportamento umano e creare un’esperienza di conversazione personalizzata, basata sull’apprendimento continuo dalle interazioni con l’utente. Grazie ad un sofisticato algoritmo di apprendimento automatico a rete neurale il chatbot impara a calibrare le proprie risposte in base alle informazioni raccolte nelle conversazioni con l’utente tramite l’ascolto attivo e l’interazione, per confortarlo e aiutarlo a migliorare l’umore, il benessere emotivo e persino le proprie abitudini, ad esempio per socializzare di più o ridurre l’ansia.
Scopi apparentemente nobili dunque, in un momento in cui i chatbot e i sistemi di intelligenza artificiale in generale stanno riscuotendo un enorme successo dopo il fenomeno ChatGPT, il chatbot conversazionale basato sul modello linguistico GPT3 che ha raggiunto i 100 milioni di utenti in poco meno di due mesi battendo tutti i record. Ma a ben vedere Replika è sul mercato da molto tempo prima rispetto ai recenti strumenti basati sull’AI generativa che hanno destato l’interesse di massa nelle ultime settimane. Già nel 2020 Replika aveva fatto parlare di sé in alcune inchieste giornalistiche sui potenziali abusi di tale strumento. È legittimo chiedersi quindi quali siano le gravi ragioni che hanno spinto il Garante ad agire con un provvedimento d’urgenza proprio adesso.
Le condotte contestate dal Garante
Nel suo provvedimento, il Garante ha evidenziato una serie di condotte in violazione della normativa privacy applicabile, tra cui due in particolare:
- l’assenza di meccanismi di adeguata verifica dell’età degli utenti durante la fase di creazione di un account; e
- la mancanza di meccanismi di interdizione o blocco anche a fronte di dichiarazioni in chat dell’utente che esplicitino la sua minore età e la proposizione di risposte non adeguatamente filtrate da parte del chatbot, in contrasto con le tutele che andrebbero assicurate ai minori e, più in generale, a tutti i soggetti più fragili.
Il provvedimento rileva anche che il titolare del trattamento ha adottato una serie di misure di precauzione per limitare il trattamento dei dati personali dei minori: i termini e condizioni d’utilizzo del chatbot indicano espressamente il divieto di utilizzo per i minori di 13 anni e l’esigenza che i minori di 18 anni siano previamente autorizzati da un genitore o da un tutore; inoltre l’informativa privacy chiarisce che il fornitore del servizio non raccoglie dati personali di minori sotto i 13 anni e incoraggia i genitori a monitorare l’utilizzo di Internet dei figli, invitando a contattare la piattaforma per l’eliminazione degli eventuali dati dei minori forniti. Oltretutto da una recente prova di registrazione di un account sulla piattaforma (effettuata dopo la pubblicazione del provvedimento) ci risulta che viene attualmente richiesta anche la data di nascita dell’utente, ed in caso di indicazione di una data per cui l’utente risulta minore di 18 anni, la registrazione viene interrotta.
Tuttavia tali misure non sono state ritenute sufficienti dall’Autorità, secondo cui Replika non prevede alcuna procedura di verifica adeguata dell’età dell’utente, limitandosi a chiedere solo nome, e-mail e genere. Questo ha sollevato perplessità da parte del Garante, che ha ritenuto la piattaforma responsabile di una carente gestione dei dati personali, mettendo a rischio la privacy e la sicurezza degli utenti, ed in particolare dei minori. Per il momento l’azienda che ha sviluppato il chatbot non potrà trattare i dati personali degli utenti stabiliti nel territorio italiano e dovrà comunicare le misure rafforzate implementate entro 20 giorni dalla data del provvedimento.
Possibili implicazioni del caso: bilanciare accuratezza delle verifiche e minimizzazione
Questo caso potrebbe avere implicazioni più ampie in quanto altri sistemi di verifica dell’età potrebbero essere messi in discussione dal momento che non esiste ancora un approccio unitario e coerente da parte delle autorità di supervisione europee.
Da un punto di vista privacy l’articolo 8.2 del GDPR impone un obbligo implicito ai titolari del trattamento di verificare l’età dei minori prima che questi possano fornire un consenso valido. Inoltre secondo le linee guida sul consenso del Comitato europeo per la protezione dei dati (EDPB), i fornitori di servizi online hanno l’obbligo di verificare l’età e ottenere il consenso dei genitori ove necessario, e devono compiere sforzi ragionevoli per farlo, considerando le tecnologie disponibili.
Tuttavia l’identificazione di soluzioni equilibrate che consentano la verifica dell’età e al contempo la protezione dei dati personali è una sfida continua per le aziende. Secondo uno studio condotto dal CNIL, il Garante per la privacy francese, i sistemi esistenti sono generalmente insoddisfacenti per due motivi: alcuni si basano sulla raccolta di massa di dati personali e quindi appaiono dubbiamente conformi ai principi della protezione dei dati (ad esempio, il riconoscimento facciale); altri sono meno intrusivi ma inefficaci perché troppo facilmente aggirabili dai bambini (ad esempio, l’autodichiarazione o la verifica dell’e-mail).
Non esiste una soluzione magica, su questo è molto chiaro il CNIL, che passa in rassegna le metodologie di verifica dell’età: da quelle semplificate di acquisizione di una dichiarazione dell’utente, a quelle più intrusive di raccolta del documento d’identità, passando per soluzioni di AI che stimano l’età attraverso il riconoscimento facciale o tramite una analisi dei comportamenti contestuali dell’utente.
Accountability: come selezionare un meccanismo di verifica adeguato
Se da un lato quindi la normativa impone di verificare l’età degli utenti, dall’altro la mancanza di standard normativi chiari e di una terminologia comune rende più difficile l’applicazione di qualsiasi regola a livello internazionale. I titolari del trattamento e fornitori dei servizi devono quindi effettuare un bilanciamento degli interessi e dei rischi in gioco per poter identificare una soluzione adeguata. Secondo l’associazione che riunisce i fornitori di sistemi di verifica dell’età, le imprese esprimono preoccupazioni sulla redditività di tali soluzioni, in particolare quando chi non rispetta i requisiti di verifica dell’età non viene punito. In questo senso il provvedimento del Garante su Replika rappresenta un passo in avanti ed un precedente efficace per supportare la spinta verso la conformità internamente alle aziende.
Chiaramente tali soluzioni dovranno tenere conto sia delle esigenze del business, secondo cui ogni action in più richiesta all’utente in fase di creazione dell’account ne diminuisce la probabilità di concludere il processo, sia dei rischi effettivi.
Poiché la viralità dei sistemi di AI sta crescendo, soprattutto tra i minori, vediamo una crescente attenzione da parte delle autorità di controllo rispetto a come queste tecnologie potrebbero influenzare la vita e il comportamento dei bambini. Con le nuove norme sull’AI distanti, nel migliore dei casi alcuni mesi, è importante che i fornitori di servizi diano priorità alla trasparenza e allo sviluppo olistico dei loro prodotti per conquistare la fiducia degli utenti e garantire che i sistemi di AI siano utilizzati in modo responsabile ed etico.
A partire dalla fase di sviluppo e di test è possibile introdurre dei meccanismi di controllo per verificare sia la conformità delle tecnologie alla normativa che la loro adeguatezza al target di utenti cui sono dirette. Tali verifiche devono chiaramente estendersi nella successiva fase di roll-out e di provisioning, ad esempio attraverso l’introduzione di sistemi di verifica dell’età adeguati e di filtri per i contenuti inappropriati, oltre che l’adozione di procedure di verifica umana a campione.
Nella selezione del meccanismo di verifica più adeguato il criterio da seguire è quello della proporzionalità: i fornitori di servizi online devono considerare le finalità proposte per il trattamento, i destinatari del servizio, i dati trattati, le tecnologie disponibili e il livello di rischio associato al trattamento. Oltretutto occorre tenere conto dei requisiti di age verification localmente applicabili, in quanto non sono omogenei nei diversi paesi europei e nel resto del mondo. Una autodichiarazione dell’utente, correttamente raccolta e verificata, potrebbe pertanto essere considerata adeguata rispetto a servizi che prevedono un trattamento di dati molto limitato e che non pongono rischi rispetto ai contenuti offerti e trattamenti effettuati, mentre nel caso di sistemi che prevedono un trattamento più intensivo o invasivo si può considerare l’implementazione di meccanismi di verifica più approfonditi, ad esempio attraverso il riscorso a terze parti per mantenere il processo di iscrizione lineare e minimizzare il rischio di raccolta di dati che non sono necessari per la fornitura del servizio vera e propria.
Qualsiasi sistema selezionato dovrebbe in ogni caso essere progettato in modo da limitare la raccolta di dati personali al minimo necessario per la verifica e non conservare i dati una volta completata la verifica.
Conclusioni: trasparenza e sicurezza dei dati per conquistare la fiducia degli utenti
Come già approfondito in passato, i chatbot offrono opportunità di automazione e di sviluppo di servizi innovativi molto interessanti, e grazie ai recenti sviluppi sui modelli di previsione linguistica autoregressivi che utilizzano il deep learning, come GPT-3, le capacità di questi strumenti sono cresciute enormemente e stanno continuando a farlo prestandosi ad applicazioni in tutti i settori economici.
In conclusione, la corsa all’oro dell’AI sta accelerando e le aziende che sapranno calibrare attentamente i loro servizi e conquistare la fiducia degli utenti attraverso una gestione trasparente e sicura dei dati potranno differenziarsi dai propri competitor. È quindi essenziale che la fiducia degli utenti e la sicurezza dei dati siano al centro delle loro strategie di AI. In questo panorama in rapida evoluzione, è fondamentale trovare un equilibrio tra innovazione e sviluppo responsabile dell’AI. Le aziende che sapranno farlo saranno senza dubbio quelle che raccoglieranno i frutti della rivoluzione dell’AI.
