Il provvedimento dell’Autorità Garante per il trattamento dei dati personali ha chiarito quali siano i nodi legati al rispetto del GDPR per ChatGPT, ma anche per tutte le app di intelligenza artificiale che dovessero affacciarsi sul mercato o che già si sono posizionate.
Pizzetti, ChatGpt: senza diritti siamo nudi davanti all’intelligenza artificiale
Il nodo dei minori di 13 anni
Il primo problema da risolvere è l’applicazione di un filtro effettivo sugli utenti, di modo che l’età minima sia effettivamente 14 anni.
Il problema non si pone per le app che, per ragioni di normativa antiriciclaggio – nelle ipotesi di impiego di tecnologia blockchain per i token – impieghino il sistema di riconoscimento K.Y.C. (Know Your Customer).
In questi casi le app raccolgono direttamente una copia dei documenti di identità dei propri utenti e l’unica questione inerente alla privacy è legata allo storage dei dati stessi; stiamo parlando, però, di gestione “ordinaria” nell’ambito del trattamento dei dati, perché sono tutte ipotesi in cui è obbligatoria la nomina del D.P.O.
Nelle ipotesi extra K.Y.C. si impone, come minimo, un accesso tramite altro portale (ad esempio tramite un social network che già garantisca l’età effettiva dell’utente) ed un’informativa legata alle condizioni di utilizzo del servizio, in cui si vieta espressamente l’accesso ai minori di anni tredici.
L’impiego di altri filtri – TikTok docet – rischia di non garantire l’effettività delle informazioni assunte.
Condizioni di utilizzo, consenso espresso, esattezza dei dati e portabilità delle conversazioni
Il primo passaggio necessario per una app con potenzialità di iperpervasività come è ChatGPT è che le condizioni di utilizzo siano chiare e dettagliate nello specificare, sul piano contrattuale, quali siano le funzionalità della app, i costi ed eventualmente l’impiego dei dati degli utenti per finalità diverse risetto aa quelle del semplice utilizzo del servizio.
Dato che il cookie paywall è stato considerato lecito, non c’è ragione di ritenere che l’impiego dei dati degli utenti per addestramento dell’AI e per finalità commerciali non possa essere effettuato a fronte di due distinte condizioni: consenso informato ed espresso dell’utente e vantaggio economicamente valutabile per lo stesso.
Questi due passaggi sono essenziali e dovrebbero essere inseriti in un apposito banner informativo e recante le spunte per il consenso espresso.
A fronte di un servizio a pagamento in denaro o in utilità consistente nell’utilizzo dei dati, l’utente deve avere accesso diretto a due diritti garantiti dal GDPR: la portabilità dei dati e la cancellazione.
Quest’ultimo è il meno problematico: è sufficiente che il gestore cancelli effettivamente tutto ciò che attiene all’utente che ha richiesto di esercitare questo diritto; fanno eccezione i dati necessari per adempimenti normativi (ad esempio quelli relativi alla fatturazione del servizio).
La portabilità è più complessa: sotto il profilo tecnico, trasferire le conversazioni da una app di intelligenza artificiale ad un’altra sarà una bella sfida per i programmatori o… per la stessa AI.
La base giuridica dell’utilizzo dei big data
Il punto più delicato è il webscrapaing indiscriminato che l’intelligenza artificiale deve effettuare in sede di training.
Secondo l’Autorità Garante per il trattamento dei dati non c’è, allo stato, base giuridica idonea ad effettuare un’attività del genere.
In realtà il discorso è più articolato: la base giuridica è – e sarà sempre – il legittimo interesse del titolare (nel caso OpenAI); il problema sono le condizioni di liceità del trattamento a fronte della base giuridica più “debole” prevista dal GDPR.
Se la AI accede alla rete per effettuare il training senza immagazzinare dati, non c’è questione: si tratta una ordinaria attività su motore di ricerca come ne vengono effettuate milioni ogni giorno.
Se i dati vengono immagazzinati, anche per un periodo di tempo minimo, sono necessari importanti accorgimenti.
In primo luogo, devono essere anonimizzati e crittografati; poi deve essere impostata una procedura di cancellazione automatica una volta effettuato il training.
Il tutto deve essere corredato da idonea DPIA e da procedure standardizzate e possibilmente automatizzate da algoritmi sufficientemente potenti da supportare queste operazioni, che verosimilmente si collocano nell’ordine dei miliardi.
In altri termini, le parole d’ordine per queste operazioni sono minimizzazione, anonimizzatine e cancellazione automatica.
Conclusioni
L’intelligenza artificiale è già arrivata e a brevissimo termine sarà talmente potente da far girare la tesa anche ai futurologi più spinti: un blocco temporaneo ha senso solo per impostare regole di utilizzo tutelanti per gli utenti e regole di ingaggio serie, determinate e cogenti per gli attori del mercato.
Ancora una volta, tutto si giocherà sulla compliance che Stati e entità sovrastatali sapranno imporre alle multinazionali del tech: sempre ammesso che non avvenga il contrario.
