Con un provvedimento desinato a fare giurisprudenza, il 31 marzo il Garante per il trattamento dei dati personali ha imposto una limitazione provvisoria del trattamento ad OpenAI L.C.C., la società proprietaria di ChatGPT.
La sera stessa, il gestore di Chatgpt, OpenAI, ha bloccato di conseguenza l’uso del servizio dall’Italia. Così mira a evitare la sanzione ma al tempo stesso cerca una soluzione per tornare rispettando le indicazioni del Garante.
Una presa di posizione storica che segnala la necessità – ancora e ancora – di accompagnare il progresso innovativo con un’attenzione ai diritti fondamentali e all’interesse generale. Cosa che a quanto parte non è scontata, nelle agende delle aziende tech che ora stanno guidando questa innovazione.
Vediamo perché.
Le violazioni del GDPR
Dal comunicato stampa dell’Autorità Garante si apprende che il 20 marzo 2023 ChatGPT, “il più noto tra i software di intelligenza artificiale relazionale in grado di simulare ed elaborare le conversazioni umane”, ha subito un data breach riguardante “le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati al servizio a pagamento”.
La notizia parrebbe quasi comica, se non fosse un fatto gravissimo e, tutto sommato, unico – o primo in assoluto – nel suo genere.
Dato che OpenAI ha dimostrato sul campo di non essere particolarmente affidabile in punto garanzie dei dati personali degli utenti l’Autorità Garante per il Trattamento dei dati personali italiana è intervenuta con un provvedimento urgente di blocco temporaneo del trattamento per gli utenti italiani, ai sensi dell’articolo 58 del Regolamenti UE 16/679, ossia il GDPR.
Nel provvedimento, appropriato, ben motivato e tempestivo, il Garante ha ritenuto che “il trattamento dei dati personali degli utenti, compresi i minori, e degli interessati i cui dati sono utilizzati dal servizio si ponga in violazione degli artt. 5, 6, 8, 13 e 25 del Regolamento”.
Da qui la necessità di aprire l’istruttoria e di bloccare il trattamento fino a nuova valutazione.
Un trattamento di dati personali inesatto
Oltre alla mancanza di adeguata informativa agli utenti, il Garante ha rilevato che spesso i dati non corrispondevano a quelli reali, “determinando quindi un trattamento di dati personali inesatto”.
Non solo: come in precedenza avvenuto per TikTok – e qui il provvedimento per la società statunitense OenAi appare speculare a quello emesso verso la cinese Bytedance – ChatGPT non ha un filtro idoneo a bloccare il servizio per i minori di 13 anni, perché non vi sarebbe un adeguata verifica dell’età dell’utente.
Il nodo dei big data
Tema affrontato in modo rapido, ma veramente spinoso, infine, è quello dei big data di cui ChatGPT deve “nutrirsi” per essere efficacemente addestrata.
Il Garante ha rilevato “l’assenza di idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT”.
Questo nodo è cruciale, perché non si tratta di adeguare un filtro sull’età o di inviare agli utenti un’informativa ben scritta: il Garante afferma che OpenAI non può utilizzare i dati degli utenti italiani in modo indiscriminato per addestrare i suoi algoritmi.
Assenza di base giuridica significa trattamento illecito: a queste condizioni non si può fare perché il GDPR lo vieta.
La presa di posizione, quindi, è fortissima e si pone a tutela degli utenti, i cui dati, nell’impostazione de Garante, non possono formare la base di studio di ChatGPT in modo indiscriminato.
In conclusione, siamo di fronte ad un precedente che, se confermato, avrà lo stesso impatto delle sentenze Schrems.
Le implicazioni per gli utenti
Il trattamento dei dati degli utenti per addestrare l’intelligenza artificiale non è necessariamente illecito: lo è se è privo di idoneo, espresso ed informato consenso.
In altri termini, OpenAI potrebbe anche utilizzare i big data degli utenti, ma non sulla base del legittimo interesse del titolare, ossia l’unica base giuridica che potrebbe sorreggere l’addestramento di un’AI sulla base di dati recuperati in modo indiscriminato.
Anche il consenso come base giuridica ha delle precondizioni di liceità perché i dati possano essere lecitamente trattati per finalità di addestramento di AI: è verosimile che, su questo, giurisprudenza, garanti europei e EDPB avranno molto da dire.
Cosa rischia OpenAI
Nel comunicato stampa, il Garante afferma che “OpenAI, che non ha una sede nell’Unione ma ha designato un rappresentante nello Spazio economico europeo, deve comunicare entro 20 giorni le misure intraprese in attuazione di quanto richiesto dal Garante, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo”.
Una sanzione da 20 milioni di euro era stata comminata ad inizio 2022 a ClearViewAI, società statunitense che aveva raccolto più di 5 miliardi di immagini di persone nel modo – di cui svariati milioni appartenenti a cittadini italiani – a fini di riconoscimento facciale.
In quel caso il Garante non è andato per il sottile: ha comminato la sanzione più alta: è probabile che anche in questo caso non si scherzerà.
Primi segnali di collaborazione tra OpenAi e Garante: quali misure per una privacy migliore
Il 6 aprile 2023 si è svolto un incontro in videoconferenza tra i vertici di OpenAI e il collegio del Garante, nel quale la società statunitense si è impegnata
- a rafforzare la trasparenza nell’uso dei dati personali degli interessati (leggi: una migliore informativa su come usano le nostre conversazioni),
- i meccanismi esistenti per l’esercizio dei diritti (la possibilità di accedere e controllare i nostri dati)
- e le garanzie per i minori (filtro di quelli minori di 13 anni).
Il Garante si riserva di valutare le misure proposte da OpenAI, anche riguardo al provvedimento adottato nei confronti della società. L’obiettivo è quello di trovare una soluzione che salvaguardi i dati degli utenti nel percorso di addestramento degli algoritmi, senza ostacolare lo sviluppo dell’intelligenza artificiale e dell’innovazione tecnologica.
Tuttavia tra i fattori citati nel comunicato non c’è l’aspetto più importante, la base legale; su quali finalità lecite tratta i nostri dati. Se è su un contratto o su un consenso (libero e revocabile); queste sono le alternative possibili dal punto di vista giuridico nel caso di ChatGpt.
Il punto chiave è che OpenAi deve dimostrare al Garante che la base legale era valida; altrimenti dovrà cancellare i dati, che però sono già stati usati per l’addestramento dell’algoritmo.
Conclusioni
Rischi ed opportunità sono facce diverse della stessa medaglia: l’intelligenza artificiale non fa eccezione.
Finita l’euforia – forse ingiustificata – per le funzionalità di ChatGPT, ora se ne inizia a vedere il lato oscuro, come era, francamente, prevedibile.
Per quanto sia bello poter discutere con un computer dei più svariati argomenti, anche lavorativi – per ragionare meno – è necessario interrogarsi sulle modalità di trattenimento di quelle conversazioni nei server della proprietà di quell’intelligenza artificiale con cui stiamo così proficuamente interloquendo.
E infine: qualcuno deve addestrare l’intelligenza artificiale a fare quello che fa; questa attività non può essere neutra, perché è un’attività prettamente umana.
E in un’ottica umana, si guarda al profitto che, nel mercato digitale del 2023, si fa prevalentemente con i dati degli utenti.
L’Autorità Garante italiana ha avuto il coraggio e “l’autorità” di intervenire in modo tempestivo ed efficace: ora dovremo osservare gli sviluppi di un fenomeno in evoluzione frenetica.
Articolo uscito il 31 marzo e aggiornato in seguito
Articolo originariamente pubblicato il 31 Mar 2023
