Come noto, il Gruppo Gedi, ha firmato un accordo firmato lo scorso 24 settembre con OpenAI ma, secondo il Garante, se tutti i dati personali contenuti negli archivi fossero comunicati alla società statunitense, vi sarebbe una probabile violazione del GDPR. Vediamo perché.
L’avvertimento del Garante
Dal comunicato stampa dell’Autorità Garante per il trattamento dei dati personali, si apprende quanto segue.
“Sulla base delle informazioni ricevute, l’Autorità ritiene che le attività di trattamento sono destinate a coinvolgere un grande volume di dati personali, anche di natura particolare e di carattere giudiziario, e che la valutazione d’impatto, svolta dalla società e trasmessa al Garante, non analizzi sufficientemente la base giuridica in forza della quale l’editore potrebbe cedere o licenziare in uso a terzi i dati personali presenti nel proprio archivio a OpenAI, perché li tratti per addestrare i propri algoritmi.
Il provvedimento di avvertimento evidenzia, infine, come non appaiano sufficientemente adempiuti gli obblighi informativi e di trasparenza nei confronti degli interessati e che Gedi non sia nelle condizioni di garantire a questi ultimi i diritti loro spettanti ai sensi della disciplina europea sulla privacy, in particolare il diritto di opposizione”.
Le premesse dell’avvertimento del Garante a Gedi
Più nello specifico, merita riportare alcune delle premesse dell’avvertimento.
“RILEVATO che la Società ha precisato che “tutti i contenuti editoriali verranno utilizzati da OpenAI per consentire agli utenti [del servizio ChatGPT, n.d.r.] di fare ricerche in tempo reale di notizie di attualità, con contestuale fornitura di un riassunto (generato da sistemi di intelligenza artificiale di OpenAI) e del link diretto alla notizia medesima” e che “tutti i contenuti editoriali verranno utilizzati da OpenAI altresì per migliorare i propri servizi e addestrare i propri algoritmi di intelligenza artificiale”;
RILEVATO che dalla DPIA risulta che il “Trattamento di dati personali c.d. comuni, è basato sul legittimo interesse del Titolare ex art. 6 par. 1, lett. f) GDPR (considerato prevalente, come di seguito precisato) a esercitare l’attività giornalistica secondo modalità innovative e in grado di preservare la capacità e la funzione informativa dei contenuti editoriali” e che il “Trattamento di dati personali appartenenti a categorie particolari e relativi a condanne penali e reati (residuali), è effettuato in conformità – in particolare – agli artt. 136 e 137 del Codice privacy e alle disposizioni contenute all’interno delle Regole deontologiche”;
CONSIDERATO che la base giuridica relativa alla comunicazione ad OpenAI di contenuti editoriali che includono dati di natura particolare ai sensi degli artt. 9 e 10 Regolamento, attività di trattamento dalla Società ricondotta all’esercizio dell’attività giornalistica ai sensi degli artt. 136 e 137 del Codice, non risulta, allo stato, sufficientemente analizzata nella DPIA, in particolare alla luce del disposto dell’art. 137, comma 3, del, Codice il quale prevede che “in caso di diffusione o di comunicazione dei dati per le finalità di cui all’articolo 136 restano fermi i limiti del diritto di cronaca a tutela dei diritti di cui all’articolo 1, paragrafo 2, del Regolamento e all’articolo 1 del presente codice e, in particolare, quello dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico”;
CONSIDERATO che il legittimo interesse non è condizione legittimante il trattamento di dati personali di carattere particolare in quanto, l’articolo 9 del Regolamento, al suo secondo comma, individua tali “basi giuridiche” quali eccezioni alla regola generale del primo comma, secondo la quale: “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.”;
CONSIDERATO che non appare sufficientemente chiaro come la base giuridica del legittimo interesse di cui si avvale GEDI, nei termini sopra descritti, per il trattamento dei dati per finalità giornalistiche, possa risultare anche una base giuridica idonea per consentire alla stessa GEDI di comunicare i dati personali inclusi nei contenuti editoriali ad OpenAI, anche per operazioni di “addestramento” delle proprie applicazioni di intelligenza artificiale; attività quest’ultima, come riferisce la stessa GEDI, “integralmente sottratte alla partecipazione e al controllo di GEDI e delle testate del Gruppo GEDI”.
I rilievi del Garante
In sintesi, dato che il trattamento da parte di OpenAI aveva come termine iniziale il 30 novembre scorso, il Garante è intervenuto con istruttoria preventiva ed ha emesso questo avvertimento il 27 novembre scorso.
I rilievi sono interessanti: la base giuridica individuata dal Gruppo GEDI è il legittimo interesse del titolare, notoriamente residuale; la DPIA è considerata lacunosa sul punto e le informative insufficienti.
Per queste ragioni, il Garante ha avvertito il Gruppo GEDI che l’attività è seriamente a rischio.
“Ai sensi dell’art. 58, par. 2, lett. a), del Regolamento e dell’art. 154, comma 1, lett. f), del Codice, avverte GEDI Gruppo Editoriale S.p.A., con sede in Torino, via Ernesto Lugaro 15 e di tutte le società parte dell’accordo di comunicazione dei contenuti editoriali stipulato con OpenAI, segnatamente GEDI News Network S.p.A., GEDI Periodici e Servizi S.p.A., GEDI Digital S.r.l., Monet S.r.l. e Alfemminile S.r.l., in qualità di titolari del trattamento dei dati personali, che la comunicazione dei contenuti editoriali delle predette testate del Gruppo GEDI a OpenAI potrebbe verosimilmente violare le disposizioni di cui agli artt. 9, 10, 13, 14 e del Capo III del Regolamento”.
Archivi online delle testate, diritto all’oblio, deindicizzazione e webscraping indiscriminato
Come noto, le testate giornalistiche hanno il diritto di mantenere tutte le notizie che hanno pubblicato nei propri archivi e il diritto all’oblio, per obsolescenza della notizia o per ipotesi di archiviazione o assoluzione degli indagati/imputati viene ritenuto correttamente garantito attraverso la deindicizzazione dei contenuti dai motori di ricerca.
Se non ché, le notizie restano negli archivi: dare accesso agli stessi in modo indiscriminato alle intelligenze artificiali attraverso un accordo commerciale può, concretamente, vanificare l’esercizio del diritto all’oblio già effettuato dagli interessati e ridurre a zero quello degli interessati futuri.
Perché se da un lato è vero che la deindicizzazione opera in modo efficace sui motori di ricerca, non è dato sapere come poterebbe incidere sui risultati dell’AI.
È lecito dubitare che vi siano soluzioni concrete sotto questo aspetto: da qui il corretto intervento del Garante.
Corretto anche il rilievo sull’insufficienza della base giuridica: il legittimo interesse del titolare è la base più “debole”, ma è anche verosimilmente difficile individuarne un’altra.
D’altro canto, o le testate giornalistiche “vendono” l’accesso ai propri archivi per il training delle Ai, o rischiano di subire comunque il webscraping indiscriminato senza alcun ricavo.
La tensione tra machine learning ed esercizio dei diritti garantiti dal GDPR
Il Garante si prepara ad aprire un’istruttoria e a sanzionare GEDI e gli altri gruppi che daranno accesso verso corrispettivo ai propri archivi per il training di ChatGPT.
La difficoltà concreta è legata all’esercizio del diritto all’oblio una volta effettuato il training; la difficoltà giuridica è costituita dalla riconduzione al legittimo interesse del titolare dell’apertura degli archivi alle AI.
La soluzione, allo stato, appare lontana: può scaturire da un intervento dell’EDPB, da una sentenza – futura – della Corte di Giustizia UE o da un intervento ad hoc dell’Unione europea – ipotesi remota.
La tensione tra machine learning ed esercizio dei diritti garantiti dal GDPR è elevatissima e non è destinata a esaurirsi a breve; su questo nemmeno l’AI Act è d’aiuto, perché fa correttamente salve le disposizioni del GDPR.
L’intervento preventivo del Garante appare tempestivo e corretto nei modi e nei rilievi dato che la soluzione del problema è comunque lontana.
