ChatGPT è un modello di intelligenza artificiale, sviluppato da OpenAI, che conversa con centinaia di milioni di persone in giro per il mondo (si parla di un milione di utenti registrati solo nei primi cinque giorni dalla release) riguardo i loro interessi, i loro interrogativi, i loro pensieri e preoccupazioni. Ciò permette ad OpenAI di incamerare un’ingentissima quantità di informazioni personali.
In un mondo sempre più attento alla protezione dei dati personali, ma, allo stesso tempo, desideroso di raggiungere importanti risultati nell’ambito dell’IA e del machine learning, ChatGPT si afferma come un ottimo banco di prova per comprendere se queste due anime riusciranno ad andare d’accordo o meno.
Scorza: “Chatbot sempre più aspira-dati, miscela esplosiva per la privacy”
L’Unione Europea, dal canto suo, considera una questione di centrale importanza normare lo sviluppo delle intelligenze artificiali, tant’è che gli organi istituzionali stanno discutendo l’adozione di un AI Act che si affiancherà, con specifico riferimento alla protezione dei dati personali, al Regolamento (UE) 2016/679 (“GDPR”) .
Come chatGPT usa i nostri dati: le maggiori criticità
Come vengono utilizzati i nostri dati? Nella specie, i profili che involgono la privacy sono molteplici.
Ci si chiede anzitutto se ChatGPT debba trattare i dati personali rispettando anche i “fastidiosi” parametri imposti dal GDPR.
La risposta non può che essere positiva. In base all’art. 3 del GDPR, infatti, chi fornisce servizi a soggetti situati nell’Unione Europea deve trattare i loro dati personali in conformità a tutte le disposizioni del regolamento, tra cui i suoi principi fondanti enunciati all’art. 5.
Analizziamo, dunque, quali sono le maggiori criticità inerenti alla protezione dei dati personali, tali per cui l’applicazione effettiva del GDPR ad opera degli sviluppatori di IA, anche non europei, è di fondamentale importanza.
In primo luogo, vi sono fattori di rischio derivanti dalla mole dei dati e dalla natura così imprevedibile dei medesimi (non c’è limite alla tipologia di dati personali che l’utente può fornire, pertanto ChatGPT può immagazzinare dati che vanno dai semplici “nome, cognome e data di nascita” ai ben più delicati dati giudiziari o sull’orientamento sessuale dell’utente).
In secondo luogo, non vi sono particolari certezze in merito all’utilizzo delle informazioni fornite dagli utenti. È senz’altro intuibile come i dati saranno messi a disposizione dell’IA al fine di migliorarla e svilupparla, ma poi? Il percorso di questi dati termina, oppure, saranno riutilizzati per altre finalità? A tal proposito ricordiamo come, secondo il principio di limitazione delle finalità, i dati personali devono essere raccolti per finalità determinate, esplicite e legittime e successivamente trattati in modo che non sia incompatibile con tali finalità.
Curiosamente anche ChatGPT è “consapevole” di quanto appena detto. Interrogato sul punto, infatti, il software riferisce di come possa archiviare le trascrizioni di conversazioni con gli utenti, che potrebbero essere utilizzate per scopi di formazione o per migliorare le prestazioni dell’IA. ChatGPT precisa inoltre che le chat archiviate potrebbero essere potenzialmente accessibili da soggetti non autorizzati o utilizzate per altri scopi, senza il consenso dell’utente, nonché come esista anche la possibilità che attori malintenzionati utilizzino ChatGPT per scopi dannosi, come attacchi di phishing o ingegneria sociale.
Il nodo della trasparenza
Gli utenti, così come previsto dal GDPR, devono essere informati adeguatamente in merito al perché, al come, quando, ecc… sono utilizzati i loro dati personali ed è per questo che, di fatto, ogni sito internet è dotato di una privacy policy in cui noi utenti possiamo auspicabilmente trovare le informazioni di nostro interesse, illustrate in forma concisa, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
Chat GPT non fa eccezione. Tuttavia, la privacy policy di OpenAI non è di grande aiuto, infatti, non è in grado di farci comprendere con precisione quale sia il destino dei nostri dati personali. Lo stesso Garante per la Protezione dei Dati Personali sostiene che “neppure a leggere la stringata informativa sulla privacy messa a disposizione degli utenti, [si è in grado di comprendere] cosa i “padroni” del robot facciano dei dati personali, talvolta personalissimi, particolari secondo le previsioni del Regolamento (UE) 2016/679 (“GDPR”), raccolti.”
Trasferimento di dati personali verso gli USA
A completamento del quadro delineato poc’anzi, è necessario sottolineare come OpenAI, L.L.C. sia una società statunitense e che, pertanto, i dati personali forniti dagli utenti valicano i confini europei raggiungendo gli Stati Uniti.
Il trasferimento di dati verso lo stato americano è stato dichiarato illecito, salvo particolari eccezioni, a seguito della celebre sentenza Schrems II, che ha invalidato il precedente accordo Privacy Shield. Per questo motivo Europa e Stati Uniti stanno negoziando un nuovo accordo, tuttavia la recente risoluzione del Parlamento Europeo conferma che la questione non è di facile ed immediata definizione. Nel frattempo rimangono i dubbi circa l’effettiva protezione dei dati personali coinvolti nel trasferimento extra UE.
Conclusioni
ChatGPT è un fenomeno che sta attirando l’interesse dell’opinione pubblica su scala globale. Dal punto di vista della protezione dei dati personali esso pone nuovi interrogativi, da un lato affascinanti, dall’altro inquietanti, incarnando perfettamente le due facce della stessa medaglia che caratterizzano lo sviluppo di un’IA. Al contempo l’esplosione di ChatGPT ha confermato la centralità della protezione dei dati personali ed il fortissimo legame che essa ha con lo sviluppo e l’affermazione delle nuove tecnologie. Vedremo se il GDPR, che tra poco “festeggerà” i 5 anni dalla sua applicabilità (25 maggio 2018), riuscirà ad affrontare con successo le fondamentali sfide che le nuove tecnologie gli impongono.
