gli interventi

ChatGPT, non solo il Garante italiano: vigili anche le Autorità di controllo Ue (e non solo)

Il Garante privacy italiano è stato il primo a intervenire contro ChatGPT, ma già da qualche tempo molte altre hanno cominciato a muoversi per evitare violazioni della normativa Ue parte dei nuovi sistemi di IA. La decisione dell’Autorità italiana potrebbe essere la miccia che porterà ad altre limitazioni? Il punto

Pubblicato il 13 Apr 2023

Marco Martorana

avvocato, studio legale Martorana, Presidente Assodata, DPO Certificato UNI 11697:2017

Roberta Savella

Docente in materia di diritto delle nuove tecnologie e responsabile per la formazione presso Istituto di Formazione Giuridica SRLS Unipersonale

cybersecurity

L’attività delle Autorità di controllo europee per la tutela dei dati personali nell’utilizzo dei nuovi sistemi di Intelligenza Artificiale sta attirando l’attenzione anche al di fuori dell’Unione.

Già lo scorso febbraio ne parlava Catherine Stupp sul Wall Street Journal nell’articolo dal titolo “Privacy Regulators Step Up Oversight of AI Use in Europe”, che oggi può sembrarci quasi profetico se pensiamo all’intervento del nostro Garante per la protezione dei dati personali del 30 marzo con il quale ha disposto una limitazione provvisoria del trattamento dei dati degli utenti italiani tramite ChatGPT.

Pizzetti, ChatGpt: senza diritti siamo nudi davanti all’intelligenza artificiale

La nostra Autorità di controllo è stata la prima a intervenire con un provvedimento così deciso, ma già da qualche tempo molte altre hanno cominciato a muoversi per evitare violazioni della normativa europea a tutela dei dati da parte dei nuovi sistemi di IA e la decisione del Garante italiano potrebbe essere la miccia che porterà a varie altre limitazioni di queste tecnologie.

Facciamo un punto della situazione.

Nuove risorse dedicate all’IA nelle Autorità in Francia, Olanda e Spagna

Come si legge nell’articolo del WSJ succitato, a gennaio la CNIL, Autorità di controllo francese, ha creato una unità di 5 persone dedicata interamente allo studio dell’Intelligenza Artificiale e dei suoi rischi. Nel comunicato pubblicato dalla CNIL il 23 gennaio vengono elencati i principali obiettivi dell’unità, che saranno i seguenti:

  • Favorire in seno alla CNIL, ma anche per professionisti e privati, la comprensione del funzionamento dei sistemi di IA;
  • Consolidare le competenze della CNIL per quanto riguarda i rischi per la vita privata connessi all’utilizzo di queste tecnologie;
  • Prepararsi all’entrata in vigore del Regolamento europeo sull’IA;
  • Sviluppare le relazioni con i principali player del settore.

Anche l’Autorità olandese ha aperto una nuova divisione specificamente dedicata al controllo degli algoritmi, mentre il segretario di Stato spagnolo per la digitalizzazione ha annunciato che quest’anno il governo creerà una nuova agenzia per supervisionare sull’IA.

L’intervento del Garante italiano

Come anticipato sopra, il 30 marzo 2023 il Garante per la protezione dei dati personali ha disposto una limitazione provvisoria del trattamento dei dati degli utenti italiani da parte di OpenAI, società statunitense che ha sviluppato ChatGPT.

Le ragioni, elencate in modo molto sintetico nel provvedimento, sono le seguenti:

  • Mancanza di una informativa privacy per gli utenti che utilizzano ChatGPT e per gli interessati i cui dati sono trattati da OpenAI tramite tale servizio;
  • Assenza di una idonea base giuridica per il trattamento consistente nella raccolta e utilizzo dei dati personali per l’addestramento degli algoritmi che consentono il funzionamento di ChatGPT;
  • Violazione del principio di esattezza, in quanto ChatGPT si è dimostrata in vari casi (spesso, a dirla tutta, esilaranti) quantomeno imprecisa nelle sue risposte, molte volte arrivando a fornire delle informazioni del tutto errate e fuorvianti per chi su esse faccia affidamento;
  • Inesistenza di qualsiasi tipo di meccanismo di verifica dell’età degli utenti, cosa che espone i minori di età inferiore ai 13 anni (considerati generalmente ancora troppo immaturi per accedere alla maggior parte dei servizi online) a risposte e interazioni del tutto inadeguate al loro grado di sviluppo.

Questo ultimo punto fa tornare in mente il provvedimento del 2 febbraio scorso con il quale l’Autorità ha disposto, analogamente, una limitazione provvisoria del trattamento dei dati degli utenti italiani a Replika, altra chatbot sviluppata da una società statunitense, per via dei rischi posti per i minori dall’assenza di filtri di verifica dell’età.

Sembra quindi che il nostro Garante in questi primi mesi del 2023 si stia concentrando sull’assicurare che, in attesa del nuovo Regolamento sull’IA (meglio noto come AI Act), le attività delle società che producono questi sistemi non restino del tutto incontrollate ma rispettino i requisiti (già ben conosciuti anche all’estero) del GDPR, specialmente quando le tecnologie sono accessibili anche ai più piccoli. Lo spirito, ricordiamolo, non è affatto quello di porre un freno all’innovazione, ma di far sì che questa avvenga nel rispetto dei diritti fondamentali riconosciuti agli individui. In tale modo, anzi, l’effetto potrebbe essere quello di favorire lo sviluppo delle nuove tecnologie, creando circoli virtuosi a partire dalla fiducia degli utilizzatori.

Che la direzione sia questa è ancora più chiaro dopo l’interlocuzione avvenuta lo scorso 5 aprile tra il Garante e OpenAI. In quella occasione è stato aperto un dialogo con la società statunitense nell’ottica di consentirle di adottare misure a protezione dei dati idonee per un “ritorno” di ChatGPT anche in Italia. Nel comunicato stampa pubblicato il 6 aprile sul sito dell’Autorità si legge sia della volontà di OpenAI di trovare celermente rimedi per le criticità evidenziate nel Provvedimento del 30 marzo, sia delle assicurazioni del Garante sul fatto che “non vi sia alcuna intenzione di porre un freno allo sviluppo dell’AI e dell’innovazione tecnologica”. Non si vuole, quindi, demonizzare la tecnologia in sé, ma le lacune di tutela degli individui create con il suo utilizzo, falle che possono essere chiuse con un intervento ad hoc.

Nei giorni immediatamente successivi all’incontro, OpenAI ha trasmesso al Garante una proposta di misure che la società vorrebbe adottare per rendere il trattamento compliant alla normativa europea. L’Autorità ha esaminato il documento e, con il comunicato stampa del 12 aprile, ha annunciato che la limitazione provvisoria del trattamento verrà sospesa se OpenAI adempirà entro il 30 aprile ad alcune prescrizioni, poiché in tale caso verranno meno le ragioni d’urgenza alla base del provvedimento del 30 marzo. Gli adempimenti richiesti dal Garante riguardano, in particolare:

  • L’informativa privacy, che dovrà essere resa disponibile sul sito di OpenAI in una posizione che ne consenta la lettura prima dell’eventuale registrazione al servizio e dovrà illustrare modalità e logica alla base del trattamento dei dati per il funzionamento di ChatGPT e i diritti degli interessati (utenti e non utenti). Prescrizioni specifiche riguardano poi gli utenti italiani, ai quali l’informativa dovrà essere presentata prima della registrazione o, se già registrati, al momento del primo accesso dopo la riattivazione della chatbot, chiedendo inoltre di dichiarare, in tale occasione, di essere maggiorenni;
  • La base giuridica del trattamento per l’addestramento degli algoritmi, che non può essere l’esecuzione del contratto con gli utenti, ma dovrebbe invece essere individuata o nel consenso o nel legittimo interesse (fermo restando che il Garante si riserva di fare ulteriori accertamenti sulla scelta tra una di queste due);
  • L’esercizio del diritto di rettifica o di cancellazione (quando la rettifica non è tecnicamente possibile) dei dati inesatti e del diritto di opposizione da parte degli interessati (che siano utenti o meno), che deve essere consentito da OpenAI mettendo a disposizione idonei strumenti semplici e accessibili;
  • La tutela dei minori, che dovrà essere assicurata con l’implementazione di un sistema di age verification per la registrazione al servizio di ChatGPT entro il 30 settembre 2023. Tale sistema dovrà essere in grado di escludere l’accesso alla chatbot agli utenti infratredicenni e ai minorenni che non abbiano il consenso dei genitori;
  • Una campagna di informazione, che OpenAI dovrà promuovere insieme al Garante su radio, televisione, giornali e web con l’obiettivo di fornire informazioni al pubblico sull’utilizzo dei dati personali per l’addestramento degli algoritmi.

In chiusura su questa vicenda, è importante sottolineare che la sospensione della limitazione provvisoria del trattamento non significa la chiusura dell’istruttoria del Garante, che rimarrà in corso e potrebbe portare a future sanzioni per i trattamenti effettuati da OpenAI prima dell’adozione delle misure richieste dall’Autorità, qualora fossero accertate violazioni del GDPR. L’atteggiamento collaborativo e solerte che sta dimostrando OpenAI in questa fase potrebbe comunque incidere sull’entità dell’eventuale sanzione.

Altri Paesi europei potrebbero seguire l’esempio italiano su ChatGPT

Secondo quanto riportato da Reuters il 3 aprile, le Autorità di Francia e Irlanda hanno contattato quella italiana per comprendere meglio le ragioni della decisione (esposte in modo molto sintetico nel provvedimento del 30 marzo) e valutare l’adozione di misure simili anche per gli interessati che si trovano nei loro Paesi.

Sulla stessa testata, l’11 aprile, è stata pubblicata la risposta della CNIL che, interrogata sull’argomento, ha affermato di aver ricevuto varie denunce su ChatGPT e di avere iniziato apposite indagini.

Il Commissario federale tedesco per la protezione dei dati e la libertà di informazione ha riferito al quotidiano Handelsblatt che anche in Germania ChatGPT potrebbe essere bloccata a causa di preoccupazioni sulla sicurezza dei dati.

Anche l’Autorità spagnola ha affermato di non escludere future attività istruttorie sulla popolare chatbot e ha chiesto all’EDPB di valutare le preoccupazioni relative alla tutela dei dati personali sollevate dal prodotto di OpenAI.

Anche al di fuori dell’UE qualcosa si muove

Risale al 4 aprile 2023 l’annuncio dell’Office of the Privacy Commissioner (OPC) canadese relativo all’apertura di una istruttoria sulla società che ha sviluppato ChatGPT.

Tale iniziativa, spiega il comunicato, è dovuta a un reclamo che ha segnalato la raccolta, uso e condivisione di dati personali da parte di OpenAI senza il consenso dei soggetti interessati.

Anche in Canada, così come nell’UE, il Parlamento sta attualmente discutendo delle proposte di legge volte a regolare specificamente l’Intelligenza Artificiale e il trattamento dei dati effettuato tramite queste tecnologie. Per quanto riguarda la tutela dei dati personali, invece, la normativa è composta da un insieme di leggi federali e provinciali, sia di stampo generale che settoriale.

Conclusioni

Emerge dall’attività delle Autorità garanti, specialmente quella italiana, la necessità di agire urgentemente per contrastare attività illecite di trattamento dei dati personali tramite le nuove tecnologie di IA. Nell’attesa di un Regolamento specifico, che sta avendo una gestazione ben più lunga di quanto previsto quando era stato proposto, non possiamo pensare che questo settore costituisca una sorta di “Far West giuridico”: le normative settoriali esistenti, come quella a tutela dei dati personali, sono pienamente vigenti e applicabili anche a strumenti come ChatGPT, che per la loro natura trattano una mole enorme di dati, anche personali.

Non dovremmo quindi stupirci di fronte a provvedimenti, come quello del Garante privacy, che limitano il trattamento che viene effettuato in assenza delle necessarie garanzie.

Vedremo nelle prossime settimane se questo approccio precauzionale verrà seguito anche nel resto del mondo, o se le nuove misure che verranno – probabilmente – adottate da OpenAI a seguito della vicenda italiana saranno sufficienti a far rientrare, almeno per un po’, le preoccupazioni sulla tutela dei dati personali trattati con queste nuove tecnologie.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • COMPETENZE DIGITALI

    Governance dei dati: passa dalle competenze il percorso necessario

    09 Mag 2024

    di Nello Iacono

    Condividi

  • l'analisi

    Il futuro delle reti è "user-centrico": le soluzioni per migliorare servizi e UX

    12 Apr 2024

    di Alessandro Lavarra

    Condividi

Prossimo

Governance dei dati: passa dalle competenze il percorso necessario

Articolo 1 di 3