Oggi abbiamo sanzionato OpenAI, che produce il famoso Chatgpt, con 15 milioni di euro per varie violazioni privacy e gli abbiamo ordinato di fare una campagna per informare utenti e non utenti in merito al trattamento dati fatto da questa intelligenza artificiale e a come opporvisi.
E’ un tassello di una vicenda che parte da lontano e andrà ancora più lontano, sotto il vaglio dell’Europa, con la lead authority competente, ossia il Garante dell’Irlanda, dove OpenAI ha posto la sede principale. Il garante irlandese terrà conto anche del recente parere EDPB in merito ai modelli AI (vedi sotto).
Per capire come siamo arrivati a questo e cosa ci aspetta è bene inquadrare il provvedimento nella sua storia.
L’indagine che comincia nel 2022
Tutto inizia nel novembre del 2022 o, forse, meglio, la punta dell’iceberg emerge nel novembre del 2022 quando OpenAI, all’epoca un’organizzazione non profit, lancia sul mercato un servizio basato su intelligenza artificiale generativa capace di dialogare in linguaggio umano con gli utenti e di produrre, su richiesta, qualsiasi genere di contenuto testuale.
Per i non addetti ai lavori è un miracolo tecnologico, un portento, un fenomeno a metà strada tra la magia e la fantascienza.
Il pubblico, in tutto il mondo, premia immediatamente il servizio: un milione di utenti nella prima settimana di vita, senza che OpenAI investa neppure un centesimo in pubblicità, semplicemente grazie al tam tam digitale.
Tanto per dare un’idea, dieci anni prima, Instagram, oggi uno dei social più popolari al mondo, per raggiungere lo stesso traguardo di un milione di utenti, ci aveva impiegato due mesi.
Persone completamente diverse tra loro in tutto il mondo iniziano a utilizzare ChatGPT per centinaia di ragioni diverse: per qualcuno diventa rapidamente un saggio onnisciente da interrogare per risolvere ogni genere di problema dalla salute alla politica, passando per la finanza e l’educazione dei figli, per i più giovani diventa il compagno di banco “secchione” al quale chiedere aiuto per fare i compiti e, naturalmente, di conseguenza, per insegnanti e professori si trasforma in un autentico incubo perché rende difficile capire quali risultati sono davvero frutto della farina nel sacco dell’alunno e quali arrivano dal “secchione digitale”.
Per molti diventa una nuova straordinaria fonte di informazione, per qualcuno semplicemente un amico o un’amica con cui passare il tempo mentre qualcuno, senza nessuna sorpresa, prova a trasformarla nel o nella propria amante virtuale come era già accaduto con tanti altri chatbot prima e come continua a accadere.
Pochi, per non dire pochissimi – esclusi, naturalmente, gli addetti ai lavori – davanti a un fenomeno tanto dirompente soprattutto per la velocità di diffusione e, soprattutto, in ragione della straordinaria usabilità del servizio nella sostanza utilizzabile attraverso la stessa interfaccia di un’app di messaggistica capiscono cosa ChatGPT sia effettivamente: uno straordinario generatore di contenuti scritti in forma corretta ma senza nessuna ambizione di essere veri, attendibili, esatti.
In quattro mesi il fenomeno letteralmente esplode.
OpenAI e ChatGPT sono arrivati sul mercato dei servizi basati sull’intelligenza artificiale generativa prima di tutti, hanno tagliato la strada a tutte le altre bigtech che pure stavano lavorando al lancio di analoghi servizi.
Il vento è in poppa e soffia forte con centinaia di milioni di utenti letteralmente innamorati del servizio e, in taluni casi, probabilmente, già dipendenti da esso.
E, naturalmente, centinaia di milioni di persone raccontano a ChatGPT molto, anzi, moltissimo di loro, probabilmente più di quanto non avessero già fatto con decine di altri servizi digitali, social network inclusi.
La chat, la conversazione, il linguaggio naturale, il botta e risposta, generano inesorabilmente questo genere di fenomeno.
E questa montagna di informazioni viene raccolta da OpenAI e utilizzata per continuare l’addestramento degli algoritmi che danno vita a ChatGPT, andando a aggiungersi alla quantità industriale di informazioni – dati personali inclusi – già pescati a strascico online per addestrare i modelli, prima del lancio del servizio, fin dal 2018.
L’altolà del Garante italiano per la privacy
Va tutto bene o, meglio, sembra andar tutto bene fino al marzo del 2023.
Almeno nella prospettiva del mercato e del successo, essenzialmente di pubblico, di ChatGPT.
Poi proprio questo straordinario successo che non risparmia, naturalmente, l’Italia, attira l’attenzione del Garante per la protezione dei dati personali che decide di provare a guardare dietro lo scintillio e la disarmante semplicità dell’interfaccia di ChatGPT e di porsi alcune domande elementari.
La trasparenza innanzitutto: quanto ne sanno gli utenti di come funziona il servizio e, in particolare, di quali dati personali sono stati utilizzati e continuano a essere utilizzati per addestrare il servizio?
- Su quali basi giuridiche OpenAI ha fatto sua una quantità enorme di dati personali di miliardi di persone – decine di milioni in Italia – per addestrare i propri algoritmi, sviluppare e aprire al pubblico il servizio?
- Quanto sono esatte le risposte che ChatGPT propone agli utenti che lo interrogano per sapere di più su questa o quella persona?
- E se una persona non volesse che i suoi dati personali – anche a prescindere da come ci siano finiti – siano trattati da OpenAI per far funzionare ChatGPT e, magari, per raccontare di sé informazioni di ogni genere a una congerie variegata di utenti del servizio? Cosa potrebbe fare effettivamente?
- E, poi, i bambini: ChatGPT è un servizio straordinariamente potente e innegabilmente utile ma, come sempre, la condizione essenziale è che a usarlo sia chi ne conosce anche i limiti. Difficile considerarlo a misura di bambino. Cosa sta facendo OpenAI per scongiurare il rischio che tra le sue centinaia di milioni di utenti vi siano anche bambini?
Gli uffici del Garante provano a guardare dietro il palcoscenico globale con l’obiettività che sempre li guida e vi scorgono una serie di profili critici: poca trasparenza, tante scelte importanti in una dimensione di protezione dei dati personali che sembrano non essere neppure state assunte a cominciare da quella sulle basi giuridiche dei diversi trattamenti posti in essere per addestrare gli algoritmi e far funzionare il servizio, nessuna soluzione effettiva per garantire agli interessati i propri diritti a cominciare da quello di opposizione e rettifica di eventuali dati inesatti nei contenuti generati dal servizio e nessuna preoccupazione per tenere i bambini lontani dal servizio.
Un quadro preoccupante in senso assoluto e, ancor più preoccupante, davanti a un servizio capace di conquistare milioni di utenti in più ogni giorno.
Lasciar correre o anche limitarsi semplicemente a aprire un’istruttoria ordinaria avrebbe significato consentire a mercato e industria di travolgere e sovrascrivere le regole europee – a cominciare dal GDPR – già in vigore e, di fatto, non riuscire a garantire a milioni di persone un diritto fondamentale come il diritto alla privacy.
Da qui la scelta: ordinare a ChatGPT, in via d’urgenza, di sospendere temporaneamente ogni trattamento di dati personali relativi alle persone stabilite in Italia – ovvero quei trattamenti rientranti nella giurisdizione del Garante italiano – fino all’identificazione di soluzioni capaci almeno di abbattere i rischi emersi e, poi, naturalmente, avviare un’istruttoria ordinaria per capire meglio e di più la situazione anche all’esito di un confronto con le altre Autorità europee.
È nato così il famoso provvedimento del 30 marzo 2023.
La sua eco mediatica globale è stata – come ricorderanno i più – enorme.
Era la prima volta che un’Autorità per la protezione dei dati personali ricordava a una società leader mondiale dell’intelligenza artificiale generativa l’esigenza di progettare, implementare e fornire i suoi servizi nel rispetto del diritto alla protezione dei dati personali di miliardi di persone in tutto il mondo – decine di milioni in Italia – utenti e non utenti del servizio ChatGPT.
Inutile girarci attorno, almeno nell’immediato, la più parte dei commenti all’iniziativa del Garante, almeno da questa parte dell’oceano e, in particolare in Italia, furono critici, severissimi, talvolta feroci.
Ci si rimproverava di aver dato a pensare che l’Italia o addirittura l’Europa fossero nemiche dell’innovazione e di aver così sacrificato straordinarie opportunità di investimenti e sviluppo tecnologico sull’altare di un’applicazione troppo zelante di regole a difesa di diritti che si sarebbero dovuti – per ragioni, per la verità, mai spiegate chiaramente – considerare remissive, rispetto a quelle prevalenti dei mercati e dell’industria.
In conseguenza di quel provvedimento, per dodici giorni l’Italia è rimasta senza ChatGPT.
E sono stati dodici giorni che benché il servizio fosse sbarcato sul mercato da appena quattro mesi a qualcuno sono apparsi interminabili, così tanto interminabili da avvertire l’irrefrenabile esigenza di ricorrere a soluzioni tecnologiche capaci di aggirare il blocco dall’Italia e consentire agli utenti di presentarsi sulle porte della piattaforma come se provenienti da altri Paesi.
La dipendenza creata dal servizio era, evidentemente, già divenuta enorme.
L’11 aprile, poi, all’esito di un dialogo aperto e costruttivo con la società, identificate alcune misure utili – ancorché non risolutive – ad abbattere i rischi per la protezione dei dati personali degli interessati, il Garante ha sospeso il provvedimento di blocco temporaneo del trattamento a fronte dell’implementazione da parte di OpenAI delle predette misure e ChatGPT è tornata accessibile anche dall’Italia senza bisogno di ricorrere a trucchi e trucchetti più o meno tecnologici.
Tanto è bastato a distendere il clima, far sedimentare le più indomabili tra le prime reazioni e permettere l’apertura di un dialogo rispettoso delle legittime posizioni di tutti.
Il dibattito internazionale e l’avvio dell’istruttoria italiana
Chiusa la comprensibilmente turbolenta fase dell’urgenza il Garante ha avviato la sua istruttoria ordinaria per accertare, a prescindere da quanto emerso e avvenuto nella fase dell’urgenza, se e in quali violazioni OpenAI fosse incorsa e adottare ogni necessario provvedimento sanzionatorio e correttivo.
Il fragore della ribalta mediatica, a quel punto, ha lasciato il posto al silenzio dello studio, dell’approfondimento, dell’esame dei documenti e della riservatezza dell’attività istruttoria.
Nel corso del procedimento tanta acqua è scorsa sotto i ponti.
Le questione sollevate con il provvedimento d’urgenza hanno spinto le Istituzioni europee a ricomprendere nell’allora draft dell’AI Act – frattanto entrato in vigore – alcune disposizioni in materia di intelligenza artificiale generativa, le altre Autorità per la protezione dei dati personali europee hanno condiviso con il Garante l’esigenza di affrontare la relazione tra la progettazione e lo sviluppo di sempre più sofisticati modelli algoritmici e servizi su di essi basati e la disciplina europea della materia (GDPR) e una pluralità di altre autorità per la protezione dei dati personali in tutto il mondo, a cominciare dai colleghi canadesi, hanno avviato analoghe istruttorie nei confronti della stessa società.
Il dibattito nato in Italia è diventato globale.
Le questioni poste a fondamento del provvedimento d’urgenza hanno assunto la dimensione loro propria: questioni centrali nella governance mondiale delle cose dell’intelligenza artificiali, questioni ineludibili e da affrontare in maniera improcrastinabile.
Nessuno si è sottratto al confronto su di esse.
E, come spesso accade, il tempo si è mostrato un giudice equo e galantuomo.
Sedimentate le prime reazioni, il giudizio su quell’originario, ormai superato, provvedimento d’urgenza è significativamente cambiato in giro per il mondo, trasformandosi da negativo in positivo con poche, pochissime sacche di resistenza, nella più parte dei casi concentrate proprio in Italia, da parte, salvo talune eccezioni, di chi fa fatica a accettare che le ragioni del business e del progresso debbano sempre essere bilanciate con quelle dei diritti e delle libertà perché non si può definire innovazione una qualsiasi forma di progresso tecnologico ma solo quel progresso tecnologico capace di accrescere il benessere collettivo, per quanto possibile in un mondo che è rimane segnato da profonde differenze e iniquità, in maniera orizzontale, condivisa, universale almeno in termini di ambizione.
Insomma, non esiste innovazione lontano dai diritti e dalle libertà fondamentali.
Ma oggi tornare a parlare di ieri è inutile.
L’impressione è che, benché si resti enormemente lontani dalla meta, la situazione sia decisamente migliore rispetto a quella originaria con una diffusa e condivisa consapevolezza che sia possibile garantire al mondo – naturalmente Europa e Italia incluse – l’accesso alle straordinarie opportunità che le intelligenze artificiali ci offrono, limitando, al tempo stesso, i rischi che, pure, vanno accettati, come ineliminabili, e come prezzo da pagare – peraltro esattamente come sempre accaduto – per cogliere a pieno i benefici figli dell’innovazione.
Ci sono le nuove regole europee dell’EU AI Act destinate a entrare progressivamente in vigore e esercizi di regolamentazione, talvolta analoghi, talvolta diversi più o meno ovunque nel mondo.
C’è un nuovo EU AI Office a Bruxelles, guidato tra l’altro, da un’italiana con una straordinaria esperienza nelle cose della governance del digitale, come Lucilla Sioli.
C’è un esercizio di tutte le autorità di protezione dei dati personali europee di identificare delle linee comuni di azione innanzitutto per orientare l’industria, a proposito dello sviluppo, implementazione e distribuzione di servizi basati sull’AI, nella migliore direzione possibile contemperando i propri obiettivi con quelli di necessaria tutela della privacy, un esercizio che proprio nei giorni scorsi è confluito in un parere importante e che, nei mesi che verranno, confluirà in nuove linee guida.
C’è uno sforzo globale – inesorabilmente condizionato da una pluralità di sensibilità e caratteristiche diverse anche a livello di sistemi giuridici – di identificare un sistema integrato di promozione dell’AI e di protezione delle persone dall’AI anche attraverso una rete di Autorità e Agenzie cui verranno affidati nuovi poteri e competenze.
C’è una straordinaria comunità globale multistakeholders che si confronta, ormai su base quasi quotidiana, sulle questioni della governance dell’intelligenza artificiale e che condivide l’unico obiettivo possibile: quello di identificare posizioni di bilanciamento in modalità agile e, quindi, in continua evoluzione, tra diritti, interessi e libertà che si presentano come apparentemente rivali ma che sono, in realtà, tutti egualmente preziosi a garantire alle persone, ai mercati, alla società e alle nostre democrazie un futuro sostenibile.
C’è la certezza, giusto o sbagliato che si voglia ritenere l’intervento del Garante italiano del tempo, che oggi servono soluzioni condivise e, almeno, europee per governare la relazione tra privacy e intelligenza artificiale e che queste soluzioni vanno cercate – come, ormai, le autorità di protezione dei dati personali stanno imparando a fare – nel dialogo in seno all’EDPB al quale toccherà, tra l’altro, il compito di confrontarsi e fare squadra con l’AI Office.
C’è un’industria – e onestà intellettuale impone di riconoscerlo -, OpenAI inclusa, più attenta e sensibile di ieri alla ricerca di un punto di equilibrio tra tecnologia, profitto, diritti e libertà.
Ci sono, insomma, tante ragioni diverse per guardare il bicchiere della relazione tra regolamentazione e innovazione, a proposito delle cose dell’AI e della privacy, come mezzo pieno.
Le principali violazioni accertate con il nuovo provvedimento del Garante italiano
È in questo contesto che è importante collocare il provvedimento appena adottato dal Garante a chiusura dell’istruttoria avviata meno di un anno fa, a valle della fase di urgenza e nel raccontarne, nel modo più semplice possibile, il contenuto, vale, probabilmente, la pena partire dalla fine.
La più parte delle violazioni ipotizzate avviando l’istruttoria sono risultate accertate e queste sono le due principali.
La mancanza di adeguata trasparenza sui trattamenti e la violazione dei principi della privacy by design e by default
È il caso di un’informativa mai data – prima dell’inizio del trattamento – da OpenAI ai non utenti della piattaforma i cui dati personali pure sono stati raccolti per addestrare gli algoritmi che rendono ChatGPT quello che conosciamo.
Qui la spazio per l’opinabile è modesto: quale che sia la base giuridica di un trattamento e per quanto preziosa sia la finalità del trattamento in questione, tutti abbiamo il sacrosanto diritto di sapere se qualcuno sceglie di utilizzare i nostri dati personali e come intenda trattarli.
Se questo diritto viene violato, semplicemente, perdiamo ogni chance di controllo sui nostri dati, sulla nostra identità personale, sui nostri diritti, sulle nostre libertà e, in buona misura, sulla nostra stessa esistenza.
Calato nella vicenda di ChatGPT questo significa che ciascuno di noi avrebbe dovuto almeno essere informato della circostanza che OpenAI, stava raccogliendo i nostri dati personali in giro per il web e, un giorno, avrebbe potuto raccontare a uno qualsiasi dei suoi miliardi di utenti, qualcosa sul nostro conto.
E, egualmente anche gli utenti di ChatGPT che, pure, a differenza dei non utenti, un’informativa l’hanno ricevuta, non hanno potuto leggervi – anche ammesso che siano riusciti a raggiungerla nelle pieghe delle interfacce del servizio progettate più per abbattere ogni resistenza tra gli utenti e gli algoritmi che per garantire ai primi un’esperienza consapevole – tutte le informazioni che sarebbe stato necessario vi trovassero in conformità a quanto previsto dalla disciplina europea.
E, anche qui, vale la stessa regola: l’informativa sulla privacy non è una formalità ma una precondizione ineliminabile per garantire agli interessati di capire per davvero chi intende far cosa, per quali finalità, per quanto tempo e come con i propri dati personali.
Senza, ancora una volta, esercitare un controllo effettivo sulla propria identità personale diventa impossibile o, ma non è molto diverso, enormemente più difficile di quanto dovrebbe.
C’era troppa poca trasparenza, insomma, tanto per i non utenti che per gli utenti sulle pagine di ChatGPT.
E questo in un servizio che, verosimilmente, senza trattare quantità enormi di dati anche personali di centinaia di milioni o, forse, miliardi di persone non sarebbe mai nato.
In un servizio del genere, nel quale i dati sono irrinunciabili protagonisti, sarebbe stata necessaria tutt’altra attenzione alle cose della privacy fin dalla progettazione del servizio.
E proprio aver violato i principi della privacy by design e by default è un’altra delle violazioni che l’istruttoria ha consentito di accertare.
Lo stesso servizio poteva e avrebbe dovuto essere progettato e implementato in maniera diversa, con più attenzione alle persone, alla loro identità personale e alla loro dignità.
Ovvio, peraltro, lo si dice qui ma vale in relazione all’intero provvedimento che gli accertamenti delle violazioni sono storici ovvero si riferiscono al momento nel quale l’istruttoria è stata avviata senza considerare – se non ai fini del calcolo della sanzione sulla quale arrivo tra poco – cosa è accaduto in un momento successivo e se e quanto, eventualmente, OpenAI, quale titolare del trattamento vi abbia posto rimedio.
L’omessa identificazione di una base giuridica per i trattamenti
Ma andiamo avanti.
Una delle questioni più discusse, ieri e ancora oggi, quando si parla di intelligenza artificiale e privacy è quella relativa alla base giuridica idonea a legittimare il trattamento dei dati personali necessario all’addestramento degli algoritmi a cominciare dalla raccolta massiccia di tali dati da una pluralità di fonti, web in testa, attraverso il c.d. scraping, la pesca a strascico di qualsiasi informazione o contenuto disponibile online.
Nessuna sorpresa, dunque, che si tratti di uno dei profili per i quali il provvedimento era più atteso.
Qualcuno, sul punto, probabilmente, rimarrà deluso ma il provvedimento non scioglie questo nodo.
Al momento dell’avvio dell’istruttoria, quando la fotografia da porre a base del procedimento è stata scattata, infatti, OpenAI, stando a quanto emerso nel corso dell’istruttoria, non si era ancora posta il problema – o, almeno, non lo aveva ancora risolto –della base giuridica sulla quale fondare un’attività, peraltro, ampiamente già svolta – sin dal 2018 – come quella della raccolta e del trattamento dei dati personali necessari a addestrare i propri algoritmi.
E, naturalmente, non si può contestare a chicchessia di aver scelto la base giuridica sbagliata per un trattamento se questi non ha scelto alcuna base giuridica o, almeno, non lo ha fatto con abbastanza chiarezza.
In questo contesto, dunque, logica e regole hanno imposto di contestare alla società, nel corso del procedimento, non già la legittimità o illegittimità della scelta di questa o quella base giuridica ma, più radicalmente, il non aver affatto identificato e, conseguentemente comunicato agli interessati, una base giuridica o più basi giuridiche per ciascuna delle operazioni di trattamento attuate.
E questa è la violazione, conseguentemente, risultata accertata: non già aver eventualmente erroneamente individuato nel legittimo interesse la base giuridica dei trattamenti di dati personali utilizzati per addestrare gli algoritmi, ma non averne individuata alcuna prima di iniziare il trattamento.
Certo, successivamente all’avvio del procedimento OpenAI, anche sulla base del secondo provvedimento adottato dal Garante, ha fatto la sua scelta e ha identificato, proprio nel legittimo interesse, la base giuridica per la raccolta e il trattamento dei dati personali ai fini dell’addestramento degli algoritmi.
E allora, si chiederà qualcuno, perché non decidere anche sulla legittimità di tale scelta.
Domanda legittima che esige una risposta.
Nelle more del procedimento, OpenAI – che al momento dell’avvio dell’iniziativa del Garante non aveva alcuno stabilimento in Europa – si è stabilita a Dublino e le regole europee prevedono che quando nel corso di un’istruttoria il titolare del trattamento nei confronti del quale un’autorità per la protezione dei dati personali sta procedendo si stabilisce in un Paese dell’Unione diverso da quello dell’Autorità che procede, quest’ultima deve trasferire all’Autorità garante di tale Paese tutti gli atti relativi a quelle tra le violazioni per le quali sta procedendo che abbiano carattere continuativo ovvero che, pur iniziate prima, siano proseguite anche dopo lo stabilimento in detto Paese.
L’eventuale illegittimità del ricorso al legittimo interesse come base giuridica per la raccolta e gli altri trattamenti di dati personali strumentali all’addestramento degli algoritmi rientra in tali possibili violazioni con la conseguenza che, con il nuovo provvedimento, si è tra l’altro deciso di trasmettere gli atti ai colleghi di Dublino perché proseguano l’azione iniziata in Italia e decidano anche sul punto.
E altrettanto si è fatto in relazione a una serie di altre presunte violazioni che hanno egualmente natura continuata.
Non si tratta solo – anche se basterebbe – di rispetto delle regole sul riparto della giurisdizione ma di reale convinzione che siamo davanti a questioni planetarie in relazione alle quali, ogni qualvolta risulti possibile anche in termini di tempestività, il livello almeno europeo è da preferire a quello nazionale.
In questo caso, peraltro, la decisione – comunque obbligata – permetterà di far sì che il provvedimento dei colleghi irlandesi possa tener conto e avvantaggiarsi del lavoro dell’EDPB riassunto nell’opinione, alla quale ho già fatto cenno.
Servirà, insomma, ancora un po’ di pazienza per chiudere il cerchio ma quando accadrà l’Europa lo farà parlando con una sola voce come è utile che sia.
Il necessario rispetto dei termini del procedimento avrebbe impedito al Garante di fare altrettanto.
Le sanzioni e le misure correttive
Accertate tali violazioni e una serie di altre violazioni non meno importanti, con il provvedimento si sono quindi adottate talune misure sanzionatorie e correttive nei confronti della società.
Ho detto e scritto più volte e continuo a pensare che le sanzioni pecuniarie, pure indiscutibilmente necessarie e, spesso, extrema ratio, non rappresentano la mia risposta preferita a questioni epocali come quella oggetto di questa vicenda.
Le sanzioni, infatti, sfortunatamente arrivano sempre a illecito consumato e, quindi, nel caso delle violazioni del diritto alla privacy, quando un diritto fondamentale sempre più spesso relativo a un numero significativo di persone è stato dimenticato, travolto e violato.
Senza dire che, sfortunatamente, specie quando si ha a che fare con soggetti dotati di risorse economiche importanti come quelle di OpenAI, si tratta, purtroppo, di numeri destinati a perdersi in modelli di business e budget con tanti, tantissimi zeri in più rispetto a quelli presenti nella più severa delle sanzioni.
E, tuttavia, una sanzione, davanti a tanto importanti violazioni accertate andava necessariamente irrogata.
Quella irrogata è pari a 15 milioni euro.
Sarà certamente poco per qualcuno, tanto per qualcun altro, niente per alcuni e sproporzionata per altri.
Senza, peraltro, che nessuno abbia torto o ragione perché stabilire quanto valgono violazioni che possono aver avuto un impatto straordinario sulla vita delle persone, sulla nostra società e persino sulla democrazia, naturalmente, è un esercizio imperfetto per definizione benché, ormai da qualche anno, a livello europeo si stia cercando di ricorrere a parametri per quanto possibile obiettivi.
Ma, con la trasparenza indispensabile nel raccontare vicende di questo genere e di questa rilevanza, non faccio fatica a riconoscere che la misure più qualificante del provvedimento, a mio avviso, è un altro.
Penso all’ordine impartito a OpenAI di realizzare, d’intesa proprio con il Garante, una vasta campagna di comunicazione su tutti i principali mezzi di comunicazione italiani (radio, televisione, giornali e Internet), della durata di sei mesi per promuovere la comprensione e la consapevolezza del pubblico in merito al funzionamento del servizio ChatGPT, alle implicazioni dello stesso rispetto al diritto alla protezione dei dati personali, con riferimento alla raccolta dei dati di utenti e non-utenti per finalità di addestramento dei modelli e ai diritti dagli stessi esercitabili ai sensi del Regolamento.
È la prima volta che il Garante adotta un ordine di questo genere da quando gli è stato riconosciuto tale potere ai sensi dell’art. 166, comma 7 del Codice.
La realizzazione della campagna, probabilmente, varrà a restituire a milioni di persone il diritto di decidere per davvero cosa OpenAI possa o non possa fare dei propri dati personali.
Per molti andrà certamente bene così ovvero che la società che gestisce ChatGPT tratti i propri dati personali per far funzionare il servizio come lo conosciamo mentre altrettanti penseranno l’opposto.
E non c’è, naturalmente, una posizione migliore dell’altra.
L’importante, però, è che la consapevolezza di quanto accaduto e di quanto continua a accadere garantisca a tutti il diritto di scegliere per davvero.
Poi, naturalmente, toccherà a OpenAI rispettare le scelte dei singoli.
Guai, naturalmente, a pensare che il provvedimento abbia risolto in maniera definitiva i tanti problemi sul tavolo ma, forse, alcune delle indicazioni in esso contenute varranno a orientare nella direzione giusta il confronto e il dialogo non solo con OpenAI ma con l’intera industria dell’intelligenza artificiale, consentendoci anche di prevenire futuri problemi e di cogliere, insieme, la straordinaria occasione di scrivere pagine importanti di un futuro nel quale l’innovazione potrà offrire al mondo opportunità inimmaginabili solo pochi anni fa senza esigere quale prezzo sacrifici sproporzionati e umanamente prima che giuridicamente insostenibili in termini di diritti e libertà.
Siamo alla fine di una vicenda legale non convenzionale o, almeno, prossimi a posare una sua pietra miliare ma appena all’inizio di una strada lunghissima che bisognerà percorrere senza perdere neppure per un istante la certezza che innovazione e regolamentazione, tecnologia e diritti possano essere straordinari alleati tra loro e dell’umanità.
