L’Autorità Garante per il trattamento dei dati personali ha notificato a OpenAI l’atto di contestazione per le violazioni del GDPR. Questa mossa, potrebbe avere ripercussioni significative non solo per OpenAI, ma anche per le numerose aziende e istituzioni che fanno uso di ChatGPT.
Cerchiamo allora di capire come siamo arrivati a questo punto e cosa può succedere ora – anche se abbiamo più domande che risposte.
Chiusa l’istruttoria, al via le sanzioni
Il Garante privacy, come comunicato ieri, ha quindi chiuso l’istruttoria per le violazioni della normativa sul trattamento dei dati personali che hanno determinato, il 30 marzo 2023, il “blocco” cautelare del trattamento dei dati personali da parte di OpenAI tramite ChatGPT.
Il provvedimento ancora non c’è; dal Garante fanno sapere di avere mandato per ora una nota “endoprocedimentale”, quindi nel corso del procedimento.
In altri termini, il Garante ritiene che si possa procedere con delle sanzioni amministrative perché sono state accettate più violazioni della normativa sul trattamento dei dati personali, anche se non è stato comunicato quali.
Le possibili violazioni di OpenAI
Dato che la notifica della contestazione delle violazioni e l’avvio del procedimento sanzionatorio è un atto endoprocedimentale, non è dato conoscerne il contenuto, ma si può ipotizzare che le violazioni contestate riguardino la mancanza di una corretta informativa alla base del trattamento dei dati personali, la mancata individuazione di una idonea base giuridica per il trattamento – ora è necessario il consenso espresso dell’interessato – e l’opacità dell’algoritmo alla base di ChatGPT.
Da non sottovalutare, infine il problema relativo all’esattezza dei dati: in una prima fase ChatGPT riportava notizie false e diffamatorie su soggetti i cui contatti erano reperibili in rete.
Va dato atto che, probabilmente, il lato meno interessante è quello relativo alle informative alla base giuridica che, a quanto pare, è stato risolto in modo cooperativo da OpenAI; le altre violazioni, invece, dovrebbero avere un altro peso.
Staremo, quindi, a vedere che succede.
Le possibili conseguenze per OpenAI
Difficilmente ci troveremo di fronte ad un altro blocco temporaneo di ChatGPT: la fase cautelare, determinata da una policy di trattamento dei dati personali praticamente inesistente si è chiusa nella primavera del 2023.
Verosimilmente OpenAI sfrutterà i 30 giorni a sua disposizione per depositare memorie e, forse, documenti, per elidere o, quantomeno, mitigare, le proprie responsabilità.
OpenAI rischia sanzioni milionarie: richiediamo quella a ClearviewAI da 20 milioni di euro, quindi è altamente verosimile che continuerà a cooperare con l’Autorità Garante per il trattamento dei dati personali anche in questa fase, cercando di limitare al massimo i danni.
Implicazioni per aziende e istituzioni che usano ChatGPT
Molti sistemi hanno utilizzato i modelli di ChatGPT per implementare le proprie attività. Non ultimo il Ministero delle Finanze: il modello di summarization ProDigit, sperimentale e finalizzato ad aiutare la massimazione delle sentenze tributarie, si basa proprio su ChatGPT.
Sotto questo profilo sarà interessante verificare quali saranno state le contestazioni mosse dal Garante: se si trattasse di violazioni legate all’opacità dell’algoritmo di ChatGPT, ProDigit potrebbe veder venire meno uno dei pilastri della su cui si deve basare l’uso dell’AI nel settore giustizia secondo il quarto principio della Carta etica europea sull’uso dell’intelligenza artificiale neo sistemi giudiziari e nei settori connessi della Cepej.
Possibili scenari futuri
Sanzioni amministrative enormi e raccomandazioni: ma ci saranno effetti domino?
Questa è la domanda da 20 milioni (di euro) che apre la notifica del Garante del procedimento sanzionatorio verso OpenAI.
In ogni caso siamo di fronte a una situazione prevedibile ma, comunque, inedita, il cui esito determinerà anche gli scenari a livello europeo.
Per quanto il Garante, infatti, abbia agito in questo momento anche per rispettare i termini de procedimento amministrativo aperto a fine marzo 2023, non si può tacere il fatto che siamo “vicini” all’emanazione dell’AI Act. Questo atto, quindi, può essere letto anche come segnale politico “forte”.
Sulla scorta di quanto accaduto per ChatGPT, comunque, a livello europeo si sta prevedendo l’ipotesi di sperimentare modelli ad alto impatto di intelligenza artificiale mediante le cosiddette sandboxes, ossia dei “contenitori” protetti in cui i rischi per gli interessati siano minimi e, comunque, limitati dalla struttura stessa.
Conclusioni
Questo modo di procedere, cauto e, sostanzialmente, corretto, tutela maggiormente i diritti degli interessati a scapito, forse, del lancio del servizio, ma evita, certamente, il rischio di provvedimenti come quelli adottati dal garante nel marzo 2023 e di sanzioni come quelle che verranno – probabilmente – comminate ad OpenAI.
Il tutto, ovviamente, al netto del danno d’immagine che OpenAI ha avuto per il blocco temporaneo imposto dal Garante.
