L’intervento dell’Autorità Garante privacy su ChatGPT che ne limita provvisoriamente il trattamento per gli utenti italiani, in cui viene eccepita la mancanza di una idonea base giuridica del trattamento per la finalità di addestramento degli algoritmi nonché l’assenza di presidi per verificare l’età degli utenti e dei minori in particolare, è un atto dovuto.
https://www.agendadigitale.eu/sicurezza/privacy/garante-e-openai-lazione-privacy-non-sia-fuoco-di-paglia
Tale provvedimento rientra a tutti gli effetti nel novero dei provvedimenti e dei temi già emersi in altre occasioni, ad esempio con l’istruttoria sul sistema Replika dello scorso 3 febbraio, in cui l’Autorità limitò temporaneamente il trattamento dei dati posto in essere dal servizio di chatbot poiché l’applicazione presentava concreti rischi per i minori d’età, a partire dalla proposizione ad essi di risposte assolutamente inidonee al loro grado di sviluppo. L’utilizzo di un algoritmo per fornire counselling psicologico a soggetti vulnerabili apre di sicuro temi di data protection ma certo tutti dovremmo oggi comprendere che il perimetro è ben più ampio e abbraccia l’etica, la politica, la direzione che l’umanità vuole prendere, ridefinendo lo stesso spettro di competenze che i nuovi giuristi ed esperti devono maturare.
Il caso di Replika dimostra inoltre come le tecniche di social engineering possano essere utilizzate per aggirare i limiti etici dell’algoritmo, laddove inseriti dagli sviluppatori, ottenendo risposte inadatte all’età o allo stato psicologico dell’interlocutore, rischiando di risultare del tutto errate e addirittura pericolose.
Analisi del provvedimento del Garante: contenuto e tutele previste dall’Autorità
Procedendo ad una più puntuale analisi di quanto ha disposto il Garante con il Provvedimento del 30 marzo occorre fin da subito fare una doverosa premessa, contrariamente a quanto invece è stato recepito da molti, il Garante non ha bloccato chatGPT. Il Garante ne ha semplicemente, visti i motivi già elencati, provvisoriamente limitato il trattamento dei dati. L’articolo 58, paragrafo 2 lettera f) del Regolamento è chiaro su questo punto: ogni autorità di controllo ha il potere di “imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento”. Il Garante, quindi, avrebbe potuto adottare tre differenti approcci nei confronti di ChatGPT, limitare provvisoriamente il trattamento, come è stato fatto, oppure limitarlo definitivamente fino ad arrivare a vietarlo del tutto.
Venendo alle osservazioni di merito presenti nel Provvedimento dell’Autorità, quelle più rilevanti da un punto di vista giuridico risultano essere:
- l’assenza di idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT;
- il trattamento di dati personali degli interessati risulta inesatto in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale;
Certamente rilevanti e meritevoli di attenzione nel provvedimento del Garante anche i punti relativi alla mancata somministrazione dell’informativa agli interessati e al mancato controllo rispetto all’utilizzo da parte di minori del servizio di chatbot, ma a queste censure è sicuramente più facile porre rimedio rispetto che alle due precedentemente elencate.
- Sul punto del provvedimento riguardante l’assenza di base giuridica in relazione alla raccolta personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT, si evidenzia come, pur essendo pacifico che i dati utilizzati da ChatGPT siano stati, salvo prova contraria, raccolti da “fonti pubbliche”, è tuttavia noto come tale circostanza non sia sufficiente a rendere quei dati utilizzabili da chiunque e per qualunque scopo anche perché, ad esempio, un dato che fino al 2021 (anno dell’ultimo aggiornamento di ChatGPT- 3.5, ovvero quello in uso nella versione gratuita del servizio) fosse stato online, magari inesatto o magari in violazione della privacy e poi sia stato corretto o rimosso, oggi potrebbe trovarsi ancora nei server e nella totale disponibilità di OpenAI ed essere utilizzato per addestrare i suoi algoritmi a rispondere alle domande di centinaia di milioni di persone.
- Ci si ricongiunge dunque al secondo punto rilevante del Provvedimento, ovvero quello dell’esattezza delle informazioni che ChatGPT riporta. È stato rilevato infatti come ChatGPT, spesso, abbia riportato dati inesatti o addirittura completamente inventati riguardanti l’identità o la vita di una determinata persona. Tale evento, spesso minimizzato attraverso improbabili paragoni con la stampa o con i dati reperibili sul web, assume notevole rilevanza sia dal punto di vista giuridico in quanto viene palesemente violato sia l’articolo 5 paragrafo 1 lettera d) del GDPR, il quale sancisce in modo perentorio che i dati oggetto del trattamento debbano essere “esatti e, se necessario, aggiornati” ma soprattutto dal punto di vista etico-sociale. Quello che succede, o che potenzialmente potrebbe verificarsi al seguito di informazioni errate su un individuo rilasciate da parte di ChatGPT è una totale manipolazione della realtà e dell’identità di una persona che potrebbe produrre gravissimi pregiudizi all’individuo riguardo la propria dignità e libertà, diritti, è bene ribadirlo, sanciti dalla Carta costituzionale oltre che dalla CEDU, e che non possono certamente essere accantonati o passare in secondo piano in nome di qualsivoglia progresso, utile o meno che sia.
Proprio da una prospettiva sociale, una delle preoccupazioni evidenziate dagli esperti è il rischio di rilasciare dati imprecisi e lasciare che alimentino il modello stesso. Questo potrebbe potenzialmente portare alla diffusione di campagne di disinformazione, bullismo e/o stigmatizzazione di alcune fasce deboli di popolazione.
Lo sviluppo degli algoritmi e la capacità di cogliere ogni segnale dell’interlocutore e utilizzarlo per alimentare il proprio database di informazioni solleva anche dubbi di natura geopolitica e che coinvolgono anche i diritti fondamentali. Qual è la sorte dei dati raccolti? Dove finiscono? In quest’ottica è opportuno ricordare che lo scorso 20 marzo, OpenAI aveva subito una perdita di dati (data breach) riguardanti in particolare le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati al servizio a pagamento, con conseguenze difficilmente immaginabili dal punto di vista della gravità e della diffusione dei dati stessi.
Conclusioni
Il testo di proposta di Regolamento sull’Intelligenza Artificiale presentato nell’aprile 2021 e che a breve dovrebbe tramutarsi nel tanto atteso “AI Act”, ereditando la prospettiva tipicamente europea sulla sicurezza dei prodotti, ha anticipato le analisi e le limitazioni al momento della programmazione dello strumento che deve essere sicuro sotto i profili di trattamento dei dati personali, di diritti e libertà degli interessati e di sicurezza, by design.
Tuttavia, tra gli sviluppi dell’intelligenza artificiale generativa ciò che ha colpito l’opinione pubblica è la capacità di dialogare in linguaggio comprensibile all’uomo e di fornire varie forme di assistenza, anche psicologica all’utilizzatore. Il dibattito che ha accompagnato quindi la release di ChatGPT da parte di OpenAI ne è un esempio così come lo è la lettera aperta, firmata da Elon Musk e altri 1000 ricercatori, da cui emerge la sensazione che l’umanità sia prossima a un punto di non ritorno di tipo evolutivo e che sia opportuno fermarsi nello sviluppo dell’intelligenza artificiale.
Da qui la richiesta di una moratoria di sei mesi, per elaborare prassi condivise e presidi nell’addestramento dei sistemi di IA prima che la situazione sfugga di mano.
In uno scenario globale di tensioni e divergenze geopolitiche, in cui la globalizzazione sembra un ricordo offuscato dalla pandemia, occorre domandarsi quali siano le garanzie per proteggere gli europei e, in particolare i soggetti più vulnerabili, dalla proliferazione di sistemi e applicativi AI destinati all’utilizzo quotidiano. È stato lo stesso Musk che, con toni provocatori, ma forse in questo caso giustificati, ha definito l’intelligenza artificiale come un’arma “ben più pericolosa di una testata nucleare” se utilizzata con finalità sbagliate.
Su questo tema dobbiamo quindi porci alcune domande: posto che la tutela dei dati personali è uno di quei presidi di libertà sanciti dai trattati e richiamati dalle Carte Costituzionali, tra cui il nostro articolo 2, fino a che punto è possibile o, addirittura doveroso, limitare l’algoritmo?
La pluralità di idee, valori, l’utilità dello strumento e la c.d. neutralità tecnologica come possono essere preservate?
