Intelligenza artificiale e ChatGPT: il blocco del Garante e le evoluzioni successive.
17/04/2023 2023-04-17 7:02Intelligenza artificiale e ChatGPT: il blocco del Garante e le evoluzioni successive.
È ormai noto a tutti gli esperti e studiosi di Data Protection il Provvedimento del 30 marzo 2023 (Registro dei provvedimenti n. 112 del 30 marzo 2023) con cui il Garante per la protezione dei dati personali ha disposto, con effetto immediato, la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società statunitense che ha sviluppato e gestisce la piattaforma c.d. ChatGPT il più noto tra i software di intelligenza artificiale relazionale in grado di simulare ed elaborare le conversazioni umane.
Il provvedimento provvisorio dell’Autorità è derivato dalla circostanza che ChatGPT, il precedente 20 marzo, aveva subito un incidente di sicurezza (data breach) relativo a dati riguardanti le conversazioni degli utenti nonché informazioni concernenti il pagamento degli abbonati al servizio a pagamento.
Successivamente a tale decisione si sono aperte delle interlocuzioni tra il Garante Privacy ed i vertici di OpenAI che hanno portato, l’11 aprile scorso, ad un ulteriore provvedimento (Registro dei provvedimenti n. 114 dell’11 aprile 2023) con il quale sono state precisati alcuni aspetti cruciali in ottica di superamento delle criticità evidenziate con la prima decisione del 30 marzo.
Due giorni dopo, infine, in data 13 aprile 2023, il l’Autorità ha comunicato che, a seguito del provvedimento di limitazione provvisoria del trattamento, i Garanti della privacy europei, riuniti nel Comitato europeo per la protezione dei dati (EDPB), hanno deciso di lanciare una task force su ChatGPT.
L’obiettivo di tale task force è di promuovere la cooperazione e lo scambio di informazioni su eventuali iniziative per l’applicazione del GDPR condotte dalle Autorità di protezione dati.
1. Il provvedimento di limitazione provvisoria del 30 marzo: le motivazioni.
Nel suo primo provvedimento del 30 marzo 2023 il Garante, aprendo un’istruttoria nei confronti di OpenAI, ha invitato quest’ultima a comunicare “quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto e di fornire ogni elemento ritenuto utile a giustificare le violazioni” riscontrate.
Nella decisione, il Garante Privacy ha tra l’altro rilevato come OpenAI:
- Abbia omesso di implementare l’informativa relativa al trattamento dei dati per gli utenti e a tutti gli interessati i cui dati vengono raccolti;
- Non abbia individuato alcuna base giuridica idonea a giustificare la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma;
- Abbia fornito informazioni non sempre corrispondenti al dato reale, determinando quindi un trattamento di dati personali inesatto;
- Non abbia implementato alcun filtro per la verifica dell’età degli utenti, con il rischio di esporre i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.
2. Il provvedimento dell’11 aprile 2023. Le prescrizioni impartite dal Garante.
Successivamente al provvedimento del 30 marzo si sono aperte delle interlocuzioni tra il Garante Privacy ed i vertici di OpenAI che hanno portato, l’11 aprile scorso, ad un ulteriore provvedimento (Registro dei provvedimenti n. 114 dell’11 aprile 2023) con il quale sono state precisati alcuni aspetti cruciali in ottica di superamento delle criticità evidenziate con la prima decisione del 30 marzo.
Qui, in particolare, l’Autorità, “a fronte delle informazioni acquisite e della disponibilità manifestata dalla Società a porre in essere una serie di misure concrete a tutela dei diritti e delle libertà degli interessati, i cui dati sono stati trattati per l’addestramento degli algoritmi strumentali all’erogazione del servizio ChatGPT, e degli utenti del servizio medesimo”, ha messo in conto di “rivalutare la sussistenza dei presupposti del provvedimento di limitazione provvisoria […] a condizione che OpenAI provveda ad attuare concretamente una serie di misure e prescrizioni […] specificamente individuate”.
Di seguito si i riportano le principali prescrizioni formulate dal Garante.
2.1. Informativa sul trattamento dei dati personali.
Sotto tale profilo l’Autorità ha chiesto ad OpenAI:
- La Predisposizione di un’informativa ex art. 12 GDPR sul proprio sito internet con cui si spieghi agli interessati (indipendentemente se siano o meno utenti del servizio ChatGPT) i cui dati sono stati raccolti e trattati ai fini dell’addestramento degli algoritmi, le modalità e la logica del trattamento, nonché i diritti loro spettanti;
- Di rendere l’informativa facilmente accessibile anche mediante un link collocato in una posizione tale che ne consenta la lettura prima di procedere all’eventuale registrazione al servizio.
2.2. Base giuridica.
Quanto alla base giuridica del trattamento dei dati personali degli utenti per l’addestramento degli algoritmi, il Garante Privacy ha ordinato a OpenAI di eliminare ogni riferimento al contratto e assumendo come base giuridica del trattamento il consenso o il legittimo interesse “in relazione alle valutazioni di competenza della società in una logica di accountability”.
2.3 Diritti degli interessati.
Ulteriori prescrizioni riguardano la messa a disposizione di strumenti utili per permettere agli interessati, anche non utenti, di chiedere la rettifica dei dati personali che li riguardano generati in modo inesatto dal servizio o la cancellazione degli stessi, nel caso la rettifica non fosse tecnicamente possibile.
OpenAI, inoltre, dovrà mettere a disposizione sul proprio sito Internet, almeno agli utenti del servizio che si collegano dall’Italia, uno strumento facilmente accessibile attraverso il quale esercitare il diritto di opposizione al trattamento dei propri dati acquisiti in sede di utilizzo del servizio per l’addestramento degli algoritmi qualora la base giuridica individuata per i trattamenti sia il legittimo interesse.
Non solo, ma la compagnia statunitense dovrà implementare uno strumento che consenta agli interessati di chiedere ed ottenere la correzione dei propri dati personali trattati in modo inesatto.
2.4. Tutela dei minori.
Con riguardo a tale ambito, il provvedimento dell’11 aprile contiene:
- L’ordine di immediata implementazione, in caso di riattivazione del servizio, sul proprio sito internet di un sistema disponibile per “tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati” il quale consenta “di superare, in sede di primo accesso, un age gate” di per sé in grado di escludere “sulla base dell’età dichiarata, gli utenti minorenni”;
- La prescrizione ad OpenAI di predisporre, entro il 30 maggio prossimo, un piano da sottoporre al Garante che contenga strumenti di age verification idonei ad escludere l’accesso ai servizi agli utenti infratredicenni ed a quelli minorenni in assenza di un’espressa manifestazione di volontà da parte di chi esercita su di essi la responsabilità genitoriale.
L’implementazione di tale piano dovrà decorrere, al più tardi, dal 30 settembre 2023.
2.5. Campagna di informazione.
Infine, la società che gestisce ChatGPT dovrà farsi promotrice, di concerto con il Garante Privacy, di una campagna di informazione attraverso “i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) […] allo scopo di informare le persone dell’avvenuta probabile raccolta dei loro dati personali ai fini dell’addestramento degli algoritmi, dell’avvenuta pubblicazione sul sito internet della Società di un’apposita informativa di dettaglio e della messa a disposizione, sempre sul sito internet della Società, di uno strumento attraverso il quale tutti gli interessati possono chiedere e ottenere la cancellazione dei propri dati personali”.
3. Il Comunicato dell’European Data Protection Board (EDPB) e òa task force per ChatGPT.
Il più recente sviluppo della vicenda in esame, come peraltro comunicato anche dall’Autorità italiana in data 13 aprile, è stata la costituzione di una “task force”, da parte del Comitato europeo per la protezione dei dati personali (EDPB), organo costituito dai Garanti della privacy europei e dal Garante europeo per la protezione dei dati.
I membri dell’EDPB hanno discusso la recente azione di enforcement intrapresa dall’autorità italiana per la protezione dei dati nei confronti di OpenAI in merito al servizio ChatGPT mettendo in campo, appunto, un gruppo di lavoro con l’obiettivo di promuovere la cooperazione e lo scambio di informazioni su eventuali azioni condotte dalle autorità di protezione dei dati sull’argomento.
Si attende ora di conoscere quali saranno gli sviluppi delle decisioni innanzi commentante ed in che modo OpenAI riuscirà ad attuare, nel concreto, le prescrizioni del Garante riattivando eventualmente un servizio – quello offerto dalla ChatGPT – senz’altro utile (se utilizzato in modo corretto), ma allo stesso tempo, e per certi versi, inquietante per gli scenari che apre.
L’azione, quanto mai opportuna, intrapresa dal nostro Garante Privacy nei confronti del fenomeno ChatGPT è, prima di tutto, un invito a tutti a formulare riflessioni ormai non più rinviabili sul tema dell’intelligenza artificiale, tenuto conto dell’impatto che questa può avere (ed anzi ormai ha) sulla vita e – soprattutto – sui diritti e le libertà dei cittadini.
Avv. Adamo Brunetti
Maggiori info qui