Tanti sanno che è successo negli ultimi tre giorni, ma forse – a giudicare dalle polemiche degli ultimi giorni – pochi l’hanno capito davvero: c’è (sì, davvero) la violazione di alcuni precetti fondamentali del GDPR dietro all’azione del Garante su ChatGPT.
Non solo: con il provvedimento n. 112 del 30 marzo 2023, l’Autorità Garante per la Protezione dei Dati Personali ha imposto a OpenAI, la società dietro a ChatGPT, di limitare il trattamento dei dati personali nei confronti degli utenti italiani.
Quindi, non il blocco del servizio.
Terzo punto importante: il provvedimento e in generale l’attenzione privacy non significa uno stop allo sviluppo dei sistemi di intelligenza artificiale, ma solo un’occasione per riflettere sull’etica dietro l’algoritmo.
Ricostruiamo dall’inizio cosa è avvenuto per poi tracciare qualche linea di scenario futuro possibile.
Indice degli argomenti
Il fatto: il Garante “blocca” ChatGpt, perché l’ha fatto. Tutti i problemi
Come è noto, lo scorso 30 marzo, l’Autorità Garante per la Protezione dei Dati Personali ha imposto a OpenAI la limitazione del trattamento dei dati personali degli utenti italiani con ChatGPT per alcune violazioni del GDPR. Tale limitazione s’è tradotta in una sospensione del servizio (anche di quello pagamento) nel nostro Paese, tant’è che la società statunitense ha annunciato una politica di rimborsi per tutti coloro che avevano sottoscritto l’abbonamento a ChatGPT Plus.
Il provvedimento del Garante, seppur sintetico perché adottato in via d’urgenza e durante l’attività istruttoria, elenca in modo chiaro le motivazioni su cui è basato.
Ciò che qui è di particolare rilevanza, sono due aspetti che, incredibilmente, sono stati sottovalutati dalla fondazione americana:
- il primo, è l’assenza di una informativa sul trattamento dei dati personali, il che non consente i capire come sono raccolti e trattati i dati personali degli interessati,
- il secondo è, invece, il trattamento dei dati dei minori al di sotto dei tredici anni.
OpenAI è stata invitata a comunicare al Garante quali iniziative intraprenderà per adeguarsi alle prescrizioni del provvedimento: ove queste dovessero essere confacenti, l’Autorità ha già chiarito che revocherà con effetto immediato la limitazione del trattamento.
Chi sono gli interessati per ChatGPT?
Secondo l’art. 4 del GDPR, l’interessato è la persona fisica alla quale si riferiscono i dati personali: ad esempio, nell’ambito di un servizio di streaming, l’interessato è l’abbonato al servizio stesso, i cui dati vengono trattati vuoi per l’esecuzione del contratto che viene sottoscritto, vuoi per profilarne il comportamento, proponendogli contenuti che possano soddisfare i suoi gusti o fargli scoprire qualcosa di nuovo, oppure, ancora, per il miglioramento del servizio. Tutte queste attività sono trattamenti di dati personali e di tanto l’interessato viene reso edotto nell’informativa privacy del servizio.
All’interno dell’informativa, tra l’altro, sono indicate le categorie di dati personali trattate, le finalità del trattamento e le sue condizioni di liceità: per tornare all’esempio precedente, i dati personali dell’interessato sono trattati per la fruizione del servizio (e, quindi, in questo caso la condizione di liceità è l’esecuzione del contratto) o per profilarlo (e il tenore della norma vorrebbe che questa attività sia condizionata al consenso dell’interessato).
Trasliamo ora questi concetti su ChatGPT: chi sono i suoi interessati? Molti, di primo acchito, risponderebbero “l’utente”: in realtà, per ChatGPT (così come per tutti i sistemi ML e IA) tutti noi possiamo essere potenzialmente interessati. Senza volare troppo con la fantasia, basti pensare all’immagine di Papa Francesco con un bomber bianco oversize che è diventata virale negli scorsi giorni su Instagram: di sicuro il Santo Padre non ha dato il proprio consenso all’IA a utilizzare la sua immagine (né all’utente che ha scritto il prompt che l’ha generata, anche se è comunque un personaggio pubblico), né presumibilmente è iscritto al servizio, eppure l’immagine è stata creata.
Ancora, un utente potrebbe chiedere a ChatGPT di scrivere una lettera d’amore per la propria fidanzata, indicandone nome e gusti sentimentali, e l’IA tratterebbe anche queste informazioni. Dunque, nel caso in esame, ChatGPT può potenzialmente trattare i dati di chiunque, ma questo tipo di trattamento non è mai stato esplicitato, dato che OpenAI non ha mai pubblicato l’informativa sul servizio.
È altresì noto che molte persone, soprattutto quelle più sole e fragili, hanno usato ChatGPT come un amico virtuale, a volte sostituendolo al supporto psicologico di uno specialista (senza considerare i servizi online di benessere emotivo che l’avevano implementata per risparmiare sui costi dei terapeuti, senza avvertire gli utenti…): in questo caso, OpenAi viene a conoscenza dei dati sullo stato di salute della persona che cerca conforto in una intelligenza artificiale e tali dati non solo sono utilizzati per generare le risposte testuali nella chat, ma anche per continuare ad allenare l’algoritmo che la fa funzionare.
Insomma, sono tutti aspetti che, in un modo o nell’altro, devono essere chiariti dalla stessa OpenAI per una questione di trasparenza nei confronti dei suoi utenti.
Il training dell’algoritmo
Come se ciò non fosse abbastanza, si pone pure la questione dell’addestramento dell’algoritmo alla base di ChatGPT: è fatto notorio che tutte le IA sono addestrate partendo da fonti pubbliche, ma non è detto che oggi quei dati siano esatti né che le persone che li avevano forniti alle banche dati stesse ora non abbiano ritirato il consenso.
Così come non è chiaro se ChatGPT (o gli altri servizi analoghi) siano alimentate anche da dati raccolti anche da fonti meno affidabili.
In ogni caso, OpenAI dovrebbe essere in grado di fornire con precisione quali sono i dati personali che tratta, garantendo agli interessati di potersi opporre al loro trattamento.
Tra l’altro, ma non è questa la sede per approfondire l’argomento, OpenAI ha pure dichiarato in più di un’occasione di aver attinto a Wikipedia e a diverse pagine web per l’addestramento dell’algoritmo: per quanto l’enciclopedia libera e molti siti web consentano la riproduzione dei propri contenuti su altre pagine o media, ChatGPT li usa per addestrarsi, e per migliorare se stesso, rielaborandoli per fornire il proprio servizio. Insomma, non è proprio un trattamento copyright-friendly.
Chi pensa ai minori?
Dunque, come s’è appena illustrato, chiunque è potenzialmente interessato per ChatGPT, inclusi i minori. Giova qui ricordare che, per i servizi della società dell’informazione, la normativa vigente permette ai soggetti di età superiore ai tredici anni di prestare il proprio consenso al trattamento dei propri dati personali, purché venga fornita loro una informativa redatta in un linguaggio più semplice e fresco, di modo da renderli edotti effettivamente del trattamento dei loro dati personali.
Secondo il Garante, che già aveva preso una simile posizione con TikTok e, soprattutto, con Replika (l’IA che rende reale l’amico immaginario) ChatGPT non è dotato di meccanismi in grado di discriminare se l’utente sia minore oppure no e, pertanto, dato che non c’è la possibilità di verificare l’età dell’utente, s’è dovuto limitare il trattamento dei dati di tutti.
Inesattezze che valgono una limitazione
C’è pure da rilevare che, anche a detta della stessa OpenAI, ChatGPT a volte sbaglia, restituendo informazioni sbagliate: ora dato che l’IA tratta i dati degli interessati, così come abbiamo visto nei due paragrafi precedenti, potrebbe trattarli erroneamente, restituendo informazioni inesatte: ciò viola il principio di esattezza dei dati personali, previsto dal GDPR.
Ancora, si rifletta sul fatto che il software tenda ad associare ad un interessato fatti e circostanze non veritiere, distorcendone la sua identità personale. Di fatto, ChatGPT percepisce e identifica chiunque fra noi in un modo del tutto estraneo alla realtà, dipingendo una versione migliore o peggiore di ciascuno di noi. Questo perché il servizio non è intelligente nel senso umano ed umanistico del termine, ma è solo il risultato di un complesso di algoritmi statistici che non sono in grado di discernere di chi stanno parlando e, soprattutto, a chi si stanno rivolgendo.
Tra l’altro, a parere di chi scrive, non ci sono ad oggi nemmeno meccanismi e/o funzioni che permettano agli interessati di chiedere la rettifica dei propri dati, né di verificare se detti dati sono trattati correttamente.
I rischi di una violazione dei dati personali
Non più tardi di qualche giorno fa, si è pure verificato un data breach di ChatGPT: alcuni attaccanti, sfruttando un bug della libreria open source Redis-py, hanno trafugato i dati personali degli utenti di ChatGPT Plus in una finestra temporale durata, fortunatamente, solo nove ore. I malfattori sono riusciti anche a leggere i titoli delle conversazioni tenute con l’AI, ma non il loro contenuto.
Se, invece, il data breach fosse stato più esteso e avesse riguardato le conversazioni di tutti gli utenti, molto probabilmente ora girerebbe sul dark web una (altra) mole di dati personali che potrebbe mettere seriamente a rischio la libertà e i diritti degli utenti che hanno condiviso troppe proprie informazioni sulla chat.
ChatGPT è pure dentro Windows, Bing e Microsoft 365
Come è noto, Microsoft, dopo aver investito ingenti capitali in OpenAI, sta testando l’integrazione di ChatGPT all’interno di Bing, Windows e Microsoft 365 con un gruppo di utenti pilota, con l’intento di usare l’IA per migliorare le ricerche, le funzioni di sistema e semplificare il lavoro d’ufficio. Nel momento in cui scrivo questo articolo, Microsoft e OpenAI non si sono ancora espresse in merito all’integrazione dell’AI con gli accennati software, ma, dovranno essere adottate anche in questo caso misure tali da permettere all’interessato di dimostrare la propria età e, soprattutto, di essere messo in grado di comprendere quali suoi dati personali saranno trattati, se, ad esempio, solo i prompt o anche i contenuti dei documenti che vengono creati con la ex suite di Office.
Limitare il trattamento con ChatGPT non equivale all’oscurantismo, né chiudere l’accesso agli italiani è la soluzione ai problemi
Altro punto focale della questione è la limitazione del trattamento. Innanzitutto, a differenza di quanto sostenuto da alcuni, la limitazione al trattamento dei dati non equivale al blocco del servizio (che, invero, è stato sospeso per gli utenti italiani proprio dalla stessa OpenAI, nell’impossibilità di adeguarsi velocemente alle prescrizioni del Garante), né all’inizio di una nuova era di oscurantismo. Infatti, le riflessioni da fare sono più profonde: da un lato, c’è il rispetto della legge, dall’altro c’è quello dei diritti e delle libertà delle persone. Anche se lo sviluppo del servizio dovesse fermarsi per qualche mese, sarebbe davvero una catastrofe per l’intera umanità?
No, non lo sarebbe, anzi. Più che altro, potrebbe esserlo per qualche investitore, come Microsoft, che, però, sarebbe molto meno serena se OpenAI non risolvesse le problematiche rilevate dal Garante italiano, dato che le altre Autorità europee potrebbero seguirlo a ruota: in tal caso, le conseguenze dal punto di vista finanziario potrebbero essere più gravi, ma i cittadini europei (e non solo loro) sarebbero molto più tutelati.
D’altro canto, però, v’è pure da dire che il blocco dell’accesso a ChatGPT per gli utenti italiani non risponde alla limitazione del trattamento dei dati personali imposta dal Garante a OpenAI, ma è solo volta ad impedire l’uso della piattaforma da parte dei minori.
La limitazione, infatti, è un concetto più ampio, dato che la fondazione statunitense dovrebbe essere in grado di isolare i dati personali degli italiani e bloccarne l’uso dall’algoritmo: chiunque mastichi un poco di IA, può ben comprendere come questo sia impossibile, a meno che non vengano in qualche modo implementati dei meccanismi in tal senso in sede di progettazione dell’algoritmo.
Insomma, i principi di privacy by design e di privacy by default, che impongono proprio la progettazione dei servizi sin dal principio con l’obiettivo di tutelare i dati personali degli utenti.
Conclusioni
ChatGPT è sulla cresta dell’onda e, forse, anche per questo, è stato il primo dei servizi di intelligenza artificiale generativa ad essere esaminato dal Garante, la cui intenzione è chiaramente quella di difendere la privacy di ciascuno di noi, sorvegliando sulla corretta applicazione del GDPR. Infatti, a differenza di quanto qualcuno s’è pregiato di sostenere, il suo non è stato un intervento politico, ma, mi sia perdonato il gioco di parole, di garanzia: il servizio di OpenAI viola effettivamente alcuni precetti del Regolamento e il fatto di poter essere utilizzato anche da minori non ha potuto che portare all’ordine di limitazione del trattamento dei dati personali.
Tra l’altro, lo sviluppo delle intelligenze generative è sotto la lente sia della comunità mondiale, tant’è che è recente la lettera a firma di Elon Musk e di altri mille esperti in materia, tra cui pure il cofondatore di Apple Steve Wozniak, che sostengono che lo sviluppo di sistemi più potenti di GPT-4 può essere un pericolo per la civiltà in generale, sia dell’Unione Europea, che è in procinto di approvare l’Ai Act, che, fra le altre cose, disciplinerà anche l’uso dei c.d. chat bot.
La questione, quindi, riveste una certa delicatezza: da un lato deve essere tutelata la libertà di sviluppo di questo tipo di tecnologie, dall’altro deve essere tenuto al centro di tutto l’essere umano, proteggendo la sua identità, i suoi diritti e, soprattutto, la sua libertà. Dunque, è solo una faccenda di qualche tempo, almeno sino a che OpenAI non faccia proprie le indicazioni del Garante italiano, anticipando l’azione di quelli degli altri stati membri.
