Il 31 marzo il Garante Privacy italiano ha disposto uno stop a ChatGPT, ma chiariamo: non si tratta di un blocco, come troppo frettolosamente argomentato. Piuttosto, è una limitazione provvisoria del trattamento ad OpenAI, che dovrà comunicare entro 20 giorni le misure intraprese in attuazione di quanto richiesto.
Intanto, la stessa società sviluppatrice di ChatGPT ha dato disponibilità a partecipare a un incontro in videoconferenza proprio con il Garante nella serata del 5 aprile 2023, facendo così seguito alla lettera con cui esprimeva la propria disponibilità immediata a collaborare con l’Autorità italiana al fine di rispettare la disciplina privacy europea e giungere a una soluzione condivisa in grado di risolvere i profili critici sollevati dall’Autorità in merito al trattamento dei dati dei cittadini italiani.
Nel merito, lo ricordiamo, il Garante ha sollevato quattro punti di attenzione, che riguardano l’aderenza di ChatGPT alle norme vigenti in materia di trattamento dei dati personali in Italia e in Europa (GDPR). Analizziamoli nel dettaglio.
Indice degli argomenti
Criticità nell’addestramento degli algoritmi di ChatGPT
In particolare, l’Autorità ha messo in luce l’assenza di una base giuridica che giustifichi la raccolta e l’archiviazione in massa di dati personali, allo scopo di “addestrare” gli algoritmi alla base di ChatGPT.
In effetti, ChatGPT è supportato da un modello linguistico definito LLM (Large Language Model) che richiede enormi quantità di dati per funzionare e migliorarsi. Maggiore è il numero di dati su cui viene addestrato il modello, migliore sarà la confidenza dello stesso, e dunque la generazione di testo e immagini pertinenti e plausibili.
Per alimentare tale modello, OpenAI ha fornito a ChatGPT l’accesso a circa 500 miliardi di Token, ossia – banalizzando – parole acquisite da Internet con la metodologia dello Scraping (l’estrazione di dati e metadati dai siti web attraverso software che simulano la navigazione umana): libri, articoli e post, comprese le informazioni personali in essi contenute e ad oggi ottenute senza consenso.
Chiunque abbia scritto un post su un blog, un social network, fatto una recensione di un prodotto o commentato un articolo online ha una buona probabilità che le proprie informazioni siano state utilizzate da ChatGPT per alimentare la propria capacità di comprensione.
L’assenza di consenso informato sul trattamento dati
In questo quadro, il Garante ha fatto notare l’assenza di un consenso informato ed esplicito sulla raccolta di informazioni degli utenti alla base dell’utilizzo del servizio.
Questa è una violazione della privacy, soprattutto quando i dati sono sensibili e possono essere utilizzati per identificare noi, i nostri familiari o la nostra posizione.
Anche quando i dati sono pubblicamente disponibili, il loro utilizzo può violare la cosiddetta “integrità contestuale”: le informazioni degli individui non possono essere rivelate fuori dal contesto in cui sono state originariamente prodotte.
Inoltre, allo stato attuale ChatGPT non offre procedure per verificare la memorizzazione delle informazioni personali ed eventualmente per richiederne l’eliminazione.
Il problema dell’esattezza dei dati trattati
Un altro aspetto da tenere in considerazione è la parziale veridicità delle informazioni che rappresentano l’elaborato finale di ChatGPT.
Il software è addestrato su un set di dati limitato e parziale, pertanto, ogni risposta che fornirà su uno specifico tema sarà lo specchio delle informazioni in proprio possesso. Quando il software non ha sufficiente informazione la crea ex-novo, inventandola con un livello di plausibilità minimo.
Va da sé che se utilizzassimo informazioni personali di un soggetto per costruirne una rappresentazione, il risultato sarebbe necessariamente una verità alternativa a quella reale, rischiando di creare disinformazione nonché un enorme danno reputazionale alla persona in oggetto.
ChatGPT e accesso dei minori
Infine, non esiste un controllo da parte del software per verificare che l’accesso al servizio sia consentito solo a chi possieda l’età minima di legge.
In effetti, ChatGPT non ha modo di bloccare il servizio per i minori di 13 anni, perché non vi è un adeguata verifica dell’età dell’utente.
ChatGPT e GDPR: cosa potrà accadere
Chat GPT non è effettivamente più accessibile dall’Italia e da venerdì 31 marzo il servizio è oscurato. Le ragioni sono ovviamente collegate alle contestazioni sollevate dal Garante della Privacy italiano, secondo cui il trattamento dei dati non sarebbe conforme al regolamento europeo sulla privacy.
Molti hanno imputato la sospensione del servizio al Garante della Privacy, ma ciò non è corretto. Anzitutto è impossibile bloccare un servizio pubblico come quello di ChatGPT senza l’ordine di un giudice e senza un regolare processo, senza la possibilità di difendersi e senza tutte le garanzie previste dalla nostra Costituzione.
La verità è che il Garante ha imposto una limitazione provvisoria, è stata OpenAI ad auto-sospendere ChatGPT in Italia in attesa di regolarizzare la propria posizione.
Sul tema l’opinione pubblica si è divisa: da un lato i sostenitori dell’istruttoria, dall’altro i difensori di ChatGPT e del principio di libertà dell’innovazione. Tuttavia, tale dicotomia è errata.
OpenAI ha sospeso il servizio in Italia perché sa che le osservazioni del Garante sono lecite e probabilmente anche fondate. Ora l’azienda statunitense ha 20 giorni per offrire prove che facciano decadere ogni dubbio in merito.
In caso contrario, o di risposte parziali, il rischio è che il problema si dilati in tutta Europa, facendo perdere a OpenAI non solo un mercato estremamente ampio, ma anche una knowledge base enorme, fondamentale per rendere la propria tecnologia ancora più efficace.
Conclusioni
Come sempre, l’innovazione porta con sé rischi ed opportunità, ma non è mai la tecnologia in sé ad avere un lato oscuro, quanto più la modalità con cui gli uomini la utilizzano. Nel caso dell’intelligenza artificiale generativa, questo era prevedibile.
L’Autorità Garante italiana ha avuto il coraggio di intervenire in modo tempestivo ed efficace: ora dovremo osservare gli sviluppi di un fenomeno in evoluzione frenetica.
Le regole dell’innovazione devono rispettare non solo la Legge, ma anche il principio di uniformità delle regole di accesso all’informazione globale, trasversale ai diversi blocchi continentali.
L’intervento dell’Italia non va dunque letto come un atto isolato, poiché un aspetto imprescindibile nell’analisi giuridica del fenomeno è infatti la sua portata sovranazionale. Soluzioni legislative o anche interpretative da parte degli operatori del diritto non possono fondarsi e confrontarsi unicamente con il contesto dell’ordinamento giuridico nazionale.
L’Italia si è fatta apripista, ma dovrà essere l’Unione Europea, con l’approvazione di una Proposta europea di quadro giuridico sull’IA ad anticipare le regolamentazioni di USA e Cina, contando sul cosiddetto “effetto Bruxelles”, ovvero la capacità di adottare discipline che poi diventino standard accettati anche a livello globale, data la necessità per le imprese extra europee di uniformarsi per poter vendere i loro prodotti e servizi nel mercato europeo.
