Il contenuto del provvedimento del Garante privacy su Chatgpt, di ieri, è molto concreto e puntuale nell’individuare i nodi che erano stati sollevati dal provvedimento d’urgenza e, come si può rilevare dalle misure richieste dall’Autorità, non è finalizzato a bloccare tout-court l’uso di una soluzione tecnologica altamente innovativa, ma a garantire che essa rispetti i principi fondamentali del trattamento previsti dalla normativa Europea.
Indice degli argomenti
Il provvedimento del Garante privacy è tutt’uno con la normativa europea
Principi per altro che non sono sconosciuti in altri ordinamenti come quello statunitense in cui il principio di correttezza del trattamento, il diritto all’opt-out, l’accesso dei minori ai servizi sono punti di attenzione di varie normative, non da ultima quella californiana, stato in cui ha sede OpenAI. Si ricordi anche recente intervento del presidente Biden in merito.
ChatGpt, la privacy ha vinto. Pizzetti: “Grande occasione di confronto sul valore dei nostri dati”
Edpb scende in campo
Non è un caso quindi che il provvedimento dell’Autorità italiana è stato ben accolto anche da altre Autorità europee, come l’Agencia Española Proteccìon Datos (AEPD), l’omologo spagnolo del nostro Garante, che ha chiesto all’European Data Protection Board (EDPB) di affrontare la questione a livello europeo per avere un’uniformità di approccio e di interpretazione tra le varie autorità.
L’EDPB ha inizialmente diramato una nota di risposta all’AEPD dichiarando di non poter intervenire in sostituzione delle Autorità nazionali e che la questione deve essere presente davanti le Autorità di controllo degli stati membri. Infatti, l’articolo 70 GDPR che disciplina i compiti del Comitato non prevede un potere di intervento in sostituzione delle Autorità nazionali.
I compiti dell’EDPB possono infatti essere sintetizzati come segue:
- Sorveglianza della corretta applicazione del regolamento, fatti salvi i compiti delle autorità di controllo degli Stati membri.
- Consulenza nei confronti della Commissione su qualsiasi questione relativa alla protezione dei dati personali, inclusi i progetti di modifica del regolamento, le procedure sullo scambio di informazioni nell’ambito delle norme vincolanti di impresa;
- Elaborazione e pubblicazione di linee guida, raccomandazioni e best practice al fine di promuovere l’applicazione coerente del Regolamento su tutta una serie di materie che vanno dalla proposizione dei servizi di comunicazione elettronica al pubblico, alla profilazione, i trasferimenti di dati, gli elementi per la valutazione del data breach o meccanismi di armonizzazione delle sanzioni e dei provvedimenti correttivi;
- Svolge un ruolo nell’incoraggiare l’elaborazione di codici di condotta e l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati, nonché l’accreditamento degli organismi di certificazioni;
- Tiene i registri pubblici degli organismi accreditati e dei titolari o responsabili del trattamento accreditati, nonché delle decisioni adottate dalle autorità di controllo e dalle autorità giurisdizionali su questioni nell’ambito del meccanismo di coerenza;
- Promuove programmi di cooperazione tra le Autorità, di scambio di personale, di cooperazione con le autorità di controllo di tutto il mondo;
La pubblicazione del provvedimento del Garante italiano il 12 aprile, il giorno prima della seduta plenaria dell’EDPB, ha consentito che la richiesta dell’AEDP fosse concretamente esaminata nel corso della riunione del 13 aprile, dando modo ai rappresentanti delle autorità europee di confrontarsi sulle misure richieste dall’Autorità italiana ad Open AI.
Ciò anche sulla base della dichiarazione di cooperazione sull’enforcement del 28 aprile 2022[1] in base alla quale le autorità di controllo individuano congiuntamente casi di rilevanza strategica sul piano sovranazionale per le quali la cooperazione sia prioritaria e coordinata dall’EDPB.
I criteri per l’individuazione di tali casi strategici, secondo lo statement dell’EDPB sono sia quantitativi che qualitativi e vengono individuati i seguenti esempi:
- casi che coinvolgono un ampio numero di interessati all’interno dello Spazio Economico Europeo,
- che concernono problemi srutturali o ricorrenti in diversi stati membri o
- che derivino dall’intersezione della normativa data protection con altri settori dell’ordinamento.
Se pensiamo agli studi in corso sull’Intelligenza Artificiale generativa da parte delle autorità di controllo e i centri di ricerca di tutto il mondo, basti pensare alla lunga ricognizione di studi pubblicata dal Think Tank del Parlamento Europeo il 23 marzo 2023[2], è evidente come il tema e le preoccupazioni per i possibili impatti sulla società europea siano ben presenti a tutti gli studiosi che si occupano di Intelligenza Artificiale e che cercano di evitare ogni possibile uso distorto della tecnologia, senza vietarla o volerne impedire lo sviluppo e la sua diffusione.
Nel corso della riunione del 13 aprile, l’EDPB ha deciso di lanciare una task force dedicata[3] per agevolare la cooperazione e lo scambio di informazioni sulle possibili azioni di enforcement portate avanti dalle varie autorità di controllo su Chat-GPT.
Si conferma, anche a livello europeo, che le criticità evidenziate dal provvedimento dell’Autorità Garante sono concrete e vi è una necessità condivisa tra le varie autorità di individuare dei presidi e delle misure che, lungi dal frenare l’innovazione, possano assicurare la piena conformità al Regolamento dello strumento e, soprattutto, la tutela dei diritti e delle libertà degli interessati e dei soggetti più vulnerabili.
In conclusione
Il provvedimento dell’Autorità italiana si pone in continuità con una serie di provvedimenti già emanati in cui l’intelligenza artificiale, rientrante nel novero dei trattamenti automatizzati di cui all’art. 22 GDPR, ha sempre richiesto al Titolare del trattamento di spiegare all’interessato le logiche degli algoritmi. La complessità dell’analisi di chat GPT è dato dall’incontro di due mondi che finora hanno corso su binari paralleli: quello dei big data, sul cui tema da anni vi sono delle riflessioni sulla base giuridica idonea allo scraping[4], ovvero alla raccolta massiva di dati sul web, e quello della trasparenza dell’algoritmo che è possibile rinvenire in provvedimenti come quello nei confronti dell’Università Bocconi o sulle app di food delivery.
La creazione di una task force europea che, per una volta, consenta di affrontare il tema in modo congiunto, ci si augura che consenta di evitare quella continua rincorsa all’ultima pronuncia che nell’ultimo anno abbiamo vissuto sul tema di Google Analytics e di individuare delle modalità di risposta concreta che possano consentire agli operatori economici europei di avvelersi di uno strumento altamente innovativo senza dover pregiudicare i diritti e gli interessi delle persone fisiche.
Il provvedimento del Garante su ChatGpt in sintesi
Il 12 aprile l’Autorità Garante ha emanato il provvedimento di sospensione provvisoria della limitazione del trattamento nei confronti di OpenAI in relazione ai servizi di Chat-GPT.
La società di San Francisco avrà una serie di scadenze da rispettare nell’implementazione delle azioni necessarie per rendere il trattamento conforme ai requisiti del Regolamento.
- Entro il 30 aprile dovrà essere implementata l’informativa rivolta agli interessati, anche non utilizzatori del servizio, i cui dati sono stati utilizzati per addestrare l’algoritmo, spiegandone la logica alla base del trattamento necessario per il funzionamento del servizio.
- Dovrà essere messo a disposizione degli interessati che ne facciano richiesta, un meccanismo per l’esercizio del diritto di opposizione all’utilizzo dei propri dati per finalità di addestramento dell’algoritmo.
- Inoltre, dovrà essere implementato, per gli utenti italiani che ne facciano richiesta, uno strumento per la correzione di eventuali dati inesatti;
- Dovrà essere resa l’informativa in un punto antecedente alla registrazione del servizio, quindi prima dell’acquisizione dei dati personali dal form di iscrizione.
- Il Titolare dovrà modificare la base giuridica del trattamento relativamente alla finalità di addestramento dell’algoritmo sostituendo la scelta della base giuridica contrattuale con il consenso o l’interesse legittimo, a seconda delle valutazioni che sono interamente rimesse al titolare in virtù del principio di responsabilizzazione (c.d. accountability).
- Nel caso in cui il titolare valutasse di utilizzare la base giuridica del legittimo interesse, allora dovrebbe mettere a disposizione degli utenti che accedono dall’Italia un meccanismo per esercitare il diritto di opposizione all’utilizzo dei dati per finalità di addestramento dell’algoritmo;
- In caso di riattivazione del servizio in Italia, dovrà essere implementato per tutti gli utenti che accedono dall’Italia, al primo accesso, un meccanismo di verifica dell’età che escluda i minori;
- Entro il 15 maggio 2023, di concerto con l’Autorità Garante, OpenAI dovrà presentare una campagna di informazione sull’utilizzo dei dati delle persone per finalità di addestramento dell’algoritmo, dell’avvenuta pubblicazione dell’informativa e del diritto degli interessati di chiedere e ottenere la cancellazione dei propri dati personali;
- Entro il 31 maggio dovrà essere presentato all’Autorità un piano per l’adozione di strumenti di age verification che escluda dall’accesso al servizio agli utenti infra-tredicenni e quelli minorenni in assenza di un’espressa manifestazione di volontà da parte di chi esercita la responsabilità genitoriale.
- L’implementazione del piano dovrà decorrere al più tardi il 30 settembre 2023;
Note
[1] EDPB Statement on enforcement cooperation – Adopted on 28 April 2022- https://edpb.europa.eu/system/files/2022-04/edpb_statement_20220428_on_enforcement_cooperation_en.pdf
[2] European Parliament Think Tank – Artificial Intelligence [What Think Tanks are Thinking], 23 march 2023: https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2023)745695
[3] EDPB: https://edpb.europa.eu/news/news/2023/edpb-resolves-dispute-transfers-meta-and-creates-task-force-chat-gpt_en
[4] Si veda, G. D’Acquisto e M. Naldi, Big Data e Privacy by Desisgn, Giappichelli Editore, 2017
