Il recente provvedimento con cui il Garante privacy italiano ha disposto la limitazione provvisoria del trattamento dei dati personali per OpenAI L.L.C., società sviluppatrice di ChatGPT, ha scatenato reazioni contrapposte: da un lato chi plaude il Garante per aver messo un argine o comunque un primo freno allo sviluppo della cosiddetta Intelligenza Artificiale, rea di ingurgitare una grande quantità di dati personali senza alcun controllo.
Dall’altro lato della barricata chiaramente chi ritiene che l’intervento dell’Autorità italiana abbia limitato uno strumento che tante aziende, soprattutto startup, utilizzano quotidianamente per il loro business, collocandoci tra un elenco di Paesi non proprio democratici che hanno bloccato la piattaforma (tra cui Corea del Nord, Cina, Russia ecc.) e assegnandoci il primato di unico Stato occidentale ad averlo fatto.
Occorre, dunque, fare un po’ di chiarezza e rispondere con calma ad alcuni quesiti che possono fare luce sulla decisione del Garante, sulle motivazioni che hanno spinto alla limitazione, alle conseguenze di questa decisione e ai possibili scenari futuri.
Indice degli argomenti
Perché il Garante ha “bloccato” ChatGPT?
Partiamo con l’utilizzare i termini corretti, il Garante italiano non ha bloccato l’applicazione ma ha sancito una limitazione provvisoria del trattamento per un periodo di 20 giorni. La limitazione, da considerando 67 del GDPR, impone che i dati personali non siano sottoposti ad ulteriori trattamenti e non possano più essere modificati.
La reazione di OpenAI è stata quella di bloccare totalmente in Italia la sua piattaforma.
Le motivazioni che hanno spinto il Garante in questa direzione sono le seguenti:
- inidonea informativa fornita dalla piattaforma;
- assenza di una base giuridica in relazione alla raccolta e trattamento di dati personali per scopo di addestramento dell’algoritmo;
- trattamento di dati inesatto da parte della piattaforma;
- assenza di una verifica dell’età degli utenti.
A questi quattro punti si deve anche aggiungere il gravissimo data breach che la società ha subito in data 20 marzo che ha causato la perdita di un’ingente quantità di dati personali riferiti da account, conversazioni degli utenti e informazioni relative al pagamento degli abbonati al servizio.
Proviamo a tradurre e interpretare il provvedimento
Il Garante, sollecitato dal grande clamore mediatico intorno a ChatGPT e agli algoritmi di intelligenza artificiale, ha analizzato la piattaforma. Trattandosi poi di titolare sito negli Stati Uniti, con tutti i delicati risvolti relativi al trasferimento dati che questo comporta, e al data breach appena menzionato, è chiaro che la nostra Autorità non poteva che essere scrupolosa e diciamo severa nel giudizio.
Dall’analisi è emerso che l’informativa privacy, che tutti i titolari devono fornire, non spiega nel dettaglio come verranno utilizzati i dati personali da parte della piattaforma e, soprattutto, non esiste una base giuridica che legittimi il trattamento relativo ai dati trattati con la finalità di addestramento dell’algoritmo.
Quando un utente si registra e utilizza ChatGPT, che ricordiamo è essenzialmente un produttore di testi, fornisce i suoi dati personali (nome, cognome, e-mail) per la registrazione. La piattaforma utilizzerà questi dati, compresi quelli recuperati dai vari profili social, non solo per dare seguito alle richieste dell’utente (e qui la base giuridica è chiara: art. 6, lett. B del GDPR), ma anche per addestrare l’algoritmo.
Questa attività svolta non è legittima al momento, in quanto non è stata individuata e comunicata all’utente una base giuridica legittima tra quelle sancite dal Reg. UE.
Altro elemento di grande criticità è la gestione del pubblico di età inferiore a 13 anni. Nonostante il servizio sia rivolto soltanto ai maggiori di tale età non sono previsti filtri o controlli che consentano alla piattaforma di bloccare le attività di chi 13 anni non li ha ancora compiuti. Per il Garante tale mancanza espone i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.
Vi sono poi altri due elementi da considerare e che emergono dalla lettura approfondita (o tra le righe) del provvedimento: la raccolta ultronea che viene fatta di dati personali di soggetti non registrati alla piattaforma e l’esattezza del testo generato.
Partiamo dal primo aspetto: nel momento in cui un utente chiede di redigere un testo relativo ad una persona fisica, chiaramente il software recupererà informazioni del soggetto richiesto dal web, con una raccolta a strascico da tutte le piattaforme e siti web. La domanda che sorge spontanea è: cosa ne fa poi la piattaforma di quei dati personali che non sono di utenti registrati? Dove vanno a finire? Per quanto tempo vengono trattati e per quali finalità? Siamo sicuri che non vengano poi utilizzati per addestrare l’algoritmo? A tutte queste domande ad oggi non abbiamo una risposta certa.
Passiamo poi al secondo aspetto: il discorso esattezza. Sembra quasi essere un argomento “secondario” accanto ai più delicati aspetti dell’informativa, della base giuridica e dei minori. Ma ne siamo sicuri?
Proviamo a fare un esempio. Mario Rossi deve scrivere un testo su un noto professore universitario. Utilizza il buon vecchio metodo della ricerca e inizia a tirare su informazioni da testi, web, motori di ricerca e perché no, piattaforme social. Non è un bravissimo ricercatore e tra tutte le informazioni analizzate viene fuori un profilo del professore universitario che non è esattamente corrispondente alla realtà. Risultato: analisi errata di un singolo testo.
Secondo scenario: un algoritmo di intelligenza artificiale, producendo un testo riguardante il noto professore universitario di cui sopra, commette degli errori elaborando un profilo diverso dalla realtà (peggiore o migliore non è importante). Risultato: tutti gli utenti di quella piattaforma che chiederanno un testo su quel professore si vedranno restituito un profilo errato, con probabili o possibili conseguenza sul professore stesso.
Centinaia (in futuro migliaia) di testi errati, di profili sbagliati. Ricordiamo che uno dei principi cardine del GDPR è l’esattezza dei dati personali trattati: i dati personali trattati da un titolare devono essere esatti e aggiornati proprio poiché da quel trattamento potrebbero sorgere conseguenze anche gravi rispetto ai soggetti interessati se viene meno appunto l’esattezza.
Quali sono i possibili scenari futuri
Sicuramente fino alla seconda metà di aprile, quindi fino alla limitazione imposta dal garante, dovremmo aspettare. Una cosa è certa, si è acceso un faro fondamentale su un argomento delicatissimo sui nostri dati personali.
Se il Garante avrà la forza di trainare anche gli altri garanti europei e avere una linea comune, probabilmente anche gli algoritmi di intelligenza artificiale dovranno iniziare a porre maggiore attenzione al trattamento di dati personali e alla protezione dei soggetti interessati, siano essi maggiorenni o minorenni.
Ricordiamo che OpenAI ha lanciato un servizio senza la minima attenzione alle regole basilari dettate dal GDPR: nessuna informativa chiara e trasparente, nessuna attenzione alla base giuridica, nessuna informazione sui trasferimenti di dati personali, nessun filtro per vietare l’utilizzo della piattaforma ai minori di 13 anni.
Il Garante ha chiaramente posto un freno e imposto 20 giorni di “riflessione forzata” al titolare della piattaforma. La reazione eccessiva di OpenAI è stata quella di bloccare totalmente l’accesso a ChatGPT.
A chi, a seguito della decisione del Garante, ci affianca a paesi quali Cina, Russia e Corea del Nord che hanno anch’essi bloccato la piattaforma occorre ricordare e precisare che il Garante ha limitato il trattamento (tradottosi poi in blocco) perché ChatGPT non rispetta una normativa fondamentale non solo italiana ma europea come il Regolamento Generale sulla Protezione dei Dati.
Se OpenAI riuscirà a risolvere le criticità evidenziate potrà tranquillamente tornare ad operare in Italia. Gli altri Paesi menzionati hanno bloccato ChatGPT perché appartiene ad una società statunitense, quindi non considerata affidabile da parte delle autorità governative.
Esiste un abisso tra le motivazioni che hanno portato alla decisione del Garante rispetto a quelle dei Paesi menzionati e accumunarle non è corretto.
Un importante momento di riflessione
Quindi bene ha fatto il Garante ad accendere questo faro e imporre questo “momento di riflessione” a OpenAI e alle altre piattaforme che operano nel campo degli algoritmi che utilizzano “intelligenza artificiale”. Ora non ci resta che attendere per capire cosa farà OpenAI, da un lato, e cosa faranno gli altri Garanti europei, dall’altro.
Al termine dei 20 giorni imposti vedremo quale approccio vincerà questo braccio di ferro: uno sviluppo di questa tecnologia attento in primis al trattamento di dati personali e poi all’addestramento dell’algoritmo (posizione dettata dal Garante) oppure una crescita senza regole e senza paletti (posizione ad oggi sostenuta da OpenAI e da chi ha criticato aspramente la decisione presa dal Garante), che potrebbe mettere a rischio i nostri diritti e le nostre libertà in quanto lasceremo decidere ad un algoritmo, seppur addestrato (e alla società di sviluppo dietro l’algoritmo), come trattare i dati personali degli iscritti e non, dove trattarli, con quali misure di sicurezza, come garantire l’utilizzo dei maggiori di una determinata età (13 anni in questo caso), garantire che i dati personali trattati e prodotti siano esatti e aggiornati, e tanti altri aspetti che potrebbero emergere dall’utilizzo sconsiderato di questi strumenti.
