Le istruttorie condotte dal Garante privacy italiano su OpenAI dal 2022 trovano ora conclusione. Hanno portato alla luce diverse violazioni in materia di protezione dei dati personali legate al funzionamento di Chatgpt.
Ecco perché il Garante privacy ha sanzionato oggi OpenAI per 15 milioni e, soprattutto, gli ha ordinato di fare sei mesi di campagna informativa agli italiani. Così utenti e non utenti conosceranno meglio i loro diritti in merito a Chatgpt e sull’AI in generale, che usano i loro dati personali per funzionare.
Ed è solo l’inizio perché ora la palla, come scrive il Garante nel presentare il provvedimento, passa all’Europa, che dovrà accertare se le violazioni continuano e come affrontarle.
Indice degli argomenti
Le violazioni privacy di Chatgpt
Le principali criticità riguardano la mancanza di trasparenza nei trattamenti dei dati e la violazione dei principi di privacy by design e by default.
Questi aspetti mettono in evidenza problematiche fondamentali nell’approccio di OpenAI alla gestione dei dati personali degli utenti e dei non utenti.
Mancanza di trasparenza nei trattamenti dei dati
Una delle violazioni accertate riguarda l’assenza di un’adeguata informativa sul trattamento dei dati personali. In particolare, OpenAI non ha fornito alcuna informazione preliminare ai non utenti della piattaforma i cui dati sono stati raccolti per addestrare gli algoritmi di ChatGPT. Questa omissione rappresenta una chiara violazione del diritto fondamentale di ogni individuo di essere informato sull’utilizzo dei propri dati personali.
Secondo la normativa europea, l’informativa sulla privacy non è una semplice formalità, ma una condizione essenziale per garantire agli interessati la possibilità di comprendere chi utilizza i loro dati, per quali finalità e con quali modalità. La mancata trasparenza non solo impedisce alle persone di esercitare un controllo effettivo sulla propria identità digitale, ma compromette anche i diritti e le libertà fondamentali degli individui.
Anche gli utenti registrati a ChatGPT non sono stati esenti da criticità. Nonostante abbiano ricevuto un’informativa, questa è risultata lacunosa e poco accessibile. Spesso, infatti, tali informazioni sono nascoste in interfacce progettate per facilitare l’utilizzo del servizio, ma non per garantire un’esperienza realmente consapevole.
Violazione dei principi di privacy by design e by default
Un ulteriore problema emerso riguarda la mancata applicazione dei principi di privacy by design e by default, previsti dal Regolamento Generale sulla Protezione dei Dati (GDPR). La progettazione di ChatGPT non ha tenuto sufficientemente conto della necessità di proteggere i dati personali sin dalla fase di ideazione del servizio. Questa mancanza è particolarmente grave in un sistema che basa il proprio funzionamento sull’elaborazione di enormi quantità di dati personali.
Una progettazione rispettosa di questi principi avrebbe richiesto maggiore attenzione all’identità e alla dignità delle persone. La raccolta e il trattamento dei dati avrebbero dovuto essere limitati al minimo indispensabile, con misure tecniche e organizzative adeguate per garantire la sicurezza e la riservatezza.
Omessa identificazione di una base giuridica
Un altro aspetto critico riguarda l’assenza di una base giuridica chiara per il trattamento dei dati personali. OpenAI, al momento dell’avvio dell’istruttoria, non aveva identificato una base giuridica specifica per la raccolta e l’utilizzo dei dati personali, pratica iniziata già dal 2018 attraverso lo scraping massiccio di informazioni disponibili online.
Questa omissione è significativa: senza una base giuridica chiara, qualsiasi trattamento di dati personali risulta privo di legittimità. Successivamente all’avvio del procedimento, OpenAI ha individuato nel legittimo interesse la base giuridica per tali trattamenti. Tuttavia, la questione della legittimità di questa scelta è stata trasferita all’Autorità Garante irlandese, a seguito dello stabilimento di OpenAI in Europa.
Sanzioni e misure correttive
Le violazioni accertate hanno portato all’irrogazione di una sanzione pecuniaria di 15 milioni di euro. Sebbene questa cifra possa sembrare simbolica rispetto alle risorse di OpenAI, rappresenta comunque un segnale forte sull’importanza di rispettare i diritti alla protezione dei dati personali.
Tuttavia, la misura più significativa adottata dal Garante riguarda l’obbligo imposto a OpenAI di realizzare una campagna di comunicazione su scala nazionale. Questa campagna, della durata di sei mesi, ha l’obiettivo di sensibilizzare il pubblico sul funzionamento di ChatGPT, sulle implicazioni per la privacy e sui diritti esercitabili dagli interessati.
Che succede ora
Il caso ChatGPT è un punto di svolta nella gestione delle questioni legate alla privacy nell’ambito dell’intelligenza artificiale. Le violazioni accertate mettono in luce la necessità di un approccio più responsabile e trasparente da parte delle aziende che operano in questo settore.
Ma ora la palla è nelle mani dell’Europa. Dell’Autorità irlandese, in particolare, a cui è sottoposto il dossier di OpenAI per via della sua sede a Dublino. Dovrà verificare se le violazioni continuano e prendere eventuali provvedimenti, ordinando misure correttine.
Ma sembra chiaro che la questione vada affrontata in modo coordinato in Europa.
“L’Europa dovrà continuare a mostrarsi coerente e determinata nel garantire che i diritti fondamentali degli individui siano tutelati nel bilanciamento con la continua innovazione tecnologica”, spiega Guido Scorza, del garante privacy.
Siamo agli inizi ma comincia a prendere forma una voce comune dell’Ue. “Il Garante irlandese, competente su OpenAI, potrà tenere conto del recente parere Edpb su come trattare i modelli AI alla luce del Gdpr”, aggiunge.
“Il provvedimento del Garante privacy fa da apri fila”, spiega Oreste Pollicino, Professore Ordinario di Diritto Costituzionale e Diritto dei Media “e dimostra che anche singoli Paesi possono agire per difendere la privacy dei propri cittadini. Non solo i Paesi dove ha sede la società indagata, insomma, hanno voce in capitolo”. In altre parole, “forse OpenAI ha sottovalutato le questioni privacy sollevate”; in ogni caso il caso dimostra che “la disciplina europea dello one stop shop non è un modo per bypassare la tutela privacy Ue”, continua Pollicino.
Posizione di OpenAI: faremo ricorso
Arriva la reazione dell’azienda: “La decisione del Garante non è proporzionata e presenteremo ricorso. Quando il Garante ci ha ordinato di sospendere ChatGPT in Italia nel 2023, abbiamo collaborato con l’Autorità per renderlo nuovamente disponibile un mese dopo”. “Già allora il Garante aveva riconosciuto il nostro ruolo da capofila per quanto riguarda la protezione dei dati nell’ambito dell’IA e questa sanzione rappresenta circa venti volte il fatturato da noi generato in Italia nello stesso periodo. Riteniamo che l’approccio del Garante comprometta le ambizioni dell’Italia in materia di IA, ma rimaniamo impegnati a collaborare con le autorità preposte alla tutela della privacy in tutto il mondo per offrire un’IA capace di portare benefici alla società nel rispetto dei diritti della privacy”.
Qualche informazione a supporto
- Questa indagine si concentra sul periodo novembre 2022 – marzo 2023. Dal rilascio di ChatGPT nel novembre 2022, abbiamo reso ancora più facile per gli utenti l’accesso ai nostri strumenti per i dati, inserendoli nelle impostazioni di ChatGPT.
- Abbiamo anche lanciato il nostro Privacy Center all’indirizzo privacy.openai.com, dove gli utenti possono esercitare le loro preferenze sulla privacy e scegliere di non utilizzare i loro dati per l’addestramento dell’IA.
- I modelli di intelligenza artificiale devono imparare dal mondo circostante per essere utili ai nostri utenti. Noi di OpenAI li progettiamo tenendo conto della privacy:
o Utilizziamo i dati pubblici per addestrare la nostra IA, non per identificare, tracciare o profilare le persone. Non contattiamo le persone né facciamo loro pubblicità.
o Lavoriamo deliberatamente per ridurre l’uso di dati personali nell’addestramento dei nostri sistemi come ChatGPT.
o Addestriamo i nostri modelli a rifiutare le richieste di informazioni relative a dati privati o sensibili sulle persone, anche se disponibili online tramite i motori di ricerca.
o Rendiamo facile per le persone esportare e cancellare le informazioni personali attraverso ChatGPT, e non permettere che i loro contenuti vengano utilizzati per addestrare i modelli.
o Offriamo una modalità di chat temporanea che cancella automaticamente le chat
- Siamo orgogliosi dei molti modi innovativi e vantaggiosi in cui i nostri clienti, partner e utenti utilizzano i nostri strumenti AI, tra cui:
o Aiutando le persone con disabilità visive a navigare nel mondo (Be My Eyes)
o Consentendo ai ricercatori di accelerare lo sviluppo di nuovi farmaci, compresi quelli antitumorali e antivirali. (Moderna).
o Collaborando con le università italiane per aiutare i professori a fornire agli studenti un’assistenza accurata 24 ore su 24, 7 giorni su 7. (Multiversity)
o Collaborando con gruppi editoriali come RSC e Axel Springer per sostenere un giornalismo indipendente di qualità e nuove esperienze mediatiche innovative.
o Aiutando i governi a preservare le lingue con scarse risorse. (Government of Iceland)
- Procediamo nel nostro impegno continuo di collaborazione con la comunità globale sulla protezione dei dati oltre a garantire la tutela della privacy, continuando a innovare e a sviluppare prodotti e strumenti utili.
