Il Garante privacy ha notificato a OpenAI, la società che gestisce la piattaforma di intelligenza artificiale ChatGPT, l’atto di contestazione per aver violato la normativa in materia di protezione dei dati personali.
L’atto di contestazione per presunte violazioni privacy commesse da ChatGPT non è altro che la conseguenza di quanto avvenuto lo scorso 30 marzo 2023, quando l’Autorità italiana ha emanato un provvedimento d’urgenza, imponendo alla big tech lo stop al trattamento dei dati personali degli italiani.
All’esito dell’istruttoria, ecco che il colosso statunitense avrebbe commesso uno o più illeciti in violazione del GDPR. Precisiamo che non ci è dato ancora sapere quali. OpenAI avrà 30 giorni di tempo per presentare (eventuali) memorie difensive.
Quindi, nell’attendere gli ulteriori sviluppi, facciamo qualche considerazione che vada oltre il caso di specie.
Indice degli argomenti
Cosa sappiamo dell’atto di contestazione per violazioni privacy
In un comunicato stampa del 29 gennaio 2024, il Garante privacy ha reso noto di aver notificato a OpenAI un “atto di contestazione per aver violato la normativa in materia di protezione dei dati personali”.
Dove eravamo rimasti
Ricordiamo tutti che lo scorso 30 marzo 2023, la nostra Autorità facendo da apripista aveva intimato con un provvedimento d’urgenza la “limitazione provvisoria del trattamento” di fatto poi sospesa con ulteriore provvedimento dell’11 aprile 2023. In pratica, una sorta di blocco momentaneo per il trattamento dei dati personali di noi italiani.
Come noto, ChatGPT è un modello di chatbot (software che simula ed elabora le conversazioni umane scritte o parlate) basato su intelligenza artificiale e apprendimento automatico cibandosi di grandi quantità di dati.
Nella fattispecie, in data 20 marzo 2023, sarebbe stata ravvisata una pubblicazione di dati particolari e sensibili degli utenti (italiani) fruitori del sistema di AI generativa, dovuta a un bug contenuto in una libreria open source usata da OpenAI per il servizio di ChatGPT.
Da qui, il quanto meno presunto data breach, all’attenzione del nostro Garante.
Si è trattato di una decisione d’urgenza nella quale la nostra Autorità ha sollevato, in sintesi, tre contestazioni secondo cui ChatGPT avrebbe:
- raccolto dati personali senza specificarne correttamente le finalità, in totale assenza di una idonea base giuridica che legittimasse il trattamento;
- dato informazioni riferibili anche a persone non sempre corretti, costituendo un presunto trattamento in danno della privacy in termini di integrità del dato stesso;
- danneggiato i minori.
Da qui, lo stop categorico del Garante bloccando temporaneamente i trattamenti dei dati personali degli utenti interessati italiani fino ai chiarimenti richiesti.
Intanto, dopo poco partiva una speciale task force, istituita dall’EDPB.
Dove siamo ora
Con la notizia della notifica di un atto di contestazione per le violazioni alla normativa privacy, siamo quasi all’atto finale.
Per poterci esprimere oltre nel merito, tuttavia e per correttezza, dobbiamo attendere gli ulteriori sviluppi. In questa sede possiamo semmai fare qualche considerazione più in generale e che prescinde dal caso di specie.
Alcune delle questioni aperte, che prescindono anche dal caso di specie
Sono diverse le questioni aperte. Accenniamo quelle che riteniamo più rilevanti, astraendoci dal caso di specie.
Termini di prescrizione o di decadenza?
Iniziamo a trattare di un aspetto: si tratta di termini di prescrizione o di decadenza? La questione non è affatto di poco conto.
La prescrizione, secondo i principi generali del diritto, può essere sospesa o interrotta.
La decadenza no, e quando si compie travolge l’azione. Quindi avvenuta la decadenza non sarà più possibile agire in alcun modo, e nella circostanza che ci occupa una volta trascorsi i 120 giorni, a rigore non è più possibile ripetere la contestazione. Una sanzione emessa oltre il termine (perentorio e a pena di decadenza) significa nulla.
Termine di decadenza e dies a quo, da quando decorrono i 120 giorni?
Appurato che si tratti di decadenza, chiediamoci poi da quando decorrono i 120 giorni, ovvero come si computa il “dies a quo”.
La questione è “sugosa”, specie per i giuristi. Secondo orientamenti giurisprudenziali consolidati, i 120 giorni decorrono da quando si sono assunte tutte le informazioni necessarie per stabilire se vi sia stata una violazione. Qualora il Garante disponesse, con un provvedimento, di misure correttive vorrebbe dire che di fatto ha ravvisato la commissione di una o più violazioni alla normativa in materia di protezione dati (di cui è garante) e chiede di porvi rimedio.
Ma poteva farlo? In un interessante scambio con il Collega Elia Barbujani, noto esperto della materia è emerso come “il Garante con il provvedimento del 11 aprile 2023 ha, di fatto, confermato i presupposti per la limitazione al trattamento, ovvero l‘illiceità dei trattamenti effettuati da OpenAI, disponendo una serie di misure correttive da adottare entro il 30 aprile 2023 e, limitatamente al piano di adozione di mezzi di age verification, entro il 30 settembre 2023″.ù
“Il provvedimento del 11 aprile, infatti, è stato assunto per confermare il provvedimento indicato “d’urgenza” dal Presidente dell’Autorità. Non si tratta, quindi, dell’attività istruttoria che parallelamente è stata avviata dal Garante, ma di un vero e proprio provvedimento conclusivo, con il quale il Garante dispone misure sulla base dell’art. 58 Reg. UE n. 679/2016. Si può infatti notare che lo stesso provvedimento del 11 aprile richiama in calce la possibilità di impugnare lo stesso innanzi al Tribunale ordinario”.
“Non abbiamo notizie degli scambi endoprocedimentali dell’attività istruttorie per poter computare i termini del procedimento e stabilire se la recente contestazione formale, rispetti il termine di 120 giorni. Tuttavia, in presenza di un provvedimento che fin da aprile 2023 aveva contestato delle violazioni al fine di irrogare delle misure a carico di OpenAI, la recente contestazione formale delle violazioni dovrebbe riguardare nuovi e ulteriori profili”.
“Diversamente, la formale liceità del procedimento istruttorio potrebbe essere contestata. Recentemente il Tribunale di Milano ha annullato un’importante sanzione del Garante per il mancato rispetto delle garanzie per il contraddittorio durante il procedimento istruttorio e di contestazione che porta all’irrogazione delle sanzioni amministrative. Infine, recentemente i Tribunali di Udine e Pordenone hanno ordinato al Garante privacy la pubblicazione delle sentenze di annullamento delle ordinanze ingiunzione irrogate a due aziende sanitarie quale risarcimento in forma specifica per l’illecita pubblicazione, da parte del Garante, dei testi integrali delle ordinanze ingiunzione in pendenza del termine di 30 giorni per l’impugnazione delle stesse”.
“Infatti, la pubblicazione sul sito web del Garante è effettuata quale sanzione amministrativa accessoria e non si estende necessariamente ad altre forme di divulgazione quali la newsletter. Le campagne di divulgazione che il Garante porta avanti mediante newsletter, pubblicazioni, interviste, possono diventare ancora più virtuose tenendo anche conto del rispetto delle garanzie di difesa dei titolari del trattamento in tali procedimenti”.
Ancora, sulla decorrenza dei termini, mette in conto evidenziare che detto termine decorre “dal ricevimento da parte del Garante dell’ultima risposta alle richieste di chiarimenti”, e da lì che parte il timer.
E se sfora? Poiché è pacifico che si tratti di termini perentori, se non rispetta quei termini decade da qualunque azione, e le sanzioni sono nulle. A dirlo è la giurisprudenza tanto di merito quanto di legittimità, la quale non si limita agli aspetti sostanziali, ma si occupa anche di dirimere questioni relative alla parte più procedurale.
Il procedimento istruttorio, c’è un segreto istruttorio?
Il procedimento istruttorio del Garante privacy è disciplinato dal Regolamento 1/2019 — che abroga i Regolamenti 1/2007 e 2/2006 — a definizione delle modalità di svolgimento dell’iter procedimentale che potrebbe portare all’irrogazione di una sanzione a seguito di una contestazione (reclamo, segnalazione o controllo d’ufficio) di violazione del GDPR.
Si tratta di un regolamento interno adottato dal Garante i cui principi generali sono improntati da una:
- piena conoscenza degli atti istruttori, contraddittorio e verbalizzazione;
- trasparenza, ragionevolezza, proporzionalità e non discriminazione, semplicità delle forme osservate, celerità ed economicità, anche in riferimento al contraddittorio;
- buona amministrazione, adeguatezza, imparzialità e leale collaborazione.
Le comunicazioni con le parti coinvolte viene avviene tendenzialmente via telematica (a mezzo PEC).
Quando l’istruttoria viene avviata su impulso del Garante (come nel caso di specie), è l’Autorità medesima ad avviare d’ufficio per l’appunto un’istruttoria preliminare volta a verificare possibili violazioni.
Durante questa fase, in concreto il Garante controlla, estrae e acquisisce copie di documenti, anche in formato elettronico nonché richiede informazioni e spiegazioni.
É un’attività coperta da segreto? Diciamo che un vero e proprio segreto istruttorio della stessa portata che può avere quello di matrice penalistica evidentemente non c’è. Tuttavia, dovrebbe prestare attenzione a cosa divulga. Non solo per ragioni di riservatezza, ma anche per evitare prese di posizioni velatamente politiche.
Ma non è tutto. Non dimentichiamo infatti che la stessa pubblicazione di un provvedimento è sanzione accessoria, con tutto ciò che ne consegue.
Sulla durata dei procedimenti
Sappiamo che la durata dei procedimenti istruttori è fissata dal Regolamento 2/2019 (che abroga il precedente Regolamento 2/2007) riguardante per l’appunto l’individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante per la protezione dei dati personali.
Avere dei termini definiti significa avere un procedimento non di meno efficace. D’altra parte, non sarebbe corretto lasciare le Organizzazioni, per quanto presunte colpevoli, nell’incertezza di un procedimento, benché a loro carico. Né il “sacro-fuoco” del principio di accountability (art. 5) può valere solo per ciascuno e non per tutti.
Ne consegue che, a stretto rigore, se l’Autorità notifica fuori termine, la sanzione ricadrà nell’alveo dell’invalidità e quindi non sarà dovuta con a monte un procedimento viziato per violazione del Regolamento citato (sub specie Tabella B n. 2), e a valle sarà da ritenersi nulla (tamquam non esset).
Da qui, non poche le concrete (mancate) conseguenze e i possibili scenari anche nel caso di specie senza fare particolari profezie.
Nei rapporti tra Garante e incolpato, in ogni caso, non si applica l’inversione dell’onere della prova (art. 2698 Cod. civ.) che potrebbe semplicemente tradursi in questo concetto: per vincere non basta avere ragione, ma occorre anche dimostrarlo.
Qui, invece, non operando questo istituto sarà il Garante a dover dimostrare in positivo gli elementi dell’illecito contestato.
Privacy, sanzione annullata se il Garante Privacy supera i termini: il caso Enel
Conclusioni
Almeno un paio sono le conclusioni e questioni aperte, che possiamo trarre dalla questione in parola. La prima attiene a come si colloca un provvedimento endoprocedimentale non ultimo, in considerazione del fatto che formalmente non c’è stata ancora la contestazione/ingiunzione.
La seconda afferisce invece a una questione più ampia che in generale deve preoccupare dal momento che siamo in una società digitale, sempre più caratterizzata da una repentina evoluzione dei sistemi di AI, nella quale se da un lato risulta difficile far valere i propri diritti, dall’altro sembra mancare da parte degli utenti una consapevolezza di fondo che responsabilizzi ciascuno nell’utilizzo di questi strumenti così evoluti.
E se a preoccupare, come afferma Floridi, “…è la manipolazione…che così diventa molto più facile”, la decisione presa d’urgenza dal nostro Garante dimostra ancora una volta come oggi in qualunque macchina si possa staccare la spina, per opera dell’uomo.
Tanto rumore per nulla o tanto lavoro da fare? Più la seconda, chiedendo tanto al tecnologo quanto al giurista di operare e collaborare convintamente insieme al fine di rafforzare la fiducia degli utenti/interessati, con a monte un legislatore chiamato ad adeguare l’attuale impianto normativo alle nuove esigenze, tipiche di una cambio di paradigma già in atto.
