A lanciare l’allarme, per primo, sull’alto margine di errore dei chatbot (dal 3 al 27%), è stato il New York Times; oggi noyb.eu ha annunciato di aver depositato un reclamo alla DPAS (Autorità Garante per la privacy austriaca).
L’accusa, secondo la no-profit che fa capo a Max Schrems, è che “OpenAI sostiene semplicemente che l’accuratezza fattuale nei grandi modelli linguistici rimane un’area di ricerca attiva”.
Analizziamo nel dettaglio la problematica.
Indice degli argomenti
ChatGPT viola il GDPR: i dettagli del reclamo
A dare indicazioni precise sui termini della questione è proprio noyb.eu: “Sebbene informazioni imprecise possano essere tollerabili quando uno studente utilizza ChatGPT per aiutarlo con i compiti, sono inaccettabili quando si tratta di informazioni su individui. Dal 1995, la legislazione europea richiede che i dati personali siano accurati. Attualmente ciò è sancito dall’articolo 5 GDPR. Gli individui hanno anche il diritto di rettifica ai sensi dell’articolo 16 GDPR se i dati non sono accurati e possono richiedere che le informazioni false vengano cancellate. Inoltre, ai sensi del “diritto di accesso” di cui all’articolo 15, le aziende devono essere in grado di mostrare quali dati detengono sulle persone fisiche e quali ne siano le fonti”.
In altri termini, vengono violati svariati diritti dei singoli: il diritto all’esattezza del dato e il diritto alla rettifica.
Non solo: il modello di linguaggio non offre la possibilità di sapere quali siano i dati sull’interessato che ha processato e come ne sia venuto a “conoscenza”.
OpenAI avrebbe dovuto trovare un modo di rendere trasparente almeno questi elementi per rendersi conforme al GDPR, dopo che le erano stati inviati messaggi forti: il blocco temporaneo del trattamento da parte del Garante italiano nell’aprile 2023 e la costituzione di una task force europea sotto l’egida dell’EDPB.
In principio fu il Garante italiano
Esattamente un anno fa l’Autorità Garante per il Trattamento dei dati personali prese una decisione forte e controcorrente: imporre un blocco temporaneo del trattamento dei dati ad OpenAI sul territorio italiano.
Seguì un mese di confronto febbrile, in seguito al quale OpenAI recepì le indicazioni sulle violazioni più macroscopiche (assoluta assenza di privacy policy e di consenso informato nelle T&C).
Il provvedimento venne rimosso a maggio 2024 in seguito all’interlocuzione con OpenAI ed all’instaurazione della task force europea.
Attualmente l’istruttoria è ancora in corso perché il procedimento sanzionatorio è stato comunque aperto: a questo punto è difficile che la sanzione sarà “lieve”.
Il dott. Agostino Ghiglia, membro del Collegio dell’Autorità Garante, commenta la vicenda in questi termini sul proprio profilo Linkedin: “Ci auguriamo che la task force promossa dall’EDPB nel 2023 giunga presto a qualche conclusione perché come dice Maartje de Graaf, avvocato di Noyb: la tecnologia deve seguire le leggi non il contrario… Giusto no!?”.
Va detto che difficilmente l’affermazione di Sam Altman, Ceo di OpenAI, per cui è impossibile rettificare i dati degli interessati, può essere stata pronunciata prima di quando è arrivata alle “orecchie” di noyb.eu: in altri termini, è verosimile che OpenAI, in precedenza, non abbia giocato a carte scoperte (con conseguente valutazione della sua condotta nel contesto sanzionatorio).
E l’articolo 22 del GDPR?
Se è vero che Open AI non è in grado di rettificare i dati sugli interessati, un’altra violazione si staglia all’orizzonte per ChatGPT: il divieto di essere sottoposti a processo decisionale automatizzato.
Merita riportare il testo dell’articolo 22 del GDPR, rubricato “Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione”.
“1. L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
2. Il paragrafo 1 non si applica nel caso in cui la decisione:
a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;
b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
c) si basi sul consenso esplicito dell’interessato.
3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato”.
Nel caso di ChatGPT si assiste ad un webscraping indiscriminato che determina l’impossibilità per gli interessati di prestare qualunque consenso sulla gestione dei propri dati.
L’impossibilità di evitare “allucinazioni”, poi, imporrebbe a maggior ragione una possibilità di rettifica, che tecnicamente risulta, a sua volta, impossibile.
In altri termini, dato che queste problematiche non sono tecnicamente risolvibili ad oggi, il LLM di ChatGPT potrebbe essere del tutto illegale nell’Unione europea.
Conclusioni
Sullo sfondo di questa vicenda si stagliano numerose questioni.
Prima su tutte l’assoluta assenza di scrupoli nell’impostazione del modello di ChatGPT, di certo pensato per fare business, ma non per essere GDPR compliant.
L’arretratezza dell’Unione europea in materia di AI suggerisce che, sul piano politico, si voglia spostare la guerra industriale dal mercato al piano della tutela dei diritti, dove OpenAI ha oggettivamente più torto che ragione, almeno nell’UE.
ChatGPT è stata immessa sul mercato senza mezze misure, mentre ora, con l’AI Act, sono previsti i sandboxes per testare i modelli senza ledere i diritti degli interessati.
In conclusione, chi pensava che il GDPRT avesse già detto tutto e che ora la palla fosse passata a DSA e AI Act, ha preso un solenne granchio: la normativa va letta complessivamente, ma il GDPR resta il fratello maggiore.
