OpenAI, impegnata nella ricerca sull’intelligenza artificiale, ha promosso e sviluppato quello che molti quotidiani indicano come uno dei servizi più utilizzati nella storia dei servizi tecnologici: ChatGPT, che permette il dialogo degli utenti con l’intelligenza artificiale generando contenuti.

Una tecnologia con un picco di crescita così elevato induce curiosità ma sollecita anche molte perplessità, alla luce delle quali, il Garante della Protezione dei Dati Personali, il 30 marzo 2023, ha emanato un provvedimento sul quale esperti tecnici, informatici, sviluppatori, giuristi e filosofi tuttora dibattono.

Nello specifico, lo scorso 20 marzo, ChatGPT, ha subìto una perdita di dati (data breach) riguardanti le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati al servizio premium.

Alla luce della violazione dei dati personali, si aprono le prime indagini che evidenziano il mancato rispetto di alcuni tra i principi cardine del GDPR quali la trasparenza, la liceità del trattamento, l’esattezza dei dati nonché la tutela dei minori; pertanto, sulla base dell’art. 58, par 2., lett. f) del regolamento, il Garante, in via d’urgenza e in attesa del completamento della necessaria istruttoria, predispone la limitazione provvisoria del trattamento: “Si sospende il trattamento impedendo l’accesso a soggetti con indirizzi IP provenienti dall’Italia”.

Al suddetto provvedimento segue un comunicato del Garante datato al 31 marzo 2023 “Stop a ChatGPT finché non rispetterà la disciplina privacy”, che invita OpenAI, per mezzo del rappresentate designato nello Spazio economico europeo, a comunicare entro 20 giorni le misure intraprese in attuazione di quanto richiesto dal Garante, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.

Nel corso dell’istruttoria, visto l’atteggiamento collaborativo di OpenAI, l’autorità Garante pur non volendo porre un freno allo sviluppo dell’AI, rivaluta la sussistenza dei presupposti del provvedimento di limitazione provvisoria, a condizione però che l’organizzazione, provveda ad attuare concretamente una serie di misure tra cui:

• Predisporre e pubblicare sul sito un’informativa per gli interessati;
• Mettere a disposizione degli interessati, che si collegano dall’Italia, uno strumento attraverso il quale possano esercitare il diritto di opposizione al trattamento;
• Mettere a disposizione uno strumento che consenta agli utenti di chiedere ed ottenere la correzione di eventuali dati personali che li riguardano, trattati in maniera inesatta nella generazione dei contenuti, o se questo risulti impossibile, la cancellazione dei propri dati;
• Inserire il link all’informativa nel flusso di registrazione, in una posizione che ne consenta la lettura prima di procedere alla registrazione, attraverso modalità tali da consentire a tutti gli utenti che si collegano dall’Italia, ivi inclusi quelli già registrati, al primo accesso successivo all’eventuale riattivazione del servizio, di prendere visione di tale informativa;
• Modificare la base giuridica del trattamento, eliminando ogni riferimento al contratto e assumendo come base o il consenso o il legittimo interesse;
• Adottare degli strumenti di valutazione dell’età, che escludano l’accesso al servizio agli utenti infratredicenni e a quelli minorenni in assenza di un’espressa manifestazione di volontà da parte di chi ne esercita la responsabilità genitoriale;
• Promuovere entro il 15 maggio 2023, una campagna di informazione, di natura non promozionale, su tutti i principali mezzi di comunicazione, su quelle che sono le misure implementate.

Le criticità evidenziate dal provvedimento dell’Autorità Garante Italiana sono concrete e vi è una necessità condivisa tra le varie Autorità Europee e/o Transnazionali di individuare dei presidi e delle misure, che possano assicurare la tutela dei diritti e delle libertà degli interessati e dei soggetti più vulnerabili.

La complessità dell’analisi di ChatGPT è data dall’incontro di due mondi che finora hanno corso su binari paralleli: quello dei big data, sul cui tema da anni vi sono riflessioni sulla base giuridica idonea allo scraping (raccolta massiva dei dati sul web), e quello della trasparenza dell’algoritmo.

Partendo dall’assunto secondo il quale i dati dell’utente gli appartengono e dovrebbero sempre restare nel suo controllo, un sistema di AI trasparente, non solo dovrebbe indurre consapevolezza sul Chi, Perché e Come tratta i propri dati personali, ma consentirne altresì una gestione individuale e consapevole.

Il controllo dei propri dati dovrebbe essere possibile anche attraverso l’esercizio degli opportuni diritti sugli stessi, come ad esempio, nel caso di specie, attraverso il diritto di rettifica, per non incorrere in quella che Stefano Rodotà definì come “la falsa luce che si può dare di una persona, per cui si colpiscono i suoi diritti e libertà nella società dell’informazione, rappresentandola come nella realtà non è”.

Non di minore importanza, la tutela dei minori che, in assenza di appositi filtri potrebbero essere esposti a risposte assolutamente non idonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi.

Ci si augura che la creazione di una task force europea consenta di affrontare il tema in modo congiunto, al fine di individuare delle modalità di risposta concrete attraverso l’implementazione di misure tecniche ed organizzative, che possano consentire agli operatori economici europei di avvalersi di uno strumento altamente innovativo senza dover pregiudicare i diritti e gli interessi delle persone fisiche.

Articolo a cura del Team Governance, Risk and Compliance
Consulthink S.p.A.
info@consulthink.it