Articolo pubblicato su altalex
Nuovo capitolo nella querelle tra il Garante privacy ed OpenAI, la società proprietaria di ChatGPT, il più noto tra i software di intelligenza artificiale relazionale: notificato l’atto di contestazione per le violazioni alla normativa in materia di protezione dei dati personali.
Il 2023 sarà ricordato (anche) per essere stato l’anno di ChatGPT, che ha rapidamente acquisito milioni di utenti, portando alla ribalta le potenzialità dell’Intelligenza artificiale, grazie alle infinite possibilità che ha saputo offrire con un grado di accuratezza impensabili fino a qualche anno fa.
A seguito della diffusione di questo prodotto, le Autorità garanti europee hanno comprensibilmente messo sotto la lente di ingrandimento i numerosi trattamenti di dati personali effettuati da ChatGPT ed il Garante italiano, primo fra tutti, lo scorso 30 marzo, ha imposto una limitazione al trattamento, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento europeo 679/2016.
I motivi che hanno imposto al Garante privacy la limitazione al trattamento nei confronti degli utenti italiani
Da una verifica effettuata sul funzionamento della piattaforma, l’Autorità garante aveva constatato che non veniva fornita alcuna informativa agli utenti, né agli interessati i cui dati sono stati raccolti da OpenAI, L.L.C. e trattati tramite il servizio di ChatGPT evidenziando anche l’assenza di idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT.
Oltre a ciò, aveva potuto verificare che il trattamento di dati personali degli interessati risultava inesatto in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale e che è assente qualsivoglia verifica dell’età degli utenti in relazione al servizio ChatGPT che, secondo i termini pubblicati da OpenAI L.L.C., è riservato a soggetti che abbiano compiuto almeno 13 anni.
L’assenza di filtri per i minori di età di 13 anni espone gli stessi a risposte assolutamente inidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi, ragion per cui disponeva ai sensi dell’art. 58, par. 2, lett. f), del Regolamento – in via d’urgenza e nelle more del completamento della necessaria istruttoria rispetto a quanto sin qui emerso nei confronti di OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, la misura della limitazione provvisoria del trattamento, ritenendo sussistente violazione degli artt. 5, 6, 8, 13 e 25 del Regolamento con riferimento al trattamento dei dati personali degli utenti, compresi i minori, e degli interessati i cui dati sono utilizzati dal servizio.
In assenza di qualsivoglia meccanismo di verifica dell’età degli utenti, nonché, comunque, del complesso delle violazioni rilevate, detta limitazione provvisoria è stata estesa a tutti i dati personali degli interessati stabiliti nel territorio italiano.
L’incontro tra i vertici di OpenAi e il Garante privacy
A seguito dell’incontro tra i vertici di OpenAI e il Collegio del Garante, svoltosi in videoconferenza, all’indomani della notifica del provvedimento di cui sopra, pur ribadendo di essere convinta di rispettare le norme in tema di protezione dei dati personali, l’Azienda statunitense aveva tuttavia confermato la volontà di collaborare con l’Autorità italiana con l’obiettivo di arrivare ad una positiva soluzione delle criticità rilevate dal Garante riguardo a ChatGpt. OpenAI si è di conseguenza impegnata a rafforzare la trasparenza nell’uso dei dati personali degli interessati, i meccanismi esistenti per l’esercizio dei diritti e le garanzie per i minori e ad inviare al Garante un documento che indichi le misure che rispondano alle richieste dell’Autorità. Il Garante si riservava di valutare le misure proposte dalla società, anche riguardo al provvedimento adottato nei confronti di OpenAI.
Con un articolo del 5 aprile scorso apparso sul sito web della società americana, da parte sua, ribadiva l’impegno a mantenere l’intelligenza artificiale sicura e vantaggiosa.
“I nostri utenti in tutto il mondo ci hanno detto che ChatGPT aiuta ad aumentare la loro produttività, migliorare la loro creatività e offrire esperienze di apprendimento su misura. L’Azienda riconosce anche che, come qualsiasi tecnologia, questi strumenti comportano rischi reali, quindi lavora per garantire che la sicurezza sia integrata nel sistema a tutti i livelli. Ad esempio, dopo che il nostro ultimo modello, GPT-4, ha terminato la formazione, abbiamo trascorso più di 6 mesi a lavorare in tutta l’organizzazione per renderlo più sicuro e più allineato prima di rilasciarlo pubblicamente.
“Ci impegniamo attivamente con i governi sulla forma migliore che tale regolamentazione potrebbe assumere. Lavoriamo duramente per prevenire i rischi prevedibili prima della distribuzione, tuttavia, c’è un limite a ciò che possiamo imparare in un laboratorio. Nonostante ricerche e test approfonditi, non possiamo prevedere tutti i modi vantaggiosi in cui le persone utilizzeranno la nostra tecnologia, né tutti i modi in cui ne abuseranno. Ecco perché crediamo che l’apprendimento dall’uso nel mondo reale sia una componente fondamentale per la creazione e il rilascio di sistemi di intelligenza artificiale sempre più sicuri nel tempo”.
“Uno degli obiettivi fondamentali dei nostri sforzi per la sicurezza è la protezione dei bambini. Richiediamo che le persone abbiano almeno 18 anni o almeno 13 anni con l’approvazione dei genitori per utilizzare i nostri strumenti di intelligenza artificiale e stanno esaminando le opzioni di verifica. Non permettiamo che la nostra tecnologia venga utilizzata per generare contenuti che incitano all’odio, molestie, violenti o per adulti, tra le altre categorie. Il nostro ultimo modello, GPT-4, ha l’82% in meno di probabilità di rispondere alle richieste di contenuti non consentiti rispetto a GPT-3.5 e abbiamo istituito un solido sistema per monitorare gli abusi. Abbiamo compiuto sforzi significativi per ridurre al minimo il potenziale per i nostri modelli di generare contenuti che danneggiano i bambini. Ad esempio, quando gli utenti tentano di caricare materiale pedopornografico nei nostri strumenti di immagini, lo blocchiamo e lo segnaliamo al National Center for Missing and Exploited Children”.
Per quanto concerne il rispetto della privacy, in particolare, OpenAI rendeva noto di non aver utilizzato i dati per vendere servizi, pubblicità o creare profili di utenti, ma per rendere il sistema più utile per le persone, di aver preso accorgimenti tecnici per rimuovere le informazioni personali dal set di dati di addestramento, per perfezionare i modelli allo scopo di rifiutare le richieste di informazioni personali dei privati e rispondere efficacemente alle richieste degli individui di eliminare le loro informazioni personali dai nostri sistemi.
Notifica dell’atto di contestazione
Conseguenza delle interlocuzioni di cui sopra è la notifica del 29 gennaio dell’atto di contestazione per aver violato la normativa in materia di protezione dei dati personali che pur non essendo un atto pubblico, verosimilmente conterrà le argomentazioni già in parte risolte all’esito della riapertura di ChatGPT per gli utenti italiani.
Non resta che attendere le controdeduzioni della compagnia statunitense che dovranno pervenire all’Autorità indipendente entro 30 gg. Nella definizione del procedimento il Garante terrà conto dei lavori in corso nell’ambito della speciale task force, istituita dal Board che riunisce le Autorità di protezione dati dell’Ue (Edpb) e che avrà il compito di promuovere la cooperazione e scambiare informazioni sulle possibili azioni di controllo condotte dalle autorità di protezione dei dati europee.