La notizia del blocco, solo in Italia, decretato dal nostro Garante Privacy, di ChatGPT ha fatto il giro del mondo in poche ore andando su tutti i blog, giornali e Tg sollevando svariate reazioni.
Ricordiamo che ChatGPT è un modello di chatbot (software che simula ed elabora le conversazioni umane scritte o parlate) basato su intelligenza artificiale e automatico apprendimento che si ciba di grandi quantità di dati.
Il 20 marzo l’asserita pubblicazione di dati particolari/sensibili degli utenti a causa di un bug contenuto in una libreria open source usata da OpenAI per il servizio di ChatGPT. Così la presunta violazione dei dati (cd data breach). Quindi il provvedimento del 31 marzo a firma del nostro Garante Privacy. Entriamo nel merito della decisione d’urgenza. L’Autorità ha sollevato, in sintesi, tre contestazioni secondo cui ChatGPT: 1) raccoglie dati personali senza specificarne correttamente le finalità, in totale assenza di una idonea base giuridica che legittimi il trattamento; 2) darebbe informazioni/dati riferibili anche a persone non sempre corretti, costituendo un presunto trattamento non corretto e quindi in danno della privacy in termini di integrità del dato stesso; 3) danneggia i minori.
La prima contestazione si traduce nella carenza di una (preventiva) informativa adeguata ex art 14 GDPR; e qui le prime obiezioni dei tecnici: se il problema è lo scraping di pagine web, che informativa preventiva la società statunitense avrebbe dovuto dare? Non certo poteva mandare una e-mail ad ogni sito web. Per contro, tale mancanza letta in chiave giuridica, significa non permettere agli utenti/interessati di far valere i propri diritti, senza poter tutelare di conseguenza identità e relazioni, sempre più basate sui dati. Non solo, il Garante ravvisa anche una totale assenza della base giuridica a giustificazione della raccolta e la conservazione massiccia di dati personali, allo scopo di «addestrare» gli algoritmi sottesi al funzionamento del software. In pratica, considera l’addestramento algoritmico un’attività di trattamento necessitante, in quanto tale, di un fondamento giuridico che lo legittimi, come ad esempio attraverso il consenso degli interessati. Su questo punto vivace è il dibattito tra i giuristi e i tecnologi, due visioni apparentemente parallele e distinte, ma che invece si intersecano e sono collegate tra loro.
La seconda contestazione mossa dal Garante riguarda «le informazioni fornite da ChatGPT non sempre corrispondono al dato reale, determinando quindi un trattamento di dati personali inesatto»; il che apre a svariate considerazioni. Intanto, il dato reale non significa falso, semmai inesatto. In secondo luogo, l’inesattezza incide sull’integrità e quindi causa di violazione (data breach). L’obiezione dei tecnologi a proposito risiede nella difficoltà di associare un errore del software a un trattamento illegittimo del dato.
La terza contestazione attiene invece al fatto che nel sistema ChatGPT manca la previsione di «qualsivoglia verifica dell’età degli utenti dei servizi forniti da ChatGPT» malgrado che i termini di uso del servizio specifichino che esso sia «…riservato a soggetti che abbiano compiuto almeno 13 anni».
Da qui, lo stop categorico del Garante bloccando temporaneamente i trattamenti dei dati personali degli utenti interessati italiani fino a che OpenAI non fornirà (entro 20 giorni) i chiarimenti richiesti. Intanto, dal canto suo la società statunitense fa sapere con un comunicato di provvedere «ad emettere rimborsi a tutti gli utenti in Italia che hanno acquistato un abbonamento ChatGPT Plus a marzo […] sospendendo temporaneamente i rinnovi degli abbonamenti in Italia in modo che gli utenti non vengano addebitati mentre ChatGPT è sospeso».
Questi i fatti e le argomentazioni adoperate dalla nostra Autorità che mossa dall’urgenza ha agito in solitudine senza confrontarsi con l’EDPB, ferma restando l’assoluta necessità di attivare, a breve, l’opportuno coordinamento tra Garanti privacy Ue.
Ora si tratta di attendere le controdeduzioni di OpenAI nel merito per quanto, a prescindere da questo caso di specie, preoccupi una società digitale, sempre più caratterizzata da una repentina evoluzione di sistemi di Intelligenza Artificiale, nella quale se da un lato risulta difficile far valere i propri diritti, dall’altro sembra mancare da parte degli utenti una consapevolezza di fondo che responsabilizzi ciascuno nell’utilizzo di questi strumenti così evoluti. E se a preoccupare, come afferma il noto filosofo Floridi, «…è la manipolazione… che così diventa molto più facile», la decisione presa d’urgenza dal nostro Garante dimostra come oggi in qualunque macchina si possa staccare la spina, per opera dell’uomo. Certo la preoccupazione è che a tendere si arrivi a una «indistinguibilità» rispetto all’uomo, ponendo sì a serio rischio la sicurezza e non solo in termini cibernetici.
Tanto rumore per nulla o tanto lavoro da fare? Più la seconda, chiedendo tanto al tecnologo quanto al giurista di operare e collaborare per rafforzare la fiducia degli utenti/interessati nella società digitale; con a monte un legislatore chiamato a adeguare l’attuale impianto normativo alle nuove esigenze, tipiche di un cambio di paradigma già in atto.
Chiara PONTI, IT Legal e nuove tecnologie
Quali sono le obiezioni sollevate da Privacy Assurance riguardo a ChatGPT, inclusa la raccolta di dati personali, informazioni inesatte e nessuna verifica dell’età dell’utente?
Quali sono le reazioni e le azioni di OpenAI rispetto al blocco di ChatGPT in Italia?
Perché Privacy Assurance agisce da sola nel bloccare il trattamento dei dati degli utenti italiani e quanto è importante il coordinamento con il Comitato europeo per la protezione dei dati (EDPB)?
In che modo la collaborazione tra tecnologi ed esperti legali può rafforzare la fiducia degli utenti in una società digitale?
Cosa devono fare i legislatori per adeguare il sistema normativo alle nuove esigenze legate al cambio di paradigma nell’uso dell’intelligenza artificiale?