Mentre il nostro Garante per la protezione dei dati personali detta le condizioni per (poter) sbloccare ChatGPT a OpenAI la quale ha tempo fino al 30 aprile per adempiere alle prescrizioni imposte dall’Autorità medesima circa l’informativa, i diritti degli interessati, la base giuridica per l’addestramento degli algoritmi con i dati degli utenti, nella giornata del 13 aprile 2023 a Bruxelles l’Edpb – European Data Protection Board, indice una riunione unendosi alla discussione, e istituisce una task force «per promuovere la cooperazione e lo scambio di informazioni su eventuali azioni di applicazione condotte alle Autorità di protezione dei dati», rafforzando la direzione intrapresa versus uno spazio unico digitale europeo. D’altra parte, il tema delle chat-bot amplificando i potenziali rischi della AI generativa è un problema sempre più cogente, peraltro a livello mondiale.
È notizia proprio di questi giorni, infatti, che mentre la frenesia di queste tematiche impazza, il governo degli Stati Uniti fa sapere, per il tramite del Dipartimento del Commercio, di aver iniziato i lavori volti a definire regole ben precise per gli strumenti di intelligenza artificiale. L’obiettivo è quello di creare misure di responsabilità per l’IA. Il capo della National Telecommunications and Information Administration (Ntia) Alan Davidson, in una conferenza stampa rilasciata all’Università di Pittsburgh ha affermato letteralmente che «l’Ntia sta cercando feedback dal pubblico, inclusi ricercatori, gruppi industriali e organizzazioni per la privacy e i diritti digitali sullo sviluppo di audit e valutazioni degli strumenti di intelligenza artificiale creati dall’industria privata».
Ecco che l’alzata di scudi dell’Autorità Garante italiana ha smosso gli animi. Anche il Canada apre un’indagine. Il motivo è sempre lo stesso e riguarda, lo ripetiamo, la data protection dal momento che i dati personali sono stati raccolti, utilizzati e comunicati senza consenso degli utenti cui si riferiscono. Ma non è solo oltre oceano tale preoccupazione, anche la Spagna è sensibile a questi temi e l’Agenzia per la protezione dei dati – Aepd fa sapere di avere avviato d’ufficio un’indagine preventiva nei confronti della nota società statunitense. Ma non è l’unica. Anche altre nazioni europee come la Germania, la Francia e l’Irlanda probabilmente seguiranno le orme tracciate dall’Italia. In particolare, il commissario federale tedesco per la protezione dei dati e la libertà di informazione comunica che qualora la volontà comune fosse quella di verificare se la tecnologia è in violazione del Gdpr, bloccherà all’istante ChatGPT. Stesso discorso parrebbe ventolarsi dalle Autorità francesi e irlandesi le quali stanno monitorando con attenzione la situazione e se del caso si accoderanno alla decisione italiana. In questo scenario, tuttavia, non mancano opinioni difformi come quelle provenienti dalla Svezia che invece non intende affatto vietare il software, o almeno per il momento.
Tornando in Italia, dopo l’incontro/contraddittorio che si è svolto tra Garante e il colosso statunitense disponibile a collaborare prontamente «al fine di rispettare la disciplina privacy europea e giungere a una soluzione condivisa in grado di risolvere i profili critici sollevati in merito al trattamento dei dati dei cittadini italiani», l’11 aprile scorso, è stato adottato un secondo provvedimento (doc. web n. 9874702), interessante sotto molti aspetti. Soffermiamoci su alcuni. In particolare, sulla «adozione di misure idonee a garantire una adeguata informativa sui dati trattati da Open AI e sulle modalità con le quali essi sono raccolti». È significativo come la richiesta di produrre un’informativa ampia e generale sia valevole anche per quei dati non necessariamente trattati. In pratica, il Garante si spinge verso un concetto di «informazione» sì conforme al Gdpr, ma che lì non si ferma nel senso che richiede a OpenAI di «informare» tutti, proprio tutti… quelli che sono connessi nella società digitale al fine di sensibilizzarli nel conoscere le caratteristiche di questi servizi e delle nuove tecnologie adoperate.
Non a caso, tra le prescrizioni vi è anche quella di «promuovere entro il 15 maggio 2023, una campagna di informazione, di natura non promozionale, su tutti i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) i cui contenuti andranno concordati con il Garante, allo scopo di informare le persone dell’avvenuta possibile raccolta dei loro dati personali ai fini dell’addestramento degli algoritmi, dell’avvenuta pubblicazione sul sito Internet della Società di una apposita informativa di dettaglio e della messa a disposizione, sempre sul sito internet della Società, di uno strumento attraverso il quale gli interessati possono chiedere e ottenere la cancellazione dei loro dati personali».
Se dunque queste saranno le orme seguite anche dallo Edpb – come la direzione intrapresa parrebbe – potremo concludere che il nostro Garante ha fatto non solo da apripista ma anche da capofila facendo vieppiù scuola anche nel chiedere e pretendere, nel pieno rispetto del Gdpr, che tutti siano correttamente informati sull’evoluzione della tecnologia dell’AI e dei suoi effetti. Insomma, roba da visionari.
Chiara PONTI, IT Legal e nuove tecnologie