Negli ultimi giorni si sta discutendo molto sul rispetto della disciplina del trattamento dei dati personali nell’uso di programmi che utilizzano l’intelligenza artificiale.
In particolare è stata portata all’attenzione dell’Autorità Garante della protezione dei dati personali la piattaforma ChatGPT, un chatbot in grado di rispondere alle domande degli utenti e conversare con loro, sviluppata e gestita dalla società statunitense OpenAI L.L.C.
A seguito di un episodio di perdita di dati avvenuto il 20 marzo scorso (data breach) riguardanti le conversazioni degli utenti e le informazioni relative ai pagamenti degli abbonati, l’Autorità italiana garante per la protezione dei dati personali ha disposto con effetto immediato nei confronti di OpenAI la limitazione provvisoria del trattamento dei dati degli utenti italiani ed ha contestualmente aperto un’istruttoria.
Vediamo in dettaglio cos’è ChatGPT e perché il Garante ritiene che non rispetti la normativa italiana ed europea sul trattamento dei dati personali.
Cos’è e come funziona ChatGPT
ChatGPT, acronimo di Generative Pretrained Transformer, è un chatbot addestrato per interagire con gli umani e conversare con loro.
Si tratta di una piattaforma appartenente alla c.d. intelligenza artificiale generativa, di cui fanno parte tutti quegli strumenti in grado di creare testi, immagini, video o codici per la realizzazione di un software.
Il chatbot è una grande rete neurale addestrata a prevedere la parola successiva, per cui quando viene fornito un input o un prompt (vale a dire delle istruzioni o richieste) ChatGPT analizza il testo e utilizza le informazioni apprese dal database per generare un testo di qualità umana in modo automatico. La piattaforma presenta un formato di dialogo che gli consente di rispondere a domande di follow-up, ammettere i propri errori, contestare premesse errate e rifiutare richieste inappropriate, agendo nel campo della creatività, che caratterizza in modo esclusivo gli esseri umani.
La posizione del Garante
A seguito di un episodio di data breach, l’Autorità garante del trattamento dei dati personali ha rilevato che ChatGPT non rispetta la normativa italiana ed europea sul trattamento dei dati personali per varie ragioni (provvedimento n. 112 del 30 marzo 2023 [doc. web n. 9870832]).
La non conformità di ChaGPT alla normativa italiana ed europea sul trattamento dei dati personali è dovuta alle seguenti circostanze:
- la mancanza dell’informativa agli utenti e agli interessati i cui dati sono stati raccolti da OpenAI e trattati tramite il servizio di ChatGPT;
- l’assenza di idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT;
- l’inesattezza del trattamento di dati personali degli interessati in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale;
- l’omessa verifica dell’età degli utenti in relazione al servizio ChatGPT che, secondo i termini pubblicati da OpenAI L.L.C., è riservato a soggetti che abbiano compiuto almeno 13 anni;
- l’assenza di filtri per i minori di età di 13 anni, che espone gli stessi a risposte assolutamente inidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi.
Tutto ciò comporta, a parere del Garante, che il trattamento dei dati personali, degli utenti (compresi i minori) e degli interessati, utilizzati dal servizio, è posto in violazione degli artt.5,6,8,13, 25 GDPR, laddove:
- l’art.5 stabilisce i principi applicabili al trattamento dei dati personali («liceità, correttezza e trasparenza», «limitazione della finalità», «esattezza», «limitazione della conservazione», «integrità e riservatezza», «responsabilizzazione»;
- l’art.6 prevede le condizioni di liceità del trattamento;
- l’art.8 precisa le “condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione”;
- l’art.13 indica quali sono le “informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”;
- l’art.25 disciplina la “protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita”.
Di conseguenza il Garante ha ritenuto necessario disporre in via d’urgenza la misura della limitazione provvisoria del trattamento dei dati personali ai sensi dell’art. 58, par. 2, lett. f) GDPR, nei confronti di OpenAI L.L.C., in qualità di titolare del trattamento dei dati personali effettuato attraverso applicazione ChatGPT.
Considerata l’assenza di qualsivoglia meccanismo di verifica dell’età degli utenti, la limitazione è stata disposta con effetto immediato in relazione a tutti i dati personali degli interessati stabiliti nel territorio italiano,
Nel contempo il Garante ha avviato un’istruttoria sul caso invitando il titolare del trattamento a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto.
Accesso a ChatGPT disabilitato per gli utenti in Italia
All’indomani del provvedimento del Garante la società OpenAI ha dimostrato il proprio impegno a proteggere la privacy delle persone in conformità con il GDPR e con le altre leggi sulla privacy, provvedendo a disabilitare l’accesso a ChatGPT per gli utenti in Italia a partire dall’1 aprile 2023; ad emettere un rimborso per tutti gli utenti in Italia che hanno acquistato un abbonamento a ChatGPT Plus nel mese di marzo 2023; ed a sospendere temporaneamente i rinnovi degli abbonamenti in Italia.
L’incontro tra OpenAI e l’Autorità Garante della privacy
La disponibilità immediata da parte di OpenAI a collaborare con il Garante italiano per la protezione dei dati personali al fine di rispettare la disciplina privacy europea, si è tradotta, altresì, in un incontro in videoconferenza tra i rappresentanti della suddetta società e il Garante.
Nel corso di questo incontro svoltosi il 5 aprile u.s., vi è stato un chiaro tentativo di mediazione delle posizioni contrapposte:
- da un lato l’Autorità Garante ha escluso di voler ostacolare lo sviluppo dell’AI e dell’innovazione tecnologica pur ribadendo la necessità del rispetto delle norme poste a tutela dei dati personali dei cittadini italiani ed europei;
- dall’altro OpenAI, pur restando ferma nella convinzione di non aver violato la normativa sul trattamento dei dati personali, si è resa disponibile ad una collaborazione con l’Autorità italiana con l’obiettivo di arrivare ad una positiva soluzione delle criticità rilevate dal Garante riguardo a ChatGPT e si è impegnata a rafforzare la trasparenza nell’uso dei dati personali degli interessati, i meccanismi esistenti per l’esercizio dei diritti e le garanzie per i minori, nonché ad inviare al Garante un documento che indichi le misure che rispondano alle richieste dell’Autorità.
Non ci resta, quindi, che attendere l’invio di tale documento e la relativa disamina da parte del Garante.
Fonti
- https://www.garanteprivacy.it/
- https://openai.com/blog/chatgpt
- https://chat.openai.com/
