ChatGPT, il modello di linguaggio AI all’avanguardia di OpenAI, torna di nuovo disponibile in Italia dopo aver recentemente riscontrato una sospensione temporanea a seguito di un’ordinanza restrittiva emessa dall’Autorità italiana per la protezione dei dati personali (DPA).
Citando la privacy, l’uso improprio dei dati e le preoccupazioni etiche, l’ordine ha acceso un dibattito sul fatto che la decisione sia radicata in questioni legali o guidata da programmi politici.
Il contenuto dell’ordinanza restrittiva nei confronti di ChatGPT
Nella tarda mattinata del 30 aprile 2023, il DPA italiano ha emesso inaspettatamente e senza preavviso un’ordinanza restrittiva nei confronti di ChatGPT. Mentre gli esperti di tutto il mondo avevano sollevato dubbi sulla gestione dei dati personali degli utenti da parte di ChatGPT, in particolare alla luce di una fuga di dati che avrebbe esposto i titoli della cronologia delle chat ad altri utenti, nessun’altra autorità per la protezione dei dati aveva preso provvedimenti per fermare il servizio basato sull’intelligenza artificiale. Ad oggi, l’Autorità italiana per la protezione dei dati rimane l’unica autorità ad averlo fatto.
L’ordinanza è stata emessa con una procedura d’urgenza speciale, come dettagliato nell’articolo 5, comma 8 del regolamento n. 1/2000 che disciplina il funzionamento del Garante. Tale regolamento prevede che nei casi di particolare urgenza, quando il Garante non può essere tempestivamente convocato, il presidente può adottare provvedimenti che cesseranno di avere efficacia se non ratificati dal Garante entro 30 giorni alla prima adunanza utile.
Nel tentativo di abbattere il legalese, l’ordine restrittivo del DPA italiano contro ChatGPT si basa principalmente sulle seguenti preoccupazioni:
- Mancanza di informazioni
Il Garante osserva che nessuna informazione viene fornita agli utenti o agli interessati i cui dati sono stati raccolti e trattati attraverso il servizio ChatGPT. Questa preoccupazione si riferisce all’articolo 13 del GDPR, che richiede che le persone ricevano determinate informazioni quando i loro dati personali vengono raccolti. Ciò include chi sta raccogliendo i dati e perché, con chi saranno condivisi, per quanto tempo saranno archiviati e quali diritti ha l’individuo in merito ai propri dati. Se i dati verranno utilizzati per uno scopo diverso da quello originariamente previsto, l’interessato deve essere informato e deve ricevere ulteriori informazioni.
Assenza di base giuridica
L’ordine sottolinea l’assenza di una base giuridica adeguata per raccogliere dati personali e utilizzarli per addestrare gli algoritmi alla base del funzionamento di ChatGPT. Ciò è particolarmente rilevante nel contesto del GDPR, che vieta il trattamento dei dati personali senza una base legale (articolo 6 del GDPR). In altre parole, deve esserci un motivo legittimo per la raccolta e il trattamento dei dati personali ai sensi della legge.
Elaborazione dei dati non corretta
Il DPA evidenzia che le informazioni fornite da ChatGPT non sempre corrispondono a dati reali, con conseguente trattamento inesatto dei dati personali. L’accuratezza dei dati è un principio chiave delineato nell’articolo 5 del GDPR, a cui le aziende sono tenute ad attenersi durante il trattamento dei dati personali. Ciò significa che le aziende sono responsabili di garantire che i dati personali che elaborano siano accurati, aggiornati e non fuorvianti.
Nessuna verifica dell’età
L’ordine sottolinea la mancanza della verifica dell’età per gli utenti di ChatGPT, che, secondo i termini di OpenAI, dovrebbe essere riservata a persone di età pari o superiore a 13 anni. Il DPA afferma che l’assenza di filtri per i minori di 13 anni li espone a risposte inadeguate, considerato il loro livello di sviluppo e consapevolezza di sé. Infatti, l’articolo 8 del GDPR afferma che quando si trattano dati personali di minori, le aziende devono compiere “sforzi ragionevoli” per verificare che il consenso sia stato dato da chi esercita la responsabilità genitoriale.
A seguito di tali preoccupazioni, il Garante ha disposto d’urgenza, ai sensi dell’art. 58, comma 2, lett. f) del GDPR, una limitazione temporanea al trattamento dei dati personali degli interessati stabiliti nel territorio italiano. Tale provvedimento è stato applicato con effetto immediato, con eventuali ulteriori determinazioni da effettuarsi all’esito dell’istruttoria in corso.
Inoltre entro il 15 maggio andrà promossa una campagna di informazione di natura non promozionale, su tutti i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) sulla raccolta dei dati personali ai fini dell’addestramento degli algoritmi, dell’avvenuta pubblicazione sul sito internet della società di un’apposita informativa di dettaglio e della messa a disposizione, sempre sul sito internet della società, di uno strumento attraverso il quale tutti gli interessati potranno chiedere e ottenere la cancellazione dei propri dati personali.
Gli effetti sugli utenti italiani
L’ordinanza restrittiva emessa dall’Autorità Garante ha sollevato alcune perplessità tra gli esperti e il pubblico. Un punto controverso è l’uso della procedura d’urgenza, che manca di una chiara spiegazione delle ragioni urgenti che giustificano questo approccio. Questa mancanza di motivazione mette in dubbio la decisione di agire così rapidamente.
Un’altra critica ruota attorno alle preoccupazioni del DPA sulla potenziale inesattezza dei dati forniti da ChatGPT. Questo potrebbe essere un fraintendimento della funzione primaria di modelli linguistici di grandi dimensioni come ChatGPT, che è generare testo in risposta a richieste specifiche, non fornire informazioni corrette.
Inoltre, OpenAI deve fornire strumenti agli interessati per esercitare il proprio diritto di opporsi al trattamento dei dati, richiedere la rettifica di dati personali trattati in modo inesatto o richiedere la cancellazione dei dati personali se la rettifica è tecnologicamente irrealizzabile. Il DPA italiano impone inoltre che OpenAI incorpori un collegamento all’avviso informativo per l’utente all’interno del flusso di registrazione, garantendo che gli utenti, compresi quelli in Italia, possano accedere all’avviso prima della registrazione e alla riattivazione del servizio.
Il DPA richiede inoltre a OpenAI di modificare la base giuridica per il trattamento dei dati personali degli utenti per la formazione algoritmica, eliminando i riferimenti ai contratti e facendo affidamento sul consenso o sull’interesse legittimo. OpenAI deve inoltre fornire strumenti sul proprio sito Web, specificamente per gli utenti italiani, per esercitare il proprio diritto di opporsi al trattamento dei propri dati per la formazione algoritmica quando la base giuridica è il legittimo interesse dell’azienda. Infine, il DPA prevede un limite di età per tutti gli utenti italiani, registrati e non, per filtrare i minorenni in base all’età inserita.
Molti esperti e commentatori hanno notato la complessità di queste richieste e la loro improbabile realizzazione a breve termine, mettendo in dubbio la ripresa dei servizi ChatGPT in Italia. Rimane incerto come OpenAI soddisferà i requisiti del DPA e se si possa raggiungere una risoluzione reciprocamente soddisfacente sia per l’organismo di regolamentazione che per gli utenti italiani.