ChatGPT Vs. Garante Privacy

di Michele Di Salvo

Il Garante per la Privacy ha notificato ad OpenAI (la società proprietaria di ChatGPT) contestazioni per violazione della privacy per informativa inesistente, assenza di base giuridica per la raccolta e il trattamento di dati personali a scopo di addestramento degli algoritmi, mancanza di verifica dell’età degli utenti.

ChatGPT, il più noto tra i software di intelligenza artificiale relazionale, ha rapidamente acquisito milioni di utenti, portando alla ribalta le potenzialità dell’Intelligenza artificiale.

A seguito della diffusione di questo prodotto, le Autorità garanti europee hanno messo sotto la lente di ingrandimento i numerosi trattamenti di dati personali effettuati da ChatGPT ed il Garante italiano, primo fra tutti, il 30 marzo 2023, ha imposto una limitazione al trattamento, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento europeo 679/2016, motivi che hanno imposto la limitazione al trattamento nei confronti degli utenti italiani, e per qualche tempo l’interruzione del servizio.

Un primo dato immediatamente rilevato è stato come, in pochi giorni, tantissimi soggetti (creatori di contenuti, agenzie web, professionisti programmatori) – che affermavano di operare con “risorse umane” – hanno subito un vero e proprio blackout.

Da una verifica effettuata sul funzionamento della piattaforma, il Garante aveva constatato che non veniva fornita alcuna informativa agli utenti, né agli interessati i cui dati sono stati raccolti da OpenAI, L.L.C. e trattati tramite il servizio di ChatGPT evidenziando anche l’assenza di idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT.

Oltre a ciò, aveva potuto verificare che il trattamento di dati personali degli interessati risultava inesatto e che è assente qualsiasi verifica dell’età degli utenti.

L’assenza di filtri per i minori di età di 13 anni espone gli stessi a risposte assolutamente inidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi, ragion per cui disponeva ai sensi dell’art. 58, par. 2, lett. f), del Regolamento – in via d’urgenza la misura della limitazione provvisoria del trattamento (di fatto interrompendo il servizio) ritenendo sussistente violazione degli artt. 5, 6, 8, 13 e 25 del Regolamento.

In assenza di qualsivoglia meccanismo di verifica detta limitazione provvisoria è stata estesa a tutti i dati personali degli interessati stabiliti nel territorio italiano.

A seguito dell’incontro tra i vertici di OpenAI e il Collegio del Garante, svoltosi in videoconferenza, all’indomani della notifica del provvedimento, pur ribadendo di essere convinta di rispettare le norme in tema di protezione dei dati personali, l’Azienda statunitense aveva confermato la volontà di collaborare con l’Autorità italiana con l’obiettivo di arrivare ad una positiva soluzione delle criticità rilevate dal Garante riguardo a ChatGpt.

Con un articolo del 5 aprile scorso apparso sul proprio sito web la società americana ribadiva l’impegno a mantenere l’intelligenza artificiale sicura e vantaggiosa.

“I nostri utenti in tutto il mondo ci hanno detto che ChatGPT aiuta ad aumentare la loro produttività, migliorare la loro creatività e offrire esperienze di apprendimento su misura. L’Azienda riconosce anche che, come qualsiasi tecnologia, questi strumenti comportano rischi reali, quindi lavora per garantire che la sicurezza sia integrata nel sistema a tutti i livelli. Ad esempio, dopo che il nostro ultimo modello, GPT-4, ha terminato la formazione, abbiamo trascorso più di 6 mesi a lavorare in tutta l’organizzazione per renderlo più sicuro e più allineato prima di rilasciarlo pubblicamente.

“Ci impegniamo attivamente con i governi sulla forma migliore che tale regolamentazione potrebbe assumere. Lavoriamo duramente per prevenire i rischi prevedibili prima della distribuzione, tuttavia, c’è un limite a ciò che possiamo imparare in un laboratorio. Nonostante ricerche e test approfonditi, non possiamo prevedere tutti i modi vantaggiosi in cui le persone utilizzeranno la nostra tecnologia, né tutti i modi in cui ne abuseranno. Ecco perché crediamo che l’apprendimento dall’uso nel mondo reale sia una componente fondamentale per la creazione e il rilascio di sistemi di intelligenza artificiale sempre più sicuri nel tempo”.

“Uno degli obiettivi fondamentali dei nostri sforzi per la sicurezza è la protezione dei bambini. Richiediamo che le persone abbiano almeno 18 anni o almeno 13 anni con l’approvazione dei genitori per utilizzare i nostri strumenti di intelligenza artificiale e stanno esaminando le opzioni di verifica. Non permettiamo che la nostra tecnologia venga utilizzata per generare contenuti che incitano all’odio, molestie, violenti o per adulti, tra le altre categorie. Il nostro ultimo modello, GPT-4, ha l’82% in meno di probabilità di rispondere alle richieste di contenuti non consentiti rispetto a GPT-3.5 e abbiamo istituito un solido sistema per monitorare gli abusi. Abbiamo compiuto sforzi significativi per ridurre al minimo il potenziale per i nostri modelli di generare contenuti che danneggiano i bambini. Ad esempio, quando gli utenti tentano di caricare materiale pedopornografico nei nostri strumenti di immagini, lo blocchiamo e lo segnaliamo al National Center for Missing and Exploited Children”.

Per quanto concerne il rispetto della privacy, in particolare, OpenAI rendeva noto di non aver utilizzato i dati per vendere servizi, pubblicità o creare profili di utenti, ma per rendere il sistema più utile per le persone, di aver preso accorgimenti tecnici per rimuovere le informazioni personali dal set di dati di addestramento, per perfezionare i modelli allo scopo di rifiutare le richieste di informazioni personali dei privati e rispondere efficacemente alle richieste degli individui di eliminare le loro informazioni personali dai nostri sistemi.

Sin qui è la risposta standard delle imprese fedeli al cyber-utopismo: “lo facciamo per voi, per migliorare la vostra vita… dateci i dati perché ci servono per migliorare un servizio che è essenziale al miglioramento delle vostre vite”.

Dimentica OpenAI che il suo servizio è a pagamento, che addestrare le macchine IA costa, e servono dati: è come se noi regalassimo la benzina (i nostri dati) per camminare la macchina (di loro proprietà) che poi ci noleggiano (a pagamento).

Forse dare una corretta metafora aiuta a comprendere meglio un discorso che appare decisamente opaco, o quanto meno poco chiaro.

Conseguenza delle interlocuzioni di cui sopra è la notifica del 29 gennaio dell’atto di contestazione per aver violato la normativa in materia di protezione dei dati personali che pur non essendo un atto pubblico, conterrà le argomentazioni già in parte risolte all’esito della riapertura di ChatGPT per gli utenti italiani.

Le controdeduzioni della compagnia statunitense dovranno pervenire all’Autorità indipendente entro 30 gg. Nella definizione del procedimento il Garante terrà conto dei lavori in corso nell’ambito della speciale task force, istituita dal Board che riunisce le Autorità di protezione dati dell’Ue (Edpb) e che avrà il compito di promuovere la cooperazione e scambiare informazioni sulle possibili azioni di controllo condotte dalle autorità di protezione dei dati europee.