Il Garante per la protezione dei dati personali ha recentemente emesso un provvedimento che rappresenta una pietra miliare nella regolamentazione dell’intelligenza artificiale in Europa: OpenAI, sviluppatrice di ChatGPT, è stata sanzionata per 15 milioni di euro e obbligata a realizzare una campagna informativa di sei mesi rivolta agli italiani. Questo intervento mira a sensibilizzare il pubblico sui propri diritti in relazione a ChatGPT e, più in generale, all’utilizzo dei dati personali nell’AI.
Questo provvedimento, che conferma le violazioni precedentemente contestate alla società californiana, è il risultato di un’istruttoria iniziata nel marzo 2023, dopo che l’EDPB (Comitato europeo per la protezione dei dati) ha pubblicato un parere che identifica un approccio comune su questioni significative relative al trattamento dei dati personali nel contesto di servizi basati sull’intelligenza artificiale.
Le violazioni privacy di ChatGPT
Il Garante ha individuato diverse violazioni significative nella gestione dei dati personali da parte di OpenAI. Tra queste emergono:
Mancanza di trasparenza nei trattamenti dei dati
Una delle criticità principali riguarda l’assenza di un’informativa adeguata per gli utenti e, soprattutto, per i non utenti. In particolare, i dati raccolti attraverso lo scraping online per addestrare gli algoritmi non sono stati oggetto di comunicazioni preliminari. Questa omissione compromette il diritto fondamentale degli individui a essere informati sull’uso dei propri dati.
Anche per gli utenti registrati, l’informativa fornita è risultata carente e di difficile accesso, spesso nascosta in interfacce poco intuitive. Ciò ostacola una comprensione consapevole dell’utilizzo dei dati personali.
Violazione dei principi di privacy by design e by default
La progettazione di ChatGPT non ha rispettato i principi di privacy by design e by default previsti dal GDPR. Questi principi richiedono che la protezione dei dati sia incorporata fin dalla fase di sviluppo del servizio, con misure tecniche e organizzative che limitino il trattamento dei dati al minimo indispensabile.
La mancanza di queste salvaguardie risulta particolarmente grave per un sistema che elabora enormi quantità di dati personali, con possibili implicazioni per la dignità e l’identità degli individui.
Omessa identificazione di una base giuridica
OpenAI non ha inizialmente identificato una base giuridica chiara per il trattamento dei dati personali, pratica avviata già nel 2018. La legittimità di utilizzare il legittimo interesse come base giuridica è tuttora oggetto di esame da parte dell’Autorità Garante irlandese, competente per OpenAI in quanto ha sede a Dublino.
Sanzioni e misure correttive
La sanzione pecuniaria di 15 milioni di euro rappresenta un segnale forte sull’importanza di rispettare i diritti alla protezione dei dati personali. Tuttavia, l’obbligo di realizzare una campagna informativa su scala nazionale è forse la misura più significativa. Per sei mesi, OpenAI dovrà spiegare agli italiani il funzionamento di ChatGPT, le implicazioni per la privacy e i diritti esercitabili dagli interessati.
Implicazioni e prospettive future
Il provvedimento del Garante italiano rappresenta solo l’inizio di un percorso più ampio. Come sottolineato dall’Autorità, ora la questione passa all’Europa, che dovrà verificare se le violazioni persistono e definire un approccio coordinato. L’Autorità irlandese, in particolare, avrà un ruolo centrale, ma è evidente che il dibattito coinvolgerà l’intera Unione Europea.
Secondo Oreste Pollicino, professore ordinario di Diritto Costituzionale e Diritto dei Media, “Il provvedimento del Garante privacy fa da aprifila” e dimostra che anche singoli Paesi possono agire per difendere la privacy dei propri cittadini. Inoltre, il caso ChatGPT evidenzia che il principio dello “one stop shop” non deve essere un modo per eludere la tutela dei diritti fondamentali.
Il video di Guido Scorza, Componente del Collegio del Garante per la protezione dei dati personali
Conclusione
L’intervento del Garante italiano segna un punto di svolta per la regolamentazione dell’intelligenza artificiale in Europa. Mentre le aziende tecnologiche continuano a spingere i confini dell’innovazione, il rispetto dei diritti fondamentali degli individui deve rimanere una priorità. Questo caso rappresenta un monito per le imprese del settore e un passo avanti verso un futuro in cui tecnologia e diritti umani possano coesistere in equilibrio.
La risposta di OpenAI
A distanza di qualche ora dalla pubblicazione del provvedimento del Garante per la Privacy, OpenAI ha reso nota la sua posizione riguardo le sanzioni comminate, comunicando che intende presentare un ricorso.
Ecco il testo integrale del comunicato stampa:
“La decisione del Garante non è proporzionata e presenteremo ricorso. Quando il Garante ci ha ordinato di sospendere ChatGPT in Italia nel 2023, abbiamo collaborato con l’Autorità per renderlo nuovamente disponibile un mese dopo. Già allora il Garante aveva riconosciuto il nostro ruolo da capofila per quanto riguarda la protezione dei dati nell’ambito dell’IA e questa sanzione rappresenta circa venti volte il fatturato da noi generato in Italia nello stesso periodo. Riteniamo che l’approccio del Garante comprometta le ambizioni dell’Italia in materia di IA, ma rimaniamo impegnati a collaborare con le autorità preposte alla tutela della privacy in tutto il mondo per offrire un’IA capace di portare benefici alla società nel rispetto dei diritti della privacy”
Le informazioni a supporto della difesa di OpenAI
- Questa indagine si concentra sul periodo novembre 2022 – marzo 2023. Dal rilascio di ChatGPT nel novembre 2022, abbiamo reso ancora più facile per gli utenti l’accesso ai nostri strumenti per i dati, inserendoli nelle impostazioni di ChatGPT.
- Abbiamo anche lanciato il nostro Privacy Center all’indirizzo privacy.openai.com, dove gli utenti possono esercitare le loro preferenze sulla privacy e scegliere di non utilizzare i loro dati per l’addestramento dell’AI.
- I modelli di intelligenza artificiale devono imparare dal mondo circostante per essere utili ai nostri utenti. Noi di OpenAI li progettiamo tenendo conto della privacy:
o Utilizziamo i dati pubblici per addestrare la nostra AI, non per identificare, tracciare o profilare le persone. Non contattiamo le persone né facciamo loro pubblicità.
o Lavoriamo deliberatamente per ridurre l’uso di dati personali nell’addestramento dei nostri sistemi come ChatGPT.
o Addestriamo i nostri modelli a rifiutare le richieste di informazioni relative a dati privati o sensibili sulle persone, anche se disponibili online tramite i motori di ricerca.
o Rendiamo facile per le persone esportare e cancellare le informazioni personali attraverso ChatGPT, e non permettere che i loro contenuti vengano utilizzati per addestrare i modelli.
o Offriamo una modalità di chat temporanea che cancella automaticamente le chat
- Siamo orgogliosi dei molti modi innovativi e vantaggiosi in cui i nostri clienti, partner e utenti utilizzano i nostri strumenti AI, tra cui:
o Aiutando le persone con disabilità visive a navigare nel mondo (Be My Eyes)
o Consentendo ai ricercatori di accelerare lo sviluppo di nuovi farmaci, compresi quelli antitumorali e antivirali (Moderna).
o Collaborando con le università italiane per aiutare i professori a fornire agli studenti un’assistenza accurata 24 ore su 24, 7 giorni su 7 (Multiversity)
o Collaborando con gruppi editoriali come RSC e Axel Springer per sostenere un giornalismo indipendente di qualità e nuove esperienze mediatiche innovative.
o Aiutando i governi a preservare le lingue con scarse risorse (Government of Iceland).
- Procediamo nel nostro impegno continuo di collaborazione con la comunità globale sulla protezione dei dati oltre a garantire la tutela della privacy, continuando a innovare e a sviluppare prodotti e strumenti utili.