INTRODUZIONE
Da qualche mese l’intelligenza artificiale ha fatto pienamente ingresso nelle nostre vite. In particolare, tale processo è stato fortemente accelerato dalla messa a disposizione di ChatGPT[1] al grande pubblico.
Subito è apparso chiaro che tali tecnologie avranno sempre di più un impatto formidabile sul mondo della scuola e del lavoro. Mansioni che una volta avrebbero richiesto giorni di lavoro intenso, ora possono essere svolte nel tempo di un “clic”. Si pensi ad esempio alla traduzione di documenti da un idioma ad un altro oppure a riassunti di testi complicati. Motori di ricerca come ChatGPT si sono dimostrati infatti in grado di svolgere perfettamente alcuni compiti rimpiazzando quasi totalmente il “fattore umano”.
Ovviamente, si è allo stesso tempo aperto un dibattito articolato sulle possibili tutele che devono essere apprestate nei confronti di tali strumenti di intelligenza artificiale.
A riguardo, a fine marzo 2023, aveva destato enorme clamore a livello planetario una deliberazione d’urgenza del Garante per la protezione dei dati personali (il “Garante”) in cui si era disposta la limitazione provvisoria del trattamento nei confronti di OpenAI dopo avere riscontrato alcune possibili violazioni della normativa privacy di ChatGPT[2].
I più noti quotidiani italiani avevano commentato “a caldo” la decisione affermando, tra le altre cose, che il Garante avrebbe usato “… strumenti vecchi per affrontare un mondo nuovo …”[3]. Si rilevava che saremmo stati in presenza di nuova scelta “auto-lesionista” del nostro paese simile a quella che aveva portato l’Italia a vietare UBER a differenza di una buona parte del resto del mondo.
Come noto, la vicenda si è poi “normalizzata”. Ed infatti, nell’ambito del procedimento instaurato, il Garante ha consentito ad Open AI di operare (seppure provvisoriamente) anche in Italia a patto che venissero posti in essere alcuni accorgimenti per salvaguardare la privacy degli utenti.
In questo contributo, a distanza di un po’ di tempo, cercheremo di valutare “a freddo” quali aspetti sono emersi dalla vicenda sorta tra OpenAI ed il Garante.
IL CASO AI E IL PROCEDIMENTO INSTAURATO DAL GARANTE ITALIANO
Il caso OpenAI nasce dalla convinzione del Garante che il trattamento di dati operato tramite ChatGPT non fosse conforme al GDPR.
In sostanza si obbiettava alla società statunitense che il servizio: (i) fosse operato in assenza di informativa; (ii) non presentasse idonea base giuridica; (iii) potesse portare ad un trattamento di dati inesatto; e (iv) non avesse un filtro per la verifica dell’età degli utenti.
È sulla base di queste motivazioni che il Garante richiedeva dunque la sospensione temporanea di ChatGPT in Italia.
A seguito di intensi scambi di vedute, la società statunitense proponeva l’implementazione di accorgimenti specifici in materia di tutela dei dati personali per tentare di rendere ChatGPT conforme al GDPR rispetto alle criticità rilevate dal Garante[4].
Tali proposte venivano considerate soddisfacenti e, in data 11 aprile 2023, il Garante adottava un provvedimento con cui sospendeva condizionalmente il proprio precedente provvedimento di limitazione provvisoria del trattamento dei dati degli utenti italiani da parte di OpenAI tramite ChatGPT[5].
Esamineremo di seguito i punti più rilevanti del fruttuoso dialogo intercorso tra OpenAI e il Garante.
Misure sull’informativa
In primo luogo, si nota che il Garante aveva riscontrato, nel disporre il provvedimento d’urgenza di limitazione provvisoria del 30 marzo 2023, che OpenAI non forniva alcuna informativa agli utenti e agli interessati sul trattamento dei loro dati personali. Questo aspetto rendeva particolarmente problematica l’operatività di ChatGPT, soprattutto in considerazione dell’ingente quantità di dati personali utilizzati dall’applicazione, che coinvolgeva un gran numero di interessati i cui dati personali erano soggetti a trattamento, verosimilmente senza che ne fossero consapevoli. Inoltre, veniva altresì notato che la mancanza di informativa poneva un ostacolo all’esercizio dei diritti conferiti dal GDPR da parte degli interessati. Ciò rappresentava un’importante criticità dati i rischi che il trattamento dei dati personali nel contesto del servizio ChatGPT potesse avvenire in violazione del principio di accuratezza, con il conseguente interesse degli interessati a richiedere la rettifica dei dati che li riguardano generati in modo inesatto.
Il Garante richiedeva dunque, in primo luogo, che OpenAI provvedesse alla predisposizione e pubblicazione sul proprio sito internet di un’informativa che fornisse agli interessati del servizio ChatGPT, utenti o non utenti, i cui dati sono soggetti a trattamento per l’addestramento degli algoritmi, tutte le informazioni che devono essere comunicate ai sensi degli articoli 12, 13 e 14 del regolamento generale sulla protezione dei dati (“GDPR”)[6]. In secondo luogo, il Garante “suggeriva” a OpenAI di inserire, nel procedimento di registrazione degli utenti, un link alla suddetta informativa affinché tutti gli utenti potessero prenderne visione prima di completare la registrazione con link visibile anche per gli utenti già registrati al momento del primo accesso successivo alla riattivazione del servizio.
OpenAI ha effettivamente adempiuto alle richieste dal Garante, provvedendo a pubblicare l’informativa sul proprio sito rivolta a tutti gli interessati, utenti o non utenti, e a rendere accessibile l’informativa per gli utenti nella maschera di registrazione. Ha inoltre introdotto una schermata di benvenuto, alla riattivazione di ChatGPT in Italia, con i rimandi alla nuova informativa sulla privacy e alle modalità di trattamento dei dati personali per l’addestramento degli algoritmi[7].
Misure per permettere agli interessati di opporsi o richiedere l’accuratezza del trattamento
L’accuratezza del trattamento era un altro degli aspetti maggiormente considerati dal Garante nell’ambito dei rilievi mossi a ChatGPT. Sin dal provvedimento d’urgenza del 30 marzo 2023, il Garante aveva sottolineato che il trattamento di dati personali non era accurato in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale. Il Garante richiedeva dunque ad OpenAI, come prima misura, di mettere a disposizione sul proprio sito internet, per gli interessati che si collegano dall’Italia, una modalità con cui chiedere ed ottenere la correzione dei dati personali che li riguardino e che siano trattati in maniera inesatta, o la loro cancellazione qualora la rettifica sia tecnicamente impossibile. La seconda richiesta riguardava l’esercizio del diritto di opposizione da parte degli interessati. Il Garante chiedeva di mettere a disposizione sul sito internet, con le stesse modalità previste per l’esercizio del diritto di rettifica, uno strumento tramite cui gli interessati possano esercitare il proprio diritto di opposizione al trattamento dei dati personali per finalità di addestramento dell’algoritmo e per l’erogazione del servizio.
OpenAI ha dato seguito a queste richieste riconoscendo, per tutte le persone interessate, il diritto di opporsi al trattamento e prevedendo la possibilità di far cancellare direttamente le informazioni ritenute errate. OpenAI si è dichiarata infatti impossibilitata, per il momento, a correggere gli errori sull’accuratezza del trattamento, e ha pertanto deciso di garantire direttamente la cancellazione dei dati inesatti.
Misure sulla base giuridica del trattamento
Il terzo ambito in cui il Garante richiedeva l’adozione di misure da parte di ChatGPT riguardava la base giuridica per il trattamento. Il Garante ordinava infatti a OpenAI di rimuovere ogni riferimento all’esecuzione del contratto come base giuridica del trattamento dei dati personali ai fini dell’addestramento degli algoritmi, e di fondare invece il trattamento sul consenso o sul legittimo interesse come basi giuridiche. Questa richiesta non pregiudica le eventuali valutazioni future a cui il Garante potrebbe pervenire nel corso dell’istruttoria sull’esistenza di una base giuridica per il trattamento. Non è quindi escluso che il Garante potrebbe infine concludere che il legittimo interesse non costituisca una lecita base giuridica per il trattamento dei dati.
OpenAI ha soddisfatto le richieste del Garante sulla base giuridica, chiarendo nella propria informativa che, mentre alcuni dati personali continueranno ad essere trattati per garantire il corretto funzionamento del servizio, il legittimo interesse è la base giuridica impiegata per trattare i dati personali ai fini dell’addestramento degli algoritmi.
Misure sulla tutela dei minori
Un altro fronte su cui il Garante ordinava l’adozione di misure riguarda la tutela dei minori, uno dei maggiori aspetti problematici evidenziati nel provvedimento d’urgenza. Il Garante imponeva due misure. In primo luogo, con la riattivazione del servizio in Italia avrebbe dovuto essere richiesto a tutti gli utenti, inclusi quelli già registrati, di dichiarare la propria età, al fine di escludere gli utenti minorenni. In secondo luogo, OpenAI avrebbe dovuto sottoporre al Garante, entro il 31 maggio 2023, un piano sugli strumenti da adottare per escludere l’accesso a ChatGPT per gli utenti con un’età inferiore a tredici anni e per gli utenti minorenni in assenza di una manifestazione di volontà da parte di chi esercita su di essi la responsabilità genitoriale.
OpenAI ha implementato in parte queste richieste inserendo nella schermata di benvenuto per gli utenti italiani registrati al servizio un pulsante con cui, per riavere accesso al servizio, dovranno dichiarare di essere maggiorenni o ultra-tredicenni, e in quest’ultimo caso di avere il consenso dei genitori. Inoltre, la maschera di registrazione richiede la data di nascita dell’utente, bloccando la registrazione per gli utenti infra-tredicenni, e richiedendo per gli utenti ultra-tredicenni ma minorenni di confermare di avere il consenso dei genitori. Resta solo l’implementazione del sistema di verifica dell’età che è stato proposto nei termini previsti e dovrà ora trovare implementazione entro il 30 settembre 2023.
CONCLUSIONI
Alla luce di tutto quanto sopra, a fronte delle misure adottate da OpenAI in ottemperanza alle richieste del Garante e degli impegni assunti, il Garante ha annunciato con comunicato stampa del 28 aprile che la società statunitense aveva reso nuovamente accessibile ChatGPT agli utenti italiani[8].
Non va dimenticato che la sospensione del provvedimento di urgenza non deve essere interpretata come la definitiva chiusura della saga ChatGPT in Italia. Le indagini sul trattamento dei dati operato da OpenAI sono tutt’ora pending e si giungerà ad una pronuncia definitiva sulla legittimità di tale trattamento al termine dell’istruttoria del Garante. In altre parole, il provvedimento da ultimo adottato garantisce solo che ChatGPT possa continuare ad operare in Italia in pendenza del procedimento.
La partita è dunque ancora tutta da giocare e non si possono escludere colpi di scena nei prossimi mesi.
Ciò nonostante, va registrato come all’azione del Garante possano essere riconosciuti diversi meriti.
In primo luogo, non si possono negare gli effetti positivi per gli utenti del servizio di ChatGPT. Ed infatti, a fronte di una sospensione del servizio piuttosto breve in Italia (meno di un mese), sono stati garantiti presidi importanti per la tutela dei dati personali.
A livello generale, è innegabile inoltre come l’intervento del Garante abbia costituito senz’altro un importante punto di riferimento per comprendere le aspettative di un’autorità nazionale su come un servizio come ChatGPT debba essere strutturato per assicurare conformità al GDPR. Altre autorità europee potrebbero infatti agire sulla scia del provvedimento del Garante. A riguardo, in data 13 aprile, il Garante ha annunciato il lancio di una task force su ChatGPT con le altre autorità europee, al fine di promuovere cooperazione e scambio di informazioni sull’applicazione del GDPR al servizio. La task force potrebbe facilitare coerenza tra le azioni delle autorità europee nei confronti di analoghi strumenti di intelligenza artificiale. Questo andrebbe indubbiamente a tutto vantaggio anche di operatori come OpenAI e di altre big tech che operano nello stesso mercato e che hanno interesse a “regole del gioco” uniformi.
Inoltre, non si può sottacere, in prospettiva più ampia, come l’intervento del Garante abbia altresì inciso sui lavori che dovrebbero portare all’approvazione nel 2023 del regolamento europeo sull’intelligenza artificiale (“AI Act”). L’azione del Garante ha infatti sensibilizzato il legislatore europeo sulla necessità di regolare con l’AI Act anche software di intelligenza artificiale generativa linguistica come ChatGPT. Sebbene ciò abbia portato ad un rallentamento del processo legislativo dell’AI Act, alla lunga, le criticità prospettate dal Garante in relazione a ChatGPT potrebbero rivelarsi come un catalizzatore per lo sviluppo. Si è infatti evitato che l’AI Act nascesse già “superato” e non prendesse in considerazione strumenti come ChatGPT che hanno invece già iniziato a rivoluzionare le nostre vite.
[1] ChatGPT è un chatbox basato su intelligenza artificiale e apprendimento sviluppato dalla società statunitense OpenAI. E’ progettato per generare risposte basate sul contesto delle domande e delle informazioni fornite. Cfr. https://chat.openai.com/.
[2] Si veda il nostro precedente contributo disponibile al seguente LINK.
[3] Si veda l’articolo disponibile al seguente LINK.
[4] n un incontro tenutosi in data 5 aprile i membri del Collegio del Garante ascoltavano la posizione di OpenAI e le sue proposte per arrivare ad una soluzione delle criticità rilevate dal Garante con riferimento a ChatGPT (si veda il comunicato stampa disponibile al seguente LINK). A seguito dell’incontro, il Garante si riuniva in data 8 aprile per esaminare le misure proposte da OpenAI (si veda il comunicato stampa disponibile al seguente LINK).
[5] Ciò a condizione che OpenAI adottasse una serie di misure richieste indicate dal Garante stesso, volte a porre rimedio alle criticità riscontrate in relazione al trattamento di dati personali da parte dell’applicazione ChatGPT (cfr. provvedimento del Garante dell’11 Aprile 2023, n. 9874702, registro dei provvedimenti n. 114 dell’11 Aprile 2023, disponibile al seguente LINK)
[6] Queste informazioni, da comunicare nei termini e con le modalità di cui all’articolo 12 del GDPR, devono includere i mezzi e le finalità del trattamento e una spiegazione di come i dati trattati siano necessari al funzionamento del servizio ChatGPT, oltreché i diritti spettanti agli interessati e come possono essere esercitati.
[7] Infine, il Garante ha richiesto a OpenAI di promuovere una campagna di informazione volta ad informare il pubblico sul fatto che i loro dati personali potrebbero essere raccolti per l’addestramento degli algoritmi, contestualmente segnalando che sul sito internet di OpenAI è stata pubblicata un’informativa di dettaglio e sono stati messi a disposizione strumenti per chiedere ed ottenere la cancellazione dei dati personali. La campagna avrebbe dovuto essere promossa entro il 15 maggio 2023 sui principali mezzi di comunicazione di massa italiani, con contenuti da concordare con il Garante.
[8] Si veda il comunicato stampa disponibile al seguente LINK.