Cerchiamo di fare chiarezza sulla questione ChatGPT visto che ne sono state dette di tutti i colori e si fa parecchia confusione su chi ha fatto cosa e perché.
Queste sono alcune delle domande a cui andremo a rispondere:
- Cosa ha fatto il Garante della Privacy?
- Perché è sempre l'Italia?
- OpenAI è una povera vittima della burocrazia?
- E' un problema tutto italiano o c'entra anche l'Europa?
1 Cosa è successo con il Garante della Privacy e ChatGPT?
In data 31/03/2023 un
comunicato stampa del Garante della Privacy comunica il seguente provvedimento d'urgenza, pertanto non è particolarmente raffinato nel linguaggio, ed è probabile che saranno chiarite ulteriormente le motivazioni nei giorni successivi.
Stop a ChatGPT finché non rispetterà la disciplina privacy. Il Garante per la protezione dei dati personali ha disposto, con effetto immediato, la
limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società statunitense che ha sviluppato e gestisce la piattaforma. L’Autorità ha contestualmente aperto un’istruttoria.
ChatGPT, il più noto tra i software di intelligenza artificiale relazionale in grado di simulare ed elaborare le conversazioni umane, lo scorso 20 marzo aveva subito una perdita di dati (data breach) riguardanti le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati al servizio a pagamento.
Nel provvedimento, il Garante privacy rileva la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, ma soprattutto l'assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma.
Come peraltro testimoniato dalle verifiche effettuate, le informazioni fornite da ChatGPT non sempre corrispondono al dato reale, determinando quindi un trattamento di dati personali inesatto.
Da ultimo, nonostante – secondo i termini pubblicati da OpenAI – il servizio sia rivolto ai maggiori di 13 anni, l’Autorità evidenzia come l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti esponga i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza.
OpenAI, che non ha una sede nell’Unione ma ha designato un rappresentante nello Spazio economico europeo, deve comunicare entro 20 giorni le misure intraprese in attuazione di quanto richiesto dal Garante, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.
Roma, 31 marzo 2023
Da questo comunicato si chiede all'azienda
OpenAI operante in Europa di "cessare provvisoriamente il trattamento dei dati degli utenti italiani" questo il testo del provvedimento:
RILEVATO, da una verifica effettuata in merito, che non viene fornita alcuna informativa agli utenti, né agli interessati i cui dati sono stati raccolti da OpenAI, L.L.C. e trattati tramite il servizio di ChatGPT;
RILEVATA l’assenza di idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT;
RILEVATO che il trattamento di dati personali degli interessati risulta inesatto in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale;
RILEVATO, inoltre, l’assenza di qualsivoglia verifica dell’età degli utenti in relazione al servizio ChatGPT che, secondo i termini pubblicati da OpenAI L.L.C., è riservato a soggetti che abbiano compiuto almeno 13 anni;
CONSIDERATO che l’assenza di filtri per i minori di età di 13 anni espone gli stessi a risposte assolutamente inidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi;
RITENUTO pertanto che nella situazione sopra delineata, il trattamento dei dati personali degli utenti, compresi i minori, e degli interessati i cui dati sono utilizzati dal servizio si ponga in violazione degli artt. 5, 6, 8, 13 e 25 del Regolamento;
RAVVISATA, pertanto, la necessità di disporre, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento - in via d’urgenza e nelle more del completamento della necessaria istruttoria rispetto a quanto sin qui emerso nei confronti di OpenAI L.L.C., società statunitense sviluppatrice e gestrice di ChatGPT, la misura della limitazione provvisoria del trattamento;
Quindi il garante rileva delle problematiche e tre violazioni diverse:
- (a) aver raccolto i dati personali di miliardi di persone per addestrare i propri algoritmi senza informarli di questa circostanza e, verosimilmente senza disporre di un’idonea base giuridica.
- (b) raccogliere i dati personali degli utenti nel corso delle conversazioni senza informarli della sorte di questi dati.
- (c) generare contenuti, in risposta alle domande, che talvolta attribuiscono alle persone fatti e circostanze inesatte e non veritiere proponendo così una rappresentazione distorta della loro identità personale.
Se per la C ci possono essere delle opinioni contrastanti e metodi di facile risoluzione (tipo un disclaimer che dice "mi sto inventando quanto ho scritto").
E per la B è altrettanto vero che è necessario dire "tutte le cose che voi scrivete vengono usate per X, Y, Z [es: fini diagnostici, miglioramento del servizio] e vengono cancellate e anonimizzate".
La "A" è più complessa. In quanto ChatGPT, proprio perché è "Pre-Trained" ha inghiottito dati personali (almeno questo secondo il Garante della Privacy) per poi usarli per apprendere e darci gli output predittivi che abbiamo tanto apprezzato in questi mesi.
Quindi è onere di OpenAI dimostrare che non vi è stato uso improprio dei dati personali degli utenti sia durante l'uso del servizio sia precedentemente nella sua creazione.
2 Ma cosa dice il GDPR a riguardo?
Tutto ciò si basa sulle leggi che ben conosciamo sulla tutela dei dati personali dei cittadini dell'UE, il famosissimo GDPR. ChatGPT è stato "allenato" grazie al Web Scraping che è specificatamente regolato precisamente dall'
Articolo 6.
Quando si possono usare dati ottenuti tramite Web Scraping secondo il GDPR?
- Consenso: Ovvero quando ho un consenso esplicito dell'utente. Capite bene che questa modalità è pressoché impossibile quando si parla di web scraping. E' come se qualcuno dovesse farvi accettare un modulo di consenso prima di salvarsi da qualche parte quello che legge nel web su di voi. Da un punto di vista pratico è irrealizzabile.
- Contratto: Ovvero quando c'è un contratto tra me e l'utente interessato e quei dati mi servono per erogare il servizio. Ai fini della nostra trattazione, sostanzialmente questa modalità è molto simile alla prima.
- Obbligo Legale: Ovvero se per qualsiasi motivo la legge mi obbliga a farlo. Queste sono sempre cose molto specifiche e precise, che raramente possono essere utilizzate come argomentazioni per legittimare le proprie attività.
- Interesse Vitale: Quando l'attività di raccolta dati è fatta per preservare un interesse vitale di quella persona. Per intenderci in modo semplice, se arrivate in fin di vita al pronto soccorso, anche senza il vostro consenso, l'ospedale può andarsi a recuperare ogni dato che trova per cercare di salvarvi la vita.
- Obbligo Pubblico: Tendenzialmente questo si applica ad un pubblico ufficiale, che è autorizzato a raccogliere i dati che gli servono per svolgere i suoi compiti. Un po' come la guardia di finanza che non ha bisogno del vostro consenso.
- Interesse Legittimo: Questo punto è estremamente vago ed è quello che può essere argomentato dalle aziende sul perché hanno fatto quello che hanno fatto.
Attualmente quindi vi è palesemente un vuoto normativo, non solo sul funzionamento dei
Large Language Models (se i loro output devono rispettare determinati criteri) ma anche come vengono creati questi LLM e se violano la privacy degli utenti nella loro genesi. Visto che attualmente operano FUORI dall'attuale quadro normativo.
I motori di ricerca, ad esempio, hanno delle deroghe specifiche per operare. Rispettando comunque il GDPR e per esempio il diritto all'oblio. Una raccolta di dati così massiccia è palese che non sia perfettamente in linea col GDPR, starà all'azienda dimostrare eventualmente l'interesse legittimo o che tecnicamente non utilizza dati personali per far funzionare GPT4.
3 E che diritto ha il Garante di bloccare ChatGPT in Italia?
Nessuno, infatti non ha assolutamente bloccato ChatGPT in Italia, è stato un provvedimento preso dalla stessa azienda. Il Garante ha detto "Se OpenAI riesce a continuare ad erogare il servizio trattando legalmente i dati degli utenti italiani può operare anche durante l'istruttoria".
L'azienda potrebbe aver deciso di procedere così per due motivi principali:
- O non può operare senza usare i dati degli utenti (e quindi ha ammesso di fatto una colpa) e dovranno fare delle modifiche al servizio.
- O seguendo il principio di autotutela per evitare polemiche o addirittura danni economici hanno preferito chiudere e dare tutti i chiarimenti durante l'istruttoria.
Microsoft possiede il 49% di OpenAI e questo non è da dimenticare. Queste aziende rischiano sempre di finire nell'occhio del ciclone e sotto la lente di ingrandimento delle istituzioni (cosa che non gradiscono particolarmente).
4 E intanto l'Europa che fa?
Il parlamento Europeo sta lavorando ad un AI Act per regolamentare proprio questo tipo di attività. Verosimilmente gli altri paesi valuteranno l'istruttoria italiana per capire se è legittima o meno l'osservazione mossa dal nostro garante. La cosa si sposterà sul piano europeo se dovessero emergere complicazioni.
La situazione è molto simile a quanto successo con Google Analytics.
Early 2022 was awash with news about
Austria finding Google Analytics Universal Analytics violates Chapter V (regarding International Data Transfers) of Europe’s General Data Protection Regulation (GDPR) due to the
Schrems II decision. As the year continued to roll on, Austria was joined by decisions in
France,
Italy, and
Denmark. Other Data Protection Agencies have not been silent on the matter. Guidance has been issued out of
Norway and the
Netherlands cautioning against use and recommending looking at alternative vendors.
Negli anni precedenti, ignorare certe piattaforme ad esempio i Social Network, ha portato a problematiche enormi per stabilire delle regole sul loro funzionamento. Ad esempio lo scandalo di
Cambridge Analytica. Nessun paese quindi vuole arrivare impreparato, visto l'enorme interesse per questo tipo di tecnologie da parte di utenti e aziende.
Sicuramente è più facile regolamentare prima che attendere l'uso in massa di determinati strumenti e poi chiedere uno stop totale in quanto tutto ciò su cui si basano è potenzialmente illegale o dover garantire straordinarie libertà ad un settore che magari poteva essere direzionato subito verso la tutela dell'utente finale (vedi l'uso massiccio dei cookies e le problematiche relative alla loro gestione e rimozione).
5 Ma io voglio usare ChatGPT lo stesso
Attualmente
usando una banalissima VPN (ProtonVPN, NordVPN o altre) è possibile connettersi ugualmente a ChatGPT e utilizzarlo comunque.
