ChatGPT bloccato in Italia: i perché e gli scenari
Da qualche giorno ChatGPT è bloccato nel nostro paese. Il Garante della Privacy ha individuato la mancanza di un’informativa che comunichi agli utenti la raccolta dei propri dati personali, in particolar modo, è stata rilevata l'assenza di un permesso che giustifichi la raccolta di tali dati.
Nelle ultime ore, anche il Canada ha aperto un'istruttoria a carico della startup che ha sviluppato la chatbot. Potrebbe, inoltre, presentarsi un effetto domino con Francia, Germania e Irlanda che valutano azioni da intraprendere. E' di qualche ora fa, rispetto alla stesura di questo articolo, la notizia che c'è stato il tanto atteso incontro tra i vertici di ChatGPT e il Garante, ma siamo ancora in una fase interlocutoria.
Per approfondire meglio l'intervento del Garante della Privacy nei confronti di ChatGPT e fare luce su alcuni elementi della vicenda, ne abbiamo parlato con il dott. Luigi Rendina, esperto privacy del network Zucchetti.
- - - -
Perché il Garante ha bloccato ChatGPT?
Il Garante per la protezione dei dati personali non ha bloccato ChatGPT, ha limitato provvisoriamente il trattamento dei dati personali degli utenti (Interessati, ai fini del GDPR) italiani, con un provvedimento d’urgenza aprendo un’istruttoria nei confronti del produttore OpenAI. È stato quest’ultimo che ha disabilitato l’accesso in Italia con l’intento di fornire risposte entro il 20 aprile pv. perché dovrà comunicare le misure adottate in funzione della richiesta del Garante, perché rischia una sanzione fino al 4% del fatturato annuo o fino a 20 milioni di euro. Va quindi precisato che ordinare l’inaccessibilità ad un software che usa intelligenza artificiale non rientra tra le competenze di questa Autorità.
Veniamo al perché di questa situazione...
ChatGPT è un modello linguistico (machine learning conversazionale) che utilizza una particolare forma di apprendimento per produrre testo simile al linguaggio umano. Per rispondere a qualsiasi tipo di richiesta, è stato addestrato su milioni di pagine di Wikipedia ed ha risucchiato, da internet, miliardi di dati, anche personali, per utilizzarli come proprio servizio. OpenAI, ritiene, a torto, che queste informazioni sono una risorsa libera e gratuita perché pubbliche.
È bene precisare che si pubblica su internet, a qualsiasi titolo, affinché gli utenti possano leggere, non copiare o prendersi la titolarità di un’informazione o legittimare un dato di una persona. Un quotidiano non può prendere il video di un soggetto da YouTube e presentarlo sulla sua home page come proprio. Gli articoli di Wikipedia possono essere utilizzati e copiati gratuitamente e liberamente ma non usati come materiale per creare qualcos’altro a scopo commerciale. Stesso discorso per i contenuti delle pagine internet. Bisogna ricordare che l’uso di dati delle persone, in Europa, è consentito solo se c’è una base giuridica (un perché legale), un consenso esplicito dell’interessato.
A cosa è dovuto l'intervento del Garante?
ChatGPT, il 20 marzo 2023, ha subito una perdita di dati (data breach) riguardante le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati al servizio a pagamento.
Cosa è accaduto?
Sono stati mostrati alla lettura di tutti, estratti delle conversazioni di ChatGPT di utenti e delle loro informazioni finanziarie. Per un periodo di nove ore, i dati esposti includevano nomi, cognomi, indirizzi di fatturazione, tipi di carte di credito, date di scadenza e le ultime quattro cifre dei numeri di queste.
È noto che questo tipo di eventi, per il GDPR, devono essere comunicati all’Autorità Garante entro 72 ore dalla scoperta. L’indagine italiana su OpenAI è stata avviata per esaminare le misure di sicurezza, il livello di conformità dell’organizzazione sul trattamento dei dati personali e dei relativi servizi erogati.
Cosa è contestato?
a) l’assenza di un’informativa ad utenti ed interessati per i dati raccolti da OpenAI e trattati dal servizio ChatGPT. Non si possono raccogliere dati di miliardi di persone da internet per addestrare i propri algoritmi senza informarle né si possono ricavare dati personali da conversazioni senza dichiarare come saranno utilizzati e generare contenuti discutibili.
b) la mancanza di una idonea base giuridica in relazione alla raccolta dei dati personali ed al loro trattamento per addestrare gli algoritmi di ChatGPT;
c) l’inesattezza dei dati personali trattati degli interessati perché le informazioni fornite da ChatGPT non sempre sono corrette o corrispondono a dati reali, ma spesso propongono una rappresentazione distorta di una persona;
d) l’inesistenza di una verifica dell’età degli utenti utilizzatori. OpenAI dichiara che l’accesso a ChatGPT è riservato a soggetti che abbiano compiuto 13 anni. Siamo in presenza di trattamento dati di minori.
A mio avviso, ci sono ulteriori estremi tecnico-giuridici da addebitare:
a) l’assenza di una valutazione d’impatto. Strumento previsto dal GDPR per rappresentare il livello di rischio di un trattamento di dati personali e quindi quanto questo possa pregiudicare l’esercizio dei diritti e delle libertà delle persone;
b) il trasferimento di dati personali dopo la sentenza Schrems II in paesi extra UE come gli USA è considerata ad oggi illecito (vedi Google Analytics).
Perché è successo in Italia? Ci possiamo aspettare interventi a livello Europeo?
Non è il primo intervento del Garante italiano verso un software di intelligenza artificiale. Il 2 febbraio 2023 è stato pubblicato un analogo provvedimento nei confronti di Replika “una chatbot basato sull’IA che genera un amico virtuale configurabile dall’utente come un partner romantico od un mentore o qualcosa di più". L’intervento era necessario perché questi tool possono immagazzinare, attraverso un banale colloquio, conoscenza su milioni di persone, sul loro modo di essere e pensare fino ad arrivare agli aspetti più intimi.
Sicuramente dopo l’intervento italiano ci sarà un confronto a livello europeo per capire e come cooperare per agire insieme ma già il Garante tedesco ha annunciato che potrebbe bloccare ChatGPT per problemi di sicurezza dei dati.
Cosa succede ora?
Altri algoritmi che raccolgono dati personali sono in valutazione per verificare, come probabile, le stesse carenze di ChatGPT. È necessario sottolineare che non siamo in presenza di un blocco all’innovazione perché qui si parla di una limitazione temporanea del trattamento di dati per il solo servizio B2C di una chatbot nata quattro mesi fa.
In Europa c’è un Regolamento per la protezione dei dati personali, votato da 27 Parlamenti, che tutela e protegge i diritti e le libertà fondamentali delle persone fisiche e se OpenAI non consente di far valere i diritti delle persone nei confronti dell’intelligenza artificiale è corretto che un’autorità di vigilanza intervenga. Le tecnologie digitali che si avvalgono del trattamento di dati delle persone devono dimostrare la loro compatibilità con il GDPR ed i diritti che in esso sono garantiti altrimenti non potranno essere utilizzate ne commercializzate. Uno degli aspetti che dovrà essere ben considerato è il fatto che i tool di machine learning, non possono rettificare un dato o un'informazione perché non è, ad oggi tecnicamente possibile. Apprendono e producono ma non modificano. Non sono in grado di capire cosa è corretto o sbagliato. Non possiedono un concetto di verità o conoscenza ma si limitano a produrre affermazioni plausibili ma non reali. È evidente però, e sempre più lo sarà, che malgrado ogni sforzo, il GDPR presto non sarà più sufficiente e richiederà un aggiornamento profondo.
...in ogni caso le “Big Five” non staranno a guardare...
È vero. Il GDPR presto non sarà più sufficiente.
E cosa potrebbe succedere se l'intervento del Garante si estendesse ad altri paesi e non riguardasse solo ChatGPT ma anche altre IA? E se invece riuscissero a "superare" questo ostacolo?
La nostra opinione è che in ogni caso le “Big Five” (Google, Amazon, Apple, Meta e Microsoft) non resteranno a guardare. La strada dell'IA è stata ormai tracciata, sebbene ci sia un ampio movimento che chiede di bloccarne lo sviluppo (e tra i firmatari della petizione comparsa sul sito Futureoflife.org c'è anche Elon Musk oltre che numerosi accademici). La vera fantascienza è pensare che lo sviluppo delle IA generativa venga completamente bloccato, che l'innovazione che è stata toccata con mano da miliardi di persone sia cancellata dalla storia dell'umanità e che si arresti un processo di tale portata.
Molto più credibile (e auspicabile) è l'introduzione di regole che governino tale processo.
Attualmente le Big Five continuano a collocarsi ai vertici mondiali per capitalizzazione e valore di Borsa, fra le società quotate, ma con l’avvento dell’IA temono di finire vittime del cosiddetto effetto Kodak o di un effetto iPhone: Kodak, leader mondiale nella fotografia dall’inizio del ‘900, è stata travolta dal passaggio dalla fotografia chimica a quella digitale, così come Nokia e BlackBerry sono state schiacciate dalla potenza di Apple.
Proprio per evitare di fare questa fine cercano di rimanere proattive, acquisendo startup portatrici di idee innovative ed originali soprattutto nel campo dell'intelligenza artificiale. Non sappiamo con sicurezza se supereranno indenni il cambiamento portato dalla “generative AI”, la cosa certa è che questi cambiamenti radicali di contesto possono invalidare significativamente anche aziende di questa portata.
Privacy permettendo...
Sono sempre più numerosi gli interventi del Garante anche su piccole aziende.
Vuoi rischiare anche tu o preferisci adeguarti?
Fai il questionario gratuito di self-assessment e scopri quanto sei conforme alla normativa!
Ti regaliamo inoltre 30 minuti di consulenza con i professionisti del network GDPR Zucchetti Consultant per capire insieme i tuoi risultati.
Cosa aspetti? Inizia ora il tuo percorso di adeguamento!
