Gli obblighi imposti dal Garante per la protezione dei dati personali su ChatGPT nei confronti di Open AI per garantirne la conformità alla privacy dei sistemi di intelligenza artificiale generativa potrebbero diventare un punto di riferimento in tutta l’UE, ora che l’EDPB ha istituito una task force sulla ChatGPT.
La posizione del Garante nei confronti di Open AI
Il 30 marzo 2023, il Garante per la protezione dei dati personali ha emesso un provvedimento urgente di limitazione temporanea nei confronti di Open AI per quanto riguarda il trattamento dei dati personali appartenenti a persone fisiche situate in Italia in merito a ChatGPT e agli altri sistemi di ai generativa della società. Tale provvedimento ha obbligato Open AI a impedire agli utenti italiani l’accesso al sistema di intelligenza artificiale generativa. Le successive discussioni tra il Garante e Open AI hanno fatto sì che l’autorità italiana per la protezione dei dati personali accettasse di revocare il provvedimento di limitazione temporanea. Questo però a condizione che Open AI soddisfi specifici requisiti entro il 30 aprile 2023.
Tali requisiti includono
- La pubblicazione di un’informativa sulla privacy pienamente conforme al GDPR sul proprio sito web in modo trasparente che dovrebbe fornire dettagli sulle modalità di trattamento dei dati delle persone e sulle modalità di raccolta e trattamento dei dati per l’addestramento degli algoritmi;
- La fornitura di tool alle persone per esercitare il diritto di opporsi al trattamento effettuato dall’azienda per la formazione degli algoritmi e la fornitura di servizi. Le persone devono anche essere in grado di richiedere e ottenere la correzione di qualsiasi dato personale che le riguarda e che è stato trattato in modo impreciso nella generazione dei contenuti. Se la correzione è impossibile a causa dello stato attuale della tecnologia, le persone devono poter richiedere la cancellazione dei loro dati personali;
- L’identificazione della base giuridica del trattamento dei dati personali degli utenti per l’addestramento algoritmico che dovrebbe essere modificata da Open AI, eliminando qualsiasi riferimento all’esecuzione del contratto e assumendo come base giuridica del trattamento il consenso o il legittimo interesse. Open AI dovrebbe inoltre rendere disponibile uno strumento facilmente accessibile attraverso il quale gli utenti possano esercitare il diritto di opporsi al trattamento dei propri dati per l’addestramento algoritmico se la base giuridica scelta è il legittimo interesse; e
- Se il servizio viene riattivato in Italia, Open AI dovrebbe richiedere a tutti gli utenti che si collegano dall’Italia, compresi quelli già registrati, di superare un age gate che escluda gli utenti minorenni in base all’età dichiarata.
Open AI dovrebbe inoltre adottare, entro il 31 maggio 2023, strumenti di verifica dell’età idonei a escludere l’accesso al servizio per gli utenti minori di 13 anni e minori di 18 anni senza un’espressa manifestazione di volontà da parte di chi esercita la responsabilità genitoriale su di loro. L’attuazione di questo piano dovrebbe iniziare al più tardi entro il 30 settembre 2023. Infine, Open AI dovrà avviare, entro il 15 maggio 2023, una campagna informativa non promozionale su tutti i principali mezzi di comunicazione italiani (radio, televisione, giornali e internet), il cui contenuto dovrà essere concordato con il Garante. Tale campagna avrà lo scopo di informare le persone che (i) i loro dati personali possono essere stati raccolti per la formazione di algoritmi, (ii) sul sito web della società è stata pubblicata un’informativa dettagliata sulla privacy e (iii) sul sito web della società è stato reso disponibile uno strumento attraverso il quale tutti gli interessati possono richiedere e ottenere la cancellazione dei propri dati personali.
I membri dell’EDPB hanno discusso la recente azione di enforcement intrapresa dal Garante nei confronti di Open AI in merito al servizio Chat GPT e hanno lanciato una task force dedicata per promuovere la cooperazione e lo scambio di informazioni su possibili azioni di enforcement condotte dalle autorità di protezione dei dati.
Il caso del Garante su ChatGPT diventerà un punto di riferimento per la conformità dell’AI generativa alla privacy?
A prescindere dal merito del caso, sarà interessante vedere se altre autorità per la privacy dell’UE convalideranno la posizione dell’autorità italiana per la protezione dei dati personali su ChatGPT e se quest’ultima diventerà un punto di riferimento per la conformità alla privacy dei sistemi di intelligenza artificiale generativa. Questa circostanza potrebbe essere vantaggiosa per la crescita dell’IA all’interno dell’Unione europea, poiché vi sarà un maggior livello di certezza su tecnologie che hanno un enorme potenziale e che sono state esponenzialmente sotto il radar delle autorità e dei titolari dei diritti.
Questo caso non rappresenta la prima circostanza in cui il Garante si schiera contro i sistemi di intelligenza artificiale, poiché una decisione simile era stata presa, tra gli altri, nei confronti di un altro chatbot alimentato dall’IA (leggi l’articolo “Chatbot alimentato dall’intelligenza artificiale vietato dall’autorità italiana per la privacy“). Inoltre, in passato, i sistemi di intelligenza artificiale utilizzati per valutare i lavoratori avevano portato a sanzioni significative da parte del Garante per mancanza di trasparenza (leggi l’articolo “Sanzione GDPR da 2,6 milioni di euro per violazioni della privacy compiute attraverso l’algoritmo di un’azienda di food delivery“).
Le aziende sono consapevoli della necessità di implementare sistemi di intelligenza artificiale generativa nella loro operatività, ma sono preoccupate per alcune aree grigie relative alla loro conformità. Un maggior livello di certezza sulla conformità andrebbe a vantaggio dell’intero mercato dell’UE. Da un lato, ciò potrebbe essere ottenuto con la decisione dell’EDPB di confermare la posizione del Garante e, dall’altro, con la prossima adozione dell’EU AI Act, il cui processo di approvazione è stato accelerato nelle ultime settimane.
Su un tema simile, potrebbe essere utile il seguente articolo: “Il Parlamento UE amplia la definizione di intelligenza artificiale nell’ambito dell’AI Act“.