L’European Data Protection Board (EDPB) ha pubblicato il Report sulla Taskforce su ChatGPT, che mette in luce importanti problematiche in tema privacy che potrebbero avere un impatto su tutti i developer ed i deployer di soluzioni di IA generativa. Ecco cosa c’è da sapere.
Web Scraping e trattamento dei dati:
Il Report rivela l’uso del legittimo interesse per la raccolta ed il trattamento dei dati personali per addestrare ChatGPT e stabilisce i limiti in cui, secondo l’EDPB, ciò sarebbe accettabile.
Secondo l’EDPB, l’interesse legittimo può in teoria essere la base giuridica MA devono essere messe in atto misure di salvaguardia per mitigare l’impatto negativo sui soggetti interessati, alterando potenzialmente il test di bilanciamento a favore del titolare del trattamento, come ad esempio
- Misure tecniche per filtrare la raccolta dei dati;
- Esclusione di determinate categorie di dati e fonti (ad esempio, profili pubblici sui social media); e
- Cancellazione o anonimizzazione dei dati personali prima del training.
Criticità – Obblighi di trasparenza:
Quando non è possibile informare gli interessati (come nel caso dello scraping), i titolari del trattamento devono rendere pubbliche le informazioni per tutelare i diritti degli interessati.
Secondo l’EDPB, attualmente:
- I metodi di raccolta dei dati di ChatGPT non sono pubblicamente trasparenti;
- Gli interessati non possono esercitare facilmente i loro diritti (ad esempio, il diritto all’oblio);
- Il sistema produce ancora informazioni personali, il che indica che i dati non sono completamente anonimizzati.
- OpenAI sta stringendo accordi con piattaforme come Reddit, che contengono dati personali. Ciò suggerisce – secondo l’EDPB – un continuo affidamento ai dati personali senza sufficienti garanzie.
A mio avviso, l’EDPB deve riconoscere le potenzialità dell’intelligenza artificiale generativa per la nostra società e trovare una soluzione gestibile per bilanciare la conformità con un adeguato sfruttamento della tecnologia. Si tratterebbe di un cambiamento importante nell’approccio delle autorità per la privacy, che raramente hanno un approccio business oriented. Tuttavia, con l’approvazione dell’AI Act, l’UE ha assunto una posizione chiara a favore in relazione all’uso corretto dell’intelligenza artificiale e le autorità dovranno collaborare con gli sviluppatori di IA per trovare soluzioni praticabili.
L’approccio attuale potrebbe non essere nell’interesse generale e una discussione aperta con i fornitori di IA potrebbe aiutare a trovare una soluzione che bilanci adeguatamente gli interessi di tutte le parti coinvolte.
Su un argomento simile può essere d’interesse l’articolo “AI e GDPR: il Garante francese pubblica raccomandazioni sullo sviluppo dell’AI in conformità con il GDPR”
