La sospensione da parte di X del trattamento dei dati personali per l’addestramento del suo strumento di chatbot AI, Grok, in seguito all’ordine dell’Autorità irlandese per la privacy (Irish Data Protection Commission o DPC), rispecchia le azioni intraprese dal Garante italiano, dall’Autorità francese per la privacy (la Commission nationale de l’informatique et des libertés o CNIL) e dall’Autorità per la privacy di Amburgo negli ultimi mesi. Come reagiranno gli sviluppatori e gli utilizzatori di sistemi di intelligenza artificiale?
Come riportato dai colleghi irlandesi di DLA Piper nel proprio articolo, l’ultima notizia riguarda la controversia relativa al trattamento dei dati da parte di X per l’addestramento dell’AI del suo strumento di chatbot, che ha avuto origine da un reclamo delle associazioni dei consumatori.
X ha sostenuto di essersi basata sulla base giuridica dell’interesse legittimo ai sensi del GDPR, ma i ricorrenti hanno sostenuto che l’informativa sulla privacy di X – risalente al settembre 2023 – non era sufficientemente chiara su come questa si applicasse al trattamento dei dati degli utenti per l’addestramento di modelli di intelligenza artificiale come Grok.
In seguito a questa contestazione, l’Autorità irlandese per la privacy ha emesso un ordine di sospensione del trattamento dei dati per tali scopi. Uno scenario simile si era verificato qualche mese prima, a seguito di un reclamo di NOYB contro il ricorso di Meta al legittimo interesse per l’utilizzo dei dati per l’addestramento di modelli di intelligenza artificiale. Ciò ha portato all’impegno con il DPC e alla decisione finale di Meta, a giugno, di sospendere il trattamento dei dati in questione.
Questa catena di eventi è simile a quella che ha interessato OpenAI nel marzo 2023, quando il Garante italiano, ha ordinato la limitazione temporanea del trattamento dei dati degli individui italiani da parte di ChatGPT, portando a una sospensione di un mese del chatbot di AI in Italia. Successivamente, la limitazione temporanea è stata revocata, ma OpenAI ha dovuto impegnarsi, tra le altre cose, a individuare la corretta base giuridica del trattamento dei dati personali degli utenti per l’addestramento algoritmico, che OpenAI dovrebbe modificare.
Tutto ciò avviene mentre l’autorità per la privacy di Amburgo ha pubblicato il documento di discussione sui large language models e i dati personali, sostenendo, tra l’altro, che le informazioni memorizzate dai large language models non comportano il trattamento di dati personali. Questa posizione mostra un’apertura da parte delle autorità per la privacy dell’UE verso l’addestramento dell’IA conforme al GDPR, che potrebbe essere convalidata nell’attuale consultazione della CNIL sull’argomento.
Non c’è dubbio che la liceità dell’allenamento dell’IA e la sua conformità al GDPR possano essere meglio sostenute adottando un approccio più trasparente nei confronti degli individui per quanto riguarda:
- come vengono trattati i loro dati personali nell’ambito di questo processo,
- quale interesse legittimo è alla base del trattamento dei dati
- perché tale interesse legittimo è fondato, tenendo conto delle misure tecniche necessarie per ridurre al minimo il trattamento dei dati.
E quanto sopra può essere ulteriormente migliorato implementando soluzioni di legal design che sono sempre più sostenute dalle autorità per la protezione dei dati, in quanto aiutano gli utenti a capire effettivamente cosa viene eseguito e perché tale pratica è conforme.
Siamo a un punto cruciale per lo sviluppo dell’intelligenza artificiale nell’Unione europea: si dovrà trovare un compromesso, ma è richiesto uno sforzo da parte di tutte le parti coinvolte. Questa pratica è abbastanza nuova per le autorità per la privacy che sono abituate a far rispettare semplicemente la normativa. Tuttavia, l’intelligenza artificiale generativa sarà probabilmente la tecnologia più importante del secolo e merita un trattamento speciale.
Su un argomento simile può essere di interesse l’articolo “Meta sospende i suoi piani per addestrare i modelli di intelligenza artificiale con i dati personali degli utenti“.
Autore: Giulio Coraggio
