Il recente divieto di ChatGPT in Italia ha attirato molta attenzione da parte dei media e una discreta quantità di critiche da parte degli appassionati di tecnologia. La scorsa settimana, il Comitato europeo per la protezione dei dati (l'istituzione dell'UE in cui siedono tutti i guardiani della privacy) ha istituito una task force sul caso ChatGPT e le cose si sono fatte ancora più interessanti.
(Aggiornamento: dal 29 aprile ChatGPT è di nuovo disponibile in Italia. L'autorità italiana per la protezione dei dati non ha ancora pubblicato nuove decisioni su ChatGPT, ma ha reso disponibile un comunicato stampa ).
Questa task force potrebbe essere un grosso problema. Le questioni legali sollevate da ChatGPT non sono uniche: infatti, la maggior parte di esse sono comuni alle IA generative. Dato il coinvolgimento dell'EDPB, il caso ChatGPT avrà probabilmente un impatto significativo sul futuro delle IA generative nell'UE. Vediamo quindi cosa è successo esattamente e quali sono le questioni legali in gioco.
Immergiamoci!
La storia fino ad ora
Il 30 marzo, dopo un'indagine di propria iniziativa, il Garante italiano per la protezione dei dati personali (GPDP) ha pubblicato una decisione urgente per bloccare provvisoriamente l'attività di ChaptGPT sul territorio italiano. L'autorità ha poi annunciato di essere in contatto con il proprietario di ChatGPT, Open AI, e di aver discusso i possibili modi per rendere ChatGPT conforme al GDPR.
L'11 aprile il GPDP ha pubblicato un'altra decisione provvisoria su ChatGPT. La decisione ordinava a OpenAI di implementare diverse misure di conformità e prometteva che il divieto sarebbe stato revocato se la società si fosse conformata entro il 30 aprile.
Laseconda decisione non è un via libera per ChatGPT. La prima decisione derivava da una procedura d'urgenza piuttosto che da un'indagine approfondita. Il GPDP può indagare ulteriormente sul trattamento dei dati di ChatGPT ed emettere nuove decisioni, se necessario.
Infine, il 14 aprile l'EDPB ha annunciato la creazione di una task force per affrontare il caso di ChatGPT. La task force lavorerà per trovare un terreno comune tra le autorità sulle questioni legali sollevate dal caso ChatGPT. Poiché le stesse autorità di protezione dei dati sono coinvolte nella task force, il suo lavoro avrà un impatto sulla gestione dei casi futuri in tutta Europa.
Aggiornamento: il divieto è stato revocato dal 29 aprile. Il GPDP ha dichiarato in un comunicato stampa che OpenAI è riuscita a soddisfare alcune delle sue richieste, tra cui l'implementazione di sistemi per soddisfare le richieste di opt-out dal trattamento dei dati per la trasformazione del modello di intelligenza artificiale, nonché le richieste di cancellazione dei dati inesatti. Altri requisiti devono ancora essere soddisfatti, tra cui l'implementazione di un sistema di verifica dell'età più robusto.
Il GDPD fa inoltre notare che la sua indagine su ChatGPT è ancora in corso.
Quali sono i problemi legali di ChatGPT?
Le decisioni del GPDP sono piuttosto concise, come è consuetudine per le procedure d'urgenza. Per questo motivo, esamineremo i problemi evidenziati dal GPDP da una prospettiva ampia e vedremo cosa significano per le IA generiche in generale.
Prima di entrare nel vivo della questione, ricordiamo che ChatGPT tratta i dati di due categorie di persone (o soggetti interessati, nel gergo legale). ChatGPT è stato addestrato (e viene costantemente ri-addestrato) sia sulla base delle sue conversazioni con gli utenti sia su un database più ampio precedentemente raccolto da Internet. Il database è la fonte dei problemi più gravi, perché i dati appartengono a milioni di persone che non hanno nulla a che fare con ChatGPT.
Base legale
Il problema principale è la mancanza di una base legale. Come spiega il nostro blog, se trattate dati personali, avete bisogno di una base giuridica ai sensi del GDPR - essenzialmente una giustificazione legale.
I dati degli utenti non sono un grosso problema perché basta raccogliere il consenso (OpenAI non è riuscito a farlo, ma si può rimediare facilmente). Il vero problema è rappresentato da tutti gli altri, e per tutti intendiamo il mondo intero.
Secondo le FAQ di OpenAI, ChatGPT è stato addestrato su "vaste quantità di dati da Internet scritti da esseri umani, incluse le conversazioni". Le FAQ suggeriscono che ChatGPT non effettua lo scraping di Internet ora, ma lo ha fatto fino al 2021 (o, per lo meno, che è stato alimentato con dati scrapati fino a quell'anno). In conclusione, ChatGPT potrebbe trattare i dati personali di chiunque abbia scritto contenuti su una pagina web pubblicamente accessibile fino al 2021.
Si tratta di molti dati personali e di una grande responsabilità per Open AI. Non è facile per un'azienda trovare una base legale per elaborare tonnellate di dati di persone che non hanno nulla a che fare con i suoi servizi. Ecco perché le basi legali sono un grosso problema per le IA generative in generale.
Quale potrebbe essere la soluzione? Il consenso è ovviamente fuori questione, dato il numero di persone interessate. Lo stesso vale per la base giuridica del contratto, dato che la maggior parte degli interessati non utilizza Chat GPT.
Sulla base della seconda decisione1, riteniamo che il GPDP stia valutando il legittimo interesse. L'interesse legittimo è una base giuridica complicata perché richiede che il responsabile del trattamento dei dati garantisca che il trattamento sia fondamentalmente equo, se necessario, implementando garanzie per i diritti degli interessati. Questi requisiti non sono banali quando si ha a che fare con un'intelligenza artificiale con scatola nera, quindi sarà interessante vedere quali soluzioni proporrà OpenAI.
Trasparenza
Il GPDP ha sottolineato che ChatGPD non ha fornito agli interessati le informazioni sulla privacy. Anche in questo caso, si tratta di un problema facilmente risolvibile per gli utenti e non altrettanto facilmente risolvibile per tutti gli altri, perché OpenAI deve raggiungere un pubblico massiccio. Come sottolineato dal GPDP, OpenAI dovrà probabilmente coinvolgere i media per una campagna informativa su larga scala.
Ma che dire di tutte le altre IA generative? Dovrebbero fare tutte la stessa cosa? Per quanto possa sembrare sciocco, dobbiamo aspettarci un futuro in cui ogni annuncio sui giornali sia un avviso sulla privacy per qualche IA?
Esercitare i diritti sui dati
Le informative sulla privacy sono importanti perché indicano quali sono i diritti dell'utente (ad esempio, accedere ai propri dati o cancellarli) e come esercitarli. Nella sua seconda decisione, il GPDP ha ordinato a OpenAI di fornire agli interessati un modo per esercitare tali diritti. Non sarà una cosa banale, soprattutto per quanto riguarda i milioni di non utenti i cui dati vengono trattati.
Un problema in qualche modo simile è emerso nell'era pre-GDPR, quando le persone hanno iniziato a chiedere a Google di eliminare i loro dati personali da Google Search. È così che abbiamo avuto Google Spain, una sentenza storica della Corte di giustizia dell'UE che ha rafforzato il diritto alla cancellazione nella legge sulla privacy dell'UE.
L'applicazione rigorosa del diritto alla cancellazione e di altri diritti degli interessati potrebbe contribuire ad alleviare alcuni dei problemi di privacy sollevati dalle IA. Ma con Google Search è possibile digitare il proprio nome e vedere cosa viene fuori. Con le IA le cose non sono così semplici.
Supponiamo che si chieda a OpenAI di accedere ai propri dati personali. ChaptGPT dovrà innanzitutto recuperare tutti i vostri dati personali dal dataset. La definizione di dati personali data dal GDPR è piuttosto ampia, quindi per recuperare i vostri dati non basterà filtrare il dataset in base al vostro nome o ad altri identificatori (ad esempio, il nome utente di un forum). Saranno necessari approcci tecnici più sofisticati e, con ogni probabilità, non sarà possibile garantire che ChatGPT recuperi accuratamente tutti i vostri dati personali.
Dovremmo forse pensare che se un'intelligenza artificiale avanzata come ChatGPT non è in grado di riconoscere alcuni dati come dati personali, allora non trattarli come tali è abbastanza sicuro nella pratica? Questo approccio pragmatico non sembra troppo negativo e potrebbe persino avere senso da un punto di vista legale2.
Ma ChatGPT diventa ogni giorno più intelligente e amplia costantemente il suo set di dati parlando con i suoi utenti. Solo perché oggi non è in grado di riconoscere alcuni dati come dati personali, non significa che non sarà in grado di farlo domani. Gli interessati dovrebbero inoltrare le richieste di accesso ogni giorno, per sicurezza? OpenAI dovrebbe scansionare periodicamente il dataset e aggiornare ogni singolo interessato che ha presentato una richiesta di accesso in passato?
Anche il diritto alla correzione e all'aggiornamento dei propri dati appare problematico. Tutti i dati del dataset di addestramento originale sono ormai obsoleti da due anni o più, il che non è un buon inizio.
Inoltre, sia i dati di input che quelli di output possono essere dati personali. Ciò significa che l'utente ha diritto a un risultato accurato per quanto riguarda i suoi dati personali. Ma come fareste a scoprire che qualcuno, da qualche parte, ha appreso informazioni inesatte su di voi attraverso ChatGPT? E come può OpenAI garantire che l'output di ChatGPT sia accurato quando cambia continuamente, anche in risposta a richieste identiche?
Anche l'autenticazione delle richieste sarà un rompicapo. Se qualcuno vi invia una richiesta di accesso ai suoi dati, dovete soddisfarla. Ma dovete anche assicurarvi che la richiesta provenga dall'effettivo interessato, per evitare di divulgare i suoi dati personali a qualcun altro. L'autenticazione di una richiesta può essere complicata, a maggior ragione quando l'interessato non ha nulla a che fare con il servizio che fornite (e non può essere obbligato a dimostrare la propria identità fornendo informazioni note, come le credenziali di accesso). OpenAI potrebbe presto dover gestire molte richieste di questo tipo, e non sarà una passeggiata.
Autenticazione minore
Il GPDP ha sottolineato che OpenAI non ha implementato l'autenticazione per età degli utenti, consentendo ai minori di 13 anni di utilizzare il servizio e di essere potenzialmente esposti a contenuti non adatti alla loro età. Questo probabilmente non è troppo rilevante per le IA in generale, ma vale comunque la pena menzionarlo per completezza.
La legge sull'IA aiuterà a risolvere questi problemi?
La ChatGPT solleva diverse questioni legali e sarà interessante vedere come la task force EDPB le affronterà. Ma, naturalmente, l'onere di regolamentare l'IA nell'UE non spetta solo all'EDPB.
L'UE sta lavorando a una proposta di regolamento nota come AI Act. La bozza prevede un'ampia serie di norme sull'IA, tra cui standard di qualità dei dati e obblighi di gestione dei rischi. L'imminente regolamento aiuterà a risolvere alcuni dei problemi di privacy sollevati dalle IA?
Probabilmente sì, in una certa misura. Ma non sarà la pallottola d'argento.
L'AI Act non è un GDPR per l'IA, per così dire. Non è una legge sulla privacy: il suo obiettivo principale è regolare il mercato dell'UE attraverso standard di sicurezza comuni per i prodotti di IA. Alcune disposizioni potrebbero rafforzare la privacy, ma non è questo il suo scopo principale.
Inoltre, gli obblighi più severi previsti dalla legge sono riservati a tipi specifici di sistemi di IA ad alto rischio, che nella bozza attuale non includono l'IA generativa.
Nel prossimo futuro, tuttavia, il Parlamento europeo potrebbe spingere per una revisione della bozza di legge sull'IA al fine di includere le IA generative nella categoria ad alto rischio, come riportato da Euractiv. Il sistema di classificazione del rischio è uno dei punti più controversi della bozza di regolamento e il caso ChatGPT ha certamente avuto un impatto sul cambiamento di opinione del Parlamento.
Aggiornamento: il Parlamento europeo ha raggiunto un accordo provvisorio su una nuova bozza della proposta di legge sull'IA. La nuova proposta classifica le IA generative come ChatGPT come sistemi ad alto rischio.
Comunque sia, non dobbiamo aspettarci che l'AI Act risolva tutti i problemi di privacy sollevati dalle IA. Il GDPR sarà ancora fondamentale a questo proposito, il che rende ancora più importante il lavoro della task force dell'EDPB.
Conclusioni
Noi di Simple Analytics crediamo che la privacy sia importante. Per questo motivo ci sforziamo di spiegare le notizie sulla privacy in modo accurato e accessibile. Crediamo che non ci sarà un futuro favorevole alla privacy senza un pubblico consapevole della privacy.
Crediamo anche che tutti noi possiamo contribuire alla causa della privacy. Per questo motivo abbiamo creato uno strumento di analisi web per fornirvi tutti gli approfondimenti di cui avete bisogno, senza raccogliere dati personali e tracciare i visitatori. La privacy è la nostra priorità assoluta, ed è per questo che Simple Analytics è costruito per fare di più, con meno. Se vi sembra una buona idea, non esitate a provarci!
#1 La GPDP menziona che le persone interessate, compresi i non utenti, devono avere la possibilità di opporsi al trattamento. Questo è un buon suggerimento perché gli interessati hanno il diritto di opporsi solo quando il trattamento è basato su un interesse legittimo e in altre situazioni specifiche (cfr. art. 21 del GDPR). [^2]: È plausibile affermare che in questo scenario i dati non sono realmente dati personali ai sensi del GDPR. La nozione di dati personali ai sensi del GDPR è basata sul contesto, il che consente un ragionamento divertente. Se siete curiosi, consultate il Considerando 26 del GDPR e il commento di gdprhub.