ChatGPT bloccata dal Garante Italiano e le criticità data protection delle AI generative
In data 31 marzo 2023 il Garante per la protezione dei dati personali, attraverso un comunicato, ha dichiarato di aver avviato un’istruttoria nei confronti di OpenAI L.L.C, società che cura la gestione di ChatGPT (noto software di intelligenza artificiale relazionale) e di aver disposto, d’urgenza, la misura della limitazione provvisoria del trattamento dei dati degli interessati stabiliti in Italia.
Secondo il Garante, ad oggi OpenAI raccoglie illecitamente i dati personali e non fornisce agli interessati le informazioni richieste dal Regolamento né utilizza sistemi adeguati alla verifica dell’età dei minori che la utilizzano. A queste considerazioni si aggiunge inoltre quanto emerso lo scorso 20 marzo, data in cui ChatGPT è stato oggetto di un “data breach”, subendo una perdita di dati riguardanti le conversazioni degli utenti e le info relative al pagamento degli abbonati.
Le criticità della AI generativa
Al di là del notevole impatto del provvedimento del Garante per tutti i soggetti italiani che, fino ad oggi, per lavoro o per ragioni personali, utilizzavano abitualmente questo strumento (al momento in cui si scrive disabilitato per gli utenti collegati dall’Italia), quanto accaduto porta a riflettere, in maniera critica, sull’utilizzo in generale della cosiddetta “AI generativa” in ambito lavorativo, spesso integrata con tool di utilizzo quotidiano il cui ricorso può presentare varie criticità, anche dal punto di vista data protection:
– È possibile, come nel caso di OpenAI, che non risulti chiara la modalità con cui venga effettuata la raccolta delle informazioni e dei dati personali né la base giuridica su cui l’azienda basi tale trattamento;
– Una seconda criticità è riscontrabile quando, utilizzando software come ChatGPT, lo strumento utilizzi le informazioni, tra cui i dati personali, non solo per le finalità determinate dall’utilizzatore (titolare del trattamento) e secondo gli input forniti dallo stesso, ma anche per altre finalità proprie del software, come ad esempio “addestrare” la stessa AI;
– Nel momento in cui non è possibile eliminare, dai sistemi della AI, alcuni “prompt” – ossia i comandi che un soggetto fornisce al sistema per recuperare alcune informazioni, poiché utili per il corretto funzionamento e aggiornamento – e non sia possibile definire delle modalità a mezzo delle quali l’utenza possa opporsi a tale conversazione, qualora i prompt contengano dati personali, ci si troverebbe davanti ad una violazione del GDPR, in quanto non garantirebbe agli interessati la possibilità di un corretto esercizio dei propri diritti;
– Un altro tema che merita verifica è quello relativo al trattamento dei dipendenti da parte dei sistemi di AI, come nel caso di ChatGPT. Nel caso in cui un dipendente utilizzi in maniera autonoma il sistema, si pone il problema di individuare quali dati inserire per completare la registrazione: il dipendente potrebbe utilizzare l’applicativo per finalità aziendali, collegandosi però con il proprio account e-mail personale, che verrebbe così trattato dal provider del servizio, aspetto problematico rispetto alla normativa in materia di protezione dei dati personali;
– Infine, resta, per tutti i provider extra Europei, il problema del luogo del trattamento, nel caso di OpenAI gli Stati Uniti, con il conseguente problema di verificare il meccanismo di trasferimento dei dati personali al di fuori dell’Unione Europea individuato dal fornitore.
A fronte delle criticità segnalate è quindi opportuno, qualora si intenda comunque utilizzare questa tipologia di servizi in abito lavorativo, procedere ad una analisi dei rischi e alla valutazione dei più opportuni adempimenti con il supporto dei propri consulenti privacy e Data Protection Officer.
Le prime valutazioni
L’Autorità italiana è stata la prima in Europa a adottare una decisione di questo tipo nei confronti di ChatGPT, a fronte di interventi di altre autorità di protezione dei dati che si sono invece concentrate più su una regolamentazione dei nuovi usi e sviluppi dell’AI che non sulla mera censura (vedasi ad esempio l’ICO, che ha recentemente aggiornato la sua “Guidance on AI and data protection”).
Ci si chiede però se in un ambito in cui le leggi, per loro natura, non riescono a tenere il passo di quanto si impongono di regolare, non sia più opportuno procedere, invece che con iniziative autonome di “sbarramento”, con un processo di regolamentazione coordinata da parte delle autorità, volto a impostare delle regole di base per un uso più consapevole – e rispettoso della privacy – di queste tecnologie: basti vedere la “corsa alle VPN” scatenatasi all’indomani del provvedimento del 31 marzo, che poco avrà giovato alla tutela dei dati personali trattati da ChatGPT.