A cura di Studio legale DGRS – Dipartimento ICT&IP
In data 31 marzo 2023, il Garante per la protezione dei dati personali, attraverso un comunicato, ha dichiarato di aver avviato un’istruttoria nei confronti di OpenAI L.L.C, società che cura la gestione di ChatGPT (noto software di intelligenza artificiale relazionale) e di aver disposto, d’urgenza, la misura della limitazione provvisoria del trattamento dei dati degli interessati stabiliti in Italia.
Secondo il Garante, ad oggi OpenAI raccoglie illecitamente i dati personali e non fornisce agli interessati le informazioni richieste dal Regolamento né utilizza sistemi adeguati alla verifica dell’età dei minori che la utilizzano. A queste considerazioni si aggiunge inoltre quanto emerso lo scorso 20 marzo, data in cui ChatGPT è stato oggetto di un “data breach”, subendo una perdita di dati riguardanti le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati.
ChatGPT appartiene ai modelli chiamati “GPT-3 (Generative Pre-trained Transformer 3)”, ossia modelli di intelligenza artificiale basati sul machine learning e caratterizzati da tecniche di apprendimento automatico e di tipo “non supervisionato”. I rischi e le criticità che potrebbe comportare l’impiego di tale tecnologia nel trattamento dei dati personali devono essere valutati attentamente sotto differenti punti di vista: tecnico, normativo, etico e non solo.
Tra le possibili criticità vale la pena ricordare che diverse autorità privacy europee si sono pronunciate in merito all’impiego della pratica del “web-scraping” da parte dei sistemi di intelligenza artificiale.
Un esempio per l’Italia è l’“Ordinanza ingiunzione nei confronti di Clearview AI” del 10 febbraio 2022, tramite cui la statunitense Clearview AI Inc. si è vista imporre una sanzione di 20 milioni di euro per aver popolato i propri database con immagini raccolte da Internet attraverso attività di scraping.
Il Garante si è inoltre già pronunciato sul chatbot “Replika” – dotato di una interfaccia scritta e vocale che basandosi sull’intelligenza artificiale generava un “amico virtuale” – mediante un provvedimento con cui ha disposto la limitazione provvisoria del trattamento dei dati nei confronti della società Luka Inc (si veda il Provvedimento del 2 febbraio 2023) a fronte dei rischi dei trattamenti effettuati sui minori e sulle persone “emotivamente fragili”.
Le criticità in materia di protezione dei dati personali della AI generativa
Tornando invece al provvedimento dello scorso 31 marzo, al di là del notevole impatto per tutti i soggetti italiani che, fino ad oggi, per lavoro o per ragioni personali, utilizzavano abitualmente questo strumento (al momento in cui si scrive disabilitato per gli utenti collegati dall’Italia 1), quanto accaduto porta a riflettere, in maniera critica, sull’utilizzo in generale della cosiddetta “AI generativa” in ambito lavorativo, spesso integrata con tool di utilizzo quotidiano2 il cui ricorso può presentare varie criticità, anche dal punto di vista data protection:
– È possibile, come nel caso di OpenAI, che non risulti chiara la modalità con cui venga effettuata la raccolta delle informazioni e dei dati personali né la base giuridica su cui l’azienda basi tale trattamento. Si ricorda che il trattamento è da ritenere lecito solo se il titolare identifica un’idonea base giuridica ex art. 6 del Regolamento (UE) 2016/679 e se informa correttamente gli interessati tramite un’informativa completa e trasparente (art. 13 del Regolamento (UE) 2016/679);
– Una seconda criticità è riscontrabile quando, utilizzando software come ChatGPT, lo strumento utilizzi le informazioni, tra cui i dati personali, non solo per le finalità determinate dall’utilizzatore (titolare del trattamento) e secondo gli input forniti dallo stesso, ma anche per altre finalità proprie del software, come ad esempio “addestrare” la stessa AI;
– Nel momento in cui non è possibile eliminare, dai sistemi della AI, alcuni “prompt”3 – ossia i comandi che un soggetto fornisce al sistema per recuperare alcune informazioni, poiché utili per il corretto funzionamento e aggiornamento – e non sia possibile definire delle modalità a mezzo delle quali l’utenza possa opporsi a tale conversazione, qualora i prompt contengano dati personali, ci si troverebbe davanti ad una violazione del GDPR, in quanto non garantirebbe agli interessati la possibilità di un corretto esercizio dei propri diritti;
– Un altro tema che merita verifica è quello relativo al trattamento dei dipendenti da parte dei sistemi di AI, come nel caso di ChatGPT. Nel caso in cui un dipendente utilizzi in maniera autonoma il sistema, si pone il problema di individuare quali dati inserire per completare la registrazione: il dipendente potrebbe utilizzare l’applicativo per finalità aziendali, collegandosi però con il proprio account e-mail personale, che verrebbe così trattato dal provider del servizio, aspetto problematico rispetto alla normativa in materia di protezione dei dati personali;
– Infine, resta, per tutti i provider extra Europei, il problema del luogo del trattamento, nel caso di OpenAI gli Stati Uniti, con il conseguente problema di verificare il meccanismo di trasferimento dei dati personali al di fuori dell’Unione Europea individuato dal fornitore.
A fronte delle criticità segnalate è quindi opportuno, qualora si intenda comunque utilizzare questa tipologia di servizi in abito lavorativo, procedere ad una analisi dei rischi e alla valutazione dei più opportuni adempimenti con il supporto dei propri consulenti privacy e Data Protection Officer.
I prossimi passi
L’Autorità italiana è stata la prima in Europa ad adottare una decisione di questo tipo nei confronti di ChatGPT, a fronte di interventi di altre autorità di protezione dei dati che si sono invece concentrate più su una regolamentazione dei nuovi usi e sviluppi dell’AI che non sulla mera censura (vedasi ad esempio l’ICO, che ha recentemente aggiornato la sua “Guidance on AI and data protection”, definendo l’intelligenza artificiale (AI), dal punto di vista data protection, come: “the theory and development of computer systems able to perform tasks normally requiring human intelligence”).
Inoltre, il 6 aprile 2023 il Garante, attraverso un comunicato, ha dichiarato di aver preso parte a un incontro in video conferenza, svoltosi in data 5 aprile 2023, al quale hanno partecipato anche i rappresentanti della società OpenAI L.L.C. La società statunitense ha confermato la volontà di collaborare con l’obiettivo di arrivare ad una positiva soluzione delle criticità rilevate dall’Autorità italiana riguardo a ChatGPT e si è impegnata ad inviare al Garante entro il 6 aprile un documento che indichi le misure che rispondano alle richieste dell’Autorità.
Il Garante si è riservato di valutare le misure proposte dalla società, anche riguardo al provvedimento adottato nei confronti di OpenAI.
1. Nell’immediatezza del provvedimento, e del conseguente blocco per il mercato italiano, OpenAI ha pubblicato il seguente comunicato per gli utenti in Italia: “Accesso a ChatGPT disabilitato per gli utenti in Italia: Caro utente di ChatGPT, Siamo spiacenti di informarti che abbiamo disabilitato l’accesso a ChatGPT per gli utenti in Italia su richiesta del Garante per la protezione dei dati personali. Il 1 aprile 2023 abbiamo emesso un rimborso per tutti gli utenti in Italia che hanno acquistato un abbonamento a ChatGPT Plus nel mese di marzo 2023. Abbiamo inoltre sospeso temporaneamente i rinnovi degli abbonamenti in Italia, in modo che agli utenti non venga addebitato alcun costo per il periodo in cui l’accesso a ChatGPT è sospeso. Ci impegniamo a proteggere la privacy delle persone e riteniamo di offrire ChatGPT in conformità con il GDPR e le altre leggi sulla privacy. Ci impegneremo con il Garante con l’obiettivo di ripristinare l’accesso a ChatGPT il prima possibile. Molti di voi ci hanno detto di trovare ChatGPT utile per le attività quotidiane e ci auguriamo di poterlo rendere nuovamente disponibile al più presto. Se hai domande o dubbi riguardanti ChatGPT o il processo di rimborso, abbiamo preparato un elenco di Domande Frequenti con le relative risposte. — The OpenAI Support Team.”
2. La stessa OpenAI già aveva annunciato il lancio di diversi plugin che permettono a ChatGPT di recuperare informazioni da fonti online e di interagire con alcuni servizi di terze parti, quali: Zapier, Slack, Shopify, ecc.. Alcuni di questi tool hanno già integrato i propri accordi privacy, indicando OpenAI tra i sub-responsabili del trattamento (si veda ad esempio Zapier).
3. OpenAI ha apertamente dichiarato, ad esempio, di non essere in gradi di effettuare questa operazione: https://help.openai.com/en/articles/6783457-chatgpt-general-faq
