ChatGPT vs Garante della Privacy: cosa è successo? Breve resoconto della diatriba tra OpenAI e il Garante per la protezione dei dati personali del marzo/aprile 2023

La protezione dei dati è un diritto di libertà - Video del Garante della Privacy sul GDPR

Il 31 marzo 2023 il Garante per la Protezione dei Dati Personali (GPDP) ha aperto un'istruttoria e imposto una limitazione provvisoria del trattamento ad OpenAI L.C.C. Come molti sanno, OpenAI è la società proprietaria di ChatGPT, un chatbot basato sull’Intelligenza Artificiale capace di rispondere ai quesiti degli utenti con un linguaggio semplice e intuitivo.

La sera stessa, in conseguenza di questa limitazione, OpenAI ha bloccato l’uso del servizio dall’Italia, in modo da evitare il rischio di sanzione, mettendosi al tempo stesso al lavoro per trovare una soluzione tale da consentire al servizio di rispettare le indicazioni del Garante.

Parlare di "blocco del Garante a ChatGPT" è dunque una sintesi piuttosto superficiale della vicenda, con buona pace del titolo apposto dal Garante stesso nell'articolo pubblicato sul proprio sito web:

ChatGPT vs Garante della Privacy: cosa è successo?

In questo approfondimento cercheremo di far luce sulla vicenda, spiegando le ragioni alla base di questo "blocco" e le attività realmente compiute dalle parti coinvolte.

Cosa ha contestato il garante a ChatGPT?

Nel comunicato stampa del Garante si apprende che 11 giorni prima, ovvero il 20 marzo 2023, ChatGPT aveva subito un Data Breach a causa di un bug presente in una delle librerie open source utilizzate all’interno del codice. In conseguenza di questo Data Breach, alcuni utenti hanno potuto visualizzare i dati personali di una parte degli abbonati a ChatGPT Plus, la versione premium (a pagamento) del servizio.  Anche se OpenAI ha riferito che si è trattato di una percentuale esigua di utenti (1,2%), l’evento ha comunque una certa rilevanza giuridica, ed è stato l’occasione per portare alla ribalta il tema della sicurezza di un servizio largamente utilizzato anche in Italia.

Il Garante ha così aperto un’istruttoria, che ha portato alla luce le seguenti violazioni del Regolamento Europeo per la Protezione dei Dati (GDPR):

  • L’informativa sulla privacy è inadeguata, in quanto non contiene al suo interno alcuni dei requisiti formali richiesti dal GDPR, tra cui:
    • La base giuridica (non è chiaro a che titolo tratti i dati personali degli utenti);
    • L’indicazione dei tempi di conservazione dei dati personali;
    • Le garanzie circa il trasferimento dei dati personali presso paesi terzi, nello specifico negli Stati Uniti (questione comune a tutte le società americane dopo la Privacy Shield, che auspicabilmente sarà risolta con l’arrivo del Privacy Shield 2.0);
    • Non si dà la dovuta evidenza ai processi decisionali automatizzati (es. profilazione).
  • Il servizio non prevede meccanismi per evitare l’accesso ai minori di 13 anni, età minima per utilizzare ChatGPT (decisa peraltro in modo arbitrario dall’azienda stessa).

Queste mancanze, malgrado il parere espresso da molti appassionati di nuove tecnologie, non sono una trovata goliardica del Garante, o un modo per rendersi protagonista di un dibattito sull’Intelligenza Artificiale: si tratta di violazioni del diritto degli interessati, ovvero di ciò che il GDPR è nato per difendere. E’ con questo obiettivo che il garante ha disposto la limitazione provvisoria al trattamento, la quale - è importante precisare - non è un blocco: vediamo perché.

Limitazione o blocco?

Il GDPR definisce la limitazione come “il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro” (Art. 4 GDPR). Ciò significa, in pratica, che chi si occupa di programmazione e sviluppo dei sistemi informativi deve prevedere la possibilità di “contrassegnare” i dati personali memorizzati, distinguendoli dagli altri dati, così da poterli bloccare in caso venga disposto un provvedimento di limitazione.

La limitazione non è dunque un blocco totale del servizio, ma un impedimento al solo utilizzo dei dati personali: in linea teorica, se ChatGPT fosse stata sviluppata in modo da avere questo “contrassegno”, OpenAI avrebbe potuto mantenere attivo il servizio, limitandosi a disattivare l’utilizzo di questa particolare tipologia di dati. Del resto, questo tipo di attenzione durante lo sviluppo è ciò che il GDPR richiede quando, nell’articolo 25, parla del concetto di Privacy by Design.

Ovviamente, se non si ha la possibilità di adeguarsi a questa limitazione, o si ritiene il caso di non rischiare (così da non incorrere nelle pesanti sanzioni previste dal GDPR), è ragionevole pensare di risolvere il problema alla radice, ovvero disponendo il blocco del proprio servizio. Ed è proprio quello che è successo, per volontà stessa di OpenAI, fermo restando che il blocco ha riguardato soltanto la parte pubblicamente accessibile del servizio (ovvero la chat a schema libero), mentre i servizi business, offerti tramite API, sono rimasti funzionanti.

Adesso che abbiamo compreso la differenza tra limitazione e blocco, e chiarito chi ha disposto realmente il blocco, cerchiamo di comprendere i motivi che possono spingere una big company come OpenAI a rispondere a una istruttoria di un’autorità garante con un blocco anziché con un adeguamento.

Le motivazioni del blocco

La prima ragione l’abbiamo già anticipata: il blocco del servizio consente di non incorrere in sanzioni, che (nel caso del GDPR) sono particolarmente onerose. Del resto, la “pesantezza” delle sanzioni del GDPR è una delle principali caratteristiche del regolamento, che si pone proprio l’obiettivo di evitare che la multinazionale di turno preferisca “pagare” la multa anziché mettersi in regola (cosa che spesso accade con le società di telecomunicazioni italiane - antitrust, concorrenza sleale, etc).

Ma c’è anche un’altra ragione che chi studia comunicazione non può ignorare: nel momento in cui una multinazionale che opera a livello mondiale decide di ritirarsi selettivamente dal mercato di un singolo paese, incolpando in modo più o meno diretto ll’autorità pubblica di turno, avviene inevitabilmente un fenomeno di mobilitazione da parte degli utenti affezionati a quel servizio. Questi ultimi, non di rado, diventano dei veri e propri “avvocati social”, scagliandosi in modo spesso anche molto veemente contro lo Stato cattivo che, unico al mondo, si rende “ridicolo” agli occhi del pianeta vietando un servizio che funziona benissimo ovunque. Se avete seguito questa vicenda su social network come Twitter o su TikTok è probabile che vi siate imbattuti voi stessi in una sequela di interventi piuttosto infervorati in cui il Garante Italiano, e con lui l’Italia intera, veniva descritto come lo zimbello dell’occidente: per non parlare di chi ha direttamente messo in mezzo medioevo, censura, il processo a Galileo, e chi ne ha più ne metta.

A ben vedere si tratta di approccio deleterio, in quanto sottintende che un servizio innovativo gestito da privati possa operare solo se sollevato dall’obbligo di rispettare le regole basilari di trasparenza e rispetto dei diritti - le quali vengono a torto considerate una forma di "censura contro il progresso". Un atteggiamento che, negli ultimi anni, abbiamo visto assumere spesso nei confronti di di una serie di realtà che hanno visto una enorme affermazione a livello mondiale ma che si sono rivelate tanto innovative nel servizio quanto problematiche nella modalità di erogazione dello stesso, tra cui:

  • le piattaforme di food-delivery e il loro tentativo di imporre una concezione quantomeno "discutibile" di lavoro autonomo, che non di rado si è tradotta in evidenti casi di sfruttamento;
  • le piattaforme di affitto e le conseguenze nefaste del loro operato non regolamentato (aumento vertiginoso degli affitti nelle città turistiche, agevolazione dell'evasione fiscale da parte dei proprietari, etc);
  • la grande distribuzione online, anch'essa grande protagonista di episodi di sfruttamento del lavoro nonché di mancato pagamento delle tasse;
  • la mobilità sostenibile, che ha portato a una liberalizzazione forzata (e non sempre sufficientemente regolamentata) di alcuni mercati, nonché all'aumento vertiginoso degli incidenti legati all'utilizzo dei nuovi veicoli (monopattini elettrici);
  • il mercato degli NFT, a metà tra una bolla speculativa e un vero e proprio scam;

E l'elenco potrebbe continuare: sfortunatamente, considerando la rapidità dello sviluppo di questa new economy e la lentezza del legislatore, episodi di questo tipo continueranno quasi certamente a verificarsi anche nei prossimi anni, dando sicuramente vita ad altri scontri che vedranno contrapporsi da un lato i sostenitori dell'innovazione a tutti i costi (anche quando finisce per rivelarsi disruptive), dall'altro gli organismi, enti e organizzazioni a difesa dei diritti della persona - lavoratore, consumatore, o, come in questo caso, soggetto interessato o comunque coinvolto da un trattamento compiuto in modo illecito.

Lo sforzo che dobbiamo fare in questi casi, come professionisti dell’informazione prima ancora che dell’informatica, è comprendere la profonda differenza tra questo tipo di pretese - evidentemente a difesa di precisi interessi privati - e le storiche battaglie sulla libertà di espressione e sulla libera circolazione dei contenuti (Open Source, Open Access, Open Content) combattute a partire dagli anni '80 da fondazioni e organizzazioni no profit (Free Software Foundation, GPL, etc.) - le quali riguardavano, non a caso, un interesse collettivo che andava a contrapporsi alle logiche di profitto messe in campo dalle grandi aziende.

Problematiche sociali

Tornando a ChatGPT, la realtà è che questo tipo di servizi, di cui ci siamo riempiti in questi ultimi anni e ancor più ci riempiremo in futuro, pongono enormi questioni tecnologiche, etiche, sociali, e addirittura ambientali: ChatGPT consuma infatti una quantità di energia enorme, equivalente a quella consumata da oltre 100.000 persone nella stessa unità di tempo, con un carbon footprint notevole.

Questo, ovviamente, non significa che dobbiamo fare a meno di questo servizio o dell’intelligenza artificiale: come tutte le grandi innovazioni, però, occorre trovare il modo di compensare i loro svantaggi. Per questo motivo la regolamentazione non è più rimandabile, e da questo punto di vista l’intervento del Garante è senz’altro corretto: non si tratta di un provvedimento “anacronistico” o contrario all’innovazione, ma della necessità di fare in modo che questi prodotti vengano sviluppati in modalità privacy by design, ovvero nel rispetto dei diritti dei cittadini dei paesi in cui operano.

Epilogo (per ora)

A dispetto delle premesse, la storia si è (momentaneamente) conclusa con un lieto fine: a fine aprile ChatGPT ha riaperto il servizio di chat in Italia, inviando al Garante una nota nella quale illustra le misure introdotte in ottemperanza alle richieste. In dettaglio:

  • E’ stata pubblicata una nuova informativa, rivolta sia agli utenti che ai non utenti, per illustrare quali dati personali e con quali modalità sono trattati per l’addestramento degli algoritmi e per ricordare che chiunque ha diritto di opporsi a tale trattamento;
  • L’informativa riservata agli utenti è stata resa più accessibile, con possibilità di leggerla a partire dalla maschera di registrazione (ovvero prima che l’utente si registri al servizio);
  • E’ stato riconosciuto il diritto di opposizione a tutte le persone che vivono in Europa, anche non utenti, esercitabile attraverso un apposito modulo compilabile online e facilmente accessibile;
  • E’ stata aggiunta una funzionalità che consente agli interessati di cancellare le informazioni errate che li riguardano, dichiarandosi, allo stato, tecnicamente impossibilitata a correggere tali errori;
  • E’ stata dichiarata la base giuridica, chiarendo che i dati personali sono trattati ai fini dell’addestramento degli algoritmi sulla base del legittimo interesse;
  • E' stato aggiunto, per gli utenti già registrati, un pulsante attraverso il quale è necessario dichiarare di essere maggiorenni, ovvero ultratredicenni con il consenso dei genitori;
  • E' stata aggiunta, per i nuovi utenti, lla richiesta della data di nascita, prevedendo un blocco alla registrazione per gli utenti infratredicenni e prevedendo, per gli utenti ultratredicenni ma minorenni, il consenso obbligatorio dei genitori all’uso del servizio.

Il Garante, in un comunicato del 28 aprile, ha riconosciuto i passi in avanti compiuti da OpenAI con queste modifiche, auspicando che la società prosegua lungo questo percorso di adeguamento alla normativa Europea sulla protezione dati.

Conclusioni

Come tutte le vicende complesse, non è facile trarre delle conclusioni apodittiche: il Garante ha fatto bene? Ha sbagliato? Gli adeguamenti hanno davvero migliorato i diritti dei cittadini Europei o sono soltanto uno specchietto per le allodole e in realtà è tutto uguale a prima?

Per come la vediamo noi, da sviluppatori che maneggiano dati personali da molti anni, anche se il Garante avesse bloccato ChatGPT per i motivi sbagliati, il fatto che qualcosa di pubblico sia ancora in grado di costringere una multinazionale privata ad adeguarsi (almeno formalmente) a una normativa vigente è indubbiamente una buona notizia. Ciò che dobbiamo augurarci - e non sarà facile, considerando le cifre stellari e gli interessi che guidano lo sviluppo di questi servizi - è che l’innovazione tecnologica proceda di pari passo con l’innovazione giuridica, ovvero nel rispetto dei diritti dell'individuo e della collettività.

Questo articolo fa parte di una serie di approfondimenti e riflessioni sul GDPR e sulle modalità di applicazione del Nuovo Regolamento Europeo della Protezione dei Dati in Italia, con focus specifico sulla compliance rispetto alla normativa previgente in materia civile e penale. Leggi gli altri articoli.

Hai bisogno di organizzare un corso per te o per la tua azienda? Consulta il programma del nostro Corso di Formazione su GDPR e Privacy e/o chiedici un preventivo senza impegno!

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane. Microsoft MVP for Development Technologies dal 2018.

View all posts by Ryan

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Il periodo di verifica reCAPTCHA è scaduto. Ricaricare la pagina.

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.