GDPR Scuola

La bussola della privacy

Con ChatGPT inizia una nuova era, ma il Garante solleva questioni legate alla privacy

Nelle ultime settimane si è sentito spesso parlare di ChatGPT, nuova tecnologia rivoluzionaria di intelligenza artificiale.

Ma come funziona? Che cosa la rende diversa dalle altre forme di AI oggi diffuse in tutto il mondo?

ChatGPT è un modello di intelligenza artificiale sviluppato dalla società statunitense OpenAI.

Fa parte dei modelli GPT (Generative Pre-trained Transformer), basati sul machine learning, il cui scopo è “addestrare” i computer a imparare dai dati e a migliorare con l’esperienza, anziché essere appositamente programmati per riuscirci.

Questi modelli funzionano impiegando una tecnica di deep learning (o apprendimento profondo), che consiste nell’utilizzare una rete neurale per analizzare e capire il significato di un testo.

ChatGPT è stata resa pubblica nel novembre 2022.

Grazie alla sua potenza e alla sua facilità d’uso sta spopolando sul web, e molti utenti, compresi i minori, ne stanno scoprendo le potenzialità.

A che cosa serve ChatGPT

ChatGPT fa veramente tante, ma tante cose.

Può rispondere a domande, risolvere equazioni matematiche, scrivere testi, eseguire il debug (cioè eliminare gli errori di un programma) e correggere il codice, tradurre lingue, creare riepiloghi di testo, formulare raccomandazioni, classificare cose, e spiegare cosa fa qualcosa, come un blocco di codice.

In altre parole, semplifica la vita quotidiana delle persone.

Oggi, l’impiego dei chatbot è diventato molto comune, ma la maggior parte di essi dispone solo di una piccola selezione di risposte automatiche pre-programmate.

ChatGPT, invece, può rispondere direttamente a una domanda e adattarsi alla conversazione come potrebbe fare un essere umano.

La sospensione temporanea di ChatGPT da parte del Garante

Con il provvedimento dello scorso 30 marzo, il Garante della privacy ha disposto nei confronti di ChatGPT la imitazione provvisoria del trattamento dei dati personali degli utenti italiani.

Tale provvedimento, riportato anche nel comunicato del successivo 31 marzo, ha di fatto sospeso l’utilizzo di ChatGPT nel nostro Paese.

La motivazione? Mancanza di rispetto delle norme in materia di privacy, e soprattutto assenza di sistemi in grado di verificare l’età dei minori.

L’Autorità ha contestualmente aperto un’istruttoria.

Ad OpenAI sono stati dati 20 giorni di tempo per rispondere ai dubbi e alle perplessità del Garante, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.

L’antefatto

ChatGPT, lo scorso 20 marzo, aveva subito una perdita di dati (data breach) riguardanti le conversazioni degli utenti e le informazioni relative al pagamento degli abbonati.

Nel provvedimento di stop, il Garante ha rilevato “…la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, ma soprattutto l’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, allo scopo di “addestrare” gli algoritmi sottesi al funzionamento della piattaforma”.

Inoltre, sempre secondo l’Autorità, “…le informazioni fornite da ChatGpt non sempre corrispondono al dato reale, determinando quindi un trattamento di dati personali inesatto”.

In ultimo, nonostante – secondo i termini pubblicati da OpenAI – il servizio sia rivolto ai maggiori di 13 anni, il Garante ha evidenziato come “…l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti esponga i minori a risposte assolutamente inidonee rispetto al loro grado di sviluppo e autoconsapevolezza”.

La risposta di OpenAI al provvedimento del Garante

Nelle ore immediatamente successive allo stop, OpenAI si è detta disponibile a risolvere tutte le questioni sollevate dal Garante.

D’altronde, quel che il fondatore Sam Altman e i suoi hanno intuito, è che la mossa dell’Autorità può scatenare un effetto domino, in Europa e non solo.

Tant’è che dopo l’alt del Garante italiano – il primo al mondo a contestare a ChatGPT il mancato consenso all’uso dei dati personali per l’addestramento dell’intelligenza artificiale – altre Autorità hanno avanzato perplessità sulla questione privacy.

A cominciare dal Canada, che a sua volta ha fatto partire un’indagine a carico di OpenAI per raccolta, uso e diffusione di dati personali senza consenso.

In Francia, Irlanda e Germania i garanti stanno studiando il dossier italiano, e lo stesso sta accadendo in Giappone.

Il colloquio tra i vertici di OpenAI e il collegio del Garante della privacy italiano è avvenuto in videoconferenza.

In tale incontro la società statunitense, pur ribadendo di essere convinta di rispettare le norme in tema di protezione dei dati personali, ha confermato la volontà di collaborare con l’Autorità italiana con l’obiettivo di arrivare a una positiva soluzione delle criticità rilevate.

Il Garante, da parte sua, ha sottolineato come non vi sia alcuna intenzione di porre un freno allo sviluppo dell’AI e dell’innovazione tecnologica, ma ha ribadito l’importanza del rispetto delle norme poste a tutela dei dati personali dei cittadini italiani ed europei.

Come ha disposto l’Autorità nell’ultimo provvedimento emanato nei confronti di OpenAI, con alcuni miglioramenti e la certezza di una maggiore sicurezza in materia di protezione dei dati, l’intelligenza artificiale potrà di nuovo essere accessibile dal nostro Paese.

Gli interventi richiesti dal Garante – e che dovranno essere attuati entro il 30 aprile per sospendere l’efficacia del provvedimento di limitazione provvisoria – riguardano ad esempio:

La pubblicazione sul sito internet della società di un’informativa privacy chiara e completa
Il ricorso a strumenti attraverso i quali gli utenti possono esercitare il diritto di opposizione rispetto ai trattamenti dei propri dati da parte della società
L’introduzione di un “age gate” per limitare l’utilizzo del software da parte dei minori

Inoltre, entro il 15 maggio 2023, dovrà essere effettuata la promozione di una campagna sui principali media italiani, allo scopo di informare le persone dell’avvenuta probabile raccolta dei loro dati ai fini dell’addestramento degli algoritmi, dell’avvenuta pubblicazione sul sito internet della società di un’apposita informativa di dettaglio, e della messa a disposizione di uno strumento attraverso il quale tutti gli interessati potranno chiedere e ottenere la cancellazione delle proprie informazioni.

Infine, entro il 31 maggio 2023, dovrà essere sottoposto al Garante un piano per l’adozione di strumenti di “age verification”, idoneo a escludere l’accesso al servizio agli utenti infra tredicenni e a quelli minorenni, in assenza di un’espressa manifestazione di volontà da parte di chi esercita sugli stessi la responsabilità genitoriale.

L’implementazione del piano dovrà decorrere, al più tardi, dal 30 settembre 2023.

La posizione del Moige su ChatGPT

Siccome la questione sollevata dal Garante riguarda anche la sicurezza dei minori, è interessante approfondire la posizione del Movimento Italiano Genitori (Moige), secondo il quale manca un’informativa chiara e trasparente per la raccolta, l’archiviazione e l’utilizzo dei dati.

Il direttore generale del Moige, Antonio Affinita, ha dichiarato che molte persone stanno usando questa tecnologia, tra cui minori, attratte dall’intelligenza artificiale e dalla possibilità di creare contenuti in modo semplice.

Tuttavia, la mancanza di trasparenza richiede attenzione, soprattutto per quanto riguarda i ragazzi.

Affinita, in sostanza, è d’accordo con la posizione del Garante, e sostiene che le istituzioni e gli organi competenti dovrebbero accogliere l’appello dell’Autorità, e avviare le necessarie verifiche per garantire che chi sceglie di usare queste tecnologie lo faccia in modo consapevole.

Usufruire dei benefici del progresso tecnologico non significa vedere i propri diritti violati, o i propri dati personali utilizzati in modo poco trasparente.

Secondo Affinita è necessario introdurre regole e norme più chiare, nonché una maggiore informazione.

I prossimi sviluppi

Come si concluderà la vicenda che ha coinvolto ChatCPT e spinto l’Autorità a intervenire?

Per ora è difficile prevederlo. Di sicuro, fino ad ora la discussione ha generato gran fermento e mobilitazione.

I Garanti della privacy europei, riuniti nello European Data Protection Board (EDPB), hanno deciso di lanciare una task force su ChatGPT.

L’obiettivo è quello di promuovere la cooperazione e lo scambio di informazioni su eventuali iniziative per l’applicazione del Regolamento europeo condotte dalle Autorità di protezione dati.

Articolo scritto da:

Lucia Gamalero

Privacy Specialist
Responsabile GDPR Scuola

Pubblicato in : Dati Studenti

Iscriviti alla community di GDPR Scuola!

Riceverai aggiornamenti costanti sul GDPR tramite una newsletter settimanale e potrai usufruire di tante risorse utili per saperne di più sulla normativa!

Cliccando sul pulsante dichiaro implicitamente di avere un’età non inferiore ai 14 anni nonché di aver letto l’informativa sul trattamento dei dati personali reperibile alla pagina Privacy e note legali.

Iscriviti alla community di GDPR Scuola
e scarica subito i bonus a tua disposizione!

Cliccando sul pulsante dichiaro implicitamente di avere un’età non inferiore ai 16 anni nonché di aver letto l’informativa sul trattamento dei dati personali reperibile alla pagina Privacy e note legali.

La bussola della privacy