ChatGPT, il software di intelligenza artificiale più popolare e più amato nel nostro Paese – ma forse, potremmo dire, nel mondo – ha temporaneamente dovuto salutare gli utenti italiani, su impulso del recente provvedimento del Garante Privacy. La decisione del Garante ha sollevato diverse polemiche, ed è stata giudicata da molti come una dimostrazione dell’arretratezza e della reticenza dell’Italia nell’approccio alle nuove tecnologie. Ma è davvero così? Il blocco di ChatGPT è davvero un passo indietro da condannare? Proviamo a capirlo insieme.
Intanto vi segnaliamo l’uscita del nuovo video con l’Avvocato Giuseppe Croari proprio su questa tematica:
Chi è il Garante Privacy e perché ha “bloccato” ChatGPT
Il Garante Privacy (o meglio, l’Autorità Garante per la Protezione dei Dati Personali) è un’autorità amministrativa indipendente istituita a fine anni ’90, che ha il compito di vigilare sul rispetto della normativa rilevante in materia di protezione dei dati personali. Dall’entrata in vigore del Regolamento generale sulla protezione dei dati personali (GDPR), l’autorità vigila in particolare anche sulla sua attuazione. Il Regolamento detta regole chiare e stringenti relativamente al trattamento dei dati personali, che devono essere rispettate da tutti gli operatori economici che, per finalità professionali, si trovino a trattare dati personali di cittadini europei.
Il Garante, dunque, ha ritenuto che i trattamenti di dati posti in essere dalla piattaforma non fossero conformi a quanto previsto dal GDPR ed ha dunque disposto, con Provvedimento del 30 marzo 2023, la limitazione provvisoria del trattamento dei dati degli utenti italiani, quale misura preventiva in attesa del completamento di verifiche più approfondite, nonché della presentazione da parte di OpenAI delle proprie controdeduzioni. Il provvedimento del Garante è argomentato sulla base di quattro temi distinti: l’assenza di un’informativa agli interessati; l’inesattezza dei dati trattati; l’assenza di una base giuridica che giustifichi la raccolta e conservazione massiccia di dati personali; l’assenza di meccanismi di verifica dell’età degli utenti.
Vediamoli uno ad uno.
1 – La mancanza di un’informativa agli interessati
Ai sensi dell’articolo 13 del GDPR, a fronte di qualsivoglia trattamento di dati personali, il Titolare del trattamento (ovvero il soggetto che determina finalità e mezzi del trattamento) è tenuto a fornire all’interessato (ovvero il soggetto al quale i dati trattati si riferiscono), un’informativa specifica (per scoprire come predisporre un’informativa a norma, clicca qui). Si tratta di quello che succede quando si naviga qualsiasi sito web e si prende visione della c.d. Privacy Policy, nella quale sono contenute (o dovrebbero essere contenute) l’indicazione dei mezzi, delle modalità, delle finalità e della base giuridica del trattamento, nonché i recapiti del Titolare e le categorie di dati trattati. Ebbene, nel caso di ChatGPT, il Garante ha constatato che «che non viene fornita alcuna informativa agli utenti, né agli interessati i cui dati sono stati raccolti da OpenAI, L.L.C. e trattati tramite il servizio di ChatGPT».
2 – L’assenza di una base giuridica del trattamento
Un’altra importante criticità rilevata dal Garante riguarda «l’assenza di idonea base giuridica in relazione alla raccolta dei dati personali e al loro trattamento per scopo di addestramento degli algoritmi sottesi al funzionamento di ChatGPT».
La straordinaria raffinatezza del sistema di ChatGPT si deve, in effetti, proprio all’allenamento dell’intelligenza artificiale e alla straordinaria quantità di parametri sui quali è in grado di fare affidamento per l’elaborazione delle proprie risposte. Il funzionamento di ChatGPT si fonda proprio sul suo addestramento a riconoscere sequenze linguistiche abituali e sulla sua conseguente capacità di formulare calcoli probabilistici relativi alle sequenze di parole adeguate a formare un testo di senso compiuto. Quindi, il perfezionamento del sistema di intelligenza artificiale di Chat GPT presuppone la raccolta del maggior numero di dati possibili. Ciò, secondo quanto è dato evincere dalle considerazioni del Garante, è probabilmente avvenuto anche a scapito della legalità del trattamento.
Ai sensi dell’articolo 6 del GDPR, il trattamento di dati personali è lecito solo se ricorre una delle seguenti condizioni (in termini tecnici, “basi giuridiche”): il consenso dell’interessato al trattamento; la necessarietà del trattamento per l’esecuzione di un contratto di cui l’interessato è parte; la necessarietà per l’esecuzione di un obbligo legale; la salvaguardia degli interessi vitali dell’interessato; l’esecuzione di un compito di interesse pubblico o l’esercizio di poteri pubblici del titolare; il perseguimento del legittimo interesse del titolare, «a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore».
Come anticipato, il Garante ha ritenuto dubbia la presenza di una base giuridica del trattamento in grado di garantire la liceità della massiccia raccolta di dati effettuata dalla società madre di ChatGPT, OpenAI.
3 – L’assenza di meccanismi di verifica dell’età degli utenti: ChatGPT come TikTok
Un ulteriore tema fondamentale è quello della verifica dell’età degli utenti che impiegano la piattaforma ChatGPT. I Termini d’Uso previsti dalla stessa società ideatrice della piattaforma prevedono chiaramente che il servizio fornito può essere impiegato esclusivamente da soggetti di età non inferiore ai 13 anni, ciò anche per il contenuto delle risposte potenzialmente generate dal software, spesso non adeguate al livello di comprensione e di consapevolezza dei più giovani.
Una problematica identica si era già presentata a cavallo tra il 2021 e il 2022 con riguardo a TikTok (ne avevamo già parlato qui), che parimenti prevedeva il limite dei 13 anni nei propri Termini e Condizioni, ma non offriva garanzie adeguate alla verifica e del rispetto di tale requisito. Anche in quel caso, il Garante ha vietato a TikTok di trattare dati personali di utenti dei quali non era evidentemente in grado di verificare l’età. Nonostante tale previsione, la piattaforma non presentava alcuna modalità efficace di verifica dell’età degli utilizzatori, sicché risultava più che probabile che tra di loro rientrassero anche ragazzi di età inferiore, esponendoli «a risposte assolutamente inidonee rispetto al grado di sviluppo e autoconsapevolezza degli stessi».
La peculiare disciplina del trattamento dei dati di soggetti minorenni
Al di là delle considerazioni etiche o fattuali, la questione dell’età minima degli utenti interessi dai trattamenti dati assume un particolare rilievo giuridico. Infatti, il GDPR reca una disciplina peculiare per il trattamento dei dati di soggetti minorenni: l’art. 8 prevede espressamene l’ipotesi del consenso del soggetto minorenne nell’ambito di servizi della società dell’informazione, stabilendo quale età minima per la prestazione del consenso al trattamento dei propri dati personali i 16 anni. Viene comunque fatta salva la possibilità, per gli Stati Membri, di stabilire limiti d’età più bassi, purché non inferiori ai 13 anni. L’Italia ha scelto quindi di sfruttare la possibilità offerta dalla normativa, sancendo che il minore può prestare il consenso al trattamento dei propri dati personali quando abbia compiuto 14 anni. Al di sotto di questa soglia, si renderà necessario l’intervento dell’esercente la responsabilità genitoriale, che potrà prestare il consenso in vece del figlio.
4 – L’inesattezza dei dati trattati
Infine, il Garante ha rilevato che «il trattamento di dati personali degli interessati risulta inesatto in quanto le informazioni fornite da ChatGPT non sempre corrispondono al dato reale». Complessivamente, quindi, le violazioni rilevate sono numerosissime: sarebbero rimasti disattesi i principi di liceità, correttezza e trasparenza dei confronti dell’interessato; le cautele imposte dalla normativa al trattamento dei dati di soggetti minorenni; nonché i principi di privacy by design e privacy by default, che richiedono al Titolare del trattamento di mettere in atto, già dalla progettazione degli strumenti impiegati per il trattamento, misure tecniche e organizzative adeguate ad attuare i principi dettati dalla normativa e a minimizzare la raccolta dei dati (ai sensi degli articoli 5, 6, 8, 13 e 25 del Regolamento per la protezione dei dati personali).
Che cosa accadrà a ChatGPT in Italia?
Le considerazioni suddette, elaborate ad esito di accurate indagini, hanno indotto il Garante a disporre in via d’urgenza di famigerato provvedimento che ha disposto la limitazione provvisoria del trattamento dei dati personali degli interessati stabiliti sul territorio italiano. Si tratta, tuttavia, di un provvedimento di natura cautelare, volto ad evitare l’aggravarsi di eventuali ulteriori violazioni della normativa vigente, nelle more del completamento dell’istruttoria da parte dell’Autorità. OpenAI, dal canto suo, ha 20 giorni di tempo dalla ricezione del Provvedimento per fornire elementi utili a giustificare le violazioni rilevate dal Garante, nonché per illustrare le proprie proposte per il loro superamento. Inoltre, la società ha anche la possibilità di proporre ricorso davanti al Tribunale competente per provare ad ottenere l’annullamento del provvedimento del Garante.
Qualora il proseguimento dell’istruttoria dovesse confermare i dubbi del Garante, la società correrebbe il rischio di incappare in pesanti sanzioni, che possono ammontare fino a 10 milioni di euro o fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore.
Le sfide in materia di protezione dei dati e intelligenze artificiali
Il Garante italiano è stato il primo ad occuparsi della legalità del trattamento di dati personali di ChatGPT, ma non si può escludere che questo provvedimento susciti un “effetto domino” nei confronti dei suoi omologhi europei. La protezione dei dati personali è infatti un diritto fondamentale, imprescindibile ai fini della costruzione di uno spazio digitale realmente libero e democratico, e i rischi presentati da acquisizioni di dati irrispettose della normativa in materia non vanno rispettati. Sulla necessità di non sottovalutare le problematiche connesse al mondo della privacy si esprime di sovente anche lo stesso Garante.
Estremamente eloquente, sul punto, la risposta fornita da Guido Scorza (membro del Garante) nel corso di un’intervista resa a La Stampa sul caso TikTok citato poc’anzi. In quell’occasione, Scorza rispondeva alle perplessità di chi criticava le migliorie richieste dal provvedimento perché asseritamente “inattuabili”, affermando: «E, poi, che mondo lasceremmo ai nostri figli se ci rassegnassimo a non cambiarlo e a non renderlo democraticamente più sostenibile solo perché ci fermiamo davanti a pretesi vincoli commerciali e/o tecnologici?».