OpenAI è stata accusata di aver violato la privacy dell’Unione Europea, a seguito di un’indagine durata diversi mesi da parte dell’autorità italiana per la protezione dei dati sul suo chatbot AI, ChatGPT.
I dettagli della bozza di conclusioni dell’autorità italiana non sono stati resi noti. Ma il Garante ha dichiarato oggi che OpenAI ha ricevuto una notifica e ha 30 giorni di tempo per rispondere alle accuse.
OpenAI potrebbe dover cambiare il modus operandi
Le violazioni confermate del regime paneuropeo possono comportare multe fino a 20 milioni di euro, o fino al 4% del fatturato annuo globale. Per un gigante dell’intelligenza artificiale come OpenAI, le autorità per la protezione dei dati (DPA) possono emettere ordini che richiedono modifiche alle modalità di trattamento dei dati per porre fine alle violazioni confermate.
Quindi l’azienda potrebbe essere costretta a cambiare il proprio modo di operare. O a ritirare il servizio dagli Stati membri dell’UE in cui le autorità per la privacy cercano di imporre cambiamenti che non gradisce.
Si discute la legalità dell’addestramento dei modelli di intelligenza artificiale
L’autorità italiana ha sollevato dubbi sulla conformità di OpenAI al Regolamento generale sulla protezione dei dati (GDPR) lo scorso anno, quando ha ordinato un divieto temporaneo sul trattamento dei dati locali di ChatGPT, che ha portato alla sospensione temporanea del chatbot AI sul mercato.
Il provvedimento del Garante del 30 marzo a OpenAI, alias “registro dei provvedimenti”, ha evidenziato sia la mancanza di un’adeguata base giuridica per la raccolta e il trattamento dei dati personali ai fini dell’addestramento degli algoritmi alla base di ChatGPT, sia la tendenza dello strumento di intelligenza artificiale ad “avere allucinazioni” (cioè a produrre informazioni imprecise sulle persone) – come tra le sue questioni di preoccupazione in quel momento. L’autorità ha inoltre segnalato come problema la sicurezza dei bambini.
In totale, l’autorità ha dichiarato di sospettare che ChatGPT violi gli articoli 5, 6, 8, 13 e 25 del GDPR.
Le indagini italiane in corso dal 2023
Nonostante l’identificazione di questa lista di sospette violazioni, OpenAI è stata in grado di riprendere il servizio di ChatGPT in Italia in tempi relativamente brevi l’anno scorso, dopo aver preso provvedimenti per risolvere alcuni problemi sollevati dalla DPA.
Tuttavia, l’autorità italiana ha dichiarato che avrebbe continuato a indagare sulle sospette violazioni. Ora è giunta alle conclusioni preliminari che lo strumento viola la legge dell’UE.
Ci vuole una base giuridica solida
Sebbene l’autorità italiana non abbia ancora detto quali delle sospette violazioni di ChatGPT abbia confermato in questa fase, la base legale che OpenAI rivendica per l’elaborazione dei dati personali per addestrare i suoi modelli di intelligenza artificiale sembra essere una questione particolarmente cruciale.
Questo perché ChatGPT è stato sviluppato utilizzando masse di dati estrapolati dalla rete Internet pubblica – informazioni che includono i dati personali delle persone. Il problema che OpenAI deve affrontare nell’Unione Europea è che il trattamento dei dati dei cittadini dell’UE richiede una base giuridica valida.
ChatGPT deve iniziare a chiedere il consenso
Dato che il gigante dell’intelligenza artificiale non ha mai cercato di ottenere il consenso degli innumerevoli milioni (o addirittura miliardi) di utenti del web di cui ha ingerito ed elaborato le informazioni per la creazione di modelli di intelligenza artificiale, qualsiasi tentativo di sostenere di avere il permesso degli europei per l’elaborazione sembra destinato a fallire.
E quando OpenAI ha rivisto la sua documentazione dopo l’intervento del Garante lo scorso anno, è sembrato che cercasse di fare affidamento su una base giuridica di legittimo interesse. Tuttavia, questa base giuridica richiede ancora che il responsabile del trattamento dei dati consenta agli interessati di sollevare un’obiezione – e di far cessare il trattamento dei loro dati.
Ma come fermare questo vizio dell’AI?
Come OpenAI possa fare questo nel contesto del suo chatbot AI è una questione aperta.
In teoria, potrebbe richiedere di ritirare e distruggere i modelli addestrati illegalmente e di riaddestrarne di nuovi senza che i dati dell’individuo che ha sollevato l’obiezione siano presenti nel pool di addestramento, ma, supponendo che sia in grado di identificare tutti i dati trattati illegalmente su base individuale, dovrebbe farlo per i dati di ogni singola persona dell’UE che ha sollevato l’obiezione e che gli ha detto di fermarsi, il che è straordinariamente costoso.
La questione è addirittura più spinosa
Al di là di questa spinosa questione, c’è da chiedersi se il Garante concluderà che il legittimo interesse è una base giuridica valida in questo contesto.
Ad oggi, ciò sembra molto improbabile. Perché il LI non è un sistema libero.
Richiede ai responsabili del trattamento di bilanciare i propri interessi con i diritti e le libertà delle persone i cui dati vengono trattati, e di considerare aspetti quali se le persone si sarebbero aspettate l’uso dei loro dati e il potenziale per causare loro un danno ingiustificato. (Se non se l’aspettavano e c’è il rischio di un tale danno, il trattamento non sarà considerato una base giuridica valida).
Il trattamento dati deve essere necessario
Il trattamento deve inoltre essere necessario, senza che vi siano altri modi meno invasivi per il responsabile del trattamento dei dati per raggiungere il proprio scopo.
In particolare, la Corte Suprema dell’UE ha precedentemente ritenuto che gli interessi legittimi siano una base inappropriata per Meta per effettuare il tracciamento e la profilazione delle persone per gestire la sua attività di pubblicità comportamentale sui suoi social network.
C’è quindi un grosso punto interrogativo sull’idea che un altro tipo di gigante dell’IA cerchi di giustificare l’elaborazione dei dati delle persone su vasta scala per costruire un’attività commerciale di IA generativa – soprattutto quando gli strumenti in questione generano ogni sorta di nuovi rischi per le persone nominate (dalla disinformazione e dalla diffamazione al furto di identità e alla frode, per citarne alcuni).
Cosa ci possiamo aspettare?
Un portavoce del Garante ha confermato che la base giuridica per il trattamento dei dati delle persone per l’addestramento dei modelli rimane nel mix di ciò che è sospettato di violare ChatGPT. Ma non ha confermato esattamente quale (o quali) articolo (o articoli) sospetta OpenAI di aver violato a questo punto.
Inoltre, l’annuncio odierno dell’autorità non è ancora l’ultima parola, poiché attenderà anche la risposta di OpenAI prima di prendere una decisione definitiva.
OpenAI avrà 30 giorni di tempo per comunicare le proprie memorie difensive sulle presunte violazioni.