Il Garante per la protezione dei dati personali ha recentemente rimosso il blocco provvisorio sull’utilizzo di ChatGPT in Italia.
ChatGPT (o chat Generative Pre-trained Transformer) è un chatbot ideato dalla società statunitense OpenAI per rispondere in modo colloquiale alle più varie esigenze degli utenti. A seconda degli input ricevuti, tale tecnologia è in grado di generare testi coerenti e appropriati grazie all’utilizzo di algoritmi di apprendimento automatico (LLM o Large Language Model). (Leggi anche il nostro articolo L’AI riproduce le voci umane: quali sono le implicazioni per la privacy).
ChatGPT è ad esempio capace di fornirci informazioni in modo diretto, rispondere a domande di follow up, rilevare gli errori nei testi o nei codici, riassumere, tradurre, fare indagini di mercato, eseguire debug e così via. Sa persino rifiutare eventuali richieste inappropriate. Insomma, più le domande da sottoporre allo strumento sono specifiche, più questo saprà esserci d’aiuto.
Le criticità associate a ChatGPT
Nonostante le sue capacità, c’è da considerare anche un altro lato della medaglia: l’utilizzo di ChatGPT ha sollevato alcune criticità.
Innanzitutto, il chatbot coglie i rapporti statistici tra le parole e non il loro significato, potendo quindi diffondere contenuti errati causando disinformazione. Inoltre, l’automatizzazione eccessiva dei processi lavorativi potrebbe comportare il taglio di molti posti di lavoro.
Essendo un software proprietario, (quasi) nessuno sa esattamente come funziona e questo determina poca trasparenza. I problemi annessi alla privacy sono evidenti considerata la grandissima quantità di dati personali raccolti e il pericolo costante di attacchi informatici.
Il provvedimento del Garante e il blocco di ChatGPT in Italia
Lo scorso 20 marzo è stato rilevato un data breach di ChatGPT, essendosi verificate due delle tre condizioni necessarie e sufficienti a configurare tale eventualità (perdita di riservatezza, integrità e disponibilità). Sono state infatti violate la riservatezza e la disponibilità dei dati personali degli interessati, a seguito di un data breach riguardante la compromissione di dati relativi ai pagamenti degli abbonati e alle informazioni fornite dagli utenti nelle conversazioni.
Il Garante ha così proceduto ad una verifica del servizio e della sua conformità al Regolamento europeo per la protezione dei dati personali (GDPR), arrivando a conclusione negativa. Il trattamento dei dati personali degli utenti e degli interessati era in contrasto con i principi del Regolamento.
Così, con il provvedimento n. 9870832 del 30 marzo, il Garante ha disposto misura cautelare d’urgenza volta a limitare i trattamenti svolti dalla società statunitense degli utenti situati nel territorio italiano, e il successivo primo aprile ha bloccato l’utilizzo di ChatGPT in Italia.
Le non conformità riguardavano principalmente l’assenza di adeguata informativa, di basi giuridiche legittime e di sistemi di age verification e il trattamento di dati spesso inesatti.
Le condizioni richieste dal Garante per sbloccare ChatGPT
Per riattivare l’utilizzo di ChatGPT in Italia, l’Autorità Garante ha stabilito nove condizioni che OpenAI doveva soddisfare:
- predisporre un’informativa web adeguata e accessibile da utenti registrati e non, consultabile sia prima della registrazione che dopo e trasparente nel delineare trattamenti, finalità e diritti spettanti agli interessati i cui dati sono stati raccolti e trattati;
- dare la possibilità ad utenti registrati e non di opporsi al trattamento dei propri dati personali svolti dalla società statunitense ai fini dell’addestramento degli algoritmi e dell’erogazione del servizio tramite compilazione di apposito modulo (esercizio del diritto di opposizione);
- dare la possibilità ad utenti registrati e non di ottenere la correzione, o addirittura la cancellazione, di eventuali dati personali trattati in maniera inesatta tramite apposito form;
- inserire un link all’informativa nel momento della registrazione o una schermata nel momento della riattivazione di ChatGPT con i rimandi alla nuova informativa sulla privacy;
- modificare le basi giuridiche del trattamento, eliminando ogni riferimento al contratto e assumendo al suo posto il consenso o il legittimo interesse;
- mettere a disposizione uno strumento per esercitare il diritto di opposizione al trattamento dei propri dati acquisiti al momento dell’utilizzo del servizio per l’addestramento degli algoritmi. In questo modo sono previste due forme di esercizio del diritto di opposizione: una se si è loggati, una se non si è loggati;
- inserire la richiesta a tutti gli utenti che si collegano dall’Italia di un age gate che escluda, sulla base dell’età dichiarata, gli utenti minorenni o gli ultraquattordicenni senza il consenso dei genitori. Questo rappresenta un primo passaggio, mentre il secondo lo troviamo al successivo punto 8;
- predisporre, entro quest’autunno, strumenti di age verification idonei, implementati e più sicuri da sottoporre al Garante. Questi dovranno essere in grado di verificare l’effettiva maggiore età degli utenti o la presenza del consenso dei genitori per gli utenti ultraquattordicenni;
- promuovere, entro metà maggio, una campagna di informazione per rendere consapevoli le persone dell’avvenuta raccolta dei loro dati personali ai fini dell’addestramento degli algoritmi e della presenza di nuove policy e strumenti di opposizione.
L’adempimento alle richieste del Garante da parte di OpenAI
OpenAI ha adempiuto a tutte le richieste del Garante e dal 28 aprile scorso ChatGPT è nuovamente disponibile per gli utenti italiani. Ha soddisfatto tutte le richieste del Garante, fornendo le indicazioni necessarie e anche delle informazioni aggiuntive. L’azienda ora è perfettamente trasparente nel delineare la propria policy di trattamento dei dati personali.
