Le nostre preoccupazioni rispetto a ChatGPT e privacy si sono concretizzate nel provvedimento con cui l’Autorità Garante ha bloccato i trattamenti dei dati degli utenti italiani operati da OpenAI, la società statunitense che ha sviluppato e gestisce la piattaforma di Intelligenza Artificiale (IA).
Le nostre preoccupazioni rispetto a ChatGPT e privacy (qui l’articolo) si sono concretizzate nel provvedimento con cui l’Autorità Garante ha bloccato, la scorsa settimana, i trattamenti dei dati degli utenti italiani operati da OpenAI, la società statunitense che ha sviluppato e gestisce la piattaforma di Intelligenza Artificiale (IA). L’Italia, però, non è l’unico Paese ad aver impedito l’uso dello strumento e stanno nascendo iniziative volte a sospendere le attività di sviluppo dei sistemi di IA. Si ripropone l’annoso dibattito fra innovazione tecnologica e protezione dei dati personali: difendere i diritti fondamentali delle persone significa scendere dal treno del futuro?
Il comunicato del Garante
Con il comunicato del 31 marzo, il Garante ha dichiarato di aver imposto una limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società statunitense che ha sviluppato e gestisce ChatGPT. L’Autorità ha deciso di aprire un’istruttoria per approfondire le non conformità e le vulnerabilità che caratterizzano il sistema di Intelligenza Artificiale. Ricordiamo che ChatGPT costituisce uno fra i più interessanti bot conversazionali, ovvero un chatbot che risponde agli utenti utilizzando il linguaggio naturale umano. Dalla data del suo lancio, il sistema, oggi giunto alla versione 4 (GPT-4), è stato il protagonista di una diffusione senza precedenti; diffusione che ha fatto emergere, da un lato, tutte le sue funzionalità e caratteristiche più innovative e, dall’altro lato, alcune, attualissime, minacce.
Fra le principali minacce vi rientra la protezione dei dati personali degli utenti.
La risposta di ChatGPT
ChatGPT ha quindi provveduto a disabilitare l’accesso al chatbot per gli utenti italiani, rimborsando gli abbonati e sospendendo il servizio “ChatGPT Plus”. Consultando la relativa pagina web, si legge che la società ha intenzione di impegnarsi per soddisfare le richieste dell’Autorità Garante e ripristinare l’accesso il prima possibile.
OpenAI, deve comunicare entro 20 giorni le misure intraprese in attuazione di quanto richiesto dal Garante, pena una sanzione fino a 20 milioni di euro o fino al 4% del fatturato globale annuo.
Le azioni prese da altri Paesi
Quello del Garante rappresenta il primo blocco al servizio ChatGPT attuato da un Paese facente parte dell’UE. Tuttavia non è il primo a livello assoluto: anche in Cina, Afghanistan, Bielorussia, Venezuela, Iran, Russia il servizio non è disponibile. Negli Stati Uniti diverse realtà, scuole comprese, hanno autonomamente deciso di proibire l’accesso al chatbot per questioni di privacy degli utenti.
Ci aspettiamo quindi che, al provvedimento del Garante, seguano interventi di blocco di altre Autorità europee. La commissione irlandese per la protezione dei dati ha dichiarato alla BBC che sta seguendo l’azione del Garante e che “si coordinerà con tutte le autorità di protezione dei dati dell’UE” in relazione al divieto. Anche l’ICO, Autorità indipendente di regolamentazione dei dati del Regno Unito, si è dichiarata pronta a “contestare il mancato rispetto” delle leggi sulla protezione dei dati.
Le azioni prese dalle associazioni
Nel frattempo, organizzazioni no-profit come il “Future of Life Institute” hanno lanciato un appello, sottoscritto da oltre un migliaio di illustri imprenditori e ricercatori, per sospendere di almeno sei mesi, le attività di sviluppo di sistemi di IA più performanti di ChatGPT-4.
“I sistemi di IA dotati di un'intelligenza competitiva con quella umana possono comportare rischi profondi per la società e l'umanità”. Si legge nella lettera aperta pubblicata dall’istituto. “L'IA avanzata potrebbe rappresentare un cambiamento profondo nella storia della vita sulla Terra e dovrebbe essere pianificata e gestita con cura e risorse adeguate. Sfortunatamente, questo livello di pianificazione e gestione non sta avvenendo”.
I sistemi di intelligenza artificiale dovrebbero essere sviluppati solo quando saremo sicuri che i loro effetti saranno positivi e i loro rischi gestibili.
Per questo, la proposta è quella di sospendere immediatamente, per almeno 6 mesi, l’addestramento dei sistemi di IA più potenti di GPT-4, in modo da sviluppare e implementare una serie di protocolli di sicurezza condivisi per la progettazione e lo sviluppo di IA avanzate, rigorosamente controllati e supervisionati da esperti esterni indipendenti. Al tempo stesso, l’istituto chiede agli sviluppatori di lavorare con i politici, per accelerare drasticamente l’implementazione di solidi sistemi di governance dell’IA.
La lettera aperta è stata già sottoscritta da figure quali Elon Musk, Steve Wozniak (Co-founder di Apple), Evan Sharp (Co-Founder di Pinterest) e Chris Larsen (Co-Founder di Ripple). Nella lista si trovano anche dipendenti di Amazon, Meta e Google.
Le non conformità rilevate
Fra le contestazioni alla base dell’istruttoria del Garante, vi rientra:
- Il data breach subito il 20 marzo, che ha esposto conversazioni degli utenti e informazioni relative al pagamento degli abbonati al servizio a pagamento;
- La mancanza di una informativa agli utenti;
- L’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali;
- Il fatto che le informazioni fornite da ChatGPT non sempre corrispondono al dato reale, determinando quindi un trattamento di dati personali inesatto;
- l’assenza di qualsivoglia filtro per la verifica dell’età degli utenti.
Scorza, inoltre, individua tre classi di gravi non conformità.
- In primo luogo l’addestramento degli algoritmi, “realizzato pescando a strascico da Internet miliardi di dati e informazioni, molti dei quali personali”. Il fatto che tali informazioni siano prese da fonti pubbliche, infatti, non basta a rendere quei dati utilizzabili da chiunque e per qualunque scopo;
- Ancora, la generazione di dati personali inesatti: ChatGPT combina informazioni prese dal web non sempre veritiere. “La manipolazione della realtà e dell’identità di una persona produce lesioni, talvolta anche gravi, della dignità e della libertà”.
L’ultima, importante, criticità, attiene ai dati dei minori. Ad oggi, i sistemi di age-verification usati da molte delle grandi piattaforme web si sono rivelati fallaci (si veda il provvedimento di blocco nei confronti di Tik Tok) ed il metodo utilizzato da ChatGPT è altrettanto problematico. “Social e siti sanno moltissimo dei loro utenti e usano raffinate tecniche di profilazione per scopi commerciali: quegli stessi algoritmi vanno usati per la sicurezza e ne vanno introdotti di nuovi” aveva dichiarato lo stesso Scorza in un’intervista a “La Repubblica” in seguito al caso Tik Tok. Ancora, “dalle interazioni, dai video visti e postati, dal tipo di smartphone, da quanto lo si usa e addirittura da come lo si tiene in mano si può risalire più o meno all'età […">. Sono soluzioni imperfette rispetto alle nostre ambizioni, ma abbattono di molto la percentuale di chi non dovrebbe usare queste piattaforme: sarebbe già un gran risultato”.
Verso un’IA conforme
In attesa di sviluppi sulla questione ChatGPT, possiamo iniziare a trarre alcune considerazioni.
Adeguare i trattamenti svolti mediante i sistemi di intelligenza artificiale è possibile in presenza di alcune condizioni:
- A monte, i governi devono trovare soluzioni a garanzia dei diritti dei diritti e delle libertà degli interessati e a tutela del futuro della società civile. Tale attività dovrebbe essere condotta coinvolgendo i principali stakeholder, fra cui i rappresentanti delle grandi imprese e gli sviluppatori, ma anche le associazioni rappresentanti gli interessi degli utenti;
- A valle, le singole organizzazioni devono comprendere se i trattamenti effettuati attraverso l’uso di tecnologie innovative (es. IoT; sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking; etc.) possano essere svolti conformemente alle norme in materia di protezione dei dati personali. In questa fase, è essenziale il coinvolgimento dei DPO, che devono essere in grado di supportare i titolari del trattamento, fornendo le opportune informazioni e un parere in merito alla valutazione d’impatto sulla protezione dei dati (come previsto dall’articolo 39 del GDPR).
In tale contesto, i compiti assegnati al DPO possono essere svolti a regola d’arte solamente se lo stesso è dotato di una “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati”.
Occasioni come il Congresso annuale di ASSO DPO rappresentano eventi da non perdere per garantire il rispetto di questo, fondamentale, requisito. Ricordiamo, infatti, che la giornata del 25 settembre è interamente dedicata al tema “Artificial Intelligence: LA RIVOLUZIONE TECNOLOGICA”.