“Il Garante per la protezione dei dati personali ha notificato a OpenAI, società che gestisce la piattaforma di intelligenza artificiale ChatGPT, l’atto di contestazione per aver violato la normativa in materia di protezione dei dati personali. A seguito del provvedimento di limitazione provvisoria del trattamento, adottato dal Garante nei confronti della Società lo scorso 30 marzo, e all’esito dell’istruttoria svolta, l’Autorità ha ritenuto che gli elementi acquisiti possano configurare uno o più illeciti rispetto a quanto stabilito dal Regolamento UE. OpenAI avrà 30 giorni per comunicare le proprie memorie difensive in merito alle presunte violazioni contestate. Nella definizione del procedimento il Garante terrà conto dei lavori in corso nell’ambito della speciale task force, istituita dal Board che riunisce le Autorità di protezione dati dell’UE (Edpb).”
Questo è l’atto che il Garante per la privacy ha notificato a OpenAI. Il sospetto è che l’azienda di Sam Altman abbia violato il Regolamento Generale sulla Protezione dei Dati (GDPR), a seguito di un’indagine durata diversi mesi. Qualora le violazioni venissero confermate, OpenAI potrebbe dover pagare multe fino a 20 milioni di euro o il 4% del suo fatturato globale. Ma i soldi sono l’ultimo dei problemi per un gigante come OpenAI. La vera sfida è che le autorità potrebbero obbligarla a cambiare radicalmente il modo in cui tratta i dati. Ciò potrebbe significare addirittura dover bloccare ChatGPT in alcuni paesi dell’UE, qualora le modifiche richieste fossero troppo onerose o impraticabili.
Ricordate quando, lo scorso 30 marzo, il nostro Garante aveva imposto un divieto temporaneo sul trattamento dei dati di ChatGPT in Italia? La questione era la mancanza di una base legale solida per l’uso dei dati personali nell’addestramento degli algoritmi di ChatGPT, oltre alla tendenza del sistema a produrre informazioni non sempre accurate. OpenAI risolse in fretta alcuni di questi problemi, riprendendo prontamente il servizio in Italia. Tuttavia, le indagini non si fermarono e ora sembra che ChatGPT possa essere nuovamente in conflitto con le leggi dell’UE.
Il punto cruciale è il presupposto con cui OpenAI tratta i dati personali per addestrare i suoi modelli. ChatGPT è stato sviluppato usando enormi quantità di dati raccolti online, compresi dati personali. Nell’UE, però, l’uso di questi dati richiede una solida giustificazione legale . OpenAI non ha mai richiesto il consenso esplicito ai milioni di utenti internet i cui dati sono stati usati, facendo piuttosto leva su un “interesse legittimo”.
Il concetto di “interesse legittimo” non sembra però essere una giustificazione solida, soprattutto dopo che l’UE ha già bocciato altre grandi aziende tech che avevano addotto questa motivazione. L’Unione Europea, ad esempio, ha già stabilito che gli interessi legittimi sono una base inappropriata per Meta per effettuare il tracciamento e la profilazione degli individui per gestire la pubblicità programmatica sui suoi social. Se questo orientamento venisse confermato, uno dei possibili scenari per operare in Europa vedrebbe OpenAI ritirare ChatGPT e riproporlo dopo averlo addestrato senza i dati ottenuti illecitamente. Inutile dire che il costo sarebbe esorbitante.
OpenAI deve affrontare una situazione simile anche in Polonia e nel tentativo di ridurre il rischio normativo, l’azienda sta stabilendo una base fisica in Irlanda, annunciando che questa entità irlandese in futuro sarà il fornitore di servizi per i dati degli utenti dell’UE. La speranza con questa mossa è di ottenere lo status di “stabilimento principale” in Irlanda e ottenere la valutazione di conformità GDPR dalla commissione per la Protezione dei Dati irlandese.
Fino a quando la sede europea non otterrà lo status di “stabilimento principale”, però, ChatGPT potrebbe dover navigare in acque normative ancora agitate in tutta l’UE. E se anche lo ottenesse, l’indagine italiana potrebbe continuare poiché l’ottenimento dei dati contestati precederebbe il cambiamento della sua struttura di elaborazione.
Non resta che chiudere con le dichiarazioni di OpenAI in merito a questa nuova incursione del nostro Garante per la privacy: “Crediamo che le nostre pratiche siano in linea con il GDPR e altre leggi sulla privacy, e prendiamo ulteriori passi per proteggere i dati delle persone e la loro privacy. Vogliamo che la nostra IA apprenda sul mondo, non su individui privati. Lavoriamo attivamente per ridurre i dati personali nella formazione dei nostri sistemi come ChatGPT, che rifiuta anche richieste di informazioni private o sensibili sulle persone. Prevediamo di continuare a lavorare costruttivamente con l’Autorità Garante”.
