La trasparenza informativa è un valore, soprattutto nell’innovazione e i servizi data-driven che richiedono agli utenti di conferire (o impiegare) i loro dati personali. Presentarsi bene con una privacy policy è un buon inizio.
E così, come da comunicazione annunciata agli utenti, dal 22 febbraio entra in vigore la nuova privacy policy di Vitruvian:
Molto probabilmente l’aggiornamento deriva da una volontà di migliorare la precedente, viste le evidenti criticità rappresentate.
Se qualcuno vuole fare il confronto, grazie alla magia della WaybackMachine è possibile farlo: https://web.archive.org/save/https://vitruvian.asc27.com/privacy.
Cito come sempre le fonti prima, in modo tale che ciascuno si possa fare un’idea senza doversi leggere il wot in cui si percorre l’esperienza di un utente particolarmente attento alla propria privacy online e l’aspetto della trasparenza. Spoiler: purtroppo si troverà ad essere un po’ come il bambino ne “I vestiti nuovi dell’imperatore” ad indicare che il re è nudo.
C’erano una volta i tos…
Per comprendere meglio le garanzie in ordine alle attività svolte sui propri dati, è importante fare riferimento anche ai nuovi termini di servizio in vigore dal 21 febbraio (terms of service o “tos”). Salta subito all’occhio la clausola “as is” e la dichiarata assenza di garanzie circa accuratezza, affidabilità e disponibilità del LLM. Questo significa dunque che il principio di esattezza del GDPR non si può applicare agli output del prompt?
I dati personali sono esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati
(art. 5 par. 1 lett. d) GDPR).
Dal momento che anche in questo caso è tutto scritto in inglese, possiamo ricorrere sempre alla traduzione tramite browser:
Questo è ciò che riguarda l’output, mentre il chiarimento circa l’impiego dei dati di input viene fornito poco dopo.
I dati forniti da parte dell’utente verranno impiegati per il miglioramento del LLM ma è l’utente a dover garantire che i dati e le informazioni non siano di natura riservata, proprietaria o personale o il lecito impiego degli stessi.
Cosa succede però se viene segnalata una violazione in tal senso? Mistero. Come utente o come interessato i cui dati sono stati inseriti in violazione dei miei diritti posso immaginare che avvenga una cancellazione degli stessi, ma maggiore chiarezza a riguardo certamente non avrebbe fatto male.
Il problema è che lo sto solamente immaginando perché non c’è tos che me lo vada a garantire.
Certo, posso sempre esercitare il diritto d’accesso a riguardo e ottenere tutte le informazioni del caso e le successive tutele. Ma qualche evidenza o migliore informazione su come una “terza parte” possa segnalare eventuali abusi non avrebbe certo fatto male…
Quando si tratta di dati personali, però, bisogna comprendere fino a che punto sia possibile riconoscere questa compressione dei diritti dell’interessato e delle garanzie in ordine all’applicazione dei principi del GDPR. Occorre sempre infatti un’opera di bilanciamento, perché la protezione dei dati personali non può essere un diritto tiranno né può subire la tirannide di altri diritti fondamentali quali la libertà d’impresa.
Purtroppo, non ci sono evidenze a tale riguardo. Quali impegni sono stati assunti da parte del gestore della piattaforma nei confronti dell’utente? Leggendo i tos sembra quasi che gran parte delle responsabilità ricadano solo su quest’ultimo senza alcun vantaggio né remunerazione ma solo reiterati disclaimer intesi a voler limitare la responsabilità di una parte soltanto.
Insomma: volendola far breve forse era meglio skippare fino al punto 9 e aver chiaro lo scopo dei tos…
Qualche domanda sulla nuova privacy policy
Il semplice fatto che la privacy policy sia stata aggiornata significa un’ammissione in ordine alle criticità rilevate. Peccato però che alcune resistono e ne emergono delle altre.
L’analisi dei trattamenti e la presentazione di informazioni chiare a riguardo è un obbligo cui si deve adempiere prima. Sia per una logica di corretta progettazione, perché prima di fare le cose bisogna pianificare, sia perché la norma lo impone. Il rispetto del privacy by design impone infatti di tenere conto che sin dal momento della progettazione vengano attuati i principi di protezione dei dati e le garanzie per il rispetto del GDPR e per tutelare i diritti degli interessati.
Quando poi si vuole impiegare la leva della privacy per presentare un servizio o un prodotto con la leva di marketing di un dichiarato rispetto della protezione dei dati personali, è bene non fermarsi solo agli annunci ma qualche evidenza a riguardo bisogna fornirla.
Altrimenti, come nella nota favola, il re è nudo e prima o poi qualcuno la privacy policy la leggerà e farà notare qualche incongruenza.
E poco conta se il re si indispone.
Dove finiscono i miei dati personali?
La clausola relativa ai trasferimenti di dati personali al di fuori dell’UE è stata sostituita con questa:
che però non risponde ad una semplice domanda: quali sono i Paesi al di fuori dell’UE verso cui avviene il trasferimento dei dati personali? Occasione mancata.
Certo, possiamo sperare che i dati personali non siano trasferiti all’estero. E che dunque non sia impiegato ad esempio alcun servizio cloud soggetto a giurisdizione statunitense secondo il Cloud Act.
Se però non c’è intenzione di trasferire dati al di fuori dell’UE, allora perché dire che c’è questa possibilità? Sarà mica un’altra formuletta di stile messa lì e non riletta?
Quali dati personali vengono raccolti con gli input degli utenti?
Da quanto dichiarato, la raccolta dei dati per quanto riguarda gli input forniti dall’utente non sembra riguardare dati identificativi e quindi si vorrebbe escludere la natura di dati personali.
Ma non è proprio così.
Viene infatti dichiarata l’applicazione della pseudonimizzazione, ovverosia:
“Il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.
(art. 4 par. 1 n. 5) GDPR)
Quindi, il trattamento avviene su un dataset che non è possibile riferire a un interessato senza avere accesso ad informazioni aggiuntive conservate separatamente per reidentificarlo. Ma ciò non toglie che vengano comunque raccolti dei dati personali.
Anche perché facendo riferimento ai tos l’utente comunque può conferire dati personali nell’input purché garantisca circa l’aver ricevuto le “autorizzazioni necessarie”. E quindi come mai non viene prevista questa evenienza? La piattaforma raccoglierebbe comunque dei dati personali all’interno degli input, pur non riferendoli all’utente ma a diversi interessati.
Quindi la raccolta e l’impiego di dati personali avviene, come confermato espressamente dal punto successivo:
che sembra proprio contraddire il punto precedente circa l’esclusione della natura di dato personale delle informazioni raccolte tramite query o prompt. Esiste ed è prevista infatti la possibilità che siano conferiti dati personali di terzi, purché ci siano delle autorizzazioni specifiche ottenute da parte dell’utente.
Quali dati provengono da fonti pubbliche?
E niente. Qui non viene detto nulla.
O almeno: prima si diceva che le fonti potevano essere dati provenienti da fonti accessibili al pubblico. Ora questa menzione non c’è più.
Cosa è cambiato allora?
Andiamo oltre: bisogna capire meglio questo punto.
Il fatto che non sia progettato significa che non fornisce alcun output a riguardo? O che nessun output può riguardare dati personali e fare riferimento dunque ad una persona fisica identificata o identificabile?
Scomodiamo il cigno nero di Popper facendo una domanda semplice:
Beh, per fortuna l’avevano detto che non potevo farci troppo affidamento…
Ma quindi non c’è stato alcun training relativo a dati personali provenienti da fonti pubblicamente accessibili? Perché non viene detto chiaramente nella privacy policy, in modo facilmente comprensibile da tutti gli utenti, dal momento che prima veniva dichiarato il contario?
Per quanto tempo sono conservati i dati personali?
Quelli per proteggere i diritti dell’organizzazione? Fino ai termini di prescrizione.
Il dato per l’addestramento? Per sempre. Un tempo da favola.
Attenzione ad un particolare però: quando si invoca la finalità di tutela in giudizio essa non può giustificare una conservazione illimitata ma dev’essere legata o ai tempi di prescrizione o altrimenti a un’esigenza concreta e attuale.
Altrimenti il principio di limitazione della conservazione verrebbe bypassato dall’impiego di questo facile cheat code, no?
Basi giuridiche e incertezza del consenso
L’indicazione delle basi giuridiche sembra riservare il consenso alle sole ipotesi previste dalla legge. Poco chiaro comprendere quali siano questi trattamenti, anche perché poi si dice chiaramente che in generale non c’è bisogno di alcun consenso per le attività di trattamento dichiarate.
E quindi? Anche qui: formuletta di stile spotted.
Viene però detto che l’utente può negare l’autorizzazione al modello circa il trattamento di dati anonimizzati (???) per finalità di addestramento. Passaggio che lascia l’utente più confuso che convinto.
Come esercito i miei diritti?
I diritti esercitabili da parte degli interessati vengono puntualmente indicati, con tanto di possibilità di revocare quel consenso esoterico poc’anzi indicato, ma c’è un passaggio che sembrerebbe prevedere solo la possibilità id una raccomandata A/R.
Non è che funziona proprio così: è possibile contattare il titolare presso qualsiasi contatto.
Inoltre, la risposta da parte del titolare deve avvenire in ogni caso e anche per un diniego, immagino fondato sulla non “correttezza formale” della richiesta.
Morale della favola: restano molte domande ed incertezze anche sulla seconda privacy policy.
Anzi, c’è qualche dubbio che non sia stata riletta e coordinata con i tos.
Try again.
Lo dico in inglese dato che è la lingua di tos e di privacy policy.
