ChatGPT e la sua riapertura in Italia. Sinceramente: qualcuno è sorpreso?
Come ogni storia che si rispetti, dopo iniziali struggimenti e difficoltà non ci si poteva che attendere un epilogo drammatico e connotato dal pathos.
Dopotutto, il Garante Privacy era intervenuto per ragioni d’urgenza con un provvedimento di limitazione provvisoria del trattamento, impattando sul business model di OpenAI al punto che la conseguenza naturale è stata il blocco temporaneo di accesso a ChatGTP dall’Italia.
Ma riepiloghiamo una sintetica cronistoria dell’accaduto.
20 marzo: indizi di data breach di ChatGPT
22 marzo: OpenAI conferma l’incidente
30 marzo: blocco di ChatGPT
5 aprile: incontro fra Garante Privacy e OpenAI
7 aprile: aggiornamento dell’informativa privacy di OpenAI
11 aprile: il Garante indica gli adempimenti da adottare entro il 30 aprile per superare la limitazione provvisoria
24 aprile: OpenAI annuncia e implementa funzioni per aumentare il controllo dei dati lato utente.
27 aprile: aggiornamento dell’informativa privacy di OpenAI
28 aprile: riattivazione di ChatGPT dall’Italia
Insomma: sembra che si è arrivati all’epilogo della vicenda occorsa, da cui è possibile trarre spunti e considerazioni utili. Magari accantonando quel trend tossico connotato da opinioni (non richieste né necessarie) esposte all’interno dei social network (prevalentemente: LinkedIn) da entusiasti, esperti di settore (veri o professi), tifosi, cargocultisti e altre mitologiche creature che oggi affollano il manuale dei mostri. Un tempo c’erano per lo più troll, lurker o flamer, ma oggi son specie ben più variegate.
Certo, si potrebbe trarre anche qualche ulteriore riflessione sull’approccio corretto da tenere a riguardo in futuro, nonché ad alcuni problemi fondamentali per cui sarebbero opportuni approfondimenti. Ma forse non è stata percepita urgenza alcuna dalla deriva machista che ha connotato il dibattito sin da subito. E quindi molto probabilmente è destinata a ripetersi.
Oggi però guardiamo ai fatti rimanendo nell’alveo della privacy. Più che per prurient curiosity, o tifoseria, per cogliere alcuni spunti interessanti di compliance GDPR.
E comprendere magari il percorso svolto da OpenAI che ha portato alla riattivazione del servizio.
ChatGPT: primi passi verso la riapertura in Italia
Dopo l’incontro con il Garante, OpenAI aveva precisato alcune informazioni all’interno della propria privacy policy già il 7 aprile. Innanzitutto, ha rimosso la base giuridica dell’esecuzione del contratto per le finalità di miglioramento del servizio, come da indicazioni del Garante. Ciò comporta dunque che il modello sarà alimentato per il training solo previo consenso o sulla base del legittimo interesse. La differenza ovviamente qui sta su una più ampia (nel caso di legittimo interesse) o meno (nel caso di consenso) possibilità di impiego dei dati degli interessati.
Dopodiché è stata attivata la possibilità di non registrare la cronologia delle chat, evitando così l’impiego di tali dati per il training del modello di AI, consentendo così l’esercizio del diritto di opposizione agli utenti.
Al momento, il form per l’esercizio dei diritti è stato sostituito da un’email. Si può immaginare temporaneamente, dal momento che fra le prescrizioni indicate dal Garante sono contenuti anche:
– la garanzia del diritto di opposizione da parte di tutti gli interessati (e non solo gli utenti)
– la possibilità di rettificare o altrimenti cancellare i dati.
Certamente, la funzione di esportazione dei dati non può che essere accolta positivamente dal Garante in quanto misura atta a realizzare il diritto di accesso.
Le condizioni per la riapertura
Il Garante Privacy, con il provvedimento 11 aprile 2023 ha indicato gli adempimenti che OpenAI avrebbe dovuto adottare entro il 30 aprile per sospendere l’efficacia della limitazione provvisoria dei trattamenti. Le misure così adottate avrebbero avuto l’effetto di far venire meno le ragioni d’urgenza ma non di concludere l’istruttoria, potendo però portare alla riapertura di ChatGPT in Italia.
Base giuridica e liceità per l’addestramento del modello
Per quanto riguarda la base giuridica, il Garante ha escluso l’applicazione dell’esecuzione del contratto per il trattamento dei dati personali degli utenti ai fini dell’addestramento dell’AI. Il motivo è che ovviamente tale trattamento non è “necessario all’esecuzione di un contratto di cui l’interessato è parte” . Vengono però indicate le alternative del consenso o del legittimo interesse per quanto riguarda gli utenti, mentre invece la sola base giuridica che può sussistere per gli altri interessati non può che essere il legittimo interesse.
Completezza dell’informativa
Per quanto invece riguarda la completezza dell’informativa, le indicazioni del Garante sono particolarmente puntuali e specifiche:
“predisporre e pubblicare sul proprio sito internet un’informativa che, nei termini e con le modalità di cui all’art. 12 del Regolamento, spieghi agli interessati anche diversi dagli utenti del servizio ChatGPT, i cui dati sono stati raccolti e trattati ai fini dell’addestramento degli algoritmi, le modalità del trattamento, la logica alla base del trattamento necessario al funzionamento del servizio, i diritti loro spettanti in qualità di interessati e ogni altra informazione prevista dal Regolamento;“
Diritti degli interessati
Per quanto riguarda i diritti degli interessati, anche qui il Garante richiede una misura specifica:
“uno strumento attraverso il quale possano esercitare il diritto di opposizione rispetto ai trattamenti svolti dalla società ai fini dell’addestramento degli algoritmi e dell’erogazione del servizio”
la quale è atta a garantire l’esercizio del diritto di opposizione attraverso una funzione dedicata e presentata in modo chiaro.
Possibilità di rettificare gli output
Per rimediare al problema dei dati personali non corrispondenti al dato reale, anche qui l’indicazione del Garante riguarda l’implementazione di una funzione per chiunque affinché si possa ottenere o la correzione o la cancellazione dei contenuti generati in output.
Accesso dei minori
Per quanto riguarda l’accesso dei minori il Garante prescrive l’adozione immediata di un age gate per escludere minorenni secondo l’età dichiarata. Insomma: quello che si vede nei siti per adulti e che ben conosciamo tutti.
Ma non è una misura sufficiente. Viene infatti richiesto di predisporre entro il 31 maggio 2023 un piano per l’adozione di strumenti di age verification da implementare entro il 30 settembre 2023. L’obiettivo è quello di escludere gli utenti infratredicenni e minorenni in assenza di consenso da parte di chi ne esercita la responsabilità genitoriale.
Campagna di informazione
Ulteriore richiesta è quella dello svolgimento di di una campagna di informazione di natura non promozionale da avviare entro il 15 maggio 2023, attraverso tutti i principali mezzi di comunicazione di massa italiani (radio, televisione, giornali e Internet) i cui contenuti andranno concordati con il Garante e che dovranno riguardare l’informazione sulla raccolta dei dati personali ai fini di training degli algoritmi, la pubblicazione dell’informativa privacy e la possibilità di opporsi e chiedere la cancellazione dei propri dati personali.
Gli interventi di OpenAI per la riapertura di ChatGPT in Italia
OpenAI aveva già adottato delle misure per rafforzare il controllo dei dati personali lato utente, o progettato la loro implementazione nel tempo, ma entro il termine del 30 aprile ha svolto degli adempimenti specifici in linea con le prescrizioni del provvedimento del Garante.
Per avere contezza delle misure adottate da OpenAI è sufficiente leggere il comunicato stampa del Garante Privacy a riguardo, in cui sono state puntualmente elencate.
• ha predisposto e pubblicato sul proprio sito un’informativa rivolta a tutti gli utenti e non utenti, in Europa e nel resto del mondo, per illustrare quali dati personali e con quali modalità sono trattati per l’addestramento degli algoritmi e per ricordare che chiunque ha diritto di opporsi a tale trattamento;
• ha ampliato l’informativa sul trattamento dei dati riservata agli utenti del servizio rendendola ora accessibile anche nella maschera di registrazione prima che un utente si registri al servizio;
• ha riconosciuto a tutte le persone che vivono in Europa, anche non utenti, il diritto di opporsi a che i loro dati personali siano trattati per l’addestramento degli algoritmi anche attraverso un apposito modulo compilabile online e facilmente accessibile;
• ha introdotto una schermata di benvenuto alla riattivazione di ChatGPT in Italia, con i rimandi alla nuova informativa sulla privacy e alle modalità di trattamento dei dati personali per il training degli algoritmi;
• ha previsto per gli interessati la possibilità di far cancellare le informazioni ritenute errate dichiarandosi, allo stato, tecnicamente impossibilitata a correggere gli errori;
• ha chiarito, nell’informativa riservata agli utenti, che mentre continuerà a trattare taluni dati personali per garantire il corretto funzionamento del servizio sulla base del contratto, tratterà i loro dati personali ai fini dell’addestramento degli algoritmi, salvo che esercitino il diritto di opposizione, sulla base del legittimo interesse;
• ha implementato per gli utenti già nei giorni scorsi un modulo che consente a tutti gli utenti europei di esercitare il diritto di opposizione al trattamento dei propri dati personali e poter così escludere le conversazioni e la relativa cronologia dal training dei propri algoritmi;
• ha inserito nella schermata di benvenuto riservata agli utenti italiani già registrati al servizio un pulsante attraverso il quale, per riaccedere al servizio, dovranno dichiarare di essere maggiorenni o ultratredicenni e, in questo caso, di avere il consenso dei genitori;
• ha inserito nella maschera di registrazione al servizio la richiesta della data di nascita prevedendo un blocco alla registrazione per gli utenti infratredicenni e prevedendo, nell’ipotesi di utenti ultratredicenni ma minorenni che debbano confermare di avere il consenso dei genitori all’uso del servizio.
Tutto risolto, dunque? Il servizio è sbloccato in Italia ma l’istruttoria è tutt’ora aperta.
E non solo: l’EDPB ha creato una task force dedicata a ChatGPT.
Molto probabilmente dunque la storia è tutt’altro che finita. Diciamo che ci si attende prima o poi un secondo capitolo.
A pensar male infine si potrebbe formulare una considerazione: tutti i dati acquisiti sino ad oggi in violazione della privacy by design hanno comunque alimentato il modello e fornito un vantaggio competitivo. Chissà se anche l’Antitrust potrà interessarsi di questi modelli di business un po’ “spregiudicati”, retaggio degli archetipici eccessi della Silicon Valley?